En una sociedad cada vez más digitalizada, la ciberseguridad preocupa a todos los sectores. Sin embargo, para el sector de los productos sanitarios los riesgos derivados de las ciberamenazas son aún mayores, dado que los ciberataques pueden poner en peligro la vida de los pacientes. En los últimos años, la Administración de Alimentos y Medicamentos de Estados Unidos (FDA) ha hecho de la lucha contra estos riesgos una prioridad, actualizando sus documentos de orientación sobre los requisitos de ciberseguridad para los productos sanitarios.
El pasado mes de septiembre, la FDA publicó su guía final, "Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions", que ofrece recomendaciones para salvaguardar los dispositivos médicos a lo largo de todo el ciclo de vida del producto. Según la FDA, "estas recomendaciones pretenden promover la coherencia, facilitar una revisión eficiente previa a la comercialización y ayudar a garantizar que los productos sanitarios comercializados sean suficientemente resistentes a las amenazas de ciberseguridad".
La guía final ya estaba en forma de borrador cuando se promulgó la Ley Ómnibus de Reforma de Alimentos y Medicamentos de 2022 (FDORA). La FDA optó por continuar con la guía existente y abordar los requisitos de ciberseguridad de dispositivos médicos en FDORA en una fecha posterior.
Últimas actualizaciones
En marzo de 2024, la FDA publicó su proyecto de guía, "Select Updates for the Premarket Cybersecurity Guidance: Sección 524B de la Ley FD&C", para ofrecer claridad a los fabricantes en torno a las nuevas disposiciones de la Ley de Alimentos, Medicamentos y Cosméticos (FD&C) que fueron añadidas por la FDORA. El documento esboza la información sobre ciberseguridad que la FDA considera "generalmente necesaria para respaldar las obligaciones en virtud de la sección 524B de la FD&C Act". Las directrices también establecen que estas obligaciones se aplican a cualquier dispositivo que se ajuste a la definición de "ciberdispositivo" en todas las solicitudes o presentaciones previas a la comercialización según la mayoría de las vías, incluidas 510(k), solicitud de aprobación previa a la comercialización (PMA), protocolo de desarrollo de productos (PDP), De Novo o exención de dispositivos humanitarios (HDE).
El proyecto de directrices también aclara la definición de "ciberdispositivo" en virtud de la sección 524B. Esto incluye dispositivos que (i) son o contienen software; (ii) son capaces de conectarse a Internet, ya sea intencionadamente o no; y (iii) contienen cualquier característica tecnológica que pueda ser vulnerable a amenazas de ciberseguridad.
La FDA proporciona información adicional sobre los dispositivos cibernéticos que tienen la capacidad de conectarse a Internet. Todos los fabricantes deben prestar mucha atención a estos requisitos, ya que se aplican tanto si el patrocinador pretende que el dispositivo se conecte realmente a Internet como si no.
Las actualizaciones propuestas también ofrecen recomendaciones para cumplir los requisitos de la sección 524B relacionados con la documentación, las modificaciones y la garantía razonable de ciberseguridad. Las partes interesadas de la industria tienen hasta el 13 de mayo de 2024 para presentar comentarios antes de que la FDA comience a trabajar en la creación de una versión final del documento de orientación.
De cara al futuro
La mayoría de los fabricantes ya deberían estar incorporando la mayoría de estas prácticas en sus presentaciones previas a la comercialización, dado que la guía final de Ciberseguridad en Dispositivos Médicos entró en vigor en septiembre de 2023. Sin embargo, las recomendaciones de la FDA en el borrador actualizado de la guía pueden proporcionar información útil para que los fabricantes se aseguren de que están incluyendo todos los componentes requeridos en su documentación FDA.
La industria de dispositivos médicos puede esperar que la FDA continúe dando prioridad a la ciberseguridad, especialmente a medida que más dispositivos se conectan y la inteligencia artificial y los dispositivos habilitados para el aprendizaje automático se vuelven más frecuentes. A los fabricantes y patrocinadores les conviene seguir de cerca los nuevos avances y mantenerse al tanto de las mejores prácticas actuales en materia de ciberseguridad. La preparación para la retirada de productos también seguirá siendo crucial, ya que los dispositivos conectados introducen nuevos riesgos. Será importante que las empresas de productos sanitarios se aseguren no solo de que sus presentaciones previas a la comercialización cumplen las nuevas normas, sino también de que sus planes de retirada se revisan para tener en cuenta las nuevas consideraciones.
Tags: Protección de marcas, Cumplimiento, ciberseguridad, ciberamenazas, FDA, salud, Sanidad, fabricantes, Fabricación, Atención médica, Dispositivos médicos, equipos médicos, imagen médica, suministros médicos, Preservación de marcas