Australia 
Canadá 
Dinamarca 
Francia 
Alemania 
Irlanda 
Países Bajos 
Nueva Zelanda 
Noruega 
España y Portugal 
Reino Unido 
Estados Unidos 7 de mayo de 2024
En una sociedad cada vez más digitalizada, la ciberseguridad es una preocupación para todos los sectores. Sin embargo, en el sector de los productos sanitarios, los riesgos derivados de las amenazas cibernéticas son aún mayores, ya que los ciberataques pueden poner en peligro la vida de los pacientes. La Administración de Alimentos y Medicamentos de los Estados Unidos (FDA) ha dado prioridad a la gestión de esos riesgos en los últimos años, al tiempo que actualiza sus documentos de orientación sobre los requisitos de ciberseguridad para los productos sanitarios.
El pasado mes de septiembre, la FDA publicó su guía definitiva, titulada«Ciberseguridad en los productos sanitarios: consideraciones sobre el sistema de calidad y contenido de las solicitudes previas a la comercialización», que ofrece recomendaciones para proteger los productos sanitarios a lo largo de todo su ciclo de vida. Según la FDA, «estas recomendaciones tienen por objeto promover la coherencia, facilitar una revisión previa a la comercialización eficiente y contribuir a garantizar que los productos sanitarios comercializados sean lo suficientemente resistentes a las amenazas de ciberseguridad».
La guía definitiva ya se encontraba en fase de borrador cuando se promulgó la Ley de Reforma Integral de Alimentos y Medicamentos de 2022 (FDORA). La FDA optó por seguir aplicando la guía vigente y abordar los requisitos de ciberseguridad de los productos sanitarios establecidos en la FDORA en una fecha posterior.
Últimas novedades
En marzo de 2024, la FDA publicó su borrador de directrices titulado«Actualizaciones selectas de las directrices sobre ciberseguridad previas a la comercialización: sección 524B de la Ley FD&C», con el fin de aclarar a los fabricantes las nuevas disposiciones de la Ley de Alimentos, Medicamentos y Cosméticos (FD&C) que fueron añadidas por la FDORA. El documento describe la información sobre ciberseguridad que la FDA considera «generalmente necesaria para cumplir con las obligaciones establecidas en la sección 524B de la Ley FD&C». Las directrices también establecen que estas obligaciones se aplican a cualquier dispositivo que se ajuste a la definición de «dispositivo cibernético» en todas las solicitudes o presentaciones previas a la comercialización en la mayoría de las vías, incluidas las de 510(k), la Solicitud de Aprobación Previa a la Comercialización (PMA), el Protocolo de Desarrollo de Productos (PDP), De Novo o la Exención de Dispositivos Humanitarios (HDE).
El borrador de las directrices también aclara la definición de «dispositivo cibernético» según el artículo 524B. Esto incluye los dispositivos que: (i) sean software o contengan software; (ii) puedan conectarse a Internet, ya sea de forma intencionada o no; y (iii) presenten características tecnológicas que puedan hacerlos vulnerables a amenazas de ciberseguridad.
La FDA ofrece información adicional sobre los dispositivos cibernéticos que pueden conectarse a Internet. Todos los fabricantes deben prestar especial atención a estos requisitos, ya que se aplican independientemente de si el promotor tiene la intención de que el dispositivo se conecte realmente a Internet o no.
Las actualizaciones propuestas también incluyen recomendaciones para cumplir los requisitos del artículo 524B en materia de documentación, modificaciones y garantías razonables de ciberseguridad. Las partes interesadas del sector tienen hasta el 13 de mayo de 2024 para presentar sus comentarios antes de que la FDA comience a trabajar en la elaboración de la versión definitiva del documento de orientación.
De cara al futuro
La mayoría de los fabricantes ya deberían estar incorporando la mayor parte de estas prácticas en sus solicitudes previas a la comercialización, dado que la guía definitiva sobre ciberseguridad en dispositivos médicos entró en vigor en septiembre de 2023. No obstante, las recomendaciones de la FDA recogidas en el borrador actualizado de la guía pueden proporcionar información útil a los fabricantes para garantizar que incluyen todos los elementos requeridos en su documentación presentada a la FDA.
El sector de los productos sanitarios puede esperar que la FDA siga dando prioridad a la ciberseguridad, sobre todo a medida que aumentan los dispositivos conectados y se generaliza el uso de dispositivos basados en la inteligencia artificial y el aprendizaje automático. A los fabricantes y patrocinadores les conviene estar muy atentos a las novedades y mantenerse al día de las mejores prácticas actuales en materia de ciberseguridad. La preparación para las retiradas del mercado también seguirá siendo crucial, ya que los dispositivos conectados introducen nuevos riesgos. Será importante que las empresas de dispositivos médicos se aseguren de que no solo sus solicitudes previas a la comercialización cumplan con las nuevas normas, sino que también se revisen sus planes de retirada del mercado para incorporar cualquier nueva consideración.
