Australia 
Canadá 
Dinamarca 
Francia 
Irlanda 
Países Bajos 
Nueva Zelanda 
España y Portugal 
Reino Unido 
Estados Unidos 7 de mayo de 2024
En una sociedad cada vez más digitalizada, la ciberseguridad es una preocupación para todos los sectores. Sin embargo, para el sector de los dispositivos médicos, los riesgos derivados de las amenazas cibernéticas son aún mayores, ya que los ciberataques pueden poner en peligro la vida de los pacientes. La Administración de Alimentos y Medicamentos de los Estados Unidos (FDA) ha dado prioridad a la gestión de esos riesgos en los últimos años, actualizando sus documentos de orientación sobre los requisitos de ciberseguridad para los dispositivos médicos.
El pasado mes de septiembre, la FDA publicó su guía definitiva,«Ciberseguridad en dispositivos médicos: consideraciones sobre el sistema de calidad y contenido de las solicitudes previas a la comercialización», que ofrece recomendaciones para proteger los dispositivos médicos a lo largo de todo el ciclo de vida del producto. Según la FDA, «estas recomendaciones tienen por objeto promover la coherencia, facilitar una revisión eficiente previa a la comercialización y ayudar a garantizar que los dispositivos médicos comercializados sean lo suficientemente resistentes a las amenazas de ciberseguridad».
La guía definitiva ya estaba en fase de borrador cuando se promulgó la Ley Ómnibus de Reforma de Alimentos y Medicamentos de 2022 (FDORA). La FDA optó por continuar con la guía existente y abordar los requisitos de ciberseguridad de los dispositivos médicos de la FDORA en una fecha posterior.
Últimas actualizaciones
En marzo de 2024, la FDA publicó su borrador de directrices,«Actualizaciones seleccionadas de las directrices sobre ciberseguridad previas a la comercialización: Sección 524B de la Ley FD&C», con el fin de aclarar a los fabricantes las nuevas disposiciones de la Ley de Alimentos, Medicamentos y Cosméticos (FD&C) que fueron añadidas por la FDORA. El documento describe la información sobre ciberseguridad que la FDA considera «generalmente necesaria para cumplir con las obligaciones establecidas en la sección 524B de la Ley FD&C». Las directrices también establecen que estas obligaciones se aplican a cualquier dispositivo que cumpla la definición de «dispositivo cibernético» en todas las solicitudes o presentaciones previas a la comercialización en la mayoría de las vías, incluidas la 510(k), la solicitud de aprobación previa a la comercialización (PMA), el protocolo de desarrollo de productos (PDP), De Novo o la exención de dispositivos humanitarios (HDE).
El borrador de la guía también aclara la definición de «dispositivo cibernético» según la sección 524B. Esto incluye dispositivos que (i) son o contienen software; (ii) pueden conectarse a Internet, ya sea de forma intencionada o no; y (iii) contienen cualquier característica tecnológica que pueda ser vulnerable a amenazas de ciberseguridad.
La FDA ofrece información adicional sobre los dispositivos cibernéticos que tienen la capacidad de conectarse a Internet. Todos los fabricantes deben prestar mucha atención a estos requisitos, ya que se aplican independientemente de si el patrocinador tiene la intención de que el dispositivo se conecte realmente a Internet o no.
Las actualizaciones propuestas también ofrecen recomendaciones para cumplir los requisitos de la sección 524B relacionados con la documentación, las modificaciones y la garantía razonable de la ciberseguridad. Las partes interesadas del sector tienen hasta el 13 de mayo de 2024 para enviar sus comentarios antes de que la FDA comience a trabajar en la creación de una versión definitiva del documento de orientación.
Mirando hacia el futuro
La mayoría de los fabricantes ya deberían estar incorporando la mayor parte de estas prácticas en sus solicitudes previas a la comercialización, dado que la guía definitiva sobre ciberseguridad en dispositivos médicos entró en vigor en septiembre de 2023. Sin embargo, las recomendaciones de la FDA en el borrador actualizado de la guía pueden proporcionar información útil a los fabricantes para garantizar que incluyen todos los componentes necesarios en su documentación para la FDA.
La industria de los dispositivos médicos puede esperar que la FDA siga dando prioridad a la ciberseguridad, especialmente a medida que más dispositivos se conectan y los dispositivos habilitados para la inteligencia artificial y el aprendizaje automático se vuelven más frecuentes. A los fabricantes y patrocinadores les conviene estar atentos a las novedades y mantenerse al día de las mejores prácticas actuales en materia de ciberseguridad. La preparación para las retiradas también seguirá siendo crucial, ya que los dispositivos conectados introducen nuevos riesgos. Será importante que las empresas de dispositivos médicos se aseguren de que no solo sus solicitudes previas a la comercialización cumplan con las nuevas normas, sino que también revisen sus planes de retirada para tener en cuenta cualquier nueva consideración.
