Austrália 
Canadá 
Dinamarca 
França 
Alemanha 
Irlanda 
Países Baixos 
Nova Zelândia 
Noruega 
Espanha e Portugal 
Reino Unido 
Estados Unidos 7 de maio de 2024
Em uma sociedade cada vez mais digital, a segurança cibernética é uma preocupação para todos os setores. No entanto, para o setor de dispositivos médicos, os riscos das ameaças cibernéticas são ainda maiores, uma vez que os ataques cibernéticos podem colocar em risco a vida dos pacientes. A Administração de Alimentos e Medicamentos dos Estados Unidos (FDA) tornou o tratamento desses riscos uma prioridade nos últimos anos, à medida que atualiza seus documentos de orientação para os requisitos de segurança cibernética para dispositivos médicos.
Em setembro passado, a FDA publicou sua orientação final,“Segurança cibernética em dispositivos médicos: considerações sobre o sistema de qualidade e conteúdo das submissões pré-comercialização”, que oferece recomendações para proteger os dispositivos médicos ao longo de todo o ciclo de vida do produto. De acordo com a FDA, “essas recomendações têm como objetivo promover a consistência, facilitar a revisão pré-comercialização eficiente e ajudar a garantir que os dispositivos médicos comercializados sejam suficientemente resilientes às ameaças à segurança cibernética”.
A orientação final já estava em forma de rascunho quando a Lei de Reforma Geral dos Alimentos e Medicamentos de 2022 (FDORA) foi sancionada. A FDA optou por continuar com a orientação existente e abordar os requisitos de segurança cibernética de dispositivos médicos na FDORA em uma data posterior.
Últimas atualizações
Em março de 2024, a FDA divulgou sua minuta de orientação,“Atualizações selecionadas para a orientação de segurança cibernética pré-comercialização: Seção 524B da Lei FD&C”, para esclarecer aos fabricantes as novas disposições da Lei de Alimentos, Medicamentos e Cosméticos (FD&C) que foram adicionadas pela FDORA. O documento descreve as informações de segurança cibernética que a FDA considera “geralmente necessárias para apoiar as obrigações previstas na seção 524B da Lei FD&C”. As diretrizes também afirmam que essas obrigações se aplicam a qualquer dispositivo que atenda à definição de “dispositivo cibernético” em todas as solicitações ou submissões pré-comercialização sob a maioria dos caminhos, incluindo 510(k), Solicitação de Aprovação Pré-comercialização (PMA), Protocolo de Desenvolvimento de Produto (PDP), De Novo ou Isenção de Dispositivo Humanitário (HDE).
O projeto de orientação também esclarece a definição de “dispositivo cibernético” na seção 524B. Isso inclui dispositivos que (i) são ou contêm software; (ii) são capazes de se conectar à Internet, seja intencionalmente ou não; e (iii) contêm quaisquer características tecnológicas que possam ser vulneráveis a ameaças à segurança cibernética.
A FDA fornece informações adicionais sobre dispositivos cibernéticos com capacidade de conexão à Internet. Todos os fabricantes devem prestar muita atenção a esses requisitos, pois eles se aplicam independentemente de o patrocinador pretender que o dispositivo se conecte à Internet ou não.
As atualizações propostas também fornecem recomendações para atender aos requisitos da seção 524B relacionados à documentação, modificações e garantia razoável de segurança cibernética. As partes interessadas do setor têm até 13 de maio de 2024 para enviar comentários antes que a FDA comece a trabalhar na criação da versão final do documento de orientação.
Olhando para o futuro
A maioria dos fabricantes já deve estar incorporando a maior parte dessas práticas em suas submissões pré-comercialização, uma vez que a orientação final sobre segurança cibernética em dispositivos médicos entrou em vigor em setembro de 2023. No entanto, as recomendações da FDA na versão preliminar atualizada da orientação podem fornecer informações úteis para os fabricantes garantirem que estão incluindo todos os componentes necessários em sua documentação para a FDA.
A indústria de dispositivos médicos pode esperar que a FDA continue priorizando a segurança cibernética, especialmente à medida que mais dispositivos se tornam conectados e os dispositivos habilitados para inteligência artificial e aprendizado de máquina se tornam mais prevalentes. É do interesse dos fabricantes e patrocinadores acompanhar de perto os novos desenvolvimentos e manter-se atualizado sobre as melhores práticas atuais em segurança cibernética. A preparação para recalls também continuará sendo crucial, pois os dispositivos conectados introduzem novos riscos. Será importante que as empresas de dispositivos médicos garantam que não apenas suas submissões pré-comercialização estejam em conformidade com as novas regras, mas também que seus planos de recall sejam revisados para levar em consideração quaisquer novas considerações.
