Em uma sociedade cada vez mais digital, a segurança cibernética é uma preocupação para todos os setores. No entanto, para o setor de dispositivos médicos, os riscos das ameaças cibernéticas são ainda maiores, pois os ataques cibernéticos podem colocar em risco a vida dos pacientes. A FDA (Food and Drug Administration, Administração de Alimentos e Medicamentos dos EUA) tornou a abordagem desses riscos uma prioridade nos últimos anos ao atualizar seus documentos de orientação para requisitos de segurança cibernética para dispositivos médicos.
Em setembro passado, a FDA publicou sua orientação final, "Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions", que oferece recomendações para a proteção de dispositivos médicos durante todo o ciclo de vida do produto. De acordo com a FDA, "essas recomendações têm o objetivo de promover a consistência, facilitar a revisão eficiente antes da comercialização e ajudar a garantir que os dispositivos médicos comercializados sejam suficientemente resistentes a ameaças de segurança cibernética".
A orientação final já estava em formato de rascunho quando a Lei de Reforma Omnibus de Alimentos e Medicamentos de 2022 (FDORA) foi sancionada. A FDA optou por continuar com a orientação existente e abordar os requisitos de segurança cibernética de dispositivos médicos na FDORA em uma data posterior.
Últimas atualizações
Em março de 2024, a FDA lançou seu rascunho de orientação, "Select Updates for the Premarket Cybersecurity Guidance: Section 524B of the FD&C Act", para oferecer clareza aos fabricantes sobre as novas disposições da Lei de Alimentos, Medicamentos e Cosméticos (FD&C) que foram adicionadas pela FDORA. O documento descreve as informações de segurança cibernética que a FDA considera "geralmente necessárias para apoiar as obrigações previstas na seção 524B da Lei FD&C". As diretrizes também afirmam que essas obrigações se aplicam a qualquer dispositivo que atenda à definição de "dispositivo cibernético" em todos os pedidos ou envios de pré-comercialização sob a maioria dos caminhos, incluindo 510(k), Pedido de Aprovação de Pré-Mercado (PMA), Protocolo de Desenvolvimento de Produto (PDP), De Novo ou Isenção de Dispositivo Humanitário (HDE).
A minuta de orientação também esclarece a definição de "dispositivo cibernético" de acordo com a seção 524B. Isso inclui dispositivos que (i) são ou contêm software; (ii) são capazes de se conectar à Internet, intencionalmente ou não; e (iii) contêm quaisquer características tecnológicas que possam ser vulneráveis a ameaças à segurança cibernética.
A FDA fornece informações adicionais sobre os dispositivos cibernéticos que podem se conectar à Internet. Todos os fabricantes devem prestar muita atenção a esses requisitos, pois eles se aplicam independentemente de o patrocinador pretender que o dispositivo se conecte de fato à Internet ou não.
As atualizações propostas também fornecem recomendações para atender aos requisitos da seção 524B relacionados à documentação, às modificações e à garantia razoável de segurança cibernética. As partes interessadas do setor têm até 13 de maio de 2024 para enviar comentários antes que a FDA comece a trabalhar na criação de uma versão final do documento de orientação.
Olhando para o futuro
A maioria dos fabricantes já deve estar incorporando a maior parte dessas práticas em seus envios pré-comercialização, uma vez que a orientação final sobre segurança cibernética em dispositivos médicos entrou em vigor em setembro de 2023. No entanto, as recomendações da FDA na versão preliminar atualizada da orientação podem fornecer informações úteis para que os fabricantes garantam que estão incluindo todos os componentes necessários em sua documentação da FDA.
O setor de dispositivos médicos pode esperar que a FDA continue priorizando a segurança cibernética, especialmente à medida que mais dispositivos se conectam e a inteligência artificial e os dispositivos habilitados para aprendizado de máquina se tornam mais predominantes. É do interesse dos fabricantes e patrocinadores ficarem atentos aos novos desenvolvimentos e às práticas recomendadas atuais de segurança cibernética. A preparação para recalls também continuará sendo crucial, pois os dispositivos conectados introduzem novos riscos. Será importante que as empresas de dispositivos médicos garantam que não apenas seus envios pré-comercialização estejam em conformidade com as novas regras, mas que seus planos de recall também sejam revisados para que qualquer uma das novas considerações entre em vigor.
Tags: Proteção de marca, Conformidade, cibernética, segurança cibernética, ameaças cibernéticas, FDA, saúde, Assistência médica, fabricantes, Manufatura, Assistência médica, Dispositivos médicos, Equipamentos médicos, Imagens médicas, Suprimentos médicos, Preservação de marcas