Principios reglamentarios para la ciberseguridad de los productos sanitarios

3 min leer

Con la convergencia de las tecnologías y la conectividad de los dispositivos médicos a diversas redes, aumenta el riesgo de explotación de la ciberseguridad, lo que afecta al funcionamiento del dispositivo. Por lo tanto, es esencial contar con un sistema eficaz de ciberseguridad de los productos sanitarios para evitar los ciberataques y garantizar un funcionamiento seguro de los productos sanitarios. Se aconseja a todas las partes interesadas en los productos sanitarios que armonicen sus enfoques de ciberseguridad a lo largo del ciclo de vida de los productos sanitarios, desde el diseño del producto, las actividades de gestión de riesgos, el etiquetado del producto, los requisitos de presentación reglamentaria hasta el intercambio de información y las actividades posteriores a la comercialización.

Existen algunos principios reguladores generales para la ciberseguridad de los dispositivos durante su desarrollo, regulación, uso y supervisión. Se espera que estos principios tengan un impacto positivo en la seguridad del paciente cuando se sigan y apliquen sin fallos. Analicémoslos a continuación.

Principios reguladores de la ciberseguridad de los productos sanitarios

Consideraciones previas a la comercialización: Existen algunos elementos que un fabricante debe tener en cuenta durante el diseño y desarrollo de un producto sanitario antes de su introducción en el mercado, que se denominan elementos previos a la comercialización, entre los que se incluyen:

Diseño de elementos de seguridad para el producto
La aplicación de estrategias aceptadas de gestión de riesgos
Pruebas de seguridad
Suministro de información útil para que los usuarios manejen el dispositivo de forma segura.
Un plan global para las actividades posteriores a la comercialización

Gestión de riesgos para el ciclo de vida total del producto (TPLC): A lo largo del ciclo de vida de un producto sanitario, los fabricantes deben considerar la posibilidad de impregnarse de sólidos principios de gestión de riesgos, que abordarán los aspectos de seguridad y protección. En el proceso de gestión de riesgos de un producto sanitario, debe tenerse en cuenta lo siguiente:

Un riesgo de ciberseguridad que afecta a la seguridad de los dispositivos y a su rendimiento esencial y
afecte negativamente a las operaciones clínicas o provoque errores diagnósticos o terapéuticos

Los fabricantes deben seguir los siguientes pasos como parte de su proceso de gestión de riesgos:

Identificar todas las vulnerabilidades de ciberseguridad
Estimar y evaluar los riesgos asociados
Controlar los riesgos hasta un nivel aceptable
Supervisar y evaluar la eficacia de los controles de riesgo
Comunicar los riesgos a las principales partes interesadas mediante una divulgación coordinada.

Etiquetado: En relación con los riesgos de ciberseguridad, el etiquetado desempeña un papel importante en la comunicación de la información relativa a la seguridad a los usuarios finales. Incluye los siguientes elementos:

Instrucciones de los dispositivos y especificaciones de los productos relacionadas con los controles de ciberseguridad recomendados
adecuados para el entorno de uso previsto
Descripción de las funciones de copia de seguridad y restauración y procedimientos para recuperar las configuraciones
Una lista de puertos de red y otras interfaces que se espera que reciban y/o envíen datos,
descripción de la funcionalidad del puerto y si los puertos son entrantes o salientes
Diagramas del sistema suficientemente detallados para los usuarios finales

Documentación para presentaciones reglamentarias: Los fabricantes de productos sanitarios deben documentar y resumir claramente las actividades relacionadas con la ciberseguridad. Para evaluar el producto sanitario antes de su introducción en el mercado, el organismo regulador puede exigir este tipo de documentación, en función de la clase de riesgo del producto, o puede solicitarla durante la fase posterior a la comercialización del ciclo de vida del producto. El fabricante debe presentar una documentación clara en la que se describan las características de diseño del producto, las actividades de gestión de riesgos, las pruebas, el etiquetado y las pruebas de un plan para vigilar y responder a las amenazas emergentes a lo largo del ciclo de vida del producto.

Consideraciones posteriores a la comercialización: Con el paso del tiempo, las vulnerabilidades cambian y los controles previos a la comercialización, diseñados y aplicados, pueden resultar inadecuados para mantener un perfil de riesgo aceptable. De ahí que sea muy importante y necesario un planteamiento posterior a la comercialización, en el que desempeñan un papel clave múltiples partes interesadas. El enfoque posterior a la comercialización abarca varios elementos e incluye el funcionamiento del dispositivo en el entorno previsto, el intercambio de información, la divulgación coordinada de vulnerabilidades, la mejora de las capacidades de seguridad, la corrección de vulnerabilidades, la respuesta a incidentes y los dispositivos heredados. Dependiendo de la clase de dispositivo, debe elaborarse un informe de vigilancia postcomercialización (PMS) en el que se resuman los resultados y conclusiones de todos los análisis de datos del mercado.

Una vez conocidos algunos de los principios de la ciberseguridad de los dispositivos, se recomienda a los fabricantes que apliquen un marco normativo definido para la ciberseguridad de los dispositivos médicos. Con el aumento del número de dispositivos médicos conectados a Internet y a otras redes, existe el riesgo de que los piratas informáticos lleven a cabo actividades nefastas. Por lo tanto, se aconseja a los fabricantes de productos sanitarios que se mantengan alerta y sigan los mejores principios normativos en materia de ciberseguridad. ¿Tiene alguna laguna de ciberseguridad en su línea de productos sanitarios? Consulte a un experto en dispositivos. Manténgase informado. Cumpla la normativa.

Aspecto	EE.UU.	UE	Australia	China	EAU
Autoridad reguladora	FDA	EFSA y autoridades de los Estados miembros	FSANZ	SAMR Y NHC	ESMA Y MOHAP
Normativa principal que regula el cumplimiento	Ley Federal de Alimentos, Medicamentos y Cosméticos (FFDCA); 21 CFR Parte 110 (Buenas Prácticas de Fabricación Actuales)	Reglamento (CE) nº 178/2002 (legislación alimentaria general); Reglamento (UE) nº 1169/2011 sobre la información alimentaria facilitada al consumidor.	Código de normas alimentarias (Australia New Zealand Food Standards Code)	Ley de Seguridad Alimentaria de la República Popular China (revisada en 2015); Normas GB de Seguridad Alimentaria	UAE.S GSO 9:2017 (Requisitos generales para alimentos preenvasados)
¿Es necesaria la autorización previa a la comercialización?	Sin aprobación previa a la comercialización, salvo para ingredientes nuevos, aditivos de color o declaraciones específicas.	No hay aprobación previa a la comercialización para los alimentos en general, pero los nuevos alimentos o las declaraciones de propiedades saludables requieren la aprobación de la EFSA.	Sin autorización previa a la comercialización, salvo que sea un nuevo alimento o haga alegaciones de salud	Se exige el registro previo a la comercialización de nuevos alimentos, alimentos saludables o productos con nuevos ingredientes.	Determinados alimentos, productos sanitarios y productos con nuevos ingredientes requieren autorización previa a la comercialización.
Requisitos de etiquetado de alimentos procesados	Etiquetado obligatorio según las directrices de la FDA (información nutricional, declaración de ingredientes, alérgenos)	Debe cumplir el Reglamento sobre información alimentaria de la UE (1169/2011); incluye etiquetado sobre alérgenos, nutrición y origen.	Debe seguir el Código de Normas Alimentarias FSANZ para el etiquetado; se requieren paneles nutricionales, alérgenos y listas de ingredientes.	Deben cumplir la norma GB 7718-2011 (Normas Nacionales de Seguridad Alimentaria) en materia de etiquetado; información nutricional obligatoria, alérgenos y caducidad.	Debe seguir la norma GSO 9:2017 para el etiquetado de alimentos preenvasados; es obligatorio el etiquetado en árabe, los alérgenos y la información nutricional.
Calendario de inscripción	No hay plazos fijos: los productos pueden entrar en el mercado una vez que cumplen la normativa.	No hay registro formal a menos que se trate de un nuevo alimento; la aprobación de la EFSA para las declaraciones de propiedades saludables tarda entre 12 y 18 meses.	No hay registro oficial a menos que sea un nuevo alimento o haga alegaciones de salud	Normalmente, de 12 a 24 meses para los nuevos alimentos, y menos para los alimentos procesados habituales.	La aprobación puede tardar entre 6 y 12 meses para determinados productos. Los alimentos procesados normales pueden entrar en el mercado una vez obtenida la aprobación de la etiqueta

Servicios de Reglamentación de Medicamentos

Servicios de regulación de productos sanitarios

Consumidores

Freyr Digital

Adelántese a los acontecimientos con nuestras innovadoras soluciones de software normativo

Principios reguladores de la ciberseguridad de los productos sanitarios

Suscribirse al blog de Freyr

Blog reciente

Etiquetas del blog

Blogs relacionados

¿En qué podemos ayudarle?

Comuníquenos sus necesidades y nos pondremos en contacto con usted.