Protección de la ciberseguridad de los productos sanitarios en Corea del Sur

5 minutos de lectura

A medida que avanza la tecnología, también lo hacen los dispositivos médicos que se utilizan para mantener la vida. Aunque en Corea del Sur se han desarrollado varios tipos de dispositivos médicos capaces de comunicarse, el desarrollo va acompañado del riesgo de amenazas a la ciberseguridad, como la piratería de dispositivos médicos y las fugas de información. Estas amenazas no sólo se aplican a la pérdida de bienes, sino también a la vida de los pacientes, y por eso salvaguardar la ciberseguridad de los dispositivos médicos es una preocupación fundamental.

Para hacer frente a estas preocupaciones, el gobierno surcoreano ha establecido directrices para la aprobación de la ciberseguridad (Guía-0995-03 2023.07.13) y la revisión de los productos sanitarios. La normativa surcoreana sobre productos sanitarios pretende garantizar la gestión de la seguridad de los productos sanitarios capaces de comunicarse y, a su vez, destacar la importancia de la ciberseguridad para los productos sanitarios.

¿Por qué son necesarias las directrices de ciberseguridad?

Los dispositivos médicos se implantan a menudo en el cuerpo de los pacientes para cumplir funciones vitales, lo que significa que cualquier amenaza a la ciberseguridad podría tener consecuencias nefastas, incluso fatales. Las directrices sobre ciberseguridad de los productos sanitarios pretenden prevenir tales amenazas garantizando la seguridad de los dispositivos y la protección de los datos que transmiten.

Consideraciones clave para la promulgación de nuevas directrices y guías

Las consideraciones clave que hay que tener en cuenta a la hora de promulgar nuevas directrices y guías de ciberseguridad son que es importante aclarar el objetivo del producto sanitario, aplicarlo según sus características y garantizar la gestión de la seguridad si el producto es capaz de comunicarse. Las directrices, cuyo objetivo es lograr la armonización internacional, han tomado prestadas y aplicado consideraciones de los Principios y Directrices de Ciberseguridad de los Dispositivos Médicos establecidos por el Foro Internacional de Reguladores de Dispositivos Médicos (IMDRF) (Principles and Practices for Medical Device Cybersecurity, IMDRF [2020]).

Principios básicos de la ciberseguridad de los dispositivos médicos

Los principios básicos de la ciberseguridad de los productos sanitarios comprenden un conjunto de directrices que describen las consideraciones clave para garantizar la ciberseguridad de los productos sanitarios. Incluyen la disponibilidad, la confidencialidad y la integridad. Veamos brevemente estos tres (03) principios:

La disponibilidad se refiere a poner los datos inmediatamente a disposición de los usuarios autorizados.
La confidencialidad se refiere a la protección de los datos frente a accesos no autorizados.
La integridad se refiere a garantizar que los datos son exactos y no han sido manipulados.

Estos principios son fundamentales para la gestión de la ciberseguridad de los productos sanitarios, ya que contribuyen a garantizar la seguridad de los productos y de los datos que transmiten.

Proceso de gestión de riesgos para la ciberseguridad de los dispositivos médicos

Las directrices especifican que los fabricantes deben llevar a cabo procesos de gestión de riesgos de ciberseguridad adecuados para la ciberseguridad de los productos sanitarios en Corea del Sur. He aquí algunos aspectos clave del proceso de gestión de riesgos:

El proceso debe incluir la identificación de posibles amenazas a la ciberseguridad, la evaluación de los riesgos asociados a las amenazas y el desarrollo de estrategias para mitigar los riesgos.
Los fabricantes deben registrar el proceso en el informe de gestión de riesgos.
Los fabricantes deben establecer y mantener un procedimiento sistemático para revisar la información sobre ciberseguridad durante las fases de producción y postproducción.
Los fabricantes deben establecer objetivos de ciberseguridad con funciones y niveles adecuados. Además, deben tener en cuenta las consecuencias de la evaluación y el tratamiento de los riesgos.
Se hace hincapié en la recopilación y el análisis continuos de información sobre las intenciones de los clientes internos y externos a lo largo del ciclo de vida de los productos sanitarios. Además, es importante que esta información se refleje en la gestión de riesgos de ciberseguridad de los productos sanitarios.

Aplicación de los requisitos de ciberseguridad de los productos sanitarios

Las directrices consisten en una tabla con ejemplos de consideraciones para la aplicación de los requisitos de ciberseguridad de los productos sanitarios en relación con la garantía de calidad y la conformidad reglamentaria de los productos sanitarios. La tabla incluye tres (03) categorías de consideraciones - mayores, moderadas y menores - que se explican a continuación:

Consideración principal: La consideración principal es la posibilidad de lesiones graves a los pacientes, o incluso la muerte, el deterioro permanente de las funciones corporales y el daño permanente a la estructura corporal debido a las brechas de ciberseguridad de los dispositivos médicos.
Consideración moderada: La consideración moderada es que las violaciones de la ciberseguridad de los dispositivos médicos pueden provocar lesiones leves o temporales a los pacientes, que pueden requerir intervención médica.
Consideración menor: La consideración menor es que las brechas de ciberseguridad de los dispositivos médicos pueden causar molestias temporales o inconvenientes reversibles, menores y de corta duración a los pacientes, que no requieren intervención médica.

Aparte de las categorías anteriores, el cuadro también incluye consideraciones relacionadas con la comunicación por cable, la comunicación inalámbrica y los riesgos de ciberseguridad que se producen debido a la infracción.

Dos (02) listas de comprobación clave para la ciberseguridad de los dispositivos médicos

Lista de comprobación de los requisitos de ciberseguridad de los dispositivos médicos:

Los fabricantes deben utilizar este formulario de lista de comprobación cuando revisen sus productos sanitarios para comprobar si cumplen los requisitos de ciberseguridad.
Deberán cumplimentar el formulario de acuerdo con las características de sus respectivos dispositivos.
El formulario es la base para confirmar que los fabricantes han cumplido todos los requisitos de ciberseguridad.
La lista de comprobación incluye el "Documento de gestión de riesgos de ciberseguridad" y los "Datos de verificación y validación del software".

La siguiente tabla (Tabla 1) ilustra la lista de comprobación de ciberseguridad para productos sanitarios en Corea del Sur.

Cuadro 1: Lista de comprobación para la ciberseguridad de los dispositivos médicos en Corea del Sur

	Requisitos de ciberseguridad	Aplicabilidad del dispositivo correspondiente	Método de prueba de compatibilidad utilizado	Número de documento o documento adjunto correspondiente
Comunicación de seguridad	Los fabricantes deben mencionar cómo conectar sus dispositivos médicos a través de Internet, Bluetooth, etc., así como las características de diseño y la seguridad de los datos traducidos.	XXX	XXX	XXX
Protección de datos de dispositivos	Los fabricantes deben decidir si sus dispositivos requieren cifrado o mensajería protegida; también tienen que evaluar la arquitectura a nivel de sistema para determinar si se requieren características de diseño para garantizar el no repudio de datos.	XXX	XXX	XXX
Integridad de los dispositivos	Los fabricantes deben tener en cuenta los riesgos para la integridad de los dispositivos, como las modificaciones no autorizadas de los mismos. Deben tener cuidado con los programas informáticos, virus, spyware, etc.	XXX	XXX	XXX
Certificación de usuario	Algunos ejemplos de acceso de usuarios de control son las contraseñas, las claves de hardware y la autenticación en cadena sin procesar, etc.	XXX	XXX	XXX
Número de mantenimiento del software	Los fabricantes deberían considerar la posibilidad de facilitar a los usuarios todos los detalles, plazos y requisitos de las actualizaciones.	XXX	XXX	XXX

Lista de control para el establecimiento/revisión de directrices/guías:

Los fabricantes deben utilizar esta lista de comprobación cuando establezcan o revisen directrices o guías.
Deben comprobar si el contenido se aparta de las leyes superiores y si establece/refuerza nuevas normativas o restringe denuncias civiles sensibles.
Si la respuesta es "sí" a la pregunta de si establece/refuerza una nueva normativa, deberán eliminar el contenido que se desvíe del estatuto superior y proceder al proceso de establecimiento y revisión de las directrices y guías.
La lista de control incluye la designación de las directrices o guías y la comprobación de los puntos relacionados con las consideraciones de aplicación.

Presentación de datos para la ciberseguridad de los productos sanitarios

Las directrices establecen requisitos específicos para la presentación de datos relacionados con la ciberseguridad de los productos sanitarios. Los datos presentados deben cumplir los siguientes criterios para la aprobación de dispositivos médicos:

Los datos deben estar relacionados con dispositivos médicos capaces de comunicación inalámbrica o que dispongan de una vía de comunicación.
Entre los datos sobre el rendimiento de la llamada, los fabricantes deben presentar los "Datos de verificación y validación del software" y el "Informe de verificación de la conformidad del software de productos sanitarios".
La información presentada no debe estar falsificada, funcionar mal o estar aprobada para productos sanitarios.
Los fabricantes deben aplicar requisitos de ciberseguridad como contramedida para evitar el acceso no autorizado a los productos sanitarios.
Los fabricantes deben confirmar el cumplimiento de los requisitos de ciberseguridad de los productos sanitarios presentando la "Lista de comprobación de los requisitos de ciberseguridad de los productos sanitarios" y materiales que verifiquen los requisitos de la lista de comprobación.
Los fabricantes pueden solicitarlo excluyendo o modificando algunos de los requisitos mediante un análisis de riesgos; los datos pertinentes deben presentarse con el "Documento de gestión de riesgos de ciberseguridad", según el artículo 26 de las directrices.

En general, las directrices para la aprobación y revisión de la ciberseguridad de los productos sanitarios son un recurso valioso para fabricantes, usuarios y reguladores, ya que ayudan a garantizar la seguridad de los productos sanitarios. Si usted es un fabricante que desea vender sus productos sanitarios en Corea del Sur, debe asegurarse de que sus productos cumplen los requisitos de ciberseguridad descritos en las directrices. Nuestro equipo de expertos puede ayudarle a navegar por la normativa surcoreana sobre productos sanitarios; se asegurarán de que sus productos cumplan los requisitos de ciberseguridad y de que presente los datos necesarios para su aprobación y revisión. Póngase en contacto con Freyr para obtener más información sobre cómo podemos ayudarle a proteger la ciberseguridad de sus productos sanitarios en Corea del Sur. Manténgase informado Cumpla la normativa

Aspecto	EE.UU.	UE	Australia	China	EAU
Autoridad reguladora	FDA	EFSA y autoridades de los Estados miembros	FSANZ	SAMR Y NHC	ESMA Y MOHAP
Normativa principal que regula el cumplimiento	Ley Federal de Alimentos, Medicamentos y Cosméticos (FFDCA); 21 CFR Parte 110 (Buenas Prácticas de Fabricación Actuales)	Reglamento (CE) nº 178/2002 (legislación alimentaria general); Reglamento (UE) nº 1169/2011 sobre la información alimentaria facilitada al consumidor.	Código de normas alimentarias (Australia New Zealand Food Standards Code)	Ley de Seguridad Alimentaria de la República Popular China (revisada en 2015); Normas GB de Seguridad Alimentaria	UAE.S GSO 9:2017 (Requisitos generales para alimentos preenvasados)
¿Es necesaria la autorización previa a la comercialización?	Sin aprobación previa a la comercialización, salvo para ingredientes nuevos, aditivos de color o declaraciones específicas.	No hay aprobación previa a la comercialización para los alimentos en general, pero los nuevos alimentos o las declaraciones de propiedades saludables requieren la aprobación de la EFSA.	Sin autorización previa a la comercialización, salvo que sea un nuevo alimento o haga alegaciones de salud	Se exige el registro previo a la comercialización de nuevos alimentos, alimentos saludables o productos con nuevos ingredientes.	Determinados alimentos, productos sanitarios y productos con nuevos ingredientes requieren autorización previa a la comercialización.
Requisitos de etiquetado de alimentos procesados	Etiquetado obligatorio según las directrices de la FDA (información nutricional, declaración de ingredientes, alérgenos)	Debe cumplir el Reglamento sobre información alimentaria de la UE (1169/2011); incluye etiquetado sobre alérgenos, nutrición y origen.	Debe seguir el Código de Normas Alimentarias FSANZ para el etiquetado; se requieren paneles nutricionales, alérgenos y listas de ingredientes.	Deben cumplir la norma GB 7718-2011 (Normas Nacionales de Seguridad Alimentaria) en materia de etiquetado; información nutricional obligatoria, alérgenos y caducidad.	Debe seguir la norma GSO 9:2017 para el etiquetado de alimentos preenvasados; es obligatorio el etiquetado en árabe, los alérgenos y la información nutricional.
Calendario de inscripción	No hay plazos fijos: los productos pueden entrar en el mercado una vez que cumplen la normativa.	No hay registro formal a menos que se trate de un nuevo alimento; la aprobación de la EFSA para las declaraciones de propiedades saludables tarda entre 12 y 18 meses.	No hay registro oficial a menos que sea un nuevo alimento o haga alegaciones de salud	Normalmente, de 12 a 24 meses para los nuevos alimentos, y menos para los alimentos procesados habituales.	La aprobación puede tardar entre 6 y 12 meses para determinados productos. Los alimentos procesados normales pueden entrar en el mercado una vez obtenida la aprobación de la etiqueta

Servicios de Reglamentación de Medicamentos

Servicios de regulación de productos sanitarios

Servicios de regulación de cosméticos

Servicios de reglamentación de complementos alimenticios

Servicio de productos alimentarios

Conformidad de los productos alimenticios

Registro de nuevos alimentos

Servicios de regulación de productos químicos

Servicios de Reglamentación de Medicamentos

Servicios de regulación de productos sanitarios

Consumidores

Freyr Digital

Adelántese a los acontecimientos con nuestras innovadoras soluciones de software normativo

¿Por qué son necesarias las directrices de ciberseguridad?

Consideraciones clave para la promulgación de nuevas directrices y guías

Principios básicos de la ciberseguridad de los dispositivos médicos

Proceso de gestión de riesgos para la ciberseguridad de los dispositivos médicos

Aplicación de los requisitos de ciberseguridad de los productos sanitarios

Dos (02) listas de comprobación clave para la ciberseguridad de los dispositivos médicos

Lista de comprobación de los requisitos de ciberseguridad de los dispositivos médicos:

Cuadro 1: Lista de comprobación para la ciberseguridad de los dispositivos médicos en Corea del Sur

Lista de control para el establecimiento/revisión de directrices/guías:

Presentación de datos para la ciberseguridad de los productos sanitarios

Suscribirse al blog de Freyr

Blog reciente

Etiquetas del blog

Blogs relacionados

¿En qué podemos ayudarle?

Comuníquenos sus necesidades y nos pondremos en contacto con usted.