Guía borrador de la TGA para la seguridad cibernética de los dispositivos médicos - Ideas reglamentarias para la industria y aspectos destacados | Freyr - Global Regulatory Solutions and Services Company

2 min read

Aunque la digitalización y el Internet de las cosas (IoT) han mejorado conjuntamente el rendimiento de los dispositivos médicos, también han hecho que los dispositivos sean propensos a las cibervulnerabilidades. El malware y el spyware que invaden los dispositivos van en aumento. Los piratas informáticos están buscando lagunas en los dispositivos y el software relacionado que les permitan corromper los dispositivos para comprometer los datos de los usuarios mediante el mal funcionamiento de los dispositivos. Todas estas adversidades están obstaculizando los esfuerzos de las organizaciones por proteger los datos de los usuarios y prevenir los daños.

Para hacer frente a la amenaza de la ciberseguridad en los productos sanitarios, todas las autoridades sanitarias miembros del Foro Internacional de Reguladores de Productos Sanitarios (IMDRF) han publicado borradores de documentos de orientación con políticas de regulación para la fase previa a la comercialización. Sin embargo, la Therapeutic Goods Administration (TGA) de Australia se ha anticipado a la necesidad de regulación incluso en la fase posterior a la comercialización de los dispositivos y ha publicado un borrador de orientación que abarca todo el ciclo de vida del producto (TPLC).

¿A quién se aplican las orientaciones?

El enfoque TPLC propuesto por la TGA se centra en la actualización continua de los sistemas de gestión de la calidad, los procedimientos de gestión de riesgos y los procedimientos de gestión de cambios. Dado que las orientaciones abarcan aspectos del escenario anterior y posterior a la comercialización, su normativa se dirige a múltiples partes interesadas que se enumeran a continuación.

Fabricantes que desarrollan software como dispositivos médicos (SaMD)
Fabricantes de dispositivos que incluyen componentes de software vulnerables a la ciberseguridad
Patrocinadores responsables del suministro de dispositivos en Australia
Profesionales sanitarios que utilizan productos sanitarios para diagnosticar y tratar a los pacientes
Ingenieros clínicos y biomédicos responsables de la gestión de activos de dispositivos en entornos sanitarios y médicos.
Administración general e informática responsable de sistemas, procedimientos y procesos en el entorno de la sanidad y los servicios médicos.
Consumidores que utilizan un producto sanitario registrado
- bajo la orientación de su profesional sanitario y médico
- que no requiera supervisión médica

Orientaciones para la industria de productos sanitarios:

Al tiempo que ayuda a la industria de los productos sanitarios a estar preparada para la ciberseguridad, la guía también hace hincapié en que los productos deben estar incluidos en el Registro Australiano de Productos Terapéuticos (ARTG) para poder comercializarlos en el país. Sin embargo, la inclusión en el ARTG requiere consideraciones que abarquen toda la extensión de la vida útil de un producto sanitario, que se divide en las cuatro etapas siguientes:

Precomercialización mediante evaluación de la conformidad
Autorización de comercialización mediante la inclusión en el ARTG
Seguimiento postcomercialización
Final de la vida / retirada de ayudas

Las directrices también establecen que los fabricantes son los únicos responsables de evaluar y abordar el riesgo de ciberseguridad del dispositivo tanto en la configuración previa a la comercialización como en la posterior. Al hacerlo, deben tener en cuenta ciertas consideraciones en ambas configuraciones, que incluyen:

Consideraciones previas a la comercialización: Estas consideraciones incluyen los riesgos durante el diseño y desarrollo de productos sanitarios. Son de tipo general y técnico.
- Consideraciones generales como planteamiento de desarrollo, aplicación de normas, estrategias de gestión de riesgos, evaluación de la cadena de suministro y suministro de información a los usuarios.
- Consideraciones técnicas como pruebas de rendimiento de ciberseguridad, arquitectura de diseño modularizado, seguridad de la plataforma operativa, software emergente y acceso y provisión de contenidos de confianza.

Consideraciones posteriores a la comercialización: En virtud del régimen posterior a la comercialización, los fabricantes y patrocinadores de productos están obligados a evaluar y actuar sobre el riesgo de ciberseguridad, de forma continua. Esto incluye comprender los riesgos y amenazas y responder a ellos cuando se produzcan.

Aspectos destacados de las Orientaciones:

Mientras que otros reguladores del IMDRF enumeraban principios de ciberseguridad previos a la comercialización, la TGA ha ido más allá y ha enumerado 15 "principios esenciales", entre los que se incluye la atención a la seguridad a largo plazo. Además, se han añadido ocho principios esenciales más a la guía para abordar la prevención del malware. La guía destaca el marco de ciberseguridad desarrollado por el Instituto Nacional de Normas y Tecnología de Estados Unidos. También incluye ejemplos comunes de vulnerabilidades, normas conocidas que ayudan a reforzar la seguridad e instrucciones para usuarios finales, ensayos clínicos y centros sanitarios que utilicen los dispositivos.

El borrador de la guía abarca una amplia gama de información para poner en marcha el enfoque TLPC para los fabricantes de productos sanitarios. Sin embargo, la forma actual de la guía está destinada a comentarios y se esperan cambios en las próximas versiones. Para mantener la conformidad y la seguridad, las partes interesadas deben tomar las medidas necesarias con suficiente antelación con la ayuda de un experto en Reglamentación de productos sanitarios. Cumpla la normativa.

Aspecto	EE.UU.	UE	Australia	China	EAU
Autoridad reguladora	FDA	EFSA y autoridades de los Estados miembros	FSANZ	SAMR Y NHC	ESMA Y MOHAP
Normativa principal que regula el cumplimiento	Ley Federal de Alimentos, Medicamentos y Cosméticos (FFDCA); 21 CFR Parte 110 (Buenas Prácticas de Fabricación Actuales)	Reglamento (CE) nº 178/2002 (legislación alimentaria general); Reglamento (UE) nº 1169/2011 sobre la información alimentaria facilitada al consumidor.	Código de normas alimentarias (Australia New Zealand Food Standards Code)	Ley de Seguridad Alimentaria de la República Popular China (revisada en 2015); Normas GB de Seguridad Alimentaria	UAE.S GSO 9:2017 (Requisitos generales para alimentos preenvasados)
¿Es necesaria la autorización previa a la comercialización?	Sin aprobación previa a la comercialización, salvo para ingredientes nuevos, aditivos de color o declaraciones específicas.	No hay aprobación previa a la comercialización para los alimentos en general, pero los nuevos alimentos o las declaraciones de propiedades saludables requieren la aprobación de la EFSA.	Sin autorización previa a la comercialización, salvo que sea un nuevo alimento o haga alegaciones de salud	Se exige el registro previo a la comercialización de nuevos alimentos, alimentos saludables o productos con nuevos ingredientes.	Determinados alimentos, productos sanitarios y productos con nuevos ingredientes requieren autorización previa a la comercialización.
Requisitos de etiquetado de alimentos procesados	Etiquetado obligatorio según las directrices de la FDA (información nutricional, declaración de ingredientes, alérgenos)	Debe cumplir el Reglamento sobre información alimentaria de la UE (1169/2011); incluye etiquetado sobre alérgenos, nutrición y origen.	Debe seguir el Código de Normas Alimentarias FSANZ para el etiquetado; se requieren paneles nutricionales, alérgenos y listas de ingredientes.	Deben cumplir la norma GB 7718-2011 (Normas Nacionales de Seguridad Alimentaria) en materia de etiquetado; información nutricional obligatoria, alérgenos y caducidad.	Debe seguir la norma GSO 9:2017 para el etiquetado de alimentos preenvasados; es obligatorio el etiquetado en árabe, los alérgenos y la información nutricional.
Calendario de inscripción	No hay plazos fijos: los productos pueden entrar en el mercado una vez que cumplen la normativa.	No hay registro formal a menos que se trate de un nuevo alimento; la aprobación de la EFSA para las declaraciones de propiedades saludables tarda entre 12 y 18 meses.	No hay registro oficial a menos que sea un nuevo alimento o haga alegaciones de salud	Normalmente, de 12 a 24 meses para los nuevos alimentos, y menos para los alimentos procesados habituales.	La aprobación puede tardar entre 6 y 12 meses para determinados productos. Los alimentos procesados normales pueden entrar en el mercado una vez obtenida la aprobación de la etiqueta

Servicios de Reglamentación de Medicamentos

Servicios de regulación de productos sanitarios

Servicios de regulación de cosméticos

Servicios de reglamentación de complementos alimenticios

Servicio de productos alimentarios

Conformidad de los productos alimenticios

Registro de nuevos alimentos

Servicios de regulación de productos químicos

Servicios de Reglamentación de Medicamentos

Servicios de regulación de productos sanitarios

Consumidores

Freyr Digital

Adelántese a los acontecimientos con nuestras innovadoras soluciones de software normativo

Guía borrador de la TGA para la seguridad cibernética de los dispositivos médicos - Ideas reglamentarias para la industria y aspectos destacados

¿A quién se aplican las orientaciones?

Orientaciones para la industria de productos sanitarios:

Aspectos destacados de las Orientaciones:

Suscribirse al blog de Freyr

Blog reciente

Etiquetas del blog

Blogs relacionados

¿En qué podemos ayudarle?

Comuníquenos sus necesidades y nos pondremos en contacto con usted.