Princípios Regulamentares para a Cibersegurança dos Dispositivos Médicos

3 min ler

Com a convergência de tecnologias e a conetividade dos dispositivos médicos a várias redes, há um risco acrescido de exploração da cibersegurança, que afecta o funcionamento do dispositivo. Por conseguinte, é essencial dispor de um sistema eficaz de cibersegurança dos dispositivos médicos para evitar ciberataques e garantir o funcionamento seguro dos dispositivos médicos. Todas as partes interessadas nos dispositivos médicos são aconselhadas a harmonizar as suas abordagens em matéria de cibersegurança ao longo do ciclo de vida dos dispositivos médicos, desde a conceção dos produtos, as actividades de gestão dos riscos, a rotulagem dos dispositivos, os requisitos de apresentação à regulamentação, a partilha de informações e as actividades pós-comercialização.

Existem alguns princípios regulamentares gerais para a cibersegurança dos dispositivos aquando do seu desenvolvimento, regulamentação, utilização e monitorização. Espera-se que estes princípios tenham um impacto positivo na segurança do doente quando seguidos e implementados sem falhas. Vamos analisá-los aqui.

Considerações pré-comercialização: Existem alguns elementos que um fabricante deve abordar durante a conceção e desenvolvimento de um dispositivo médico antes da sua entrada no mercado, que são certamente designados por elementos pré-comercialização, que incluem:

Conceber caraterísticas de segurança para o produto
A aplicação de estratégias de gestão de riscos aceites
Testes de segurança
Fornecimento de informações úteis para que os utilizadores possam utilizar o dispositivo de forma segura
Um plano abrangente para as actividades pós-comercialização

Gestão de riscos para o ciclo de vida total do produto (TPLC): Ao longo do ciclo de vida de um dispositivo médico, os fabricantes devem considerar a possibilidade de adotar princípios sólidos de gestão do risco, que devem abordar os aspectos de segurança e proteção. No processo de gestão de riscos de um dispositivo médico, devem ser considerados os seguintes aspectos:

Um risco de cibersegurança que afecta a segurança e o desempenho essencial do dispositivo e
Afecta negativamente as operações clínicas ou resulta em erros de diagnóstico ou terapêuticos

Os fabricantes devem utilizar as seguintes etapas como parte do seu processo de gestão de riscos:

Identificar todas as vulnerabilidades de cibersegurança
Estimar e avaliar os riscos associados
Controlar os riscos para um nível aceitável
Acompanhar e avaliar a eficácia dos controlos dos riscos
Comunicar os riscos às principais partes interessadas através de uma divulgação coordenada

Rotulagem: No que respeita aos riscos de cibersegurança, a rotulagem desempenha um papel importante na comunicação das informações relativas à segurança aos utilizadores finais. Inclui os seguintes elementos:

Instruções do dispositivo e especificações do produto relacionadas com os controlos de cibersegurança recomendados
adequado ao ambiente de utilização previsto
Descrição das funcionalidades de cópia de segurança e restauro e procedimentos para recuperar configurações
Uma lista de portas de rede e outras interfaces que se espera que recebam e/ou enviem dados,
descrição da funcionalidade da porta e se as portas são de entrada ou de saída
Diagramas de sistema suficientemente pormenorizados para os utilizadores finais

Documentação para apresentações regulamentares: Os fabricantes de dispositivos médicos têm de documentar e resumir claramente as actividades relacionadas com a cibersegurança. Para avaliar o dispositivo médico antes da sua entrada no mercado, a entidade reguladora pode exigir este tipo de documentação, dependendo da classe de risco do dispositivo, ou pode solicitá-la durante a fase pós-comercialização do ciclo de vida do produto. A documentação clara deve ser apresentada pelo fabricante e deve descrever as caraterísticas de conceção do dispositivo, as actividades de gestão do risco, os testes, a rotulagem e as provas de um plano para monitorizar e responder a ameaças emergentes ao longo do ciclo de vida do produto.

Considerações pós-comercialização: Com o passar do tempo, as vulnerabilidades mudam com o tempo e os controlos pré-comercialização, que são concebidos e implementados, podem ser inadequados para manter um perfil de risco aceitável. Por conseguinte, é muito importante e necessária uma abordagem pós-comercialização, na qual várias partes interessadas desempenham um papel fundamental. A abordagem pós-comercialização abrange vários elementos e inclui o funcionamento do dispositivo no ambiente previsto, a partilha de informações, a divulgação coordenada de vulnerabilidades, o reforço das capacidades de segurança, a correção das vulnerabilidades, a resposta a incidentes e os dispositivos antigos. Dependendo da classe do dispositivo, deve ser elaborado um relatório de vigilância pós-comercialização (PMS), que resume os resultados e as conclusões de todas as análises de dados do mercado.

Tendo conhecido alguns dos princípios da cibersegurança dos dispositivos, recomenda-se aos fabricantes que implementem um quadro regulamentar definido para a cibersegurança dos dispositivos médicos. Com o aumento do número de dispositivos médicos ligados à Internet e a outras redes, existe o risco de os piratas informáticos se entregarem a actividades nefastas. Por conseguinte, os fabricantes de dispositivos médicos são aconselhados a manterem-se vigilantes e a seguirem os melhores princípios regulamentares em matéria de cibersegurança. Está a enfrentar alguma lacuna de cibersegurança na sua linha de dispositivos médicos? Consulte um especialista em dispositivos. Mantenha-se informado. Mantenha-se em conformidade.

Aspeto	EUA	UE	Austrália	China	EMIRADOS ÁRABES UNIDOS
Autoridade reguladora	FDA	EFSA e Autoridades dos Estados-Membros	FSANZ	SAMR E NHC	AEVMM E MOHAP
Principais regulamentos que regem o cumprimento	Federal Food, Drug, and Cosmetic Act (FFDCA); 21 CFR Parte 110 (Boas Práticas de Fabrico Actuais)	Regulamento (CE) n.º 178/2002 (legislação alimentar geral); Regulamento (UE) n.º 1169/2011 relativo à informação sobre os géneros alimentícios prestada aos consumidores	Código de Normas Alimentares (Código de Normas Alimentares da Austrália e da Nova Zelândia)	Lei de Segurança Alimentar da República Popular da China (revista em 2015); Normas GB para a Segurança Alimentar	UAE.S GSO 9:2017 (Requisitos gerais do CCG para alimentos pré-embalados)
É necessária uma aprovação antes da comercialização?	Sem aprovação antes da comercialização, exceto para ingredientes novos, aditivos corantes ou alegações específicas	Não há aprovação antes da comercialização para alimentos em geral, mas os novos alimentos ou as alegações de saúde requerem a aprovação da AESA.	Não há aprovação prévia à comercialização, exceto se se tratar de um novo alimento ou se fizer alegações de saúde	O registo pré-comercialização é exigido para novos alimentos, alimentos saudáveis ou produtos com novos ingredientes	A aprovação prévia à comercialização é necessária para determinados alimentos, produtos de saúde e produtos com novos ingredientes
Conformidade com a rotulagem de alimentos processados /Requisitos de rotulagem	Rotulagem obrigatória de acordo com as diretrizes da FDA (Factos Nutricionais, Declaração de Ingredientes, Alergénios)	Deve cumprir o Regulamento da UE relativo à informação sobre os géneros alimentícios (1169/2011); inclui a rotulagem de alergénios, nutrição e origem.	Deve seguir o Código de Normas Alimentares da FSANZ para a rotulagem; são necessários painéis nutricionais, alergénios e listas de ingredientes	Deve seguir a norma GB 7718-2011 (Normas Nacionais de Segurança Alimentar) para rotulagem; factos nutricionais obrigatórios, alergénios e prazo de validade	Deve seguir a norma GSO 9:2017 para a rotulagem de alimentos pré-embalados; é necessária a rotulagem árabe, alergénios e informação nutricional
Calendário para o registo	Sem prazo fixo: os produtos podem entrar no mercado assim que estiverem em conformidade	Não há registo formal, a menos que se trate de um novo alimento; a aprovação da AESA para alegações de saúde demora 12-18 meses	Não há registo formal, a menos que se trate de um novo alimento ou que faça alegações de saúde	Normalmente, 12-24 meses para os novos alimentos, menos tempo para os alimentos transformados normais	A aprovação pode demorar 6-12 meses para certos produtos. Os alimentos transformados normais podem entrar no mercado após a obtenção da aprovação do rótulo

Serviços de regulamentação de medicamentos

Serviços de regulamentação de dispositivos médicos

Consumidores

Freyr Digital

Fique à frente da curva com as nossas soluções inovadoras de software de regulamentação

Princípios regulamentares para a cibersegurança dos dispositivos médicos

Princípios regulamentares para a cibersegurança dos dispositivos médicos

Subscrever o Blogue do Freyr

Blogue recente

Etiquetas do blogue

Blogues relacionados

Como é que o podemos ajudar?

Informe-nos das suas necessidades e entraremos em contacto consigo.