2 min ler
Com o desenvolvimento dos avanços tecnológicos, verifica-se um aumento da utilização da tecnologia de ligação em rede para dispositivos médicos. Os dispositivos médicos ligados armazenam e transmitem os dados dos doentes e exigem tanto privacidade como exatidão. Por conseguinte, a cibersegurança dos dispositivos médicos continuará a estar no centro das atenções das entidades reguladoras e dos fabricantes.
Durante o desenvolvimento de um dispositivo, os fabricantes devem estar conscientes de que este será sujeito a uma prova infalível contra qualquer tipo de ciberameaças e atenuar esses eventos, o que terá consequências para a integridade dos dados e a privacidade dos doentes. Por conseguinte, as agências reguladoras mundiais desenvolveram várias normas e requisitos para ajudar os fabricantes a criar dispositivos médicos seguros e eficientes. Neste blogue, vamos compreender algumas das melhores práticas para a cibersegurança dos dispositivos médicos que se encontram nas normas IEC 62304 e ISO 14971.
Norma IEC 62304 para todo o ciclo de vida do software de dispositivos médicos
Conhecida como uma norma de segurança funcional, a IEC 62304 abrange as práticas de conceção e manutenção de software de dispositivos médicos ao longo do ciclo de vida do produto. Aplica-se tanto a SaMD (Software as a Medical Device) como a dispositivos médicos com software incorporado como parte da sua funcionalidade. Uma das melhores práticas desta norma é a criação de medidas de segurança no início do desenvolvimento. Os processos relacionados com a segurança são determinados a partir das diretrizes de classificação da segurança do software da norma, com impacto nos requisitos de todo o ciclo do software. As três (03) classes de segurança para dispositivos médicos relacionados com software são:
- Classe A: Não são possíveis lesões ou danos para a saúde.
- Classe B: As lesões são possíveis mas não são graves.
- Classe C: Existe o risco de morte ou de ferimentos graves.
Existem nove (09) partes da norma IEC 62304, que descrevem os diferentes aspectos de um dispositivo médico, tal como a seguir se descreve:
- Parte 1: Âmbito de aplicação
- Parte 2: Referências normativas
- Parte 3: Termos e definições
- Parte 4: Requisitos gerais
- Parte 5: Processo de desenvolvimento de software
- Parte 6: Processo de manutenção de software
- Parte 7: Processo de gestão do risco de software
- Parte 8: Processo de gestão da configuração de software
- Parte 9: Processo de resolução de problemas de software
Norma ISO 14971 para Gestão de Risco de Dispositivos Médicos
Esta norma internacional centra-se principalmente na gestão do risco dos dispositivos médicos e aplica-se à segurança dos doentes, garantindo um contacto seguro entre o dispositivo e o doente ou utilizador final. Os procedimentos relacionados com a segurança em várias fases do ciclo de vida do produto têm de ser apresentados através da documentação e implementados em conformidade. Os componentes essenciais das diretrizes de gestão do risco são a análise e a atenuação do risco. Deve-se prever as formas como os dispositivos conectados podem falhar e quais podem ser as consequências das falhas. Isto ajudará a criar os dispositivos de segurança necessários para mitigar o potencial de um perigo. A AAMI (Association for the Advancement of Medical Instrumentation - Associação para o Avanço da Instrumentação Médica) publicou um relatório técnico conhecido como TIR57:2016, que está relacionado com a norma ISO 14971, e descreve os princípios de segurança dos dispositivos médicos. Este relatório estabelece a ligação entre os riscos de segurança (inclui violações da segurança dos dados e do sistema e redução da eficácia) e as práticas de gestão de riscos relacionadas com a segurança encontradas na norma ISO 14971.
O TIR57:2016 fornece orientações sobre a realização de avaliações de risco de cibersegurança de dispositivos médicos e a gestão de riscos de ameaças à segurança, afectando a confidencialidade, integridade e disponibilidade do dispositivo ou as informações processadas pelo dispositivo. Além disso, a norma IEC 80002-1:2009 para software de dispositivos médicos fornece orientações sobre a aplicação da ISO 14971 a software de dispositivos médicos e centra-se na análise de risco, gestão de risco, avaliação de risco e controlos de risco, conforme aplicável ao software de dispositivos médicos.
Por último, com o aumento do número de dispositivos médicos ligados em rede, os fabricantes devem respeitar as normas regulamentares propostas para evitar ou atenuar os riscos de cibersegurança. Para obter as melhores soluções para a gestão do ciclo de vida completo dos seus dispositivos médicos ligados em rede, consulte a Freyr - um especialista comprovado em regulamentação neste domínio. Mantenha-se informado. Mantenha-se em conformidade.
