Salvaguardar a Cibersegurança dos Dispositivos Médicos na Coreia do Sul

5 min. de leitura

À medida que a tecnologia continua a avançar, o mesmo acontece com os dispositivos médicos utilizados para manter a vida. Embora na Coreia do Sul tenham sido desenvolvidos vários tipos de dispositivos médicos capazes de comunicar, o desenvolvimento é acompanhado pelo risco de ameaças à cibersegurança, como a pirataria informática de dispositivos médicos e fugas de informação. Estas ameaças não se aplicam apenas à perda de bens, mas também à vida dos pacientes, e é por isso que a proteção da cibersegurança dos dispositivos médicos é uma preocupação central.

Para responder a estas preocupações, o governo sul-coreano estabeleceu diretrizes para a aprovação da cibersegurança (Guia-0995-03 2023.07.13) e para a revisão dos dispositivos médicos. Os regulamentos sul-coreanos relativos aos dispositivos médicos visam garantir a gestão da segurança dos dispositivos médicos capazes de comunicar e, por sua vez, sublinham a importância da cibersegurança para os dispositivos médicos.

Porque são necessárias diretrizes de cibersegurança?

Os dispositivos médicos são frequentemente implantados no interior do corpo dos doentes para assegurar funções de manutenção da vida, o que significa que qualquer ameaça à cibersegurança pode ter consequências terríveis, ou mesmo fatais. As orientações sobre a cibersegurança dos dispositivos médicos procuram evitar essas ameaças, garantindo que os dispositivos são seguros e que os dados que transmitem estão protegidos.

Considerações fundamentais para a adoção de novas diretrizes e guias

As principais considerações a ter em conta ao adotar novas orientações e guias de cibersegurança são a importância de clarificar o objetivo do dispositivo médico, aplicar o dispositivo de acordo com as suas caraterísticas e garantir a gestão da segurança se o dispositivo for capaz de comunicar. As diretrizes, destinadas a alcançar uma harmonização internacional, tomaram emprestadas e aplicaram considerações dos Princípios e Diretrizes de Cibersegurança dos Dispositivos Médicos estabelecidos pelo Fórum Internacional de Reguladores de Dispositivos Médicos (IMDRF) (Principles and Practices for Medical Device Cybersecurity, IMDRF [2020]).

Princípios básicos da cibersegurança dos dispositivos médicos

Os princípios básicos da cibersegurança dos dispositivos médicos compreendem um conjunto de diretrizes que definem as principais considerações para garantir a cibersegurança dos dispositivos médicos. Estes princípios incluem a disponibilidade, a confidencialidade e a integridade. Vejamos brevemente estes três (03) princípios:

A disponibilidade refere-se à disponibilização imediata dos dados aos utilizadores autorizados.
A confidencialidade refere-se à proteção dos dados contra o acesso não autorizado.
A integridade refere-se à garantia de que os dados são exactos e não foram adulterados.

Estes princípios são fundamentais para a gestão da cibersegurança dos dispositivos médicos, uma vez que ajudam a garantir a segurança e a proteção dos dispositivos e dos dados que transmitem.

Processo de gestão do risco para a cibersegurança dos dispositivos médicos

As diretrizes especificam que os fabricantes têm de levar a cabo processos adequados de gestão do risco de cibersegurança para a cibersegurança dos dispositivos médicos na Coreia do Sul. Seguem-se alguns aspectos fundamentais do processo de gestão de riscos:

O processo deve envolver a identificação de potenciais ameaças à cibersegurança, a avaliação dos riscos associados a essas ameaças e o desenvolvimento de estratégias para atenuar os riscos.
Os fabricantes devem registar o processo no relatório de gestão do risco.
Os fabricantes devem estabelecer e manter um procedimento sistemático de análise da informação sobre cibersegurança durante as fases de produção e pós-produção.
Os fabricantes devem definir objectivos de cibersegurança com funções e níveis adequados. Além disso, devem ter em conta as consequências da avaliação e do tratamento dos riscos.
A tónica é colocada na recolha e análise contínuas de informações sobre as intenções dos clientes internos e externos ao longo do ciclo de vida dos dispositivos médicos. Além disso, é importante que essas informações se reflictam na gestão dos riscos de cibersegurança dos dispositivos médicos.

Aplicação dos requisitos de cibersegurança dos dispositivos médicos

As orientações consistem num quadro com exemplos de considerações para a aplicação dos requisitos de cibersegurança dos dispositivos médicos no que respeita à garantia de qualidade e à conformidade regulamentar dos dispositivos médicos. O quadro inclui três (03) categorias de considerações - principais, moderadas e menores - que são elucidadas de seguida:

Consideração importante: A principal consideração é a possibilidade de ferimentos graves nos doentes, ou mesmo a morte, a deterioração permanente das funções do corpo e danos permanentes na estrutura do corpo devido a violações da cibersegurança dos dispositivos médicos.
Consideração moderada: A consideração moderada é que as violações da cibersegurança dos dispositivos médicos podem resultar em lesões menores ou temporárias nos doentes, que podem exigir intervenção médica.
Consideração menor: A consideração menor é que as violações da cibersegurança dos dispositivos médicos podem causar incómodos temporários ou reversíveis, menores e de curto prazo aos doentes, que não requerem intervenção médica.

Para além das categorias acima referidas, o quadro inclui também considerações relacionadas com a comunicação por cabo, a comunicação sem fios e os riscos de cibersegurança decorrentes de infracções.

Duas (02) listas de verificação fundamentais para a cibersegurança dos dispositivos médicos

Lista de verificação dos requisitos de cibersegurança dos dispositivos médicos:

Os fabricantes têm de utilizar este formulário de lista de verificação quando analisam os seus dispositivos médicos em termos de requisitos de cibersegurança.
Devem preencher o formulário de acordo com as caraterísticas dos respectivos dispositivos.
O formulário é a base para confirmar que os fabricantes cumpriram todos os requisitos de cibersegurança.
A lista de controlo inclui o "Documento de gestão dos riscos de cibersegurança" e os "Dados de verificação e validação do software".

O quadro seguinte (quadro 1) ilustra a lista de verificação da cibersegurança dos dispositivos médicos na Coreia do Sul.

Quadro 1: Lista de verificação da cibersegurança dos dispositivos médicos na Coreia do Sul

	Requisitos de cibersegurança	Aplicabilidade do dispositivo correspondente	Método de prova de compatibilidade utilizado	Número do documento ou do documento anexo correspondente
Comunicação de segurança	Os fabricantes devem mencionar a forma de ligar os seus dispositivos médicos através da Internet, Bluetooth, etc., bem como as caraterísticas de conceção e a segurança dos dados traduzidos.	XXX	XXX	XXX
Proteção de dados do dispositivo	Os fabricantes têm de decidir se os seus dispositivos necessitam de encriptação ou de mensagens protegidas; têm também de avaliar os arquitetura a nível do sistema para determinar se são necessárias caraterísticas de conceção para garantir o não-repúdio dos dados.	XXX	XXX	XXX
Integridade do dispositivo	Os fabricantes devem ter em conta os riscos para a integridade dos dispositivos, tais como alterações não autorizadas. Devem ter cuidado com o software, os vírus, o spyware, etc.	XXX	XXX	XXX
Certificação do utilizador	Alguns exemplos de acesso do utilizador são as palavras-passe, as chaves de hardware e a autenticação de cadeia bruta, etc.	XXX	XXX	XXX
Número de manutenção de software	Os fabricantes devem considerar a possibilidade de fornecer aos utilizadores todos os detalhes, prazos e requisitos das actualizações.	XXX	XXX	XXX

Lista de controlo para a elaboração/revisão de diretrizes/guias:

Os fabricantes devem utilizar esta lista de controlo ao estabelecerem ou reverem diretrizes ou guias.
Devem verificar se o conteúdo se desvia das leis superiores e se estabelece/reforça novas regulamentações ou restringe queixas civis sensíveis.
Se a resposta for "sim" à questão de saber se estabelece/reforça novos regulamentos, devem eliminar o conteúdo que se afasta do estatuto superior e prosseguir com o processo de estabelecimento e revisão das diretrizes e guias.
A lista de controlo inclui a designação das diretrizes ou guias e a verificação dos itens relacionados com as considerações de aplicação.

Envio de dados para a cibersegurança dos dispositivos médicos

As orientações estabelecem requisitos específicos para a apresentação de dados relacionados com a cibersegurança dos dispositivos médicos. Os dados apresentados devem satisfazer os seguintes critérios para a aprovação de dispositivos médicos:

Os dados devem estar relacionados com dispositivos médicos capazes de comunicação sem fios ou com uma via de comunicação.
Entre os dados sobre o desempenho do convite, os fabricantes devem apresentar os "Dados de Verificação e Validação de Software" e o "Relatório de Verificação da Conformidade do Software de Dispositivos Médicos".
As informações apresentadas não devem ser falsificadas, não devem funcionar mal nem devem ser aprovadas para dispositivos médicos.
Os fabricantes devem aplicar os requisitos de cibersegurança como uma contramedida para impedir o acesso não autorizado aos dispositivos médicos.
Os fabricantes devem confirmar a conformidade com os requisitos de cibersegurança dos dispositivos médicos através da apresentação da "Lista de verificação dos requisitos de cibersegurança dos dispositivos médicos" e de materiais que comprovem os requisitos da lista de verificação.
Os fabricantes podem candidatar-se excluindo ou modificando alguns dos requisitos através de uma análise de risco; os dados relevantes devem ser apresentados com o "Documento de gestão dos riscos de cibersegurança", de acordo com o artigo 26.

De um modo geral, as diretrizes para a aprovação e revisão da cibersegurança dos dispositivos médicos constituem um recurso valioso para fabricantes, utilizadores e reguladores, uma vez que ajudam a garantir a segurança e a proteção dos dispositivos médicos. Se é um fabricante que pretende vender os seus dispositivos médicos na Coreia do Sul, deve garantir que os seus dispositivos cumprem os requisitos de cibersegurança descritos nas diretrizes. A nossa equipa de especialistas pode ajudá-lo a navegar pela regulamentação sul-coreana relativa aos dispositivos médicos; garantirão que os seus dispositivos cumprem os requisitos de cibersegurança e que apresenta os dados necessários para aprovação e análise. Contacte a Freyr para saber mais sobre como o podemos ajudar a salvaguardar a cibersegurança dos seus dispositivos médicos na Coreia do Sul. Mantenha-se informado! Mantenha-se em conformidade!

Aspeto	EUA	UE	Austrália	China	EMIRADOS ÁRABES UNIDOS
Autoridade reguladora	FDA	EFSA e Autoridades dos Estados-Membros	FSANZ	SAMR E NHC	AEVMM E MOHAP
Principais regulamentos que regem o cumprimento	Federal Food, Drug, and Cosmetic Act (FFDCA); 21 CFR Parte 110 (Boas Práticas de Fabrico Actuais)	Regulamento (CE) n.º 178/2002 (legislação alimentar geral); Regulamento (UE) n.º 1169/2011 relativo à informação sobre os géneros alimentícios prestada aos consumidores	Código de Normas Alimentares (Código de Normas Alimentares da Austrália e da Nova Zelândia)	Lei de Segurança Alimentar da República Popular da China (revista em 2015); Normas GB para a Segurança Alimentar	UAE.S GSO 9:2017 (Requisitos gerais do CCG para alimentos pré-embalados)
É necessária uma aprovação antes da comercialização?	Sem aprovação antes da comercialização, exceto para ingredientes novos, aditivos corantes ou alegações específicas	Não há aprovação antes da comercialização para alimentos em geral, mas os novos alimentos ou as alegações de saúde requerem a aprovação da AESA.	Não há aprovação prévia à comercialização, exceto se se tratar de um novo alimento ou se fizer alegações de saúde	O registo pré-comercialização é exigido para novos alimentos, alimentos saudáveis ou produtos com novos ingredientes	A aprovação prévia à comercialização é necessária para determinados alimentos, produtos de saúde e produtos com novos ingredientes
Conformidade com a rotulagem de alimentos processados /Requisitos de rotulagem	Rotulagem obrigatória de acordo com as diretrizes da FDA (Factos Nutricionais, Declaração de Ingredientes, Alergénios)	Deve cumprir o Regulamento da UE relativo à informação sobre os géneros alimentícios (1169/2011); inclui a rotulagem de alergénios, nutrição e origem.	Deve seguir o Código de Normas Alimentares da FSANZ para a rotulagem; são necessários painéis nutricionais, alergénios e listas de ingredientes	Deve seguir a norma GB 7718-2011 (Normas Nacionais de Segurança Alimentar) para rotulagem; factos nutricionais obrigatórios, alergénios e prazo de validade	Deve seguir a norma GSO 9:2017 para a rotulagem de alimentos pré-embalados; é necessária a rotulagem árabe, alergénios e informação nutricional
Calendário para o registo	Sem prazo fixo: os produtos podem entrar no mercado assim que estiverem em conformidade	Não há registo formal, a menos que se trate de um novo alimento; a aprovação da AESA para alegações de saúde demora 12-18 meses	Não há registo formal, a menos que se trate de um novo alimento ou que faça alegações de saúde	Normalmente, 12-24 meses para os novos alimentos, menos tempo para os alimentos transformados normais	A aprovação pode demorar 6-12 meses para certos produtos. Os alimentos transformados normais podem entrar no mercado após a obtenção da aprovação do rótulo

Serviços de regulamentação de medicamentos

Serviços de regulamentação de dispositivos médicos

Serviços de regulamentação dos produtos cosméticos

Serviços de regulamentação de suplementos alimentares

Serviço de produtos alimentares

Conformidade dos produtos alimentares

Registo de novos alimentos

Serviços de regulamentação de produtos químicos

Serviços de regulamentação de medicamentos

Serviços de regulamentação de dispositivos médicos

Consumidores

Freyr Digital

Fique à frente da curva com as nossas soluções inovadoras de software de regulamentação

Porque são necessárias diretrizes de cibersegurança?

Considerações fundamentais para a adoção de novas diretrizes e guias

Princípios básicos da cibersegurança dos dispositivos médicos

Processo de gestão do risco para a cibersegurança dos dispositivos médicos

Aplicação dos requisitos de cibersegurança dos dispositivos médicos

Duas (02) listas de verificação fundamentais para a cibersegurança dos dispositivos médicos

Lista de verificação dos requisitos de cibersegurança dos dispositivos médicos:

Quadro 1: Lista de verificação da cibersegurança dos dispositivos médicos na Coreia do Sul

Lista de controlo para a elaboração/revisão de diretrizes/guias:

Envio de dados para a cibersegurança dos dispositivos médicos

Subscrever o Blogue do Freyr

Blogue recente

Etiquetas do blogue

Blogues relacionados

Como é que o podemos ajudar?

Informe-nos das suas necessidades e entraremos em contacto consigo.