La Administración de Alimentos y Medicamentos (FDA o la Agencia), la autoridad reguladora estadounidense en el ámbito de los productos sanitarios, ha publicado un documento de orientación dedicado al contenido de las presentaciones previas a la comercialización para la gestión de la ciberseguridad en dispositivos médicos.
Índice del contenido
La última versión del documento se publicó en octubre de 2014. Debido a su naturaleza legal, la guía de la FDA no introduce ningún requisito en sí, pero proporciona aclaraciones y recomendaciones adicionales para ser consideradas por las partes involucradas. Además, la Agencia afirma que se podría aplicar un enfoque alternativo, siempre que dicho enfoque cumpla con los requisitos reglamentarios respectivos y haya sido aprobado previamente por la autoridad. La FDA también se reserva el derecho de realizar cambios en las recomendaciones contenidas en el mismo si lo considera razonablemente necesario para reflejar modificaciones a la legislación aplicable.
Antecedentes regulatorios
La Agencia reconoce la creciente importancia de las cuestiones de ciberseguridad relacionadas con los dispositivos médicos comercializados en el mercado estadounidense. Hoy en día, cada vez más dispositivos médicos requieren conexión a redes locales y/o globales para garantizar su normal funcionamiento. Numerosos dispositivos médicos también participan en intercambios con información relacionada con el paciente que es por naturaleza sensible. Por tanto, es importante garantizar que el uso de dichos dispositivos no genere riesgos injustificados para los pacientes. Para ayudar a los fabricantes de dispositivos médicos y otras partes a identificar riesgos potenciales asociados con problemas de ciberseguridad, la FDA ha publicado la presente guía que destaca los aspectos más importantes que se deben tener en cuenta en todas las etapas del ciclo de vida del producto, desde el desarrollo hasta la poscomercialización. mantenimiento. El documento también proporciona aclaraciones adicionales sobre los requisitos reglamentarios para la información que deben proporcionar los fabricantes de dispositivos médicos al solicitar la aprobación de comercialización de sus productos.
El alcance de la presente guía de la FDA cubre la información que se incluirá en las presentaciones previas a la comercialización en términos de cuestiones relacionadas con la ciberseguridad. Según el documento, La gestión eficaz de la ciberseguridad tiene como objetivo reducir el riesgo para los pacientes al disminuir la probabilidad de que la funcionalidad del dispositivo se vea comprometida intencionalmente o no por una ciberseguridad inadecuada.
Las recomendaciones proporcionadas en la guía podrían aplicarse a tipos de presentaciones previas a la comercialización como:
En primer lugar, la FDA proporciona las definiciones de los términos y conceptos más importantes utilizados en el contexto de cuestiones relacionadas con la ciberseguridad, incluidos los siguientes:
- Autenticación - el acto de verificar la identidad de un usuario, proceso o dispositivo como requisito previo para permitir el acceso al dispositivo, sus datos, información o sistemas.
- La seguridad cibernética - el proceso de prevenir el acceso no autorizado, la modificación, el uso indebido o la denegación de uso, o el uso no autorizado de información que se almacena, se accede o se transfiere desde un dispositivo médico a un destinatario externo.
- Cifrado la transformación criptográfica de datos en una forma que oculta el significado original de los datos para evitar que sean conocidos o utilizados.
Principios básicos
La guía describe con más detalle los principios generales en los que se basa el enfoque regulatorio actual. Según el documento, el fabricante de dispositivos médicos debe ser responsable de las medidas y controles necesarios para garantizar que el dispositivo médico cumpla con los requisitos reglamentarios aplicables en términos de ciberseguridad y funcione de manera segura y eficiente.
Sin embargo, la autoridad reconoce que la ciberseguridad de los dispositivos médicos, en general, debería ser una responsabilidad compartida de todas las partes involucradas. Los posibles problemas de ciberseguridad podrían afectar el funcionamiento normal de un dispositivo médico y provocar la pérdida de datos o incluso daños a la salud del paciente.
Debido a la importancia de las cuestiones de ciberseguridad, los fabricantes de dispositivos médicos deben tenerlas en cuenta desde el principio, desde la etapa de desarrollo inicial, ya que esto mitigará dicho riesgo de manera más eficiente. En particular, la Agencia afirma que la Los fabricantes deben establecer entradas de diseño para su dispositivo relacionadas con la ciberseguridad y establecer un enfoque de gestión y vulnerabilidad de la ciberseguridad como parte de la validación del software y el análisis de riesgos requerido por 21 CFR 820.30(g).
El enfoque de gestión de la ciberseguridad que deberá emplear el fabricante de dispositivos médicos cubrirá los siguientes aspectos:
- Identificación de problemas y vulnerabilidades de ciberseguridad existentes y potenciales;
- Análisis del impacto que potencialmente podrían causar las vulnerabilidades antes mencionadas en el funcionamiento del propio dispositivo, así como en la salud y seguridad de los pacientes;
- Evaluación de la probabilidad esperada de que surjan problemas asociados con dichas vulnerabilidades;
- Identificación de niveles de riesgo, determinación de las estrategias y enfoques que podrían aplicarse para mitigar dichos riesgos;
- Evaluación de riesgos residuales asociados a la ciberseguridad, así como criterios de aceptación de riesgos.
Funciones clave de ciberseguridad
Para ayudar a los fabricantes de dispositivos médicos a implementar los principios descritos anteriormente, la guía proporciona recomendaciones sobre funciones particulares relacionadas con la ciberseguridad, a saber:
- Identificar,
- Proteger,
- Detectar,
- Responder, y
- Recuperar.
El documento describe con más detalle cada una de estas funciones y cómo debe implementarlas el fabricante del dispositivo médico.
1. Identificar y Proteger. La Agencia afirma que los dispositivos médicos que pueden conectarse a otros dispositivos, redes locales o globales, o incluso medios, requieren la mayor atención en términos de ciberseguridad en comparación con aquellos que no están conectados de ninguna manera. Las medidas y controles particulares de ciberseguridad que se aplicarán dependen de numerosos factores, incluido el uso previsto del dispositivo médico en cuestión, el entorno en el que se utilizará y las vulnerabilidades identificadas. También se debe considerar la probabilidad de que se aprovechen estas vulnerabilidades y los riesgos asociados a ellas, incluido el daño potencial a los pacientes. Al mismo tiempo, el fabricante establecerá un equilibrio óptimo entre garantizar la seguridad del dispositivo en términos de ciberseguridad y la usabilidad general del producto. En este contexto, se anima a los fabricantes de dispositivos médicos a justificar las funciones de seguridad implementadas en sus productos.
2. Detectar, Responder, Recuperar. Los fabricantes desarrollarán e introducirán funciones que detecten problemas de seguridad que se produzcan y proporcionen toda la información necesaria para los usos potenciales. Dicha información debe describir las acciones en caso de que surjan diversos problemas de ciberseguridad. La Agencia enfatiza además que las funciones implementadas por el fabricante deberían ser suficientes para garantizar el funcionamiento normal de un dispositivo médico incluso si ocurre un problema de ciberseguridad. Aparte de esto, debería existir una posibilidad técnica para que un usuario privilegiado autenticado recupere la configuración del dispositivo.
En resumen, la presente guía de la FDA describe en detalle los aspectos más importantes que deben considerar los fabricantes de dispositivos médicos en el contexto de las cuestiones de ciberseguridad. El documento describe las principales responsabilidades del fabricante y proporciona algunas recomendaciones que se deben tener en cuenta en las distintas etapas del proceso de desarrollo de un dispositivo médico.
Fuentes:
¿Cómo puede ayudar RegDesk?
RegDesk es un software basado en web de próxima generación para empresas de dispositivos médicos y DIV. Nuestra plataforma de vanguardia utiliza el aprendizaje automático para proporcionar inteligencia regulatoria, preparación de solicitudes, presentación y gestión de aprobaciones a nivel mundial. Nuestros clientes también tienen acceso a nuestra red de más de 4000 expertos en cumplimiento en todo el mundo para obtener verificación en preguntas críticas. Las aplicaciones que normalmente tardan 6 meses en prepararse ahora se pueden preparar en 6 días utilizando RegDesk Dash (TM). La expansión global nunca ha sido tan sencilla.
Fuente: https://www.regdesk.co/fda-on-cybersecurity- related-content-of-premarket-submissions/
- de la máquina
- Adicionales
- Todos
- Permitir
- análisis
- Aplicación
- aplicaciones
- Causar
- causado
- clientes
- Empresas
- compliance
- contenido
- Current
- La Ciberseguridad
- datos
- Diseño
- detalle
- desarrollar
- Desarrollo
- Dispositivos
- droga
- Entorno
- Cambios
- expansión
- expertos
- FDA
- Comida
- Food and Drug Administration
- formulario
- General
- Buscar
- expansión global
- Salud
- la salud
- Cómo
- HTTPS
- Identifique
- Identidad
- Impacto
- Incluye
- información
- Intelligence
- involucra
- cuestiones
- IT
- más reciente
- aprendizaje
- Legal
- Legislación
- local
- máquina de aprendizaje
- Management
- Fabricante
- Mercado
- Marketing
- Cuestiones
- Medios
- servicios
- dispositivo médico
- dispositivos médicos
- meses
- a saber
- del sistema,
- telecomunicaciones
- Operaciones
- solicite
- Otro
- los pacientes
- plataforma
- presente
- la prevención
- Producto
- ciclo de vida del producto
- Productos
- proteger
- Recuperar
- reducir
- Requisitos
- Riesgo
- ambiente seguro
- Safety
- EN LINEA
- compartido
- sencillos
- Software
- Etapa
- Zonas
- Todas las funciones a su disposición
- Técnico
- equipo
- us
- usabilidad
- Verificación
- Vulnerabilidades
- vulnerabilidad
- dentro de
- en todo el mundo
