Proyecto de guía de la TGA para la ciberseguridad de Dispositivos Médicos - Perspectivas reglamentarias para la industria y aspectos destacados
2 min de lectura

Aunque la digitalización y el Internet de las Cosas (IoT) han mejorado conjuntamente el rendimiento de los Dispositivos Médicos, también han hecho que los dispositivos sean propensos a vulnerabilidades cibernéticas. El malware y el spyware que invaden los dispositivos están creciendo. Los hackers buscan lagunas en los dispositivos y el software relacionado que les permiten corromper los dispositivos para comprometer los datos del usuario al hacer que los dispositivos funcionen mal. Todas estas adversidades están obstaculizando los esfuerzos de las organizaciones para proteger los datos del usuario y prevenir el daño.

Para abordar la amenaza de la ciberseguridad en los Dispositivos Médicos, todas las autoridades sanitarias miembros del Foro Internacional de Reguladores de Dispositivos Médicos (IMDRF) han publicado borradores de documentos de orientación con políticas reglamentarias para entornos previos a la comercialización. Sin embargo, la Administración de Productos Terapéuticos (TGA) de Australia ha anticipado la necesidad de regulación incluso en la etapa posterior a la comercialización de los dispositivos y ha publicado un borrador de guía que abarca todo el ciclo de vida del producto (TPLC).

¿A quién se aplica la guía?

El enfoque TPLC propuesto por la TGA se centra en la actualización continua de los sistemas de gestión de calidad, los procedimientos de gestión de riesgos y los procedimientos de gestión de cambios. Dado que esta guía abarca aspectos tanto de la fase previa como posterior a la comercialización, sus reglamentos están dirigidos a múltiples partes interesadas que se detallan a continuación.

  • Fabricantes que desarrollan software como Dispositivos Médicos (SaMD)
  • Fabricantes de dispositivos que incluyen componentes de software vulnerables a la ciberseguridad
  • Patrocinadores responsables del suministro de dispositivos en Australia
  • Profesionales de la salud que utilizan Dispositivos Médicos para diagnosticar y tratar a los pacientes
  • Ingenieros clínicos y biomédicos responsables de gestionar los activos de dispositivos en entornos sanitarios y médicos
  • Administración general y de TI responsable de los sistemas, procedimientos y procesos en el entorno de servicios de salud y médicos
  • Consumidores que utilizan un dispositivo médico registrado
    • bajo la guía de su profesional de la salud
    • que no requiere supervisión médica

Orientación para la industria de Dispositivos Médicos:

Mientras ayuda a la industria de Dispositivos Médicos a mantenerse preparada para la ciberseguridad, la guía también enfatiza que los dispositivos deben incluirse en el Registro Australiano de Productos Terapéuticos (ATRG) para comercializarlos en el país. Sin embargo, la inclusión en el ARTG requiere consideraciones que cubren la extensión completa de la vida de un Dispositivo Médico, las cuales se dividen en las siguientes cuatro etapas:

  • Previa a la comercialización mediante evaluación de la conformidad
  • Autorización de comercialización mediante la inclusión en el ARTG
  • Seguimiento post-comercialización
  • Fin de vida / retirada de soporte

La guía también establece que los fabricantes son los únicos responsables de evaluar y abordar el riesgo de ciberseguridad del dispositivo tanto en la fase previa como posterior a la comercialización. Al hacerlo, deben tener en cuenta ciertas consideraciones en ambas fases, que incluyen:  

  • Consideraciones previas a la comercialización: Estas consideraciones incluyen riesgos durante el diseño y desarrollo de Dispositivos Médicos. Son de tipo general y técnico.
    • Consideraciones generales como el enfoque de desarrollo, la aplicación de estándares, las estrategias de gestión de riesgos, la evaluación de la cadena de suministro y la provisión de información para los usuarios
    • Consideraciones técnicas como las pruebas de rendimiento de ciberseguridad, la arquitectura de diseño modular, la seguridad de la plataforma operativa, el software emergente y la provisión de acceso y contenido fiables
  • Consideraciones posteriores a la comercialización: En el marco del régimen posterior a la comercialización, los fabricantes y promotores de productos sanitarios están obligados a evaluar los riesgos de ciberseguridad y a tomar medidas al respecto de forma continua. Esto implica comprender los riesgos y las amenazas, y responder a ellos cuando se produzcan. 

Aspectos destacados de la guía:

Mientras que otros reguladores del IMDRF enumeraron principios de ciberseguridad previos a la comercialización, la TGA ha ido más allá y ha enumerado 15 'principios esenciales', incluyendo el enfoque en la seguridad a largo plazo. Además, se han añadido ocho principios esenciales más a la guía para abordar la prevención de malware. La guía destaca el marco de ciberseguridad desarrollado por el Instituto Nacional de Estándares y Tecnología de US. También incluye ejemplos comunes de vulnerabilidades, estándares conocidos que ayudan a fortalecer la seguridad e instrucciones para usuarios finales, ensayos clínicos y entornos sanitarios que utilizan los dispositivos.

El borrador de la guía abarca una amplia gama de información para implementar el enfoque TLPC para los fabricantes de Dispositivos Médicos. Sin embargo, la forma actual de la guía está destinada a comentarios y se esperan cambios en futuras versiones. Para mantenerse conforme y seguro, las partes interesadas deben tomar las medidas necesarias con antelación con la ayuda de un experto reglamentario en Dispositivos Médicos. Manténgase conforme.

Suscribirse al Blog de Freyr