,
2 min de leitura
Com o desenvolvimento dos avanços tecnológicos, verifica-se um aumento na utilização de tecnologia de ligação em rede para dispositivos médicos. Os dispositivos médicos conectados armazenam e transmitem os dados do paciente e exigem privacidade e precisão. Por conseguinte, a cibersegurança dos dispositivos médicos continuará a ser um foco para reguladores e fabricantes.
Ao desenvolver um dispositivo, os fabricantes devem garantir que este seja à prova de falhas contra qualquer tipo de ameaças cibernéticas e mitigar tais eventos que levem a consequências na integridade dos dados e na privacidade do paciente. Assim, as Agências Reguladoras globais desenvolveram várias normas e requisitos para auxiliar os fabricantes na criação de dispositivos médicos seguros, protegidos e eficientes. Neste blog, vamos compreender algumas das melhores práticas para a cibersegurança de dispositivos médicos que se encontram nas normas IEC 62304 e ISO 14971.
Norma IEC 62304 para o Ciclo de Vida Completo do Software de Dispositivos Médicos
Conhecida como uma norma de segurança funcional, a IEC 62304 abrange as práticas de conceção e manutenção de software para dispositivos médicos ao longo de todo o ciclo de vida do produto. Aplica-se tanto a SaMD (Software como Dispositivo Médico) como a dispositivos médicos com software incorporado como parte da sua funcionalidade. Uma das melhores práticas desta norma é a implementação de medidas de segurança no início do desenvolvimento. Os processos relacionados com a segurança são determinados pelas diretrizes de classificação de segurança de software da norma, impactando todos os requisitos do ciclo de software. As três (03) classes de segurança para dispositivos médicos relacionados com software são:
- Classe A: Não é possível qualquer lesão ou dano à saúde.
- Classe B: É possível uma lesão, mas não grave.
- Classe C: É provável a morte ou lesão grave.
Existem nove (09) partes da IEC 62304, que descrevem os diferentes aspetos de um dispositivo médico, conforme detalhado abaixo:
- Parte 1: Âmbito
- Parte 2: Referências normativas
- Parte 3: Termos e definições
- Parte 4: Requisitos gerais
- Parte 5: Processo de desenvolvimento de software
- Parte 6: Processo de manutenção de software
- Parte 7: Processo de gestão de risco de software
- Parte 8: Processo de gestão de configuração de software
- Parte 9: Processo de resolução de problemas de software
Norma ISO 14971 para a Gestão de Risco de Dispositivos Médicos
Esta norma internacional foca-se principalmente na gestão de risco de dispositivos médicos e aplica-se à segurança do paciente, garantindo um contacto seguro entre o dispositivo e o paciente ou utilizador final. Os procedimentos relacionados com a segurança em várias fases ao longo do ciclo de vida do produto devem ser demonstrados através da documentação e implementados em conformidade. Os componentes essenciais das diretrizes de gestão de risco são a análise e a mitigação de riscos. Deve-se prever as formas como os dispositivos conectados podem falhar e quais podem ser as consequências dessas falhas. Isto ajudará a incorporar as salvaguardas necessárias para mitigar o potencial de um perigo. A AAMI (Association for the Advancement of Medical Instrumentation) publicou um relatório técnico conhecido como TIR57:2016, que está relacionado com a ISO 14971, e que descreve os princípios de segurança de dispositivos médicos. Este relatório estabelece a ligação entre os riscos de segurança (inclui violações de segurança de dados e sistemas e redução da eficácia) e as práticas de gestão de risco relacionadas com a segurança encontradas na ISO 14971.
O TIR57:2016 fornece orientação sobre a realização de avaliações de risco de cibersegurança de dispositivos médicos e a gestão de riscos decorrentes de ameaças de segurança, que afetam a confidencialidade, integridade e disponibilidade do dispositivo, ou as informações processadas pelo dispositivo. Além disso, a norma IEC 80002-1:2009 para software de dispositivos médicos fornece orientação sobre a aplicação da ISO 14971 ao software de dispositivos médicos e foca-se na análise de risco, gestão de risco, avaliação de risco e controlos de risco, conforme aplicável ao software de dispositivos médicos.
Finalmente, com o aumento de dispositivos médicos conectados em rede, os fabricantes devem cumprir as normas Regulamentares propostas para evitar ou mitigar os riscos de cibersegurança. Para obter as melhores soluções para a gestão completa do ciclo de vida dos seus dispositivos médicos conectados, consulte a Freyr - um especialista Regulamentar comprovado na área. Mantenha-se informado. Mantenha-se em conformidade.
