,
5 min. de leitura
À medida que a tecnologia continua a avançar, o mesmo acontece com os dispositivos médicos utilizados para sustentar a vida. Embora na Coreia do Sul tenham sido desenvolvidos vários tipos de dispositivos médicos capazes de comunicação, o desenvolvimento é acompanhado pelo risco de ameaças de cibersegurança, como o hacking de dispositivos médicos e fugas de informação. Estas ameaças não se aplicam apenas à perda de propriedade, mas também à vida dos pacientes, e é por isso que a salvaguarda da cibersegurança dos dispositivos médicos é uma preocupação central.
Para fazer face a estas preocupações, o governo sul-coreano estabeleceu diretrizes para a aprovação de cibersegurança (Guia-0995-03 2023.07.13) e revisão de dispositivos médicos. A regulamentação de dispositivos médicos sul-coreana visa garantir a gestão da segurança de dispositivos médicos capazes de comunicação e, por sua vez, realçar a importância da cibersegurança para dispositivos médicos.
Porquê são Necessárias as Diretrizes de Cibersegurança?
Os dispositivos médicos são frequentemente implantados no corpo dos pacientes para desempenhar funções vitais, o que significa que qualquer ameaça de cibersegurança poderá ter consequências graves, até mesmo fatais. As diretrizes sobre a cibersegurança de dispositivos médicos visam prevenir tais ameaças, garantindo que os dispositivos são seguros e que os dados que transmitem estão protegidos.
Principais Considerações para a Implementação de Novas Orientações e Guias
As principais considerações a ter em mente ao promulgar novas diretrizes e guias de cibersegurança são que é importante clarificar o alvo do dispositivo médico, aplicar o dispositivo de acordo com as suas características e garantir a gestão da segurança se o dispositivo for capaz de comunicação. As diretrizes, que visam alcançar a harmonização internacional, tomaram emprestadas e aplicaram considerações dos Princípios e Diretrizes de Cibersegurança de Dispositivos Médicos estabelecidos pelo Fórum Internacional de Reguladores de Dispositivos Médicos (IMDRF) (Princípios e Práticas para a Cibersegurança de Dispositivos Médicos, IMDRF [2020]).
Princípios Básicos de Cibersegurança de Dispositivos Médicos
Os princípios básicos da cibersegurança de dispositivos médicos compreendem um conjunto de diretrizes que delineiam as principais considerações para garantir a cibersegurança dos dispositivos médicos. Incluem disponibilidade, confidencialidade e integridade. Vejamos brevemente estes três (03) princípios:
- A disponibilidade refere-se a disponibilizar os dados imediatamente a utilizadores autorizados.
- Confidencialidade refere-se à proteção dos dados contra acesso não autorizado.
- Integridade refere-se a garantir que os dados são precisos e não foram adulterados.
Estes princípios são centrais para a gestão da cibersegurança de dispositivos médicos, uma vez que ajudam a garantir a segurança e a proteção dos dispositivos e dos dados que transmitem.
Processo de Gestão de Risco para a Cibersegurança de Dispositivos Médicos
As diretrizes especificam que os fabricantes precisam de implementar processos adequados de gestão de risco de cibersegurança para dispositivos médicos na Coreia do Sul. Aqui estão alguns aspetos chave do processo de gestão de risco:
- O processo deve envolver a identificação de potenciais ameaças de cibersegurança, a avaliação dos riscos associados às ameaças e o desenvolvimento de estratégias para mitigar os riscos.
- Os fabricantes devem registar o processo no relatório de gestão de riscos.
- Os fabricantes devem estabelecer e manter um procedimento sistemático para rever informações de cibersegurança durante as fases de produção e pós-produção.
- Os fabricantes devem estabelecer objetivos de cibersegurança com funções e níveis apropriados. Além disso, precisam de considerar as consequências da avaliação e tratamento de riscos.
- É dada ênfase à recolha e análise contínuas de informações sobre as intenções de clientes internos e externos ao longo do ciclo de vida dos dispositivos médicos. Além disso, é importante que esta informação se reflita na gestão de riscos de cibersegurança de dispositivos médicos.
Aplicação dos Requisitos de Cibersegurança para Dispositivos Médicos
As diretrizes consistem numa tabela com exemplos de considerações para a aplicação dos requisitos de cibersegurança de dispositivos médicos no que diz respeito à garantia de qualidade de dispositivos médicos e conformidade regulamentar. A tabela inclui três (03) categorias de considerações – maiores, moderadas e menores – que são elucidadas abaixo:
- Consideração Principal: A consideração principal é a possibilidade de lesões graves nos pacientes, ou mesmo morte, comprometimento permanente das funções corporais e danos permanentes à estrutura corporal devido a violações de cibersegurança de dispositivos médicos.
- Consideração Moderada: A consideração moderada é que as violações da cibersegurança de dispositivos médicos podem resultar em lesões menores ou temporárias nos pacientes, que podem exigir intervenção médica.
- Consideração Menor: A consideração menor é que as violações de cibersegurança de dispositivos médicos podem causar inconveniência temporária ou inconveniência reversível, menor e de curta duração aos pacientes, que não requerem intervenção médica.
Além das categorias acima mencionadas, a tabela também inclui considerações relacionadas com a comunicação por cabo, comunicação sem fios e riscos de cibersegurança decorrentes de infrações.
Duas (02) Listas de Verificação Essenciais para a Cibersegurança de Dispositivos Médicos
Lista de Verificação para Requisitos de Cibersegurança de Dispositivos Médicos:
- Os fabricantes devem utilizar este formulário de lista de verificação ao rever os seus dispositivos médicos para os requisitos de cibersegurança.
- Devem preencher o formulário de acordo com as características dos seus respetivos dispositivos.
- O formulário é a base para confirmar que os fabricantes satisfizeram todos os requisitos de cibersegurança.
- A lista de verificação inclui o “Documento de Gestão de Risco de Cibersegurança” e os “Dados de Verificação e Validação de Software”.
A tabela abaixo (Tabela 1) apresenta a lista de verificação de cibersegurança de dispositivos médicos para dispositivos médicos na Coreia do Sul.
Tabela 1: Lista de Verificação para a Cibersegurança de Dispositivos Médicos na Coreia do Sul
| Requisitos de Cibersegurança | Aplicabilidade do Dispositivo Correspondente | Método de Prova de Compatibilidade Utilizado | Número do Documento ou o Documento Anexo Correspondente | |
| Comunicação de Segurança | Os fabricantes devem mencionar como ligar os seus dispositivos médicos via Internet, Bluetooth, etc., bem como as características de design e a segurança dos dados traduzidos. | XXX | XXX | XXX |
| Proteção de Dados do Dispositivo | Os fabricantes devem decidir se os seus dispositivos requerem encriptação ou mensagens protegidas; também precisam de avaliar o arquitetura ao nível do sistema para determinar se são necessárias funcionalidades de design para garantir a não-repudiação de dados. | XXX | XXX | XXX |
| Integridade do Dispositivo | Os fabricantes devem considerar os riscos para a integridade dos dispositivos, tais como alterações não autorizadas aos mesmos. Devem ter cautela com software, vírus, spyware, etc. | XXX | XXX | XXX |
| Certificação do Utilizador | Alguns exemplos de acesso de utilizador o controlo são palavras-passe, chaves de hardware, autenticação de cadeia bruta, etc. | XXX | XXX | XXX |
| Número de Manutenção de Software | Os fabricantes devem considerar fornecer aos utilizadores todos os detalhes das atualizações, prazos e requisitos. | XXX | XXX | XXX |
Lista de verificação para o estabelecimento/revisões de orientações/manuais:
- Os fabricantes devem utilizar esta lista de verificação ao estabelecer ou rever diretrizes ou manuais.
- Devem verificar se o conteúdo se desvia das leis superiores e se estabelece/reforça novos regulamentos ou restringe queixas civis sensíveis.
- Se a resposta for “sim” à questão de saber se estabelece/reforça novos regulamentos, devem eliminar o conteúdo que se desvia do estatuto superior e prosseguir com o processo de estabelecimento e revisão das diretrizes e guias.
- A lista de verificação inclui a designação das diretrizes ou manuais e a verificação dos itens relacionados com as considerações de submissão.
Submissão de Dados para a Cibersegurança de Dispositivos Médicos
As diretrizes estabelecem requisitos específicos para a submissão de dados relacionados com a cibersegurança de dispositivos médicos. Os dados submetidos devem cumprir os seguintes critérios para a aprovação de dispositivos médicos:
- Os dados devem estar relacionados com dispositivos médicos capazes de comunicação sem fios ou que possuam um caminho de comunicação.
- Entre os dados de desempenho operacional, os fabricantes devem apresentar os “Dados de Verificação e Validação de Software” e o “Relatório de Verificação de Conformidade de Software de Dispositivos Médicos”.
- A informação submetida não deve ser falsificada, apresentar falhas ou ser aprovada para dispositivos médicos.
- Os fabricantes devem aplicar requisitos de cibersegurança como contramedida para prevenir o acesso não autorizado a dispositivos médicos.
- Os fabricantes devem confirmar a conformidade com os requisitos de cibersegurança de dispositivos médicos submetendo a “Lista de Verificação dos Requisitos de Cibersegurança de Dispositivos Médicos” e materiais que verifiquem os requisitos da lista de verificação.
- Os fabricantes podem candidatar-se excluindo ou modificando alguns dos requisitos através de análise de risco; os dados relevantes devem ser submetidos com o “Documento de Gestão de Risco de Cibersegurança,” de acordo com o Artigo 26 das diretrizes.
No geral, as diretrizes para a aprovação e revisão da cibersegurança de dispositivos médicos servem como um recurso valioso para fabricantes, utilizadores e reguladores, pois ajudam a garantir a segurança e a proteção dos dispositivos médicos. Se é um fabricante que procura comercializar os seus dispositivos médicos na Coreia do Sul, deve garantir que os seus dispositivos cumprem os requisitos de cibersegurança descritos nas diretrizes. A nossa equipa de especialistas pode ajudá-lo a navegar pela regulamentação de dispositivos médicos da Coreia do Sul; eles garantirão que os seus dispositivos cumprem os requisitos de cibersegurança e que submeta os dados necessários para aprovação e revisão. Contacte a Freyr para saber mais sobre como podemos ajudá-lo a proteger a cibersegurança dos seus dispositivos médicos na Coreia do Sul. Mantenha-se informado! Mantenha-se em conformidade!
