,
2 min de leitura
Embora a digitalização e a Internet das Coisas (IoT) tenham, em conjunto, melhorado o desempenho dos dispositivos médicos, também tornaram os dispositivos suscetíveis a vulnerabilidades cibernéticas. O malware e o spyware que invadem os dispositivos estão a aumentar. Os hackers procuram falhas nos dispositivos e no software relacionado que lhes permitam corromper os dispositivos para comprometer os dados dos utilizadores, fazendo com que os dispositivos funcionem mal. Todas estas adversidades estão a dificultar os esforços das organizações para proteger os dados dos utilizadores e prevenir danos.
Para fazer face à ameaça da cibersegurança nos dispositivos médicos, todas as autoridades de saúde membros do International Medical Device Regulators Forum (IMDRF) publicaram documentos de orientação preliminares com políticas regulamentares para contextos de pré-comercialização. No entanto, a Therapeutic Goods Administration (TGA) da Austrália antecipou a necessidade de regulamentação mesmo na fase de pós-comercialização dos dispositivos e publicou uma orientação preliminar que abrange todo o ciclo de vida do produto (TPLC).
A quem se aplica a orientação?
A abordagem TPLC proposta pela TGA foca-se na atualização contínua dos sistemas de gestão da qualidade, procedimentos de gestão de risco e procedimentos de gestão de mudanças. Uma vez que a orientação abrange aspetos tanto do cenário pré-comercialização como pós-comercialização, os seus regulamentos destinam-se a múltiplos intervenientes que são listados abaixo.
- Fabricantes que desenvolvem software como dispositivo médico (SaMD)
- Fabricantes de dispositivos que incluem componentes de software vulneráveis à cibersegurança
- Patrocinadores responsáveis pela colocação de dispositivos no mercado na Austrália
- Profissionais de saúde que utilizam dispositivos médicos para diagnosticar e tratar pacientes
- Engenheiros clínicos e biomédicos que são responsáveis pela gestão de ativos de dispositivos em ambientes de saúde e medicina
- Administração geral e de TI responsável por sistemas, procedimentos e processos no ambiente de serviços de saúde e médicos
- Consumidores que utilizam um dispositivo médico registado
- sob a orientação do seu profissional de saúde
- que não requer supervisão médica
Orientação para a Indústria de Dispositivos Médicos:
Ao ajudar a indústria de dispositivos médicos a manter-se preparada para a cibersegurança, a orientação também enfatiza que os dispositivos devem ser incluídos no Registo Australiano de Produtos Terapêuticos (ATRG) para os comercializar no país. No entanto, a inclusão no ARTG exige considerações que abrangem toda a vida útil de um dispositivo médico, que são divididas nas quatro fases seguintes:
- Pré-comercialização via avaliação de conformidade
- Autorização de introdução no mercado através da inclusão no ARTG
- Monitorização Pós-comercialização
- Fim de vida / retirada de suporte
A orientação também afirma que os fabricantes são os únicos responsáveis por avaliar e abordar o risco de cibersegurança do dispositivo, tanto em configurações pré-mercado como pós-mercado. Ao fazê-lo, devem ter em conta certas considerações em ambas as configurações, que incluem:
- Considerações Pré-comercialização: Estas considerações incluem riscos durante o projeto e desenvolvimento de dispositivos médicos. São de tipo geral e técnico.
- Considerações gerais como a abordagem de desenvolvimento, a aplicação de normas, as estratégias de gestão de risco, a avaliação da cadeia de abastecimento e o fornecimento de informações aos utilizadores
- Considerações técnicas como testes de desempenho de cibersegurança, arquitetura de design modularizada, segurança da plataforma operacional, software emergente e fornecimento de acesso e conteúdo fidedignos
- Considerações pós-comercialização: Ao abrigo do regime pós-comercialização, os fabricantes e patrocinadores de dispositivos são obrigados a avaliar e a tomar medidas relativamente aos riscos de cibersegurança, de forma contínua. Isto inclui compreender os riscos e as ameaças e responder aos mesmos quando estes ocorrem.
Destaques da Orientação:
Enquanto outros reguladores do IMDRF listaram princípios de cibersegurança pré-comercialização, a TGA foi mais longe e listou 15 ‘princípios essenciais’, incluindo o foco na segurança a longo prazo. Além disso, mais oito princípios essenciais foram adicionados à orientação para abordar a prevenção de malware. A orientação destaca a estrutura de cibersegurança desenvolvida pelo Instituto Nacional de Padrões e Tecnologia dos EUA. Inclui também exemplos comuns de vulnerabilidades, normas conhecidas que ajudam a fortalecer a segurança e instruções para utilizadores finais, ensaios clínicos e configurações de saúde que utilizam os dispositivos.
O projeto de orientação abrange uma vasta gama de informações para implementar a abordagem TLPC para fabricantes de dispositivos médicos. No entanto, a forma atual da orientação destina-se a comentários e são esperadas alterações nas próximas versões. Para permanecerem em conformidade e seguros, as partes interessadas devem tomar as medidas necessárias com antecedência com a ajuda de um especialista em regulamentação de dispositivos médicos. Esteja em conformidade.
