Cómo Europa está utilizando las regulaciones para endurecer los dispositivos médicos contra ataques



Debido al creciente volumen de ataques contra dispositivos médicos, los reguladores de la Unión Europea propusieron un nuevo conjunto de requisitos de entrada al mercado para dispositivos médicos y dispositivos médicos de diagnóstico in vitro para reducir el riesgo de daño al paciente como resultado de un incidente cibernético, así como proteger los sistemas nacionales de salud.

Los reguladores de la UE están elevando el nivel de los requisitos de ciberseguridad con el Reglamento de Dispositivos Médicos de la Unión Europea (MDR) y el Reglamento de Diagnóstico In Vitro de la Unión Europea (IVDR), que entró en vigencia el 26 de mayo de 2021. Las regulaciones tienen como objetivo «establecer un marco regulatorio sólido, transparente, predecible y sostenible… que garantice un alto nivel de seguridad y salud al mismo tiempo que apoya la innovación».

Las organizaciones tienen hasta el 26 de mayo de 2024, o cuando caduquen los certificados digitales utilizados por los dispositivos, para realizar los cambios necesarios en sus sistemas de gestión de calidad y documentación técnica para cumplir con los nuevos requisitos. A pesar de la cantidad de procesos de evaluación y estándares y documentos de orientación que se han proporcionado, es posible que los fabricantes, proveedores y servicios de certificación de dispositivos médicos no estén listos a tiempo.

Más del 90 % de los certificados AIMDD/MDD actualmente válidos vencerán en 2024, por lo que es necesario volver a aprobar una cantidad significativa de dispositivos existentes, además de los nuevos dispositivos que ingresan al mercado. Se estima que el 85% de los productos actualmente en el mercado todavía requieren una nueva certificación bajo MDR.IVDR. Teniendo en cuenta que el proceso demora de 13 a 18 meses, las empresas deben iniciar el proceso ahora para cumplir con la fecha límite de 2024.

Instrucciones de configuración para el uso

En basic, los procesos de ciberseguridad no son tan diferentes de los procesos generales de rendimiento y seguridad de los dispositivos. El objetivo es asegurar (a través de la verificación y validación) y demostrar (a través de la documentación) el rendimiento del dispositivo, la reducción y el regulate de riesgos y la minimización de los riesgos previsibles y los efectos secundarios no deseados a través de la gestión de riesgos. Los productos combinados o dispositivos/sistemas interconectados también requieren la gestión de los riesgos que resultan de la interacción entre el software package y el entorno de TI.

El Grupo de Coordinación de Dispositivos Médicos MDCG-16 Guía sobre Ciberseguridad para dispositivos médicos explica cómo interpretar y cumplir con los requisitos de seguridad cibernética bajo MDR e IVDR. Se espera que los fabricantes tengan en cuenta los principios del ciclo de vida de desarrollo seguro, la gestión de riesgos de seguridad y la verificación y validación. Además, deben proporcionar requisitos mínimos de TI y expectativas para los procesos de seguridad cibernética, como la instalación y el mantenimiento en las instrucciones de uso de su dispositivo. Las «Instrucciones de uso» son una sección obligatoria muy estructurada de la solicitud de certificación que deben presentar los fabricantes.

Las medidas de ciberseguridad deben reducir cualquier riesgo asociado con la operación de dispositivos médicos, incluidos los riesgos de seguridad inducidos por la ciberseguridad, para proporcionar un alto nivel de protección para la salud y la seguridad. La Comisión Electrotécnica Internacional (IEC) detalla las características de seguridad de alto nivel, las mejores prácticas y los niveles de seguridad en CEI/TIR 60601-4-5. Otro informe técnico de IEC, CEI 80001-2-2enumera capacidades específicas de seguridad de diseño y arquitectura, como cierre de sesión automático, controles de auditoría, copia de seguridad de datos y recuperación ante desastres, detección/protección de malware y fortalecimiento del sistema y del sistema operativo.

Para cumplir con las directrices ISO (ISO 14971), la Asociación para el Avance de la Instrumentación Médica aconseja lograr un equilibrio entre seguridad y seguridad. Se requiere un análisis cuidadoso para evitar que las medidas de seguridad comprometan la seguridad y que las medidas de seguridad se conviertan en un riesgo para la seguridad. La seguridad debe tener el tamaño adecuado y no debe ser ni demasiado débil ni demasiado restrictiva.

Compartir la responsabilidad de la ciberseguridad

La ciberseguridad es una responsabilidad compartida entre el fabricante del dispositivo y la organización de implementación (generalmente el cliente/operador). Por lo tanto, los roles específicos que brindan importantes funciones de seguridad cibernética, como integrador, operador, profesionales de la salud y médicos, y pacientes y consumidores, requieren una capacitación y documentación cuidadosas.

La sección de «instrucciones de uso» de la solicitud de certificación de un fabricante debe proporcionar procesos de seguridad cibernética que incluyen opciones de configuración de seguridad, instalación del producto, pautas de configuración inicial (p. ej., cambio de contraseña predeterminada), instrucciones para implementar actualizaciones de seguridad, procedimientos para usar el dispositivo médico a prueba de fallas (p. ej., entrar/salir del modo a prueba de fallas, restricciones de rendimiento en el modo a prueba de fallas y función de recuperación de datos al reanudar el funcionamiento standard) y planes de acción para el usuario en caso de un mensaje de alerta.

Esa sección también debe proporcionar los requisitos del usuario para la capacitación y enumerar las habilidades requeridas, incluidas las habilidades de TI requeridas para la instalación, configuración y operación del dispositivo médico. Además, debe especificar requisitos para el entorno operativo (hardware, características de la pink, controles de seguridad, and so forth.) que cubran supuestos sobre el entorno de uso, riesgos para el funcionamiento del dispositivo fuera del entorno operativo previsto, requisitos mínimos de plataforma para el dispositivo médico conectado , controles de seguridad de TI recomendados y funciones de copia de seguridad y restauración para datos y ajustes de configuración.

La información de seguridad específica puede compartirse a través de documentación distinta de las instrucciones de uso, como instrucciones para administradores o manuales de operación de seguridad. Dicha información puede incluir una lista de controles de seguridad de TI incluidos en el dispositivo médico, disposiciones para garantizar la integridad/validación de actualizaciones de computer software y parches de seguridad, propiedades técnicas de los componentes de components, la lista de materiales del software program, roles de usuario y privilegios/permisos de acceso asociados en el dispositivo, la función de registro, las pautas sobre recomendaciones de seguridad, los requisitos para integrar el dispositivo médico en un sistema de información de salud y una lista de los flujos de datos de la purple (tipos de protocolo, origen/destino de los flujos de datos, esquema de direccionamiento, and so on.).

Si el entorno operativo no es exclusivamente regional sino que involucra a proveedores de alojamiento externos, la documentación debe indicar claramente qué, dónde (en consideración de las leyes de residencia de datos) y cómo se almacenan los datos, así como cualquier manage de seguridad para salvaguardar los datos en el entorno de nube (por ejemplo, cifrado). La sección de instrucciones de uso de la documentación debe proporcionar requisitos de configuración específicos para el entorno operativo, como reglas de firewall (puertos, interfaces, protocolos, esquemas de direccionamiento, and so on.).

Los controles de seguridad implementados durante las actividades previas a la comercialización pueden ser inadecuados para mantener un nivel de riesgo-beneficio aceptable durante la vida operativa del dispositivo. Por lo tanto, las regulaciones requieren que el fabricante establezca un programa de vigilancia de seguridad cibernética posterior a la comercialización para monitorear el funcionamiento del dispositivo en el entorno previsto para compartir y difundir información sobre seguridad cibernética y conocimientos sobre vulnerabilidades y amenazas de seguridad cibernética en múltiples sectores para realizar la reparación de vulnerabilidades y planificar la respuesta a incidentes.

El fabricante es además responsable de investigar e informar incidentes graves y aplicar acciones correctivas de seguridad. Específicamente, los incidentes que tienen causas raíz relacionadas con la seguridad cibernética están sujetos a informes de tendencias, incluido cualquier aumento estadísticamente significativo en la frecuencia o gravedad de los incidentes.

Planificación para todos los escenarios

Los dispositivos médicos actuales están altamente integrados y funcionan en una pink compleja de dispositivos y sistemas, muchos de los cuales pueden no estar bajo el regulate del operador del dispositivo. Por lo tanto, los fabricantes deben documentar cuidadosamente el uso previsto del dispositivo y el entorno operativo previsto, así como planificar un uso indebido razonablemente previsible, como un ataque cibernético.

Los requisitos de gestión de riesgos de seguridad cibernética antes y después del mercado y las actividades de apoyo no son necesariamente diferentes de los programas de seguridad tradicionales. Sin embargo, agregan un nivel adicional de complejidad como:

  • La gama de riesgos a considerar es más compleja (seguridad, privacidad, operaciones, negocios).
  • Requieren un conjunto específico de actividades que deben llevarse a cabo a lo largo del ciclo de vida de desarrollo del dispositivo a través de un marco de desarrollo de productos seguro (SPDF).

Los reguladores globales, incluidos MDR/IVDR, están comenzando a imponer un mayor nivel de seguridad para los dispositivos médicos y exigen específicamente seguridad demostrable como parte del ciclo de vida más amplio del dispositivo. Los dispositivos deben cumplir, según el tipo de dispositivo y el caso de uso, una línea base de seguridad, y los fabricantes deben mantener esa línea base durante toda la vida útil del dispositivo.



Enlace a la noticia unique