Ciberseguridad de los dispositivos médicos: Cumplir las normas de la FDA de EEUU

Requisitos previos a la comercialización de la FDA

Estos requisitos incluyen:

• Descripción general del software
  Una descripción de las características significativas del software, funciones, análisis, entradas, salidas, plataformas de hardware y diagramas o flujos relacionados.
• Resumen de desarrollo y configuración
  Un resumen del plan de desarrollo del ciclo de vida, la gestión de la configuración y las actividades de mantenimiento.
• Evaluación de Riesgos de Ciberseguridad
  Una evaluación de riesgos que incluya el análisis de riesgos, la evaluación, el control y el uso del SPDF recomendado por la FDA para los riesgos de ciberseguridad.
• Protocolos de actualización de software
  Procedimientos operativos normalizados para actualizaciones de software, gestión de parches, evaluaciones de seguridad y planes de respuesta a incidentes.
• Plan de vigilancia posterior a la comercialización
  Plan en el que se detallan los métodos de vigilancia de vulnerabilidades, los protocolos de identificación y las estrategias de respuesta.
• Lista de materiales de software (SBOM)
  Un SBOM detallado que enumera todos los componentes del software, incluidos los números de versión, las licencias y la información del proveedor.
• Pruebas de Ensayo de Ciberseguridad
  Pruebas que demuestran que se han realizado ensayos de ciberseguridad.

Applus+ Laboratories ofrece servicios integrales de Ensayos de Ciberseguridad para evaluar dispositivos médicos en EE.UU. / FDA Guidance on Cybersecurity in Medical Devices - Quality System Considerations and Content of Premarket Submissions.

Niveles de documentación para ensayos de ciberseguridad y evaluación de riesgos de los productos sanitarios

Para los ensayos de ciberseguridad, y en general para toda la documentación exigida por la normativa, se definen dos niveles: Nivel de Documentación Básica y Nivel de Documentación Mejorada.

He aquí algunos ejemplos de cómo se aplican los distintos niveles:

1. Termómetro de infrarrojos sin contacto destinado a la medición intermitente de la temperatura corporal desde la frente, no conectado a otros dispositivos.
   1. Justificación: En general, un fallo o defecto latente de la(s) función(es) del software del dispositivo no supondría una situación peligrosa con riesgo probable de muerte o lesiones graves para el paciente, el usuario del dispositivo u otras personas en el entorno de uso, antes de la aplicación de medidas de control de riesgos.
   2. Resultado: Nivel de Documentación Básico.
2. Un marcapasos cardíaco implantable utilizado para tratar la bradicardia; el dispositivo es un generador de impulsos de doble cámara, implantado y programable, con algunas capacidades Bluetooth.
   1. Justificación: Un fallo o un defecto latente de la(s) función(es) del software del dispositivo, como un fallo en el marcapasos o un defecto latente que provoque la detección incorrecta de un latido ectópico, daría lugar a una situación peligrosa que presentaría un riesgo probable de muerte o lesiones graves para el paciente antes de la aplicación de medidas de control de riesgos.
   2. Resultado: Nivel de documentación mejorado.
3. Una prótesis de cadera no adaptada al paciente que no contiene firmware ni ningún otro medio de control basado en software.
   1. Justificación: el dispositivo no contiene software.
   2. Resultado: Sin nivel de documentación

Procedimiento de documentación de dispositivos médicos

Todos los dispositivos médicos con un nivel de documentación básico o superior deben cumplir un procedimiento de pruebas de ciberseguridad. Las pruebas necesarias para cumplir las normas de ensayo de ciberseguridad son las siguientes (utilizando el ejemplo de un dispositivo cardíaco implantable con capacidades Bluetooth):

¡Ponte en contacto con Applus+ Laboratories para ensayar y certificar la ciberseguridad de tus dispositivos médicos!