Ciberseguridad en los dispositivos médicos: lo que los fabricantes deben saber

En Axel Wirth de Medcrypt, durante un seminario web organizado por RAPS Ontario: "Sí, los dispositivos médicos deben ser seguros y protegidos, pero lo que afecta a un volumen de pacientes son los ataques de ransomware a hospitales". La investigación de Choi, Johnson y Lehman destaca que los pacientes extrahospitalarios son especialmente vulnerables cuando la reparación de brechas ralentiza el flujo de información clínica.

Evolución de la normativa

"Tanto en Europa como en Estados Unidos, los organismos reguladores consideran ahora la ciberseguridad inseparable de la calidad y la seguridad de los productos médicos , por lo que su cumplimiento es una condición esencial para acceder al mercado", afirma Yuan Li, Director de Negocio Médico de DQS y experto colaborador a la información del sector. Esto es lo que abarca cada región:

Unión Europea: Cobertura MDR

El Reglamento de Dispositivos Médicos (MDR) de la UE hace del cumplimiento de la ciberseguridad un requisito previo para la entrada en el mercado. Esto se aplica no sólo a los fabricantes de dispositivos, sino a cualquier organización de la cadena de suministro y servicios que esté en contacto con datos médicos.

Estados Unidos: Directrices de la FDA

En EE.UU., la FDA ha modernizado su supervisión avanzando hacia la alineación con la norma ISO 13485. Wirth señaló que "la FDA tiene ahora una mayor autoridad en materia de ciberseguridad, y su alineación con la norma ISO 13485 eleva aún más el listón para los fabricantes".

Esto significa que, a partir de 2023, la FDA tiene mayor autoridad sobre la ciberseguridad, y las últimas directrices establecen expectativas claras:

• Supervisión continua de los dispositivos para detectar vulnerabilidades.
• Corrección oportuna mediante parches y actualizaciones.
• Comunicación de las políticas de soporte al final de la vida útil (EOL) para que los profesionales médicos sepan cuándo los dispositivos dejarán de ser seguros.

Por qué sigue siendo importante la certificación

Wirth y Li están de acuerdo: El objetivo principal de la certificación sigue siendo el mismo: los dispositivos deben ser seguros y fiables durante todo su ciclo de vida.

La ciberseguridad se sitúa ahora en el centro de ese requisito. Un dispositivo funcionalmente seguro pero digitalmente vulnerable no puede considerarse seguro. Para los fabricantes, la ciberseguridad ha pasado de ser un ejercicio de cumplimiento a un componente crítico de la calidad del producto.

Alineación global: MDSAP, MDR e ISO 13485

Para los fabricantes que operan a escala internacional, los esfuerzos de armonización están remodelando las expectativas de calidad y ciberseguridad. El Programa de Auditoría Única de Dispositivos Médicos (MDSAP) permite que una sola auditoría satisfaga los requisitos reglamentarios de múltiples jurisdicciones, incluidos EE.UU., Canadá, Brasil, Japón y Australia. Dado que las auditorías MDSAP se basan en ISO 13485la norma de gestión de la calidad es ahora la columna vertebral de la conformidad mundial. El MDR de la UE añade otra capa al incorporar explícitamente obligaciones de ciberseguridad y vigilancia posterior a la comercialización. Juntos, estos marcos están creando un lenguaje común: la ciberseguridad ya no es una preocupación periférica de TI, sino un requisito básico de calidad y seguridad en todos los grandes mercados.

Perspectivas para los fabricantes

El panorama normativo avanza hacia una responsabilidad activa posterior a la comercialización. Los fabricantes que integren la supervisión, la respuesta rápida y la comunicación transparente en sus sistemas de calidad estarán mejor posicionados no sólo para cumplir los requisitos, sino también para mantener la confianza de hospitales y pacientes.