La FDA publicó un borrador de guía el 13 de marzo de 2024, con el objetivo de actualizar su guía existente sobre la ciberseguridad de los dispositivos médicos. Los comentarios públicos están abiertos hasta el 13 de mayo de 2024, después de lo cual la FDA revisará e incorporará los comentarios en el documento de orientación final.
Esta actualización implicará la inclusión de detalles adicionales sobre las categorías de dispositivos que se incluyen en la sección 524B(c) de la Ley de Alimentos, Medicamentos y Cosméticos (Ley FD&C), así como la especificación de quién tiene el mandato de garantizar el cumplimiento de las medidas de ciberseguridad de los dispositivos médicos.
Una vez finalizada, este borrador de la guía describirá la información que la FDA considere necesaria para cumplir con las obligaciones descritas en la sección 524B de la Ley Federal de Alimentos, Medicamentos y Cosméticos, como se indica en un aviso publicado en el Registro Federal.
La agencia enfatizó que las personas deben presentar información que demuestre el cumplimiento de un dispositivo médico con los estándares de ciberseguridad si califica como un dispositivo cibernético bajo varias presentaciones como 510 (k), solicitud de aprobación previa a la comercialización (PMA), protocolo de desarrollo de productos (PDP), De novo o exención de dispositivos humanitarios (HDE). De acuerdo con la sección 524B(c), un dispositivo cibernético es aquel que se conecta a Internet a través de cualquier medio, es susceptible a amenazas de ciberseguridad y contiene software validado, instalado o autorizado.
Los requisitos de documentación en virtud de la sección 524B abarcan procesos y procedimientos que garantizan la ciberseguridad del dispositivo y sus sistemas asociados. Esto implica la identificación y el manejo proactivos de las vulnerabilidades de ciberseguridad, el establecimiento de un plan y un cronograma para lanzar actualizaciones y parches para las vulnerabilidades y el mantenimiento de la documentación para abordar los nuevos riesgos y vulnerabilidades a lo largo del ciclo de vida del producto. Además, se requiere una lista de materiales de software independientemente de las fuentes de componentes del dispositivo.
Con respecto a las modificaciones de dispositivos, la FDA sugiere que los fabricantes de dispositivos cibernéticos adapten sus presentaciones en función de la naturaleza del cambio y su impacto en la seguridad cibernética. Algunos ejemplos de cambios que pueden afectar a la ciberseguridad son las alteraciones de los algoritmos de autenticación o cifrado, la introducción de nuevas funciones de conectividad o las actualizaciones de software.
Si es poco probable que un cambio afecte a la ciberseguridad, los fabricantes pueden proporcionar información resumida en lugar de documentación completa, siempre que existan garantías razonables de ciberseguridad.
En su revisión de la ciberseguridad, la FDA tiene la intención de centrarse en las modificaciones de los controles de ciberseguridad o en los cambios que puedan afectar a la ciberseguridad. Además, tendrá en cuenta los problemas de ciberseguridad conocidos aplicables al dispositivo al realizar revisiones previas a la comercialización para garantizar una garantía razonable de ciberseguridad.
Para las presentaciones 510(k), la FDA examina los cambios en el entorno del dispositivo, las alteraciones en las características tecnológicas que pueden introducir nuevos riesgos o vulnerabilidades, y el funcionamiento del dispositivo con nuevos riesgos o vulnerabilidades.
Acerca de Accel
Accel Groups es un equipo dedicado de profesionales experimentados en el ámbito regulatorio, clínico y de acceso al mercado. Ayudamos a los fabricantes de dispositivos médicos y productos de diagnóstico in vitro con soluciones completas para el ciclo de vida del producto, desde la evaluación preclínica, la estrategia, la evaluación clínica y los ensayos, la presentación reglamentaria hasta la vigilancia posterior a la comercialización. Nuestros directores regionales tienen un mínimo de 10+ años de experiencia en su especialidad para permitirnos brindar la experiencia regional en profundidad, pero con soluciones globales de ventanilla única. Pregúntanos por nuestros kits de puesta en marcha para empresas de nueva creación con la vía regulatoria de los países clave.
