El nuevo artículo destaca los aspectos relacionados con la ciberseguridad para dispositivos médicos basados en software destinados a ser comercializados y utilizados en el Reino Unido.
Índice del contenido
La Agencia Reguladora de Medicamentos y Productos Sanitarios (MHRA), una autoridad reguladora del Reino Unido en el ámbito de los productos sanitarios, ha publicado un hoja de ruta describiendo los cambios propuestos al marco regulatorio existente para software y productos basados en inteligencia artificial (IA) sujetos a regulación como dispositivos médicos. En virtud de este documento, la autoridad esboza los temas clave a abordar y también describe las soluciones propuestas. El documento tiene como objetivo proporcionar aclaraciones adicionales sobre el desarrollo futuro de un marco regulatorio de dispositivos médicos para ser considerado por los fabricantes de dispositivos médicos y otras partes involucradas.
El alcance de los cambios abarca, entre otros, los aspectos relacionados con la ciberseguridad. Al respecto, la autoridad reconoce que el marco regulatorio existente para dispositivos médicos basados en software no refleja todos los últimos desarrollos en el ámbito de la ciberseguridad y protección contra los riesgos respectivos. Además, existen ciertos riesgos asociados con los dispositivos médicos de software heredados, los que todavía están en uso a pesar de que no cuentan con el respaldo de sus fabricantes/desarrolladores originales.
Según el documento, los principales objetivos son:
- Articular cómo los problemas de ciberseguridad se traducen en problemas de SaMD;
- Garantizar que la ciberseguridad se refleje adecuadamente en los requisitos de SaMD y en los requisitos de vigilancia posteriores a la comercialización;
- Trabaje en estrecha colaboración con otros organismos, por ejemplo, a través del Grupo Directivo de Seguridad de Dispositivos Médicos Conectados para garantizar que la política de ciberseguridad de SaMD aproveche las sinergias.
El documento describe además los cambios que se implementarán en leyes específicas para garantizar que se logren los objetivos descritos anteriormente.
Legislación secundaria
En primer lugar, el documento describe los cambios que se implementarán en la legislación secundaria para garantizar que los asuntos relacionados con la ciberseguridad se aborden adecuadamente y los riesgos respectivos se mitiguen debidamente. La autoridad reconoce que muchos dispositivos médicos que contienen software deben estar conectados a una red para que funcionen correctamente. Esto expone el producto a riesgos asociados con posibles inferencias en sus operaciones normales.
La autoridad planteó una pregunta similar en el curso de las respectivas consultas públicas y se obtuvo retroalimentación de la industria. Para asegurarse de que los riesgos identificados se aborden adecuadamente, la autoridad tiene la intención de desarrollar e implementar legislación secundaria que:
- Alinearse con los principios del Grupo Directivo de Seguridad de Dispositivos Médicos Conectados;
- Ser coherente con los requisitos complementarios y basarse en ellos, como el proyecto de ley de infraestructura de telecomunicaciones y seguridad de productos del Departamento de Cultura, Medios y Deportes, los estándares del DCB (Junta de coordinación de datos) del NHS y los requisitos de los Criterios de evaluación de tecnología digital del NHS;
- Estar armonizado con las mejores prácticas internacionales.
Además de introducir legislación secundaria, la autoridad tiene la intención de emitir documentos de orientación adicionales para ayudar a los fabricantes de dispositivos médicos/desarrolladores de software a garantizar el cumplimiento de los requisitos reglamentarios respectivos. Estos documentos de orientación describirán la forma en que se deben interpretar las disposiciones de la legislación subyacente y también brindarán recomendaciones adicionales a seguir. En particular, la autoridad menciona que en estos documentos de orientación a desarrollar:
- Los asuntos relacionados con la ciberseguridad se describirán en el contexto de todo el ciclo de vida del producto;
- Se señalará explícitamente que los asuntos de ciberseguridad son responsabilidad compartida de todas las partes involucradas en las operaciones con dispositivos médicos y requieren esfuerzos conjuntos;
- Se proporcionarán aclaraciones adicionales con respecto a las responsabilidades y requisitos de los fabricantes de dispositivos médicos según lo establecido en la legislación aplicable;
- También se proporcionarán aclaraciones adicionales con respecto a las vulnerabilidades de seguridad cibernética que son comunes para los dispositivos médicos de diagnóstico general e in vitro.
La autoridad también menciona que las partes interesadas clave participarán en el desarrollo de los documentos de orientación antes mencionados.
BUENAS PRÁCTICAS
La autoridad pretende prestar especial atención a las mejores prácticas que deben seguir los fabricantes de dispositivos médicos para garantizar la seguridad y el correcto funcionamiento de sus productos. En particular, la MHRA enfatiza la importancia de los riesgos asociados con los productos que ya no cuentan con el respaldo de sus fabricantes pero que todavía están en uso. Esto crea riesgos únicos que deben ser debidamente mitigados. Para este propósito, la autoridad tiene la intención de emitir un documento de orientación por separado que describa en detalle las mejores prácticas a seguir en este sentido.
Procesos
La hoja de ruta también cubre los aspectos relacionados con el reporte de las vulnerabilidades de ciberseguridad identificadas. En este sentido, la autoridad tiene la intención de tomar medidas para mejorar los procedimientos de notificación existentes a fin de garantizar que todas las vulnerabilidades identificadas se señalen de manera oportuna. La intención es mejorar la consistencia y hacer que los requisitos de informes sean claros para que los sigan las partes involucradas.
En resumen, el presente documento describe los puntos clave a los que la MHRA prestará atención en el contexto de la mejora adicional del marco regulatorio existente para dispositivos médicos que contienen software, así como productos basados en IA. El documento destaca los problemas más críticos identificados por la autoridad y también describe los pasos particulares que se deben tomar para asegurarse de que se aborden adecuadamente.
¿Cómo puede ayudar RegDesk?
RegDesk es un sistema holístico de gestión de información reglamentaria que proporciona a las empresas farmacéuticas y de dispositivos médicos inteligencia reglamentaria para más de 120 mercados en todo el mundo. Puede ayudarlo a preparar y publicar aplicaciones globales, administrar estándares, ejecutar evaluaciones de cambios y obtener alertas en tiempo real sobre cambios regulatorios a través de una plataforma centralizada. Nuestros clientes también tienen acceso a nuestra red de más de 4000 expertos en cumplimiento en todo el mundo para obtener verificación sobre cuestiones críticas. La expansión global nunca ha sido tan simple.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoAiStream. Inteligencia de datos Web3. Conocimiento amplificado. Accede Aquí.
- Acuñando el futuro con Adryenn Ashley. Accede Aquí.
- Fuente: https://www.regdesk.co/mhra-roadmap-on-software-ai-framework-improvement-cybersecurity/
