FDA atualiza diretrizes de segurança cibernética para dispositivos médicos: recomendações pré-comercialização para 2025

A Food and Drug Administration (FDA) dos EUA divulgou um documento de orientação atualizado em junho de 2025, intitulado "Cibersegurança em Dispositivos Médicos: Considerações sobre o Sistema de Qualidade e Conteúdo das Submissões Pré-comercialização", substituindo a versão de 2023. Este documento detalha as expectativas para o gerenciamento de riscos de segurança cibernética em todo o ciclo de vida dos dispositivos médicos, desde o projeto até o descomissionamento.

O que isso significa para os fabricantes de dispositivos médicos

Com dispositivos médicos cada vez mais integrados a redes, sistemas hospitalares e plataformas em nuvem, eles enfrentam riscos de segurança cibernética cada vez maiores. Essas vulnerabilidades podem prejudicar a funcionalidade do dispositivo e colocar em risco a segurança do paciente. Incidentes notáveis como o ataque de ransomware WannaCry e vulnerabilidades como URGENT/11 e SweynTooth ressaltam a necessidade crítica de medidas robustas de segurança cibernética em ecossistemas de dispositivos médicos.

Quem é afetado

• Dispositivos com software ou lógica programável, em rede ou não
• Todos os tipos de submissão pré-comercialização da FDA, incluindo 510(k), PMA, De Novo, HDE, BLA e IND
• “Dispositivos cibernéticos”, conforme definido pela seção 524B da Lei FD&C (dispositivos conectados à Internet com funcionalidade de software)
• Dispositivos com funções relevantes para a segurança cibernética, mesmo que não estejam sujeitos a uma submissão pré-comercialização

Requisitos-chave

1. Segurança cibernética integral à segurança do dispositivo

A segurança cibernética é agora um componente essencial da segurança e eficácia dos dispositivos. A conformidade com a regulamentação do Sistema de Qualidade (QS) da FDA exige a incorporação de controles de design e gestão de riscos de segurança cibernética.

2. Estrutura de Desenvolvimento de Produto Seguro (SPDF)

O FDA recomenda a adoção de um SPDF, um conjunto estruturado de processos integrados ao design, desenvolvimento e manutenção para reduzir vulnerabilidades no início do ciclo de vida.

3. Gestão Robusta de Riscos

Os fabricantes devem realizar:

• Modelagem de ameaças para identificar e mitigar potenciais vetores de ataque
• Avaliações de risco de segurança cibernética com foco na explorabilidade, não apenas na probabilidade
• Avaliações de segurança para anomalias de software não resolvidas
• Gestão contínua de riscos de segurança, incluindo atualizações e estratégias de fim de vida

4. Software de terceiros e SBOMs

Uma Lista de Materiais de Software (SBOM) é necessária para documentar todos os componentes de software, especialmente softwares de terceiros e de código aberto. A SBOM deve detalhar o status do suporte e as vulnerabilidades conhecidas para facilitar patches ou substituições em tempo hábil.

5. Transparência na rotulagem

Os fabricantes devem incluir recursos, configurações e riscos de segurança cibernética na rotulagem dos dispositivos para permitir que os usuários gerenciem os riscos de forma eficaz e garantam uma operação segura nos ambientes pretendidos.

6. Conformidade com a Seção 524B do FDORA

Os “dispositivos cibernéticos” devem atender a requisitos adicionais, incluindo:

• Planos e procedimentos de segurança cibernética documentados
• Processos para garantir a segurança cibernética contínua durante todo o ciclo de vida do dispositivo
• Um SBOM legível por máquina

7. Arquitetura de Segurança

Os fabricantes devem documentar a arquitetura de segurança do dispositivo, abrangendo mecanismos de autenticação, criptografia, integridade de dados, registro e atualização. Os controles de segurança devem ser integrados ao design, e não adicionados posteriormente.

8. Testes e Métricas

As submissões de pré-comercialização devem incluir resultados de testes de penetração, testes de fuzz e análise de código estático/dinâmico. Os fabricantes devem monitorar métricas como cronogramas de implantação de patches e densidade de defeitos para demonstrar a robustez da segurança cibernética.

Como a AssurX ajuda os fabricantes a atender a esses requisitos

A AssurX permite que os fabricantes operacionalizem as diretrizes de segurança cibernética da FDA para 2025 sem adicionar ferramentas diferentes ou interromper os processos existentes. eQMS baseado em nuvem incorpora as melhores práticas de segurança cibernética em todas as nossas soluções, incluindo, Controle de Projeto, Gestão de Riscos e Fluxos de trabalho de relatórios de eventos adversos. Nossa plataforma captura informações sobre ameaças e requisitos de segurança em artefatos DHF, inicia o Controle de Mudanças ou Fluxos de trabalho CAPA quando vulnerabilidades surgem, e muito mais. Também mantém trilhas de auditoria robustas com assinaturas eletrônicas, disponibilizando evidências objetivas para os auditores.

Conclusão

As diretrizes de segurança cibernética da FDA para 2025 representam um passo significativo no enfrentamento das crescentes ameaças digitais aos dispositivos médicos. Ao vincular a segurança cibernética diretamente à segurança e eficácia dos dispositivos, a FDA enfatiza uma abordagem proativa, transparente e sistemática. Os fabricantes devem incorporar a segurança cibernética em todas as etapas do ciclo de vida dos dispositivos para proteger pacientes e sistemas de saúde contra riscos emergentes.

Sobre o autor

Stephanie Ojeda Stephanie é Diretora de Gestão de Produtos para o setor de Ciências Biológicas na AssurX. Stephanie traz mais de 15 anos de experiência em funções de liderança em garantia de qualidade em diversos setores, incluindo farmacêutico, biotecnologia, dispositivos médicos, alimentos e bebidas e manufatura.