Padrões de Cibersegurança para Dispositivos Médicos Baseados em Software: Principais Requisitos nos Estados Unidos, Canadá, União Europeia e Reino Unido

1. Visão Geral

Em uma era em que a tecnologia de saúde está transformando rapidamente o cuidado ao paciente, dispositivos médicos habilitados por software estão cada vez mais conectados, orientados por dados e vulneráveis a ameaças cibernéticas. Garantir uma cibersegurança robusta agora é uma prioridade global. No entanto, os frameworks, regulamentos e expectativas exatos podem variar significativamente dependendo da região. Este artigo fornece uma visão detalhada dos requisitos atuais de cibersegurança para comercialização de dispositivos médicos baseados em software nos Estados Unidos, Canadá, União Europeia e Reino Unido. Fonte: Orientação regulatória sobre requisitos de cibersegurança para dispositivos médicos baseados em software

2. Estados Unidos

2.1 Requisitos e Orientações de Cibersegurança da FDA

2.1.1 Conteúdo de Submissões Pré-mercado para Gerenciamento de Cibersegurança em Dispositivos Médicos (2023)

Esta orientação fornece insights críticos sobre o que os fabricantes devem incluir em suas submissões pré-mercado. Fonte: Orientação da FDA “Content of Premarket Submissions for Management of Cybersecurity in Medical Devices” (2023)

Principais Requisitos:

• Modelagem de Ameaças e Arquitetura: Deve considerar o ciclo de vida completo do sistema e potencialmente incluir diagramas de arquitetura.
• Avaliação de Risco de Cibersegurança: Foca na explorabilidade em vez de probabilidade, integrando análise de risco ao longo do ciclo de vida do dispositivo.
• Considerações de Interoperabilidade: Controles de segurança não devem restringir indevidamente o acesso a dados por usuários autorizados.
• Componentes de Software de Terceiros: Exige uma Lista de Materiais de Software (SBOM) e avaliações documentadas de vulnerabilidades.
• Anomalias Não Resolvidas: Deve avaliar anomalias como riscos potenciais de cibersegurança.
• Gerenciamento de Risco de Segurança no Ciclo de Vida Total do Produto (TPLC): Manutenção contínua de documentação, métricas e medidas de monitoramento.
• Testes de Cibersegurança: Inclui testes de requisitos de segurança, avaliações de mitigação de ameaças, varredura de vulnerabilidades e testes de penetração.

2.1.2 Gerenciamento Pós-mercado de Cibersegurança em Dispositivos Médicos (2016)

Esta orientação foca no gerenciamento contínuo de riscos de cibersegurança após um dispositivo estar no mercado. Fonte: Orientação da FDA “Postmarket Management of Cybersecurity in Medical Devices” (2016)

Principais Requisitos:

• Estabelecimento de um programa abrangente de gerenciamento de riscos de cibersegurança.
• Alinhamento com o Framework de Cibersegurança do NIST.
• Monitoramento regular, avaliação de vulnerabilidades e testes de segurança periódicos.
• Relato oportuno de incidentes de cibersegurança à FDA.

Além disso, a Lei Cures do Século 21 incentiva o compartilhamento de informações sobre ameaças cibernéticas, reforçando a importância da vigilância contínua e colaboração entre as partes interessadas da indústria. Fonte: 21st Century Cures Act

3. Canadá

3.1 Diretrizes de Cibersegurança da Health Canada

No Canadá, a cibersegurança é abordada sob os Regulamentos de Dispositivos Médicos (SOR/98-282) e documentos de orientação suplementares. O “Guidance Document—Pre-market Requirements for Medical Device Cybersecurity” (2019) delineia as expectativas para integrar considerações de cibersegurança no processo mais amplo de gerenciamento de riscos. Fonte: Health Canada Guidance Document—Pre-market Requirements for Medical Device Cybersecurity (2019)

Principais Requisitos:

• Estratégia de Segurança por Design: Incorporação de comunicação segura, integridade e confidencialidade de dados, controles de acesso de usuários confiáveis e processos robustos de manutenção desde as fases iniciais de design.
• Testes de Verificação e Validação: Incluindo avaliações de vulnerabilidades conhecidas, testes de malware, testes fuzz e testes de penetração estruturados. Análise estática de código e análise binária são frequentemente incentivadas.
• Documentação em Submissões Pré-mercado: Deve detalhar como os riscos de cibersegurança são identificados, gerenciados e mitigados.
• Gerenciamento do Ciclo de Vida: Inclui planos claros para atualizações pós-mercado, patches de segurança e monitoramento contínuo de ameaças.

4. União Europeia

4.1 Regulamento de Dispositivos Médicos (MDR) 2017/745 e Regulamento de Diagnóstico In Vitro (IVDR) 2017/746

Na UE, o MDR e o IVDR formam a base legal para garantir a segurança e o desempenho dos dispositivos médicos, abrangendo explicitamente considerações de cibersegurança. A orientação MDCG 2019-16 Rev.1 – Guidance on Cybersecurity for medical devices fornece conceitos básicos de cibersegurança e requisitos para o dispositivo médico obter marcação CE, e esta orientação foi endossada pelo MDR e IVDR da UE. Fonte: MDCG 2019-16 Rev.1 – Guidance on Cybersecurity for medical devices

Principais Requisitos:

• Gerenciamento de Risco Abrangente: Os riscos de cibersegurança devem ser integrados ao framework geral de gerenciamento de riscos do dispositivo.
• Garantia de Segurança no Ciclo de Vida: Demonstração da segurança e desempenho de cibersegurança do dispositivo ao longo de todo o seu ciclo de vida.
• Informações ao Usuário: Orientação clara para usuários e provedores de saúde sobre medidas de cibersegurança e quaisquer riscos residuais.
• Vigilância Pós-mercado: Monitoramento contínuo e mitigação rápida de vulnerabilidades de cibersegurança recém-identificadas.

As Diretrizes da European Union Agency for Cybersecurity (ENISA) apoiam ainda mais os fabricantes, oferecendo melhores práticas, estratégias de gerenciamento de riscos e frameworks para avaliações de vulnerabilidades e testes de penetração. Fonte: ENISA Guidelines

Os fabricantes de dispositivos médicos devem também revisar e adotar os requisitos com base no Regulamento Geral de Proteção de Dados (GDPR) EU 2016/679 e na Diretiva NIS 2 (EU 2022/2555) durante o desenvolvimento e fases pós-mercado do dispositivo. Fonte: GDPR EU 2016/679 e NIS 2 Directive (EU 2022/2555)

5. Reino Unido

5.1 Diretrizes da MHRA e Orientação da NCSC

Após o Brexit, o Reino Unido mantém seu próprio cenário regulatório, embora muitas vezes se alinhe estreitamente aos padrões da UE. As expectativas de cibersegurança são definidas, complementadas por orientações do National Cyber Security Centre. Fonte: MHRA e NCSC guidance

Principais Requisitos:

• Princípios de Segurança por Design: A cibersegurança deve ser integrada desde a fase inicial de design.
• Atualizações e Patches Regulares: Melhoria contínua em resposta a ameaças em evolução.
• Documentação Técnica: Inclusão de considerações e mitigações de cibersegurança.
• Relato e Resposta a Incidentes: Processos robustos para abordar e comunicar rapidamente questões de segurança.

Regulamentos de Sistemas de Rede e Informação (NIS): Os Regulamentos NIS complementam as diretrizes de dispositivos médicos ao fortalecer a cibersegurança para operadores de serviços essenciais, incluindo saúde. Esses regulamentos exigem que os operadores implementem medidas de segurança, conduzam avaliações de risco contínuas e relatem incidentes rapidamente. À medida que os regulamentos de dispositivos médicos são atualizados, espera-se uma abordagem mais harmonizada aos requisitos de cibersegurança e segurança da informação. Fonte: Network and Information Systems (NIS) Regulations

6. Um Cenário Global Convergente

Embora os Estados Unidos, Canadá, União Europeia e Reino Unido tenham suas próprias nuances regulatórias únicas, vários princípios comuns emergem globalmente:

• Segurança por Design: Incorporar cibersegurança nas etapas iniciais de desenvolvimento do dispositivo.
• Gerenciamento de Risco Abrangente: Tratar a cibersegurança como um processo de ciclo de vida, em vez de uma avaliação única.
• Transparência e Comunicação com o Usuário: Garantir que os usuários — sejam pacientes, clínicos ou administradores de TI — tenham as informações necessárias para manter a segurança do dispositivo.
• Melhoria Contínua: Reconhecer que as ameaças de cibersegurança evoluem e exigem vigilância, testes e atualizações contínuas.

Ao entender e aderir a esses frameworks sobrepostos, porém regionalmente distintos, os fabricantes podem proteger os dados dos pacientes, garantir a integridade do dispositivo e manter o acesso ao mercado global. Fonte: Orientação regulatória sobre requisitos de cibersegurança para dispositivos médicos baseados em software

7. Conclusão

À medida que os ecossistemas de saúde se tornam cada vez mais digitalizados, a cibersegurança deixa de ser um recurso opcional — ela é um requisito fundamental. Ao entender e cumprir os frameworks regulatórios específicos dos Estados Unidos, Canadá, União Europeia e Reino Unido, os fabricantes de dispositivos médicos podem proteger os dados dos pacientes, manter a integridade do dispositivo e construir confiança. Fonte: Orientação regulatória sobre requisitos de cibersegurança para dispositivos médicos baseados em software