No cenário atual, em que os dispositivos médicos estão em constante mudança, entender os requisitos técnicos que afetam essa indústria é apenas parte da equação.

Da mesma forma como outros setores, os fabricantes de dispositivos médicos (medical device manufacturers - MDMs) devem detectar sinais de transição e entendê-los antes que seus produtos se tornem obsoletos.

Um aspecto muitas vezes negligenciado no processo de inovação é o desenvolvimento de um plano de segurança cibernética e de riscos técnicos de longo prazo. Esse plano deve estar alinhado com as metas, objetivos de negócios e direção estratégica das organizações.

A segurança cibernética, a privacidade e o gerenciamento de riscos eficazes são fatores prioritários para os MDMs. No entanto, alguns deles têm apresentado dificuldades para entender o ponto inicial dessa jornada e quais são os investimentos necessários para essas iniciativas.

Essas são algumas das reflexões do artigo Medical Device Cybersecurity & Privacy, produzido pela KPMG.

A FDA (Food and Drug Administration) – agência de fiscalização norte-americana – recomenda o uso de uma série de frameworks e padrões para modelar a segurança cibernética, a privacidade e o gerenciamento de riscos para essa indústria.

Para escolha da estrutura de segurança cibernética, é importante selecionar uma solução de privacidade como parte desse processo.

Algumas normas ISO são recomendadas para integrar as práticas de segurança cibernética. As que seguem abaixo são as mais pertinentes aos dispositivos médicos:

• ISO 14971:2007 (aplicação da gestão de riscos para dispositivos médicos): especifica um processo para que os MDMs identifiquem os riscos associados aos dispositivos médicos, implementem controles e monitorem a sua eficácia.
• ISO 30111:2013 (técnicas de segurança da informação e processo de tratamento de vulnerabilidades): fornece orientações sobre o processamento e resolução de potenciais vulnerabilidades descobertas em um produto ou serviço on-line.
• ISO 29147:2014 (tecnologia da informação, segurança técnica e divulgação de vulnerabilidade): aborda a interface entre organizações que descobrem vulnerabilidades ou usam dispositivos ou produtos afetados por elas.

Para o setor de dispositivos médicos, a adequação aos padrões de segurança cibernética é essencial para o cumprimento de diretrizes da FDA (no caso de produtos comercializados nos EUA) e alinhamento com as principais práticas da indústria.

Esse movimento de atualização nos processos irá preparar melhor os fabricantes e provedores para futuras normas e regulamentos em outros países, além de se tornar um diferencial em relação aos concorrentes que se mantiverem despreparados nessa área.

Espera-se que, em breve, órgãos reguladores fora dos EUA sigam o exemplo da FDA, fortalecendo a segurança cibernética e a privacidade na indústria de saúde e nos dispositivos médicos.