La ciberseguridad y producto sanitario son dos términos juntos para siempre. En pleno auge tecnológico; ¿cómo ha cambiado el concepto de la seguridad (Safety), cómo el de la eficacia o funcionamiento (performance)?. ¿Cómo afectan a nuestra seguridad clínica las posibles brechas de ciberseguridad?
Ciberseguridad y producto sanitario
Estaremos de acuerdo que nos encontramos ante uno de los mercados más, y más duramente, regulados desde el punto de vista de la Regulación. Cierto es que, desde mi punto de vista, esto no es una casualidad. El producto sanitario ha tomado un camino hacia la evolución tecnológica que, creo, que ya nunca abandonará.
¿Sería razonable pensar en un hackeo de un producto sanitario, considerado crítico para la vida del usuario quién lo porta, como un desfibrilador implantable o subcutáneo? Sin ir al extremo, ¿sería posible pensar en un ciberataque a un software como producto sanitario (SaMD, por sus siglas en inglés)? La respuesta es que sí.
Considero que, bajo la sombra de la nueva Regulación del producto sanitario (MDR e IVDR) se ha creado la nueva Directiva de ciberseguridad (Directiva (UE)2022/2555 del parlamento europeo y del Consejo).
Dice el Art. 1 de la misma que «tienen por objeto alcanzar un elevado nivel común de ciberseguridad en toda la Unión». Pretende ser el centro de la seguridad cibernética en la Unión.
El Anexo II cita explícitamente la «Fabricación de producto sanitario y producto sanitario in-vitro (MDR e IVDR)». Por su parte, se nombra directamente a «la seguridad pública o la salud pública», de forma que queda especificada la relación entre ambas regulaciones y sectores.
El Art. 3 representa las entidades esenciales e importantes, donde quedan recogidas las empresas fabricantes de producto sanitario (no diferencia de forma específica a las que se dediquen únicamente a las desarrolladoras de tecnología o software, aunque parece evidente que quedan afectadas por su propio análisis de riesgos, y gestión de los mismos).
Ciberseguridad, producto sanitario y gestión de riesgos
El Art. 6 realiza una amplia documentación de las definiciones relacionadas. Destaca especialmente (En relación con el producto sanitario) la de riesgo.
«riesgo»: la posible pérdida o perturbación causada por un incidente expresada como una combinación de la magnitud de tal pérdida o perturbación y la probabilidad de que se produzca tal incidente;
Seguimiento de producto sanitario
El Art. 7 introduce el ya manido concepto de «Estrategia nacional de ciberseguridad», donde en mi opinión se siguen manteniendo la calma tenga entre la gestión Europea VS la nacional (es una opinión personal). El Art. 8 expresa las «Autoridades nacionales», que personalmente considero las piezas clave en la gestión del proceso y la referencia más fiable en términos de Seguimiento Post-market.
En este aspecto, el Art. 12 requiere una «Divulgación coordinada de las vulnerabilidades y una base de datos europea de vulnerabilidades». Ésta, es la conocida como ENISA. Se trata del organismo responsable de:
- identificar y contactar a las entidades afectadas.
- prestar asistencia a las personas físicas o jurídicas que notifican una vulnerabilidad, y
- de negociar los plazos de divulgación y gestionar las vulnerabilidades que afectan a múltiples entidades.
En mi opinión, será la fuente más válida de recogida de datos en relación con la ciberseguridad y la esencia del seguimiento Post-market en términos de ciberseguridad, dando por sentado que en el momento de lanzarse al mercado, el producto cumple totalmente los requisitos aplicables..