Revista Farmabiotec - Número 16

#16 farmaBIOTEC 77 Industria 4.0 compartidas por todas las soluciones. Entre ellas se incluyen las limitaciones derivadas del diseño de los dis- positivos, las políticas de los fabricantes y los riesgos específicos del entorno en el que operan (Greser, 2023). La potencial vulnerabilidad de estas herramientas a los ciberataques puede tener implicaciones para el ámbito sanitario que van mucho más allá de un intento de pirateo en las redes sociales. Este artículo aborda la ciberseguri- dad demostrando cómo pueden mitigarse los riesgos de amenazas mediante requisitos normativos. En la Unión Europea (UE) y en los Estados Unidos de América (EE. UU.), las autoridades competentes regulan rigurosamente la ciberseguridad de estos dispositivos médicos. EE. UU. En marzo de 2023, La Administración de Alimentos y Medicamentos de Estados Unidos ( Food and Drug Administration , FDA en sus siglas en inglés) publicó un conjunto de directrices actualizadas sobre ciberseguri- dad de los dispositivos médicos: Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions. Hasta ese momento, solo existían normas de segui- miento post-comercialización de un dispositivo; simples avisos y retiradas que obviaban la gestión preventiva de riesgos, y su impacto en la salud del paciente. Los proto- colos para la seguridad del ciclo de vida del dispositivo ni siquiera se contemplaban. A menudo, el fabricante no daba soporte a la versión usada, o no desarrollaba las actualizaciones pertinentes (denominada deuda tecno- lógica). Además, aunque los usuarios rechazaran ciertas actualizaciones, como las del software de un teléfono o un ordenador, algunas de ellas se “forzaban” sin poderlas retrasar o eliminar. Desafortunadamente, estas actualiza- ciones se debían a importantes fallos de seguridad identi- ficados por el fabricante. Los nuevos requerimientos Todos los fabricantes deben facilitar, en su solicitud inicial para la venta en EE. UU., un plan exhaustivo de gestión de riesgos de ciberseguridad para abordar, en un plazo razonable, las vulnerabilidades y las amenazas posteriores a la comercialización. Sin embargo, no solo se debe destacar la gestión razonable de la seguridad a lo largo de todo el ciclo de vida del producto, sino que se debe proporcionar una descripción completa de los pro- cesos de diseño, desarrollo y mantenimiento que garanti- cen la seguridad del producto en caso de vulnerabilidades críticas. Además, los fabricantes deben incluir una lista de materiales de software ( Software Bill of Materials , SBOM en sus siglas en inglés) y otro software de código abierto y de terceros, firmware y binarios, recursos en la nube e interfaces de programación de aplicaciones ( Application Programming Interface , API en sus siglas en inglés), acor- des con los elementos mínimos de la Administración Nacional de Telecomunicaciones e Información del Gobierno de Estados Unidos ( U.S. Government’s National Telecommunications and Information Administration , NTIA en sus siglas en inglés). Implicaciones jurídicas Las guías de la FDA no establecen responsabilidades jurídicamente exigibles, sino que deben considerarse sólo como recomendaciones, a menos que se citen requisi- tos reglamentarios o legales específicos. Sin embargo, desde el día 1 de octubre de 2023, la FDA ha emitido ya