Revista Farmabiotec - Número 16

78 farmaBIOTEC #16 las primeras cartas de rechazo de aceptación (Refuse to Accept, RTA en sus siglas en inglés) de aquellas solici- tudes que no cumplieran los nuevos requisitos de ciber- seguridad. Además, si el dispositivo se desconecta, o se pierden datos de los pacientes, los fabricantes están suje- tos a la ley de Portabilidad y Responsabilidad de Seguros Médicos (Health Insurance Portability and Accountability Act, HIPAA en sus siglas en inglés), o a la norma de infrac- ción de la Comisión Federal de Comercio (Federal Trade Commission, FTC en sus siglas en inglés). Para evitar estos imprevistos, la FDA ha desarrollado un manual de preparación y respuesta ante incidentes de ciberseguridad y el manual de modelado de amenazas en dispositivos médicos. Una documentación detallada es la mejor defensa de un fabricante a medida que se mueva por el campo minado de la ciberseguridad. UE La ciberseguridad de los productos sanitarios se ha convertido en una de las mayores preocupaciones de los legisladores médicos. Los riesgos de ciberseguridad se abordan en diversas leyes que se centran específi - camente en los datos, la inteligencia artificial (IA) y las normas sectoriales (incluidas las específicas del sector sanitario). El Reglamento Europeo de Productos Sanitarios 2017/745 ( Medical Device Regulation , MDR en sus siglas en inglés) es la legislación que detalla los requisitos esen- ciales de seguridad y funcionamiento que deben cumplir los fabricantes para comercializar productos sanitarios en la UE. Estos requisitos, pertinentes desde el punto de vista de la ciberseguridad, se complementan con los del Grupo de Coordinación de Productos Sanitarios ( Medical Device Coordination Group , MDCG en sus siglas en inglés), un organismo creado por la misma Comisión Europea para orientar sobre la regulación de este sector. Junto con el Reglamento, la Directiva NIS2 establece medidas de gestión de riesgos de ciberseguridad y obli- gaciones de información para las entidades incluidas en su ámbito de aplicación. Finalmente, el Reglamento General de Protección de Datos o Reglamento 2016/679 ( General Data Protection Regulation , GDPR en sus siglas en inglés) contiene nor- mas para el tratamiento seguro de los datos personales que establecen el principio de integridad y confidenciali - dad del tratamiento. El incumplimiento del GDPR, depen- diendo de las circunstancias del caso, puede estar sujeto a multas administrativas de hasta 10.000.000 (€) de euros o hasta el 2% de la facturación anual global del ejercicio financiero anterior de la empresa. La norma internacional IEC 81001-5-1: 2022, ya rati- ficada por la Asociación Española de Normalización en marzo de 2022, establece los requisitos de seguridad para el software sanitario. Se trata de una norma de procesos esencial para todo el ciclo de vida de la ciberseguridad. Sin embargo, las pruebas de penetración y fuzzing , ambas fundamentales para llevar a cabo una sólida estrategia de ciberseguridad, se describen solo de manera superficial. Los auditores han emitido los primeros veredictos: diagramas inadecuados de arquitectura o de diseño del software, una gestión poco sistemática de los riesgos de ciberseguridad, pruebas de penetración malas o ausentes, y conocimiento insuficiente de los conceptos de seguridad son los errores que se deben evitar para enfrentar los desa- fíos asociados a la construcción de un modelo sanitario de mejor calidad, y realmente centrado en el paciente. Las ciberamenazas a los dispositivos IoMT constituyen un auténtico reto para todas las partes interesadas. La cuestión de la ciberseguridad en la agenda de la regula- ción tanto de la Comisión Europea como de la FDA abarca este tipo de productos. Una normativa adecuada puede aumentar su seguridad y conducir a una mejor protec- ción. En el caso de los productos sanitarios, los requisitos para los fabricantes derivan del MDR y el IVDR para los dispositivos comercializados en la Unión Europea. En vista de los retos que plantea los dispositivos IoMT para los pacientes y usuarios, los trabajos relativos a este asunto deben tener la máxima prioridad para los organis- mos reguladores. Un retraso en la redacción de normas y reglamentos puede repercutir negativamente en el nivel de ciberseguridad. Desde el punto de vista de los fabrican- tes, es muy recomendable realizar una adecuada estrate- gia de regulación en la que la ciberseguridad tenga una posición esencial, de manera que se pueda comercializar el producto de la manera más segura para el paciente. Referencias • Cartwright, A. J. (2023). The elephant in the room: cyber - security in healthcare. Journal of Clinical Monitoring and Computing, 37(5), 1123–1132. https://doi.org/10.1007/ s10877-023-01013-5 • Greser, J. (2023). A step forward in health-related IoT cyber - security: remarks on the proposal for a liability for defective products directive. Frontiers in Digital Health, 5, 1193255. https://doi.org/10.3389/fdgth.2023.1193255 • iData Research. Firmware Update to Address Cybersecurity Vulnera-bilities Identified in Abbott's (formerly St. Jude Medical's) ImplantableCardiac Pacemakers: Comunicación de seguridad de la FDA. 2017. Disponible en: https://idatare- search.com/firmware-update-address-cybersecurity-vulnera - bilities-identified-abbotts-formerly-st-jude-medicals-implanta - ble-cardiac-pacemakers-fda-safety-communication/.[fecha de acceso: 30 de noviembre de 2022]. • Directiva NIS2: Link: https://www.incibe.es/ incibe-cert/publicaciones/bitacora-de-seguridad/ aprobacion-directiva-nis2 Industria 4.0