La ciberseguridad del producto sanitario
Venimos diciendo que la seguridad y funcionamiento clínico del producto sanitario son objetivos principales para MDR. Si bien, en un entorno Software, la seguridad de la información, su funcionamiento y estabilidad y la ciberseguridad del producto sanitario, son elementos imprescindibles.
Prueba de ello es la publicación del MDCG 2019-16, especificación y guía técnica creada especialmente por el Grupo de coordinación creado por la Comisión europea.
Análisis de riesgos
Esta deberá ser la manera de abordar los peligros, o situaciones peligrosas, relacionadas con la seguridad cibernética de un producto sanitario software. Conforme a la normativa armonizada, se deben analizar todos peligros conocidos, así como las situaciones relacionadas, que pudieran representar un riesgo.
El fabricante deberá mantener «vivo» este análisis durante todo el ciclo de vida del producto, desde la fase pre-comercialización como la post-comercialización.
Este análisis cuantificará la probabilidad y severidad del daño en el caso de que el riesgo terminara por aparecer, poniendo medidas (llamadas de mitigación y de reducción) para evitar que finalmente se represente o para reducir al mínimo posible sus consecuencias cuando así fuera.
Requisitos generales de seguridad y funcionamiento
Son las exigencias que se aplican a todo producto sanitario para que, en condiciones normales de uso, sean aptos para desempeñar su finalidad prevista.
En el caso del producto sanitario software, es exigible y necesario que el producto garantice la repetibilidad, la fiabilidad y el funcionamiento y seguridad de la información. Un riesgo relacionado con la ausencia de estos requisitos es, precisamente, la ciberseguridad.
En este aspecto, la guía invita a observar el estado actual de la técnica y generar un proceso de control del riesgo que permita mantener bajo condiciones aceptables este riesgo.
La verificación y la validación
Las figuras de la verificación y la validación, exigibles por la normativa armonizada ISO 13485, en relación con el sistema de gestión de calidad aplicable, se convierten en necesarias para comprobar (y evidenciar) la capacidad de cumplir estos requisitos.
Una estrategia adecuada de desarrollo se basará en la selección de normativa armonizada adecuada que nos permita identificar los requisitos y finalmente, evidenciarlos.
Una norma aplicable en este aspecto para productos software será la ISO 62304.