La FDA ahora exige que todas las solicitudes de precomercialización para "productos cibernéticos" incluyan un plan integral de ciberseguridad. La Sección 524B de la Ley FD&C, promulgada a través de la Ley de Asignaciones Consolidadas de 2023, otorgó a la FDA la autoridad explícita para rechazar la aceptación de solicitudes que carezcan de documentación adecuada de ciberseguridad. La Guía de Ciberseguridad Precomercialización de la FDA (septiembre de 2023) detalla exactamente lo que los fabricantes deben proporcionar.
¿Qué es un "producto cibernético"?
Según la Sección 524B, un producto cibernético es cualquier producto que:
- Incluya software validado, instalado o autorizado por el promotor
- Tenga la capacidad de conectarse a internet
- Contenga cualquier característica tecnológica que pueda ser vulnerable a amenazas de ciberseguridad
Esta definición es intencionalmente amplia. Abarca bombas de infusión conectadas, dispositivos cardíacos implantables con telemetría inalámbrica, sistemas de diagnóstico por imagen en redes hospitalarias y SaMD conectados a la nube. Si su producto tiene software y alguna forma de conectividad de red, es un producto cibernético.
Requisitos de la solicitud de precomercialización
La FDA espera la siguiente documentación de ciberseguridad en cada solicitud 510(k), De Novo y PMA para productos cibernéticos:
Gestión de riesgos de seguridad: Una evaluación de riesgos de ciberseguridad que identifique amenazas y vulnerabilidades, evalúe su impacto potencial en la seguridad y eficacia del producto, y documente los controles implementados para mitigarlos. La FDA recomienda alinearse con AAMI TIR57 (Principios para la seguridad de productos sanitarios) y utilizar marcos de modelado de amenazas como STRIDE.
Marco de Desarrollo de Producto Seguro (SPDF): Evidencia de que la seguridad se integró en el ciclo de vida del desarrollo de software. Esto incluye prácticas de codificación segura, análisis estático y dinámico, pruebas de penetración y evaluación de seguridad de componentes de terceros.
Lista de materiales de software (SBOM): Un SBOM en formato legible por máquina que enumere todos los componentes de software, incluido el software comercial, de código abierto y estándar. El SBOM debe incluir nombres de componentes, versiones y proveedores. La FDA acepta formatos alineados con los elementos mínimos de la NTIA.
Plan de gestión de ciberseguridad: Un plan poscomercialización que describa cómo el fabricante:
- Monitorizará el producto y su ecosistema en busca de vulnerabilidades
- Evaluará y clasificará las vulnerabilidades identificadas
- Desplegará parches y actualizaciones de manera oportuna
- Comunicará a los usuarios los riesgos y acciones de ciberseguridad
Política de divulgación de vulnerabilidades: Un proceso documentado de divulgación coordinada de vulnerabilidades (CVD) que permita a investigadores externos informar sobre vulnerabilidades y garantice una respuesta oportuna.
Obligaciones precomercialización frente a poscomercialización
| Área | Precomercialización (Sección 524B) | Poscomercialización |
|---|---|---|
| Evaluación de riesgos | Requerida en la solicitud | Debe actualizarse cuando surjan nuevas amenazas |
| SBOM | Requerido en la solicitud | Debe mantenerse y actualizarse con cada versión de software |
| Parcheado | Plan requerido en la solicitud | Los parches deben desplegarse de manera oportuna durante todo el ciclo de vida del producto |
| Monitorización de vulnerabilidades | Plan requerido | Monitorización activa requerida para vulnerabilidades conocidas en los componentes |
| Divulgación coordinada | Política requerida | Debe estar operativa y ser receptiva |
| Notificación de incidentes | Plan referenciado | Sujeto a los requisitos de notificación existentes del MDR (21 CFR Parte 803) |
Rechazo de aceptación: qué ocurre sin documentación de ciberseguridad
Desde el 1 de octubre de 2023, la FDA aplica criterios de Rechazo de Aceptación (RTA) para ciberseguridad. Si su solicitud para un producto cibernético no incluye la documentación de ciberseguridad requerida, la FDA rechazará su aceptación para revisión sustantiva. Su solicitud no entrará en la cola de revisión hasta que se proporcione la documentación.
Esto no es una deficiencia de revisión discrecional. Es una barrera firme en la fase de aceptación.
SBOM: requisitos prácticos
El SBOM debe proporcionarse para cada componente de software del producto, incluyendo:
- Sistema operativo y componentes del kernel
- Bibliotecas y frameworks de terceros
- Paquetes de software de código abierto
- Firmware personalizado y código de aplicación (por nombre de componente y versión)
La FDA espera que los fabricantes monitoricen activamente los componentes del SBOM en busca de vulnerabilidades conocidas utilizando recursos como la Base de Datos Nacional de Vulnerabilidades (NVD) y evalúen si los CVE identificados afectan la seguridad o eficacia del producto.
| Elemento del SBOM | Detalle requerido |
|---|---|
| Nombre del componente | Nombre completo tal como lo publica el proveedor |
| Versión | Número de versión exacto desplegado en el producto |
| Proveedor | Desarrollador o distribuidor original |
| Relaciones de dependencia | Dependencias directas y transitivas |
| Hash/suma de verificación | Valor de verificación de integridad (recomendado) |
Comparación con los requisitos de la UE
Los fabricantes que venden tanto en EE. UU. como en la UE enfrentan requisitos de ciberseguridad de múltiples marcos:
| Requisito | FDA (Sección 524B) | MDR de la UE (Anexo I, 17.4) | CRA de la UE (si aplica) |
|---|---|---|---|
| Evaluación de riesgos | AAMI TIR57 / STRIDE | ISO 14971 + MDCG 2019-16 | Anexo I Parte I del CRA |
| SBOM | Requerido en la solicitud precomercialización | No requerido explícitamente (cubierto por documentación técnica) | Requerido, mantenido durante todo el ciclo de vida |
| Notificación de vulnerabilidades | Política CVD + MDR 803 | Sistema de vigilancia (Artículo 87 del MDR) | 24h/72h/14 días al CSIRT/ENISA |
| Parcheado | Plan de ciclo de vida requerido | Cubierto por el plan de PMS | Actualizaciones de seguridad durante mínimo 5 años |
| Pruebas de penetración | Esperadas en la evidencia del SPDF | Recomendadas en MDCG 2019-16 | Esperadas bajo seguridad desde el diseño |
¿Busca la herramienta de inteligencia regulatoria adecuada? Lea nuestra guía para evaluar plataformas de inteligencia regulatoria.
Conclusiones clave
- Todo producto sanitario conectado ("producto cibernético") debe incluir documentación integral de ciberseguridad en las solicitudes de precomercialización de la FDA
- La FDA rechazará la aceptación de solicitudes que carezcan de documentación de ciberseguridad
- Un SBOM es obligatorio y debe monitorizarse activamente en busca de vulnerabilidades conocidas
- Los fabricantes deben operar una política de divulgación coordinada de vulnerabilidades
- Se requiere un plan de gestión de ciberseguridad poscomercialización con compromisos de parcheado y monitorización
- Los fabricantes con destino a la UE deben alinear su enfoque de ciberseguridad con las expectativas de la FDA y los requisitos del MDR/CRA para evitar duplicación de esfuerzos
Cómo ayuda RegAid
RegAid cubre la guía de ciberseguridad de la FDA, los requisitos de ciberseguridad del Anexo I del MDR de la UE y la MDCG 2019-16. Pregunte "¿Qué documentación de ciberseguridad exige la FDA para una solicitud 510(k)?" y obtenga una respuesta con citas que relaciona los requisitos de la Sección 524B con la guía precomercialización de la FDA y las expectativas del SBOM.