Orientação sobre Cibersegurança para Dispositivos Médicos – Expectativas da Health Canada

Finalidade e Escopo

Este documento de orientação fornece recomendações aos fabricantes sobre como abordar riscos de cibersegurança em dispositivos médicos ao longo de seu ciclo de vida, em alinhamento com os Regulamentos de Dispositivos Médicos e padrões internacionais como IEC 81001-5-1. Aplica-se a todos os dispositivos médicos conectados ou capazes de comunicação em rede, incluindo software como dispositivo médico (SaMD), onde ameaças cibernéticas possam afetar segurança, eficácia ou integridade de dados. Fonte: Guidance on Cybersecurity for Medical Devices - Canada.ca

Expectativas Principais de Cibersegurança

Integração à Gestão de Risco

• Incorporar cibersegurança ao processo geral de gestão de risco conforme ISO 14971
• Identificar ameaças e vulnerabilidades cibernéticas como perigos previsíveis
• Avaliar explorabilidade, gravidade do impacto em pacientes/usuários e probabilidade
• Implementar controles de risco proporcionais aos riscos identificados

Design e Desenvolvimento Seguro

• Aplicar princípios de security by design desde o início
• Utilizar práticas seguras de codificação e modelagem de ameaças
• Implementar autenticação, autorização, criptografia e protocolos de comunicação segura
• Garantir boot seguro, verificação de integridade de firmware e mecanismos de atualização segura

Gestão de Vulnerabilidades

• Estabelecer processos para monitoramento, identificação e avaliação de vulnerabilidades
• Manter Software Bill of Materials (SBOM) quando viável
• Desenvolver e comunicar políticas de divulgação coordenada de vulnerabilidades
• Fornecer patches e mitigações oportunas para vulnerabilidades identificadas

Vigilância Pós-Mercado e Resposta a Incidentes

• Monitorar fontes de informação de cibersegurança e inteligência de ameaças
• Possuir procedimentos para detecção, resposta e notificação de incidentes cibernéticos
• Notificar a Health Canada de incidentes reportáveis conforme Regulamentos de Dispositivos Médicos
• Manter capacidade de atualizações seguras contínuas ao longo do ciclo de vida do dispositivo

Rotulagem e Documentação

• Incluir informações de cibersegurança na rotulagem e instruções de uso
• Fornecer recomendações para configuração segura, isolamento de rede e responsabilidades do usuário
• Documentar controles de cibersegurança e riscos residuais nos arquivos técnicos

Considerações Práticas de Implementação

• Adotar orientações do IMDRF e internacionais (ex.: orientação pré-mercado de cibersegurança da FDA) quando consistentes
• Realizar testes de penetração e avaliações de segurança regulares
• Colaborar com parceiros da cadeia de suprimentos para garantir segurança em nível de componente
• Planejar cenários de fim de suporte e riscos de dispositivos legados

Esta orientação apoia fabricantes na construção de dispositivos médicos resilientes a ciberameaças e alinha as expectativas canadenses com melhores práticas globais. Recomendações detalhadas, exemplos de avaliação de risco e referências a padrões de apoio estão disponíveis no documento oficial de orientação da Health Canada sobre cibersegurança para dispositivos médicos. Fonte: Guidance on Cybersecurity for Medical Devices - Canada.ca