Ir ao contido principal

Saúde-ISAC Hacking Healthcare 1-26-2026

Esta semana, Saúde-ISAC®'s Hacking Healthcare® examina o período público aberto de presentación de comentarios da Comisión Europea sobre unha iniciativa que busca simplificar as normas da UE para os dispositivos médicos e os diagnósticos in vitro.[I] A proposta de regulación publicada recentemente inclúe cambios salientables nas disposicións de ciberseguridade. Únete a nós para resumir a iniciativa e destacar os elementos de ciberseguridade propostos.

As a reminder, this is the public version of the Hacking Healthcare blog. Para obter análises e opinións máis profundas, convértete en membro de H-ISAC e recibe a versión TLP Amber deste blog (dispoñible no Portal dos membros).

 

Versión PDF:

 

Versión de texto:

Benvido de novo a Hacking Healthcare® !

A revisión proposta pola UE do Regulamento de dispositivos médicos inclúe actualizacións dos requisitos de ciberseguridade

A principios de setembro do ano pasado, a Comisión Europea publicou unha convocatoria de probas para obter comentarios sobre unha «revisión específica das normas da UE para os dispositivos médicos e os diagnósticos in vitro».[I] [Ii]O obxectivo da proposta sería "simplificar e preparar o marco regulatorio para o futuro reducindo a carga administrativa e mellorando a previsibilidade e a eficiencia en termos de custos, preservando ao mesmo tempo un alto nivel de saúde pública e seguridade dos pacientes".[III]

Tras recibir case 450 respostas, a Comisión Europea publicou a súa proposta completa, incluíndo os cambios nas disposicións sobre ciberseguridade, e abriu unha nova rolda de comentarios para fundamentar os próximos debates lexislativos entre a Comisión Europea, o Parlamento Europeo e o Consello Europeo. Analicemos a proposta, centrándonos nos elementos de ciberseguridade, e avalíemos o que os membros de Health-ISAC deberían sacar desta iniciativa.

A que normativas se lles está a dirixir?

A proposta ten como obxectivo dous regulamentos xa existentes, o Regulamento (UE) 2017/745 sobre produtos sanitarios e o Regulamento (UE) 2017/746 sobre produtos sanitarios para diagnóstico in vitro, que axudan a abarcar os máis de 2 millóns de tecnoloxías médicas que existen en Europa.[IV] Como subliña a avaliación da Comisión Europea, os produtos cubertos por estes regulamentos «desempeñan un papel fundamental á hora de salvar vidas ao proporcionar solucións sanitarias innovadoras para o diagnóstico, a prevención, a monitorización, a predición, o prognóstico, o tratamento ou o alivio de enfermidades».[V] Ambos os regulamentos publicáronse o 5 de abril de 2017 e entraron en vigor en maio dese ano, pero aínda que levan en vigor desde maio de 2021 e maio de 2022 respectivamente, o período de transición para a súa plena aplicación ampliouse considerablemente debido a diversos desafíos.

En canto á súa cobertura, o Regulamento (UE) 2017/745, sobre produtos sanitarios, establece as «normas relativas á comercialización, posta a disposición no mercado ou posta en servizo de produtos sanitarios para uso humano e accesorios para ditos produtos na Unión [Europea]. O Regulamento tamén se aplica ás investigacións clínicas relativas a ditos produtos sanitarios e accesorios realizadas na Unión».[Vin] Mentres que o Regulamento (UE) 2017/746, sobre produtos sanitarios para diagnóstico in vitro, aborda o mesmo pero para os produtos in vitro.[Vii]

Catalizador para a proposta

En 2024, a Comisión Europea iniciou unha avaliación específica do Regulamento (UE) 2017/745 sobre produtos sanitarios (MDR) e do Regulamento (UE) 2017/746 sobre produtos sanitarios para diagnóstico in vitro (IVDR) co obxectivo de avaliar a eficacia das normas, os custos administrativos e financeiros das normas e os beneficios para os pacientes e os usuarios.[VIII] A avaliación adiantouse ao previsto (tecnicamente non era legalmente obrigatorio antes de maio de 2027) e antes de que os dous regulamentos se implementasen plenamente debido a diversos desafíos de implementación.

Segundo a Comisión Europea, a avaliación concluíu que «aínda que o marco regulador da UE se beneficia dunha infraestrutura máis robusta para dispositivos médicos seguros e eficientes, non sempre é eficaz para acadar os seus obxectivos».[Ix] Isto incluía custos de cumprimento desproporcionados e distribuídos de xeito desigual e a posibilidade de requisitos contraditorios ou superpostos con outras normas e regulamentos da UE (como a Lei de IA e NIS2).

Actualizacións de ciberseguridade propostas

Asunto: A Comisión Europea determinou que o estado actual dos dispositivos médicos e dos dispositivos médicos para diagnóstico in vitro que non entran no ámbito de aplicación do Regulamento (UE) 2024/2847 (Lei de ciberresiliencia) creou unha lagoa de ciberseguridade que cómpre abordar. Os requisitos de notificación actuais do artigo 87 do MDR e do 82 do IVDR (Normas de vixilancia) non esixen que se notifiquen os incidentes relacionados coa ciberseguridade que non afecten á saúde pública ou á seguridade dos pacientes.

Proposta: MDR: novo artigo 87a, anexo I e IVDR: novo artigo 82a, anexo I.

«Os incidentes graves notificados de acordo co sistema de vixilancia establecido no marco do MDR ou IVDR, que tamén se cualifican como vulnerabilidades explotadas activamente e incidentes graves segundo o disposto no Regulamento (UE) 2024/2847 sobre ciberresiliencia, poranse á disposición dos equipos nacionais de resposta a incidentes de seguridade informática («CSIRT») pertinentes e da Axencia da Unión Europea para a Ciberseguridade (ENISA). Ademais, os fabricantes terán que notificar aos CSIRT e á ENISA a través de Eudamed as vulnerabilidades explotadas activamente e os incidentes graves que non se cualifican como incidentes graves no sentido do MDR ou IVDR.»[X] Ademais, «no anexo I do MDR/IVDR, a ciberseguridade mencionarase explicitamente nos requisitos xerais de seguridade e rendemento».[Xi]

A proposta obrigaría a un fabricante cuberto a presentar un informe requirido non máis tarde de 30 días despois de ter coñecemento da vulnerabilidade explotada activamente ou do incidente grave.

 

Acción e Análise
**Incluído coa subscrición Health-ISAC**

 

[I] https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14808-Medical-devices-and-in-vitro-diagnostics-targeted-revision-of-EU-rules_en

[Ii] En concreto, o Regulamento (UE) 2017/745 sobre os produtos sanitarios (MDR) e o Regulamento (UE) 2017/746 sobre os produtos sanitarios para diagnóstico in vitro (IVDR).

[III] https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14808-Medical-devices-and-in-vitro-diagnostics-targeted-revision-of-EU-rules_en

[IV] https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14808-Medical-devices-and-in-vitro-diagnostics-targeted-revision-of-EU-rules_en

[V] Avaliación – Documento de traballo de 2025 (SWD) https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14808-Medical-devices-and-in-vitro-diagnostics-targeted-revision-of-EU-rules_en

[Vin] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A02017R0745-20260101

[Vii] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A02017R0746-20250110

[VIII] https://ec.europa.eu/newsroom/sante/items/861619/

[Ix] Resumo executivo da avaliación. https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14808-Medical-devices-and-in-vitro-diagnostics-targeted-revision-of-EU-rules_en

[X] https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14808-Medical-devices-and-in-vitro-diagnostics-targeted-revision-of-EU-rules_en

[Xi] https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14808-Medical-devices-and-in-vitro-diagnostics-targeted-revision-of-EU-rules_e

  • Recursos e noticias relacionados
Boletín mensual de febreiro de 2026
Informe anual de ameazas: sector sanitario 2026