La ciberseguridad de los productos sanitarios no es opcional: es una obligación regulatoria y está directamente vinculada a la seguridad del paciente. El MDR exige un enfoque sistemático y trazable para la identificación, evaluación y mitigación de los riesgos de ciberseguridad a lo largo de todas las fases del ciclo de vida del producto. VamiSec le acompaña en el camino hacia el cumplimiento total conforme a MDCG 2019-16, IEC 62304, IEC 81001-5-1 y las mejores prácticas internacionales (IEC 62443, SAE 21434, ISO 14971).
En cuanto un producto sanitario es un sistema de IA o integra uno, suele clasificarse como IA de alto riesgo: además del MDR, se aplican los requisitos del AI Act. Nuestro resumen interactivo muestra las 16 áreas clave, su grado de solapamiento con el MDR y una verificación de alto riesgo.
Descubrir el AI Act para productos sanitariosSeguridad vs. seguridad: la ciberseguridad debe ir de la mano de la seguridad del paciente.
La MDCG 2019-16 (Guideline on medical device cybersecurity) es la guía de referencia europea central para fabricantes y autoridades. Concreta los requisitos del MDR y define qué capacidades de seguridad (Security Capabilities), qué requisitos mínimos del entorno operativo y qué documentación se esperan. Su idea central es la siguiente: los riesgos de ciberseguridad pueden conducir directamente a riesgos de daño para el paciente.
Annex III – Referencing Standards
Annex IV – Risk Management
Annex I & II – Incidents & Vigilance
Riesgo, seguridad, safety y responsabilidad compartida bajo MDR / IVDR: los principios fundamentales de la MDCG 2019-16 de un vistazo.
Risk = Probability of Harm × Severity of Harm
Una comprensión unificada del riesgo a través de MDR / IVDR, para security, safety y eficacia.
Seguridad anclada desde el principio en la arquitectura y el desarrollo.
Medidas conforme al estado actual de la técnica.
La seguridad no debe menoscabar el beneficio ni la eficacia clínica.
El fabricante asume la responsabilidad principal a lo largo de todo el ciclo de vida.
Secure Design, Risk Management, Guidance
Secure Configuration, Training
Secure Operation, Incident Reporting
Intended Use, Cyber Awareness, Data Protection
Para apoyar la implementación del Medical Device Security Lifecycle: las directrices MDCG relevantes, agrupadas por área temática.
Guidance on Cybersecurity for Medical Devices
Cualificación y clasificación del software (MDSW)
Evaluación clínica / del rendimiento del software de dispositivos médicos
MDSW – Combinaciones de software/hardware
Vigilancia poscomercialización de dispositivos médicos e IVD
Preguntas y respuestas sobre términos y conceptos de vigilancia
Guía de vigilancia específica por dispositivo (DSVG) – Plantilla
Informe periódico actualizado de seguridad (PSUR)
Guía sobre normalización para dispositivos médicos
Comercialización segura de aplicaciones MDSW en plataformas en línea
Persona responsable del cumplimiento de la normativa (PRRC)
Integración del UDI en el QMS
EUDAMED – Prácticas administrativas provisionales (MDR)
Asignación de UDI al software de dispositivos médicos
EUDAMED – Prácticas administrativas provisionales (IVDR)
Preguntas frecuentes sobre la EMDN (Nomenclatura Europea de Dispositivos Médicos)
* Las directrices MDCG no son jurídicamente vinculantes, pero reflejan la interpretación común de la UE de los requisitos del MDR (EU) 2017/745 e IVDR (EU) 2017/746.
"Cybersecurity risks can directly translate into patient safety risks" – MDCG 2019-16
Durante mucho tiempo, la seguridad de TI y la seguridad funcional se trataron como dominios separados. La MDCG 2019-16 invierte esta perspectiva: un ciberataque exitoso contra un dispositivo médico pone en peligro de forma inmediata la seguridad del paciente. Por ello, ambos sistemas de gestión de riesgos deben integrarse entre sí.
Cyber incidents affecting patient safety
La gestión de riesgos de ciberseguridad y de seguridad (EN ISO 14971) se desarrollan en paralelo con los mismos pasos de proceso. Lo decisivo son las interrelaciones: todo riesgo de seguridad o control con posible impacto en la seguridad (safety) debe incorporarse a la evaluación de riesgos de safety, y viceversa.
* MDCG 2019-16 Rev.1, Annex IV: La gestión de riesgos de seguridad tiene los mismos elementos que la gestión de riesgos de safety; ambas deben considerarse de forma integrada.
El MDCG 2019-16 define siete fases del ciclo de vida; para cada una de ellas se aplican objetivos específicos de ciberseguridad. Continuamente surgen nuevos vectores de ataque: lo que hoy es seguro puede estar comprometido mañana. Una gestión sistemática de estas fases garantiza una seguridad proactiva.
VamiSec-Nachweise: Gap Analysis, Security Charter, Requirement Specification
Cada fase requiere documentos, procesos y controles específicos. VamiSec le ayuda a integrar estos objetivos de forma fluida en sus procesos de QMS y desarrollo existentes.
MDCG 2019-16 Annex I: capacidades mínimas de seguridad según el estado de la técnica actual.
La guía define Security Capabilities concretas que los productos sanitarios deben implementar según su categoría de riesgo. Al mismo tiempo, se establecen requisitos mínimos para el entorno operativo, ya que la seguridad es una Shared Responsibility entre fabricante y operador.
Strong Authentication, Multi-Factor Authentication (MFA), control de acceso basado en roles (RBAC), principio de Least Privilege.
MDCG 2019-16, Sec. 4.1
End-to-End Encryption, TLS 1.2+, gestión de claves, Secrets Management, Hardware Security Modules (HSM) para claves sensibles.
MDCG 2019-16, Sec. 4.2
Firmas digitales, checksums, Code Signing, Firmware Verification, medidas anti-tampering.
MDCG 2019-16, Sec. 4.3
Registro completo de eventos de seguridad, Tamper Evidence, Audit Trails, Immutable Logs, Monitoring y Alerting.
MDCG 2019-16, Sec. 4.4
Graceful Degradation, mecanismos de failover, mitigación de DoS, Business Continuity Planning, Incident Response (CSIRT).
MDCG 2019-16, Sec. 4.5
Múltiples capas de seguridad (red, aplicación, sistema), segmentación, firewalls, IDS/IPS, Web Application Firewalls (WAF).
MDCG 2019-16, Sec. 3
El fabricante debe documentar y comunicar estos requisitos claramente en la IFU. El operador (clínica, hospital) es responsable de su implementación, una Shared Responsibility.
Cada capa está diseñada de forma independiente y redundante. Una brecha en la capa 1 (red) no significa automáticamente acceso a la capa 3 (aplicación). Esta defensa en profundidad no es opcional: es un estándar regulatorio.
El Threat Modeling no es opcional: es una actividad exigida por la normativa que debe llevar a cabo de forma sistemática para identificar y evaluar los ciberriesgos. La MDCG 2019-16 y la IEC 62304 establecen que los fabricantes deben elaborar y documentar un Threat Model formal para su producto sanitario.
Desde el Data Flow Diagram hasta la Kill Chain: anticipar ataques de forma estructurada.
Visualización del movimiento de los datos en el sistema: procesos, almacenes de datos, entidades externas, Trust Boundaries. Los DFD revelan dónde los datos son sensibles y por dónde podrían penetrar los atacantes.
Beispiel: Un dispositivo de terapia se comunica con un backend en la nube. ¿Por dónde fluyen los datos de terapia? ¿Quién tiene acceso? ¿Dónde se sitúan los límites del cifrado?
VamiSec-Ansatz: VamiSec elabora DFD en varios niveles: System-Level, Sub-System-Level, Network-Level.
Design Phase: crear DFD + análisis STRIDE
Development Phase: Attack Trees para funciones críticas
Pre-Release: Kill Chain Mapping + MITRE ATT&CK Assessment
Post-Market: Continuous Threat Monitoring frente a nuevas ATT&CK Techniques
VamiSec-Nachweise: Threat Model Report, Attack Tree Diagrams, Kill Chain Assessment, MITRE ATT&CK Mapping
Seguridad de principio a fin: no como una idea tardía, sino como principio fundamental.
Un producto sanitario con una arquitectura segura y un buen diseño solo está medio resuelto: la implementación real es la que decide. El modelo SSDLC integra medidas de seguridad en cada paso del desarrollo de software: desde la definición de requisitos, pasando por los Code Reviews, hasta la supervisión continua en operación. DevSecOps automatiza estos controles en pipelines de CI/CD.
Tools: Herramientas de Threat Modeling, Risk Assessment Matrix, Security Requirement Specification
Tools: Architecture Review Board, Design Review Checklist, estándares de seguridad (IEC 62443, SAE 21434)
Tools: Plataformas de revisión de código (GitHub, GitLab), herramientas de escaneo de secretos, IDE con análisis estático
Tools: SonarCloud/SonarQube (SAST), Snyk/Veracode (SCA), OWASP Dependency-Check, CycloneDX (SBOM), Burp Suite (DAST)
Tools: Listas de verificación de hardening, certificados de firma de código, herramientas de gestión de la configuración
Tools: SIEM (p. ej. ELK, Splunk), sistemas de gestión de parches, herramientas de CSIRT, integración con EUDAMED
DevSecOps automatiza las comprobaciones de seguridad en el pipeline CI/CD. Cada commit de código se escanea automáticamente; solo si se superan los Quality Gates puede realizarse un release.
Transparencia total sobre las dependencias y la vulnerabilidad: cumplimiento mediante automatización.
Tres herramientas son imprescindibles para un Secure SDLC moderno: SBOM (Software Bill of Materials) para la transparencia, SAST (Static Analysis) para las vulnerabilidades de código y SCA (Software Composition Analysis) para los riesgos de código abierto. Juntas constituyen la base de las pruebas de seguridad automatizadas en los pipelines CI/CD.
Un SBOM es un inventario legible por máquina de todos los componentes de software, sus versiones y dependencias. Cada vez se exige más a nivel regulatorio (CRA, MDR) y es esencial para el Vulnerability Management.
SAST analiza el código fuente SIN ejecutarlo. Identifica vulnerabilidades típicas (SQL Injection, XSS, Buffer Overflows, criptografía insegura, etc.) de forma temprana en el ciclo de desarrollo.
SCA escanea las dependencias y los componentes de código abierto en busca de vulnerabilidades conocidas (CVEs). También evalúa la conformidad de licencias y proporciona recomendaciones de parcheo.
El SBOM, el SAST y el SCA deben automatizarse en la pipeline de CI/CD. Los Quality Gates garantizan que el código con vulnerabilidades críticas no se publique.
VamiSec-Nachweise: Informes SAST, informes SCA, SBOM (formato CycloneDX), registros de Quality Gates, seguimiento de remediación
Identificación, evaluación y mitigación estructurada de riesgos a lo largo de todas las fases del ciclo de vida.
ISO 14971 es la norma internacional para la gestión de riesgos en productos sanitarios. Exige una evaluación sistemática y documentada de todos los riesgos asociados al producto, incluidos los riesgos de ciberseguridad. El MDR obliga a los fabricantes a establecer y demostrar un sistema formal de gestión de riesgos conforme a ISO 14971.
Identificación sistemática de todos los riesgos: errores de diseño, fallos de componentes, comportamiento erróneo del usuario, ciberataques, factores ambientales.
Evaluación de cada riesgo según probabilidad (Likelihood) × daño (Severity) = valor de riesgo. Definición de criterios de aceptación.
Implementación de medidas para reducir el riesgo: cambios de diseño, advertencias, formaciones, actualizaciones de software.
Reevaluación tras la implementación de los controles. ¿Es aceptable el riesgo residual?
Revisión y actualización periódica del análisis de riesgos (en particular tras nuevas CVE, patrones de ataque, cambios en el mercado).
Los riesgos de ciberseguridad se diferencian de los riesgos de seguridad tradicionales: son no deterministas, adaptativos y evolucionan constantemente. La MDCG 2019-16 establece cómo deben integrarse en ISO 14971:
| Risiko-Kategorie | Beispiele | Mitigation |
|---|---|---|
| ● Riesgos de autenticación | Acceso no autorizado mediante credenciales robadas; Ataques de fuerza bruta sobre contraseñas; Session Hijacking y robo de tokens | Multi-Factor Authentication (MFA); Política de contraseñas robustas y Rate Limiting; Secure Session Management, expiración de JWT |
| ● Riesgos de integridad | Manipulación de parámetros terapéuticos o de datos de pacientes; Tampering del firmware o de la configuración; Ataques Man-in-the-Middle (MITM) | End-to-End Encryption (TLS 1.2+); Firmas digitales y Code Signing; Intrusion Detection y alertas de manipulación |
| ● Riesgos de disponibilidad (DoS/DDoS) | Caída del dispositivo por ciberataque; Sobrecarga de la infraestructura en la nube; Paralización basada en ransomware | Rate Limiting y DDoS Mitigation; Redundancy y Failover Mechanisms; Procesos de Backup y Recovery |
| ● Riesgos de confidencialidad | Robo de datos de pacientes o información terapéutica; Divulgación de secretos comerciales; Infracciones del RGPD | Encryption at Rest y in Transit; Access Control y Data Minimization; Cumplimiento del RGPD y Privacy by Design |
| ● Riesgos de la cadena de suministro | Malware en componentes Open Source; Compromised Dependencies o Vendors; Counterfeit Hardware | SBOM y Software Composition Analysis (SCA); Vendor Security Assessment; Code Signing e Integrity Verification |
ISO 14971 obliga a revisar periódicamente el análisis de riesgos. En el estado post-market deben observarse los siguientes desencadenantes:
VamiSec le ayuda a supervisar estos desencadenantes y a actualizar de forma continua el análisis de riesgos, un proceso integrado con CSIRT y Post-Market Surveillance.
VamiSec-Nachweise: Risk Register, Risk Analysis Report (conforme a ISO 14971), Risk Control Measures, Residual Risk Evaluation, Post-Market Risk Review Log
Detección temprana, reacción rápida, cumplimiento regulatorio: disponibilidad 24/7.
Un Computer Security Incident Response Team (CSIRT) no es opcional: es el núcleo operativo de una gestión de ciberseguridad conforme a MDR. El CSIRT es la interfaz entre la detección de vulnerabilidades, los procesos CVE, los equipos de producto y los reguladores. Usted debe establecer un CSIRT o trabajar con un proveedor de servicios CSIRT externo.
El CSIRT supervisa de forma continua bases de datos de CVE (NVD, OSV, CISA KEV), listas de correo de seguridad y feeds de Threat Intelligence. El objetivo es detectar nuevas vulnerabilidades lo antes posible, idealmente antes de que sean explotadas activamente.
No todas las CVE son igual de críticas. El CSIRT evalúa cada vulnerabilidad identificada según: Exploitability (¿con qué facilidad puede explotarse la brecha?), Impact (¿qué daño es posible?), Affected Systems (¿qué productos están afectados?) y disponibilidad de parches.
El CSIRT coordina cuando usted mismo descubre vulnerabilidades o cuando investigadores de seguridad externos le contactan. Debe solicitar números CVE (a través de CISA o socios CNA), documentar correctamente las vulnerabilidades y publicar parches con prontitud.
El CSIRT es la interfaz entre la Threat Intelligence y los equipos técnicos. Deben haber comprendido las vulnerabilidades y ser capaces de tomar decisiones rápidas y fundamentadas: ¿parchear ahora? ¿workaround? ¿nueva versión? ¿retirada del producto?
VamiSec-Nachweise: CSIRT Charter, SOP de respuesta a incidentes, registro de monitorización de CVE, informes de evaluación de vulnerabilidades, registro de gestión de parches, plantillas de avisos para clientes, registros de envío a EUDAMED
Monitorización continua, reacción rápida, transparencia regulatoria: tras el lanzamiento empieza el verdadero trabajo.
Un producto sanitario no está "terminado" tras su lanzamiento. En la fase poscomercialización debe reaccionar de forma continua a problemas de seguridad, reclamaciones de clientes, nuevos patrones de ataque y cambios en el panorama de amenazas. La MDR obliga a establecer procesos formales de Post-Market Surveillance (PMS) y a realizar Vigilance Reporting a las autoridades en caso de incidentes graves.
La vigilancia es el sistema de notificación para eventos de seguridad del paciente. Cuando un incidente de ciberseguridad provoca o podría haber provocado un daño al paciente, debe notificarse a la autoridad.
Detección de un incidente de ciberseguridad mediante monitorización, informes de clientes, Threat Intelligence o una alerta del CSIRT.
Evaluación rápida: ¿es un incidente grave (Serious Incident)? ¿Existe un riesgo para la seguridad del paciente? El CSIRT junto con los equipos de Quality y Regulatory lo evalúan conjuntamente.
Iniciar medidas inmediatas: desarrollo del parche, notificación a clientes, en su caso retirada del producto, comunicar workarounds. En incidentes críticos: notificación en un plazo de 24–48h.
En incidentes graves: Vigilance Report a la autoridad competente (Alemania: BfArM), registro en EUDAMED y publicación de un aviso para clientes (Customer Advisory).
Análisis post-mortem: ¿cómo pudo ocurrir? ¿qué lo habría evitado? Análisis de causa raíz y mejora de los procesos y controles.
La European Database on Medical Devices (EUDAMED) es, desde 2022, la plataforma de notificación de todos los incidentes en la UE. Todos los informes presentados son de consulta pública.
VamiSec le ayuda a establecer los procesos de EUDAMED, estandarizar la clasificación de incidentes e implementar la integración técnica.
¿Cuánto tarda de media en detectarse un incidente de ciberseguridad? Objetivo: < 1 semana para incidentes críticos.
¿Cuánto tarda en estar disponible un parche o workaround? Objetivo: < 2 semanas para CVEs Critical.
¿Qué porcentaje de clientes ha desplegado el parche en un plazo de X semanas? Objetivo: > 80 % en un mes.
¿Con qué puntualidad se notifican los incidentes graves a las autoridades? Compliance: ≤ 30 días.
¿Cuántas CVE se clasifican como "relevantes para nuestro producto" pero no lo son? Objetivo: < 10 %.
VamiSec-Nachweise: PMS Plan, Incident Detection Log, Risk Assessment Reports, Patch Deployment Log, EUDAMED Submissions, Customer Advisory Archive, Vigilance Report Templates, Post-Mortem Analysis Reports
La conformidad con MDCG 2019-16, IEC 62304 y los estándares de ciberseguridad es un proceso estructurado. VamiSec le acompaña a través de cuatro fases claramente definidas, desde el análisis de su situación de partida hasta la preparación final para la auditoría. Cada fase es medible y está documentada.
Inventario exhaustivo y estructurado: ¿cuál es su estado actual? ¿Qué procesos ya existen? ¿Dónde hay brechas?
Desarrollo y armonización de procesos inexistentes o incompletos. Enfoque en SSDLC, Vulnerability Management y documentación conforme a la normativa.
Implementación en vivo: los procesos se afianzan operativamente, las herramientas se utilizan realmente y las actividades de seguridad se documentan.
Preparación final para auditorías (internas o por autoridades). La documentación se consolida, se verifica la consistencia y se cierran las brechas restantes.
Análisis → Diseño → Implementación → Acompañamiento: un método probado e iterativo.
VamiSec cuenta con años de experiencia guiando a empresas de tecnología médica a lo largo del compliance journey. Nuestro método es estructurado, iterativo y se orienta a procesos reales de desarrollo de productos, no a modelos idealizados.
Inventario exhaustivo y comparación entre el estado actual y el objetivo.
Definición de la estructura documental objetivo, definición de procesos, selección de herramientas.
Implementación en vivo: se redactan las SOPs, se configuran las herramientas, se forma a los equipos.
Tras el Go-Live: soporte, monitorización, adaptación a nuevas regulaciones/amenazas.
Vuestro programa es dirigido por un equipo multidisciplinar:
La ciberseguridad de los productos sanitarios está integrada en una compleja red de normas y directrices. Cada norma es responsable de un aspecto concreto: la MDR regula la vigilancia del mercado, la MDCG 2019-16 concreta los requisitos de seguridad, las normas IEC definen la implementación técnica y la ISO 14971 regula la gestión de riesgos.
Reglamento europeo para todos los productos sanitarios. Define los requisitos para fabricantes, sistema de gestión de calidad, evaluación clínica, vigilancia poscomercialización, notificación de vigilancia (vigilance reporting) y EUDAMED.
El Anexo I exige una "State-of-the-art cybersecurity" (concretada por la MDCG 2019-16). La gestión de riesgos de ciberseguridad es parte integral del QMS.
Directriz europea oficial de la Medical Device Coordination Group. Concreta los requisitos de la MDR en materia de ciberseguridad.
Fases del ciclo de vida, Security Capabilities, Operating Environment Requirements, Defense-in-Depth, Threat Modeling, vigilancia poscomercialización, vigilance y referencia a las normas IEC (62304, 81001-5-1, 62443, etc.).
Norma internacional para el ciclo de vida del software en productos sanitarios. Define las actividades en cada fase: Planning, Design, Implementation, Testing, Release, Maintenance.
La MDCG 2019-16 hace referencia a la IEC 62304 para los requisitos del SDLC. La ciberseguridad debe estar integrada en cada fase.
Norma internacional para la seguridad de redes y comunicaciones en productos sanitarios conectados (dispositivos IoT, sistemas basados en la nube).
Autenticación, cifrado, integridad, control de acceso, registro (logging), gestión de actualizaciones, segmentación de redes.
Norma internacional para la ciberseguridad en sistemas críticos (Automotive, Energy, Automation). Aplicada con frecuencia a productos sanitarios con un perfil de requisitos de seguridad elevado.
Modelo de madurez de 4 niveles: Level 1 (básico) hasta Level 4 (avanzado). Los Security Capability Levels (SCL) definen las medidas técnicas necesarias.
Estándar para Product Security Engineering, originario de la industria automovilística. Cada vez más aplicado a productos sanitarios.
Enfoque basado en riesgos: Threat Modeling, evaluación de vulnerabilidades, Secure Design, Secure Development, Security Testing, monitorización poslanzamiento.
Norma internacional para la gestión de riesgos en productos sanitarios. Obligatoria en la MDR.
La MDCG 2019-16 exige que los riesgos de ciberseguridad estén integrados en el registro de riesgos según la ISO 14971. No existe un proceso de gestión de riesgos de ciberseguridad independiente: todo es un análisis de riesgos.
Reglamento europeo para la ciberseguridad de productos y servicios digitales. Complementario a la MDR; entra en vigor en 2025/2026.
Amplía los requisitos de ciberseguridad más allá de la mera seguridad (safety): también deben protegerse la integridad y la disponibilidad.
Reglamento General de Protección de Datos europeo. Regula el tratamiento de los datos de los pacientes.
Los productos sanitarios que recopilan, almacenan o procesan datos de pacientes deben cumplir el RGPD: Privacy by Design, Data Minimization, Encryption, Retention, Breach Notification.
Regulatory Know-how + Technical Depth + Operational Excellence
VamiSec no es únicamente una empresa de consultoría de seguridad: somos especialistas en tecnología médica y GRC con años de experiencia práctica en MDR, cumplimiento de MDCG y Secure SDLC. Combinamos un profundo conocimiento normativo con experiencia técnica en seguridad y pragmatismo operativo.
Usted se beneficia de las Lessons Learned de numerosas implementaciones, sin tener que recorrer usted mismo los rodeos.
Cumplimiento que funciona y está integrado en su día a día, no burocracia adicional.
Single Point of Contact, pensamiento integrado en seguridad, cumplimiento y riesgo: sin conocimiento fragmentado.
Asesoramiento basado en sus necesidades, no en estructuras de comisiones.
VamiSec introduce un Threat Modeling estructurado, basado en DFD, STRIDE y Attack Trees. Tras 4–6 semanas: un Threat Model completo y documentado por producto.
Generación de SBOM + integración de herramientas SCA en CI/CD. En un plazo de 2 semanas: un inventario completo de todas las dependencias con comprobaciones de CVE y un Patch Management establecido.
Setup de CSIRT + SOP de Vulnerability Management. Ahora: detección de CVE < 24 h tras el release, evaluación < 48 h, decisión de parcheo en < 72 h.
VamiSec mapea los requisitos de MDCG 1:1 con sus procesos existentes o propone complementos. Sin burocracia adicional: todo queda integrado en el SDLC/QMS.
La ciberseguridad para productos sanitarios no es un proyecto único, sino un proceso continuo. VamiSec es su socio para recorrer este camino de forma sostenible y exitosa.
Solicitar evaluación
