Actualización de la guía de la FDA: Cómo afrontar la transición al QMSR en materia de ciberseguridad

20/02/2026

    La guía "Cybersecurity in Medical Devices: Quality Management System Considerations and Content of Premarket Submissions" se ha actualizado y sustituye la versión de junio de 2025. Aunque los principios fundamentales de ciberseguridad se mantienen, el marco estructural ha sido actualizado. 

    De 21 CFR 820 a ISO 13485:2016

    El cambio más significativo es la transición al QMSR, que ahora incorpora la ISO 13485:2016 como referencia. Esto implica que la documentación de ciberseguridad debe mapearse a cláusulas específicas de ISO, en lugar del texto tradicional de 21 CFR 820. 

    • Diseño y desarrollo: Las referencias pasan de 21 CFR 820.30 a la Cláusula 7.3 de la ISO 13485. 
    • Validación: La validación de software se vincula ahora específicamente a la Subcláusula 7.3.7. 
    • CAPA/Mejora: Las acciones correctivas y preventivas se abordan en la Subcláusula 8.5. 

    La gestión de riesgos documentada ya no es opcional

    Bajo el nuevo QMSR, la FDA enfatiza que la Subcláusula 7.1 de la ISO 13485 exige explícitamente que los fabricantes documenten uno o más procesos de gestión de riesgos dentro de la realización del producto. Esto refuerza que la gestión de riesgos de ciberseguridad debe ser una parte integrada y documentada de todo el sistema de calidad.  

    Tabla resumen:

    Tema / Elemento  Marco 2025 (Regulación QS)  Marco 2026 (Alineación QMSR) 
    Regulación principal  21 CFR Parte 820 (Quality System)  21 CFR Parte 820 (Quality Management System Regulation – QMSR) 
    Estándar global  Requisitos específicos de la FDA  ISO 13485:2016 (incorporada por referencia) 
    Diseño y desarrollo  21 CFR 820.30  ISO 13485 Cláusula 7.3 
    Validación de software  21 CFR 820.30(g)  ISO 13485 Subcláusula 7.3.7 
    Gestión de riesgos  Análisis general de riesgos (820.30)  Documentación explícita para la realización del producto (Subcláusula 7.1) 
    CAPA / Mejora  21 CFR 820.100  ISO 13485 Subcláusula 8.5 

    Terminología técnica refinada

    La actualización de 2026 introduce definiciones más precisas en el Apéndice 5 para alinearse con NIST y estándares globales: 

    • Least privilege (mínimo privilegio): Definido formalmente como el principio de restringir los privilegios de acceso al mínimo necesario. 
    • Threat surface (superficie de amenaza): Definida como el conjunto de puntos donde un ciberataque puede intentar entrar o extraer datos. 
    • Quality of Service (QoS): Añadido para abordar factores medibles de rendimiento como ancho de banda, latencia y jitter. 

    Requisitos obligatorios para los dispositivos de ciberseguridad 

    Las obligaciones establecidas en la Sección 524B de la Ley FD&C siguen plenamente vigentes. Si tu producto califica como “cyber device” (dispositivo de ciberseguridad), debes proporcionar: 

    • Un Software Bill of Materials (SBOM) completo. 
    • Planes detallados de ciberseguridad postcomercialización para monitorizar y abordar vulnerabilidades en un plazo razonable. 
    • Procesos que garanticen razonablemente que el dispositivo y los sistemas relacionados son ciberseguros. 

     

    En Applus+ Laboratories somos especialistas en conectar la ciberseguridad técnica con los requisitos regulatorios más complejos. Tanto si estás adaptando tu QMS a ISO 13485 como si estás preparando un nuevo 510(k), te ayudamos a asegurar que tu presentación sea sólida y cumpla con las expectativas regulatorias más recientes para 2026. 

    Volver a noticias

    Applus+ utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso. Para más información, consulta nuestra Política de Cookies. ​

    Panel de configuración de cookies