QMSR e Cibersegurança da FDA: Requisitos Essenciais para Dispositivos Médicos [2026]

Em fevereiro de 2026, a FDA (Food and Drug Administration) tornou obrigatório o QMSR (Quality Management System Regulation), substituindo o sistema de gestão de qualidade vigente desde 1996. Simultaneamente, os requisitos de cibersegurança da Seção 524B do FD&C Act passaram a ser aplicados em plena vigência, tornando mandatório que fabricantes integrem segurança cibernética desde a fase de projeto, não como um recurso adicionado posteriormente.

Este artigo faz parte do Guia Definitivo de Engenharia Biomédica.

O que é o QMSR da FDA?

O QMSR (Quality Management System Regulation) é a nova regulamentação federal americana que governa os sistemas de gestão de qualidade de fabricantes de dispositivos médicos. Publicada em fevereiro de 2024 e com data de conformidade em 2 de fevereiro de 2026 a norma revogou o antigo 21 CFR Part 820 (Quality System Regulation, QSR), em vigor desde 1996.

A principal inovação do QMSR é a harmonização com a ISO 13485:2016 norma internacional de sistemas de gestão da qualidade para dispositivos médicos. Ao incorporar os requisitos da ISO 13485 por referência, a FDA reduziu a duplicação de esforços para fabricantes que já possuem certificação para mercados internacionais, incluindo o europeu (MDR/IVDR) e o brasileiro (ANVISA). Estima-se que mais de 6.500 estabelecimentos de fabricação registrados na FDA sejam diretamente afetados pela nova regulamentação.

QMSR versus QSR: Principais Diferenças

Embora o QMSR e o antigo QSR compartilhem muitos conceitos, há diferenças estruturais e de conteúdo relevantes que os fabricantes precisam compreender antes de suas próximas inspeções ou submissões:

Aspecto	QSR, 21 CFR Part 820 (até 2026)	QMSR (a partir de 2026)
Base normativa	Regulamentação americana independente	Harmonizado com ISO 13485:2016
Terminologia	Terminologia FDA própria	Terminologia ISO 13485
Gestão de riscos	Referência implícita	Integração explícita com ISO 14971
Software e cibersegurança	Cobertos por orientações separadas	Integrados ao SGQ; SBOM exigido para cyber devices
Estrutura documental	DHF, DHR e DMR distintos	Arquivo de dispositivo unificado (ISO 13485)

Uma mudança prática significativa é a adoção do conceito de Design and Development File da ISO 13485, que substitui a estrutura tripartida do QSR (Design History File, Device Master Record e Device History Record). Empresas que já operavam sob ISO 13485 têm menor impacto operacional na transição.

Requisitos de Cibersegurança: Seção 524B do FD&C Act

Paralelamente ao QMSR, os requisitos de cibersegurança da Seção 524B do Federal Food, Drug, and Cosmetic Act estão em plena vigência. Introduzida pelo Consolidated Appropriations Act em dezembro de 2022, a Seção 524B tornou-se lei imediatamente, e a FDA passou a recusar submissões sem documentação de cibersegurança adequada a partir de março de 2023.

Sob a Seção 524B, fabricantes de "cyber devices" dispositivos com software e capacidade de conexão a redes, internet ou outros dispositivos, devem incluir nas submissões de pré-mercado (510(k), De Novo e PMAs):

• Plano de cibersegurança pós-mercado: processo documentado para monitorar, identificar e comunicar vulnerabilidades ao longo de todo o ciclo de vida do produto
• Processo de patches e atualizações: capacidade de atualizar o software do dispositivo de forma razoavelmente expedita, incluindo atualizações críticas de segurança
• SBOM (Software Bill of Materials): inventário completo de todos os componentes de software comerciais, de código aberto e de terceiros presentes no dispositivo
• Evidências de testes de segurança: documentação de avaliações de ameaças, testes de penetração e análise de riscos de cibersegurança

Em setembro de 2023, a FDA publicou o guia definitivo "Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions" que detalha as expectativas da agência para cada um desses requisitos.

Cibersegurança por Projeto: A Abordagem "Secure by Design"

A mensagem central da FDA, e o núcleo da orientação para evitar cartas de deficiência, é que cibersegurança deve ser projetada no dispositivo desde o início, e não acrescentada como camada posterior. Essa abordagem, conhecida como "Secure by Design", alinha-se com as melhores práticas da CISA (Cybersecurity and Infrastructure Security Agency) americana e da ENISA europeia.

Na prática, isso significa integrar a análise de cibersegurança desde a fase de definição de requisitos, e não apenas durante os testes finais. A FDA recomenda que os fabricantes adotem frameworks reconhecidos, como:

• NIST Cybersecurity Framework (CSF 2.0)
• AAMI TIR57 Princípios para gestão de risco de cibersegurança em saúde
• IEC 81001-5-1:2021 Segurança de software para a área da saúde
• UL 2900-2-1 Padrão para segurança cibernética de dispositivos médicos conectados

A análise de ameaças por meio de metodologias como STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege) ou PASTA (Process for Attack Simulation and Threat Analysis) deve ser documentada no Design File do dispositivo. Fabricantes que submetem documentação de cibersegurança apenas com declarações genéricas, sem evidências técnicas, são os que mais frequentemente recebem cartas de deficiência.

SBOM: O Inventário de Software Exigido pela FDA

O SBOM (Software Bill of Materials) é um dos requisitos mais novos e operacionalmente desafiadores da Seção 524B. Trata-se de um inventário estruturado de todos os componentes de software presentes no dispositivo, análogo a uma lista de ingredientes, mas para código.

A FDA aceita SBOMs nos formatos padronizados SPDX (ISO/IEC 5962:2021) e CycloneDX que permitem rastreabilidade de componentes e integração com bancos de dados de vulnerabilidades conhecidas, como o NVD (National Vulnerability Database) do NIST.

Dados do setor indicam que dispositivos médicos modernos contêm, em média, entre 50 e 500 componentes de software de terceiros incluindo bibliotecas de código aberto, sistemas operacionais embarcados e drivers. O monitoramento contínuo de CVEs (Common Vulnerabilities and Exposures) para esses componentes é agora uma responsabilidade regulatória explícita nos EUA, integrada ao SGQ como parte do plano pós-mercado.

Impacto para Fabricantes Brasileiros que Exportam para os EUA

Para empresas brasileiras que comercializam ou pretendem comercializar dispositivos médicos nos Estados Unidos, a dupla exigência do QMSR e da Seção 524B representa um desafio regulatório relevante. O mercado brasileiro de dispositivos médicos maior da América Latina, tem um número crescente de fabricantes que buscam aprovação da FDA como estratégia de internacionalização.

A boa notícia é que empresas certificadas pela ISO 13485:2016 exigência da ANVISA para autorização de funcionamento nos termos da RDC 16/2013 e da RDC 751/2022, já possuem a base do SGQ compatível com o QMSR. Os esforços adicionais se concentram principalmente em:

1. Adequação documental ao formato QMSR: adoção da terminologia e da estrutura documental da FDA, incluindo o arquivo de dispositivo unificado
2. Desenvolvimento do plano de cibersegurança pós-mercado: processo formal e documentado para gestão de vulnerabilidades ao longo do ciclo de vida
3. Geração e manutenção do SBOM: inventário vivo de componentes de software, com processo para atualização quando há novos lançamentos ou CVEs identificados
4. Evidências de testes de cibersegurança: documentação de testes de penetração, análise de ameaças e resultados de avaliações de risco
5. Registro anual na FDA: estabelecimentos de fabricação devem registrar-se anualmente e pagar a taxa MDUFA (Medical Device User Fee Act), cujo valor para 2026 é de aproximadamente US$ 6.700 por estabelecimento

Vale destacar que a ANVISA acompanha de perto os desenvolvimentos do IMDRF (International Medical Device Regulators Forum) em cibersegurança, do qual é membro. Seu Guia de Boas Práticas em Cibersegurança para Dispositivos Médicos publicado em 2021, ainda é recomendação, mas a tendência é de formalização progressiva. Empresas que atendam aos requisitos da FDA estarão bem posicionadas para futuras exigências da ANVISA. Veja mais sobre a regulamentação da ANVISA para dispositivos médicos.

O que Esperar nas Inspeções da FDA após o QMSR

Com a vigência do QMSR, as inspeções da FDA (Establishment Inspections) passaram a avaliar os SGQs com base nos requisitos harmonizados com a ISO 13485. Os inspetores utilizam o QSIT (Quality System Inspection Technique) atualizado, com foco em seis subsistemas principais: controles de gestão, controles de projeto e desenvolvimento, CAPA, controles de produção e processo, controles de registros e documentos, e controles de instalações e equipamentos.

Para dispositivos conectados, os inspetores verificam especificamente a existência e implementação do plano de cibersegurança pós-mercado. A ausência de documentação adequada, como um SBOM atualizado ou registros de avaliação de vulnerabilidades, pode resultar em observações 483 ou, em casos mais graves, em Warning Letters (cartas de advertência).

Dados da FDA indicam que entre 2023 e 2025 o número de observações 483 relacionadas a cibersegurança aumentou mais de 200% refletindo a atenção crescente da agência ao tema. Fabricantes que integram cibersegurança ao SGQ, e não como processo isolado, tendem a ter inspeções mais eficientes e menor taxa de emissão de observações.

Para um panorama mais amplo sobre como a regulamentação americana se compara ao contexto brasileiro, veja o artigo Engenharia Biomédica: EUA vs Brasil.

Perguntas Frequentes

O QMSR é obrigatório para empresas brasileiras?

Sim, para qualquer fabricante que comercialize dispositivos médicos nos EUA, incluindo empresas brasileiras. A exigência se aplica independentemente do país de origem. Empresas que exportam para o mercado americano devem registrar seus estabelecimentos na FDA e cumprir integralmente o QMSR.

Quando o QMSR entrou em vigor?

O QMSR foi publicado em fevereiro de 2024 com um período de transição de dois anos. A data de conformidade obrigatória foi 2 de fevereiro de 2026. A partir dessa data, as inspeções e avaliações da FDA passaram a ser conduzidas com base nos requisitos do QMSR, e não mais do QSR.

Todo dispositivo médico precisa apresentar um SBOM para a FDA?

O SBOM é exigido especificamente para "cyber devices" definidos pela FDA como dispositivos que contêm software e têm capacidade de conexão a internet, redes ou outros dispositivos. Dispositivos sem software ou sem conectividade de rede geralmente estão fora do escopo da Seção 524B, mas devem atender aos requisitos gerais de software do QMSR quando aplicável.

O que é uma carta de deficiência da FDA e como evitá-la?

Uma carta de deficiência (Additional Information request) é emitida quando uma submissão de pré-mercado está incompleta. Para cibersegurança, as deficiências mais comuns incluem: ausência de SBOM, falta de evidências de testes de penetração, plano de gerenciamento de vulnerabilidades vago e ausência de análise de ameaças documentada. A melhor forma de evitá-las é integrar cibersegurança ao processo de design desde o início e seguir o guia "Cybersecurity in Medical Devices" de setembro de 2023.

A ANVISA tem requisitos similares de cibersegurança para dispositivos médicos?

A ANVISA publicou o Guia de Boas Práticas em Cibersegurança para Dispositivos Médicos em 2021, ainda como recomendação. Como membro do IMDRF, a agência acompanha os desenvolvimentos internacionais e é esperado que requisitos formais de cibersegurança sejam progressivamente incorporados à regulamentação brasileira. Empresas que já atendem aos requisitos da FDA e da UE estarão melhor preparadas para essas futuras exigências da ANVISA.

Volte ao Guia Definitivo de Engenharia Biomédica para explorar todas as seções.

Publicado por engenhariabiomedica.com