Cómo afectarán a los laboratorios las normativas GMP actualizadas y la Ley de Ciberresiliencia de la UE.
23 mar. 2026
Artículo
es_ES
Descubra cómo las nuevas regulaciones de Buenas Prácticas de Fabricación (BPF) y la Ley de Ciberresiliencia de la UE (CRA) afectarán a los laboratorios. Conozca los cambios que se avecinan, cómo preparar sus equipos y software, y cómo Metrohm ayuda a los laboratorios a cumplir con la normativa.
Compartir el artículo
En los últimos años se ha observado un aumento considerable en el número de ciberataques contra infraestructuras críticas y empresas. Este fenómeno ha puesto la ciberseguridad en el punto de mira. Como resultado, los gobiernos de todo el mundo están promulgando leyes destinadas a reforzarla. La legislación más destacada es la Ley de Resiliencia Cibernética (CRA) de la Unión Europea [1]. Otros ejemplos son la Marca de Confianza Cibernética de EE. UU. o la Ley de Ciberseguridad de China [2,3].
Estas leyes han conllevado una actualización de las normas GMP, que afectará a los laboratorios en entornos regulados a nivel mundial. Este artículo de blog se basa en una entrevista con Stefan Gohr, Director de Servicios Empresariales de la sede central internacional de Metrohm. Presenta los cambios clave, explica cómo afectan a los laboratorios, ofrece orientación a los responsables de laboratorio sobre los primeros pasos e informa sobre cómo Metrohm se está preparando para cumplir con los requisitos de la CRA.
Ley de Resiliencia Cibernética (CRA) en pocas palabras
La Ley de Resiliencia Cibernética (CRA, por sus siglas en inglés) fue publicada en 2024 por la Unión Europea y aprobada en otoño del mismo año. Su objetivo es reforzar la ciberseguridad elevando los estándares de seguridad de los productos comercializados en el mercado europeo.
La CRA se aplica a los productos que contienen elementos digitales, incluyendo no solo el software, sino también los dispositivos que pueden intercambiar datos con otros sistemas.
Esta nueva ley se implementará en dos etapas:
- Septiembre de 2026: Los proveedores deben comenzar a informar sobre las vulnerabilidades de ciberseguridad a Enisa, the European Union Agency for Cybersecurity.
- Diciembre de 2027: Los productos que no cumplan con la CRA ya no podrán venderse en la UE.
Este segundo paso, en particular, tendrá consecuencias más profundas para los laboratorios, ya que es posible que ya no puedan recibir repuestos o piezas de recambio.
La CRA conlleva cambios en las regulaciones de GMP
Según la Ley de Reforma de la Competencia (CRA, por sus siglas en inglés), los proveedores deben implementar procesos de gestión de vulnerabilidades. Esto incluye actualizaciones de seguridad periódicas para los productos y, si se detectan fallos de seguridad, deben corregirse de inmediato.
Esto entra en conflicto con la práctica habitual en el entorno regulado de actualizar los sistemas validados solo cuando es necesario. Sin embargo, la ciberseguridad no puede descuidarse en el entorno regulado, ya que estas empresas producen bienes críticos.
Por estos motivos, el comité de Buenas Prácticas de Fabricación (BPF) actualizó el Capítulo 4 «Documentación» y el Anexo 11 «Sistemas informatizados» [4]. La consulta sobre estas actualizaciones se llevó a cabo de julio a octubre de 2025, y se prevé que las directrices revisadas entren en vigor en 2026.
¿Cómo afectará la actualización de CRA y GMP a los laboratorios?
Las directrices de CRA y las GMP actualizadas afectarán a los procesos de validación y podrían requerir la sustitución de los equipos actuales.
En primer lugar, las actualizaciones de software y de seguridad más frecuentes pueden dar lugar a más revalidaciones del sistema. Los laboratorios tendrán que desarrollar estrategias para implementar parches de seguridad y actualizaciones del sistema, que abarquen no solo el sistema operativo (por ejemplo, Windows), sino también el software crítico del laboratorio. Según las directrices GMP revisadas, los laboratorios regulados deben seguir las recomendaciones proporcionadas por los proveedores. Las medidas recomendadas son: actualizaciones de seguridad independientes y un entorno de pruebas dedicado.
En segundo lugar, la CRA prohibirá la venta de dispositivos y software analíticos que no cumplan con la normativa. Si bien los dispositivos y el software vendidos antes de diciembre de 2027 están exentos, cualquier actualización de dichos productos debe cumplir con la normativa. Para algunos proveedores, adaptar los productos antiguos a las nuevas regulaciones podría resultar demasiado complejo y costoso. En consecuencia, podrían descontinuar productos y declarar el fin del soporte técnico para 2027.
Los laboratorios regulados que deseen seguir utilizando dispositivos no conformes durante más tiempo deberán establecer un entorno informático de emergencia, aislando completamente estos dispositivos de su red e internet. Dado que los instrumentos analíticos están integrados con sistemas LIMS y ERP, este enfoque resulta poco práctico y podría comprometer la integridad de los datos.
Los laboratorios no regulados pueden realizar su propia evaluación de riesgos y decidir si les conviene seguir utilizando dispositivos no conformes para paliar la situación hasta que sea posible realizar nuevas inversiones. Sin embargo, deben tener en cuenta que retrasar la sustitución de los dispositivos aumenta los riesgos de seguridad, ya que las brechas de seguridad se agravan con el tiempo.
¿Qué pueden hacer los laboratorios para prepararse y garantizar el cumplimiento de la normativa?
Los laboratorios pueden tomar diversas medidas para prepararse para las directrices actualizadas de las Buenas Prácticas de Fabricación (BPF) y la Ley de Resiliencia Cibernética (véase la Figura 1).
- Evaluar el equipo y el software actuales para identificar posibles deficiencias.
- Desarrollar una estrategia para implementar actualizaciones de seguridad y minimizar los esfuerzos de revalidación.
- Establecer un entorno de pruebas dedicado para garantizar que las actualizaciones no interrumpan las operaciones.
Las directrices actualizadas de Buenas Prácticas de Fabricación (BPF) y la Norma de Investigación Clínica (NRC) incrementarán la carga de trabajo y los costos en los laboratorios regulados. Iniciar el proceso de planificación ahora y establecer una hoja de ruta ayudará a los laboratorios a prepararse para estos cambios.
Evaluar el equipo actual del laboratorio
El primer paso consiste en evaluar todos los dispositivos y el software que se utilizan actualmente. Los laboratorios también deben contactar con proveedores, como Metrohm, para conocer sus planes de cumplimiento normativo para productos específicos.
Las preguntas clave que deben abordarse son:
- ¿El proveedor sigue ofreciendo soporte para los dispositivos y el software
- ¿Los proveedores tienen en cuenta las directrices de CRA y GMP actualizadas? ¿Cuál es su proceso para gestionar las vulnerabilidades de los productos? ¿Cómo piensan proporcionar las actualizaciones de seguridad
- ¿El proveedor seguirá ofreciendo soporte para los dispositivos o el software después de diciembre de 2027?
Si la respuesta a cualquiera de estas preguntas es negativa, los laboratorios deben asignar presupuestos para reemplazos o desarrollar estrategias para aislar el sistema en colaboración con su departamento de TI. Si varios sistemas se ven afectados, se debe establecer un plan de acción para el reemplazo o aislamiento, en función de la criticidad del sistema para las operaciones.
SBOM y HBOM: indicadores útiles de preparación
Al evaluar las soluciones de software actuales, los laboratorios deben verificar si la lista de materiales del software (SBOM, por sus siglas en inglés) está disponible. La SBOM, exigida por la Ley de Reclamaciones por Agravios (CRA, por sus siglas en inglés), detalla información esencial sobre todos los componentes utilizados para desarrollar el software, incluidos los de terceros. Ayuda a identificar si el software contiene componentes con vulnerabilidades conocidas.
Normalmente, la SBOM se proporciona como un archivo de texto en el directorio de instalación o se incluye en la documentación del producto. Si no se dispone de una SBOM, los laboratorios deben considerar esto como una señal de alerta de que el producto podría no cumplir con la Ley de Reclamaciones por Agravios. En tales casos, se recomienda contactar al proveedor y confirmar si se proporcionará una SBOM antes de que entre en vigor la normativa.
Para el hardware, el equivalente a la SBOM es la lista de materiales del hardware (HBOM, por sus siglas en inglés). Un archivo HBOM es necesario para cualquier dispositivo que contenga firmware. Los proveedores deberán proporcionar el archivo HBOM en formato digital. Se recomienda contactar a los proveedores y solicitar el archivo o la fecha en que estará disponible.
Desarrollar una estrategia para implementar actualizaciones de seguridad
Las regulaciones actualizadas de Buenas Prácticas de Fabricación (BPF) y la Ley de Rehabilitación de Laboratorios (CRA) estipulan actualizaciones de seguridad periódicas. Para minimizar los esfuerzos de validación y el riesgo de interrupciones en la producción, los laboratorios deben desarrollar una estrategia de implementación.
Las actualizaciones de seguridad independientes son fundamentales para reducir el esfuerzo de las revalidaciones. Las actualizaciones de software periódicas ofrecen una combinación de nuevas funcionalidades y mejoras de seguridad, lo que requeriría una validación completa. En cambio, las actualizaciones de seguridad independientes corrigen únicamente los problemas de seguridad sin añadir nuevas funcionalidades. Al ser su alcance menor, la validación resulta más rápida y menos compleja.
Una validación rápida es deseable, ya que los problemas de seguridad críticos deben solucionarse lo antes posible. Esperar de seis a nueve meses hasta completar una revalidación completa es inaceptable en el caso de un problema de seguridad crítico.
Establecer un entorno de prueba
La instalación de actualizaciones de seguridad siempre conlleva el riesgo de fallos en el sistema, lo que puede provocar la interrupción de la producción. Para mitigar este riesgo, los laboratorios deberían considerar la creación de un entorno de pruebas.
En este escenario, primero se instalan los paquetes de seguridad en el sistema de pruebas y se comprueban exhaustivamente las funcionalidades clave necesarias para las operaciones diarias. Solo después de que las funcionalidades afectadas por la actualización de seguridad se hayan probado con éxito en el entorno de pruebas, se implementará la actualización en el entorno de producción. La Figura 2 muestra la diferencia entre un laboratorio con un entorno de pruebas y uno sin él.
Las organizaciones de mayor tamaño pueden considerar la implementación de tres entornos: desarrollo/calificación, pruebas y producción. El entorno de desarrollo/calificación se utiliza para el desarrollo y la validación de métodos. El entorno de pruebas reproduce el entorno de producción; por ejemplo, utiliza la misma red y los mismos cortafuegos. Por último, las operaciones diarias, como el control de calidad para los lanzamientos de productos, se ejecutan en el entorno de producción.
Instalar un entorno de prueba adicional conlleva costes extra y requiere más recursos informáticos, especialmente para sistemas cliente/servidor. Obtenga más información sobre la importancia de un sistema escalable y rentable en el informe técnico gratuito:
White Paper: ¿Por qué cambiar a OMNIS Cliente/Servidor (C/S)?
¿Cómo garantiza Metrohm el cumplimiento de la Ley de Resiliencia Cibernética?
Metrohm comenzó a prepararse para estas regulaciones hace algún tiempo para asegurar que cumpliremos con los requisitos de CRA y GMP para proveedores cuando las regulaciones entren en vigor. Podemos garantizarlo OMNIS, our platform software, cumplirá con los requisitos. El archivo SBOM ya está disponible en el directorio de instalación, y publicamos una declaración de ciberseguridad con cada lanzamiento. Esta declaración se puede encontrar en el Metrohm Knowledge Base. Los archivos HBOM están en preparación.
Los clientes recibirán actualizaciones periódicas de OMNIS y parches de seguridad. Nos pondremos en contacto directamente con los clientes que tengan un contrato de mantenimiento de OMNIS. Para los demás clientes, estamos evaluando diferentes opciones de información.
Diferentes versiones de OMNIS para diferentes necesidades
Los requisitos de la industria para las actualizaciones de software varían. En algunos sectores, las actualizaciones automáticas periódicas, similares a las de las aplicaciones móviles, son aceptables. Sin embargo, en entornos regulados, dichas actualizaciones automáticas no son recomendables. Además, las redes de laboratorio pueden no estar conectadas a internet.
Por lo tanto, Metrohm ofrece dos versiones de OMNIS. Estas difieren en cuanto a soporte y garantías de servicio; consulte la Tabla 1 para conocer las diferencias.
| Feature | Standard version | Long-Term Support (LTS) version |
|---|---|---|
| Software support guarantee | Support guarantee expires after release of next version | Support guaranteed for 5 years from release |
| Service guarantee | Serviceability of all parts guaranteed until release of next version | Serviceability of all parts guaranteed for 5 years from release |
| IQ/OQ support | IQ/OQ not available | Fully documented computer system qualification with full documentation according to FDA 21 CFR Part 11 and EudraLex, Volume 4, Annex 11 available |
| Re-qualification | Re-qualification not available | Re-qualification available |
| Security updates | Rolled out regularly | Deployed manually according to strategy defined by customer |
Cómo Metrohm ayuda a los clientes que necesitan reemplazar sistemas que no cumplen con las normas
El hardware y el software que ya no cuenten con soporte de los proveedores deberán reemplazarse, ya que aislarlos de la red de la empresa es solo una solución temporal. La transición a un nuevo producto, especialmente a una nueva solución de software, presenta diversos desafíos. Para apoyar a los clientes en la transición a OMNIS, Metrohm ha creado el equipo de Metrohm Enterprise Services. Este equipo ofrece servicios especializados de consultoría e implementación adaptados a las necesidades y la situación específicas de cada cliente.
Metrohm Enterprise Services también ofrece contratos de mantenimiento para OMNIS, garantizando la gestión de vulnerabilidades y parches de seguridad. Junto con los expertos en TI y seguridad del cliente, desarrollan una estrategia para la implementación de parches de seguridad. Un gestor de servicios supervisará la implementación y el mantenimiento de esta estrategia durante toda la vida útil de OMNIS en las instalaciones del cliente.
Conclusión
Las directrices actualizadas de GMP y la CRA modificarán el funcionamiento de los laboratorios regulados. Los laboratorios pueden comenzar a prepararse para estos cambios evaluando sus equipos y software actuales. Algunos sistemas podrían requerir reemplazo, ya que dejarán de contar con soporte una vez que entren en vigor la CRA y el Anexo 11 revisado de las GMP.
Las actualizaciones de seguridad periódicas se convertirán en la norma, dado que la ciberseguridad es un proceso continuo. Este cambio requerirá modificaciones en la forma en que los laboratorios actualizan, revalidan y mantienen sus sistemas analíticos. Es posible que se deban instalar entornos de prueba adicionales para garantizar la continuidad operativa.
Solo las soluciones que cumplen con las regulaciones actualizadas de GMP y la CRA, como OMNIS, garantizarán el cumplimiento normativo de los laboratorios. Para facilitar la transición a OMNIS, Metrohm ha creado Metrohm Enterprise Services, que colabora estrechamente con los clientes, ayudándoles a implementar y mantener un entorno OMNIS seguro y adaptado a su estrategia de seguridad específica.
Recursos adicionales
White Paper: ¿Por qué cambiar a OMNIS Cliente/Servidor (C/S)?
Blog: Introducción a la cualificación de instrumentos analíticos
References
[1] European Commission. Cyber Resilience Act. Shaping Europe’s digital future. https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act (accessed 2025-12-18).
[2] Federal Communications Commission. U.S. Cyber Trust Mark. Federal Communications Commission (FCC). https://www.fcc.gov/CyberTrustMark (accessed 2025-12-18).
[3] Creemers, R.; Webster, G.; Triolo, P. Translation: Cybersecurity Law of the People’s Republic of China (Effective June 1, 2017). DigiChina, 2018.
[4] European Commission. Stakeholders’ Consultation on EudraLex Volume 4 - Good Manufacturing Practice Guidelines: Chapter 4, Annex 11 and New Annex 22 - Public Health. Public Health. https://health.ec.europa.eu/consultations/stakeholders-consultation-eudralex-volume-4-good-manufacturing-practice-guidelines-chapter-4-annex_en (accessed 2025-12-18).
