?近日，美國食品藥品監(jiān)督管理局FDA發(fā)布新版《醫(yī)療器械網(wǎng)絡安全：質(zhì)量體系考量與上市前申報內(nèi)容》指南。

01

醫(yī)療器械網(wǎng)絡安全的重要影響

網(wǎng)絡安全是器械安全和質(zhì)量體系法規(guī)的一部分。隨著醫(yī)療器械愈加智能與互聯(lián)，網(wǎng)絡安全問題也正走向臺前，直接影響產(chǎn)品安全與有效性。越來越多的醫(yī)療器械正接入無線網(wǎng)絡、云平臺與醫(yī)院信息系統(tǒng)（HIS），構成復雜的“醫(yī)療設備系統(tǒng)”環(huán)境，其中某一個器械的漏洞，可能影響整個臨床鏈條。

近年來多起全球性網(wǎng)絡安全事件（如WannaCry勒索病毒）導致醫(yī)院系統(tǒng)癱瘓，造成醫(yī)療設備無法運行，嚴重者延誤診斷與治療、甚至危及生命。

FDA曾指出：醫(yī)療器械網(wǎng)絡安全，已不再僅僅是“IT問題”，而是醫(yī)療產(chǎn)品安全性的組成部分！?

02

指南適用器械及申報路徑

器械：含有軟件、固件或可編程邏輯的器械；不支持網(wǎng)絡連接功能的器械因可能引發(fā)網(wǎng)絡安全問題，同樣可能適用本指南。

路徑：510(k)、510(k)豁免、De Novo、PMA?及補充、HDE（人道主義豁免）、IDE（臨床研究豁免）、BLA/IND（涉及生物產(chǎn)品）

03

網(wǎng)絡功能醫(yī)療器械

1.?根據(jù)《食品與藥品法案》第524B條，若器械滿足下列條件之一，即被視為Cyber Device帶網(wǎng)絡功能的醫(yī)療器械：

·?含有經(jīng)過制造商驗證的軟件；

·?具有連接互聯(lián)網(wǎng)的功能；

·?具備可被網(wǎng)絡攻擊的技術特征。

2.?Cyber Device?提交510(k)、PMA?或?De Novo?時，必須額外提供：

·網(wǎng)絡安全維護計劃；

·安全開發(fā)流程說明；

·軟件物料清單SBOM清單；

·所有已知漏洞的分析及風險緩解報告。

如未提供上述內(nèi)容被視為違反法規(guī)的違法行為。

04

明確“網(wǎng)絡安全”即“醫(yī)療器械安全”

根據(jù)《21CFRPart820質(zhì)量體系規(guī)范》: 軟件設計必須包含軟件驗證和風險分析；

網(wǎng)絡風險應被納入設計控制，貫穿全生命周期（TPLC），推薦采用安全產(chǎn)品開發(fā)框架（SPDF）作為合規(guī)工具。

SPDF?是一套可覆蓋設計、開發(fā)、發(fā)布、更新與退市各階段的網(wǎng)絡安全開發(fā)流程，用于減少漏洞數(shù)量與降低風險等級。

05

設計階段必須達成的安全目標

FDA提出五大安全目標，適用大部分含軟件器械：

真實性與完整性Authenticity & Integrity、訪問授權Authorization、可用性Availability、數(shù)據(jù)保密性Confidentiality、可更新性Updatability & Patch ability。

在上市前申報中，企業(yè)必須提供文檔用于說明：以上目標是如何實現(xiàn)的。

06

網(wǎng)絡安全的評估方式

FDA重點審查內(nèi)容：

1.?威脅建模（Threat Modeling）

描述攻擊路徑、潛在威脅與防護機制；涵蓋從供應鏈到退市的全周期場景；推薦使用AAMI TIR57、ANSI/AAMI SW96標準。

2.?安全風險評估

不再僅關注“概率”，關注“漏洞可被利用程度（Exploitability）”；使用CISA已知漏洞列表作為參考；所有殘留風險必須在文件中被明確評估并記錄緩解措施。

3.?第三方軟件管理、軟件物料清單SBOM

上市前申報文件中必須包含完整的軟件材料清單（SBOM），列明：組件名稱、版本、支持狀態(tài)、終止日期；包括：開源組件、采購模塊、API庫等；若存在漏洞，需逐項說明影響評估與控制措施。

4.?互操作性考慮

接入其他設備、EMR系統(tǒng)或云平臺的功能，必須被納入網(wǎng)絡安全控制設計；Bluetooth、Wi-Fi等標準協(xié)議也需予以增強保護。

07

器械退市后需考慮的內(nèi)容

·?已上市器械的更新與支持計劃；

·?無法修補的漏洞需評估是否需重新申報或召回；

·?推薦在年度PMA報告中披露器械的網(wǎng)絡安全情況：

·?已修復漏洞的占比；

·?從漏洞識別至修復的時間；

·?補丁部署覆蓋率等。