警示·第二十五期 | 医疗器械网络安全-法规和标准（FDA）

医疗器械网络安全是一个涵盖了保护医疗器械产品本身和相关数据免受未授权活动影响的广泛领域。这涉及到确保医疗器械在全生命周期内，其保密性、完整性、可得性以及其他相关特性如真实性、抗抵赖性、可核查性和可靠性等均处于可接受的水平。

众所周知，FDA应该是全球最热衷于网络安全的。为了确保医疗设备网络安全，美国食品和药物管理局（FDA）发布了一系列相关法规和标准，以保障患者安全和维护医疗设备正常运行。本文将为您例举一些FDA关于网络安全的法规和标准，以供参考。

一直以来，FDA对于医疗器械网络安全的法规要求一直在不断加强，这体现在其不断更新的网络安全指南中。从2014年最初的网络安全指南初版到2018年更为详尽的网络安全指南草案，再到2022年进一步细化的网络安全指南草案……这些更新不仅反映了FDA对网络安全质量体系要求的日益严格，也凸显了其对确保设备设计安全性的高度重视。

目前FDA发布的网络安全相关指南

注：2022年12月29日，《2023年综合拨款法》（“综合拨款法”）签署成为法律。综合拨款法第3305条——“确保医疗设备的网络安全”——修订了《联邦食品、药品和化妆品法》（FD&C法案），增加了第524B条——确保设备的网络安全（第3305节）。根据Omnibus的规定， 2023年10月1日起，FDA将拒绝接受不符合网络安全要求的设备。

在此，这里给出FDA指南查询参考网址：

https://www.fda.gov/regulatoryinformation/search-fda-guidance-documents

与此同时，FDA强调医疗设备制造商必须在产品设计、开发和生产过程中进行全面的网络安全风险管理。这包括识别和评估潜在的网络安全威胁、漏洞和弱点，以及制定相应的安全控制措施来降低这些风险。制造商需要建立和维护一个网络安全风险管理框架，该框架应涵盖设备的整个生命周期，包括设计、开发、生产、部署、维护和更新。

目前FDA发布的网络安全国际相关标准

其综合来说，目前对于网络安全指南文件主要有以下三种，分别是关于上市前（网络安全的设计、标识和文件提交），上市后网络安全的管理 和关于OTS 软件的网络安全考虑，其对应如下：（大家可自行下载学习）。

Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions | FDA

Postmarket Management of Cybersecurity in Medical Devices | FDA

Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software | FDA

在这里也为大家列出一些FDA认可的可共识标准清单中与网络安全相关的标准（以cybersecurity为key word ）。

总之，FDA对医疗设备的网络安全有一系列严格的标准和要求，以确保医疗设备在使用过程中能够保持其安全性和有效性。医疗设备制造商需要遵循这些标准和要求，加强网络安全管理，确保患者的安全和医疗设备的正常运行。同时，医疗机构也需要加强网络安全管理，确保医疗设备的安全使用和维护。

打赏