FDA全新指南|医疗器械质量体系和上市前提交中的“网络安全”

     FDA官网全新发布《医疗器械网络安全：质量管理体系考量和上市前提交内容》指南，取代2025年6月27日发布的《医疗器械网络安全：质量体系考量与上市前提交内容》文件。

1. 指南适用范围

适用：带有网络安全考量的器械，不局限于：包括器械软件功能 / 软件(含固件) / 可编程逻辑的器械。

该指南描述：提交至CDRH器械与放射健康中心或CBER生物制品评价与研究中心的“上市前提交中需包括的网络安全信息”有关建议↘

510(k)上市前通知提交；De Novo 请求；PMA上市前批准申请及补充申请；IDE研究器械豁免提交；HDE人道主义器械豁免提交等。

适用FD&C 法案第 201(h) 条含义下全部器械类别，适用无需上市前提交的器械(如510(k)豁免器械)。

2. 通用原则

即：与制造商相关的器械网络安全通用原则，对提升器械网络安全举足轻重，符合并执行前述原则预期将对器械安全与有效性带来积极影响。

A. 网络安全是器械安全和QMSR质量管理体系法规的组成部分

械企必须构建并遵照执行质量管理体系，从而有助于保障器械持续符合适用要求及规范（相关质量体系要求详见体系新规QMSR）。

依据不同类别器械，质量管理体系的要求可能同上市前阶段、上市后阶段或两者皆为关联。

置于上市前背景下，为证明对部分带有网络安全风险器械具备的合理安全及有效性保证，有关QMSR持续要求的文件输出可能成为：上市前提交一部分需包含的文件来源之一。

作为设计与开发组成部分"依照计划及文件形式安排开展设计和开发确认,以确保成品器械能够符合规定应用或预期用途要求"，设计和开发确认包括器械软件的确认。

ISO13485第7.1子条款规定：组织应为产品实现形成一个或多个风险管理过程。作为第前述条款要求的软件确认及风险管理的一部分，软件器械制造商或需要在适当时建立网络安全风险管理和确认流程。

软件确认和风险管理，是网络安全分析和证明器械具备合理安全及有效性保证与否的关键要素。FDA要求制造商实施开发过程，以在整个设计和开发过程中考虑和解决软件风险，如ISO13485有关设计和开发的讨论所述，其中可能包括网络安全考量。

SPDF安全产品开发框架可能是符合 QMSR 的方法之一，网络安全威胁可能利用一个或多个可能造成患者伤害的漏洞，器械运行所在系统中存在和/或随时间推移发现的漏洞越多，则威胁就越容易危害器械安全与有效性。作为有助于识别和减少漏洞数量和严重程度的流程，SPDF 涵盖产品生命周期的所有方面，如设计、开发、发布、支持、停用。设计期间应用SPDF流程有助于预防：在上市和分销后添加连接为基础的功能时，或发现引发不受控制风险的漏洞时，需重新设计器械。

B. 出于安全目标的设计

FDA审核上市前提交时，计划根据多项因素评估器械网络安全，并不局限于器械在整个设备架构中提供与实施以下安全目标的能力：

· 真实性（含完整性）；

· 授权；

· 可用性；

· 保密性；

· 安全并及时的可更新性、可修补性。

上市前提交应涵盖：描述上述安全目标如何被解决并集成至器械设计中的信息。为符合前述目标所需的安全性要求、架构、供应链和实现的程度，将取决于以下因素(不限于)：

· 预期用途、使用适应症、合理可预见的误用；

· 电子数据接口的存在和功能；

· 预期和实际使用环境；

· 网络安全漏洞导致的风险；

· 漏洞的可剥削性；

· 因漏洞利用引发患者伤害的风险。

SPDF 流程旨在减少漏洞数量和严重程度，有助于减轻医疗器械系统的可剥削性及患者伤害风险。由于利用已知漏洞或薄弱的网络安全控制应被视为医疗器械系统合理可预见的故障模式，因此前述因素应在器械设计时予以解决。

C. 透明度

缺失网络安全信息，例如将器械集成至使用环境所需信息、用户在器械生命周期内维护医疗器械系统网络安全所需信息，均可能影响器械安全性和有效性。

解决上述问题的重点是让用户能访问关于器械网络安全控制、医疗器械系统潜在风险及其他信息,包括：

· 未能披露全部通信接口或第三方软件可能无法传达潜在的风险来源；

· 有关器械是否存在已知但未披露的网络安全漏洞或风险的信息不充分，可能与确定器械安全性或有效性是否可能降低有关联；

· 标签未包括充足的信息用于说明如何安全配置或更新器械，可能限制最终用户适当管理与维护医疗器械系统的能力。

FDA 认为该指南所讨论的网络安全信息对器械安全有效使用具备关键影响，应包含于器械标签中。

D. 提交文件

器械网络安全设计和文件预期应当伴随该器械的网络安全风险程度做调整。制造商应考虑器械可能使用的更大系统，例如：对简单的非连接温度计执行的网络安全风险评估可能得出结论认为风险有限，所以此类器械仅需有限的安全架构（即仅解决硬件和软件）和基于器械技术特性及设计的少量安全控制。然而若温度计用于安全关键的闭环控制，或连接网络或其他器械，则认为该器械有更大的网络安全风险，应开展更大量的设计和开发活动。

申请提交者应考虑在上市前提交中涵盖：开发具有网络安全风险的器械期间所使用的设计和开发活动文件，以此证明合理的安全性和有效性。

鉴于网络安全是器械安全性和有效性的一部分，上市前开发期间建立的网络安全控制也应考虑预期和实际使用环境。网络安全风险随时间演变，因此顺应新风险、威胁和攻击方法的涌现，网络安全控制的有效性可能被降低。510(k) 背景下FDA会评估提交的网络安全信息及网络安全控制在证明实质性等同时所提供的保护。

器械标签中网络安全信息不足，可能导致器械依据FD&C 法案第502(f)条被认定为冒牌产品（若标签未包括充足的使用说明），或根据FD&C法案第502(j)条被视为冒牌产品（因为依据标签所推荐或建议方式使用会威胁健康），或其他可能的违规行为。