美國衛(wèi)生與公眾服務(wù)部(HHS)下轄食品藥品監(jiān)督管理局(FDA)日前發(fā)布最終指導(dǎo)文件����,為網(wǎng)絡(luò)設(shè)備制定了新的網(wǎng)絡(luò)安全要求����,其中包括網(wǎng)絡(luò)設(shè)備在上市前的申報材料中必須提交的信息����。文件還要求醫(yī)療保健相關(guān)方應(yīng)將軟件物料清單(SBOM)和漏洞披露報告納入基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全規(guī)定����。
這份題為《醫(yī)療設(shè)備的網(wǎng)絡(luò)安全:FD&C法案第524B條下網(wǎng)絡(luò)設(shè)備及相關(guān)系統(tǒng)的拒絕接收政策》的指導(dǎo)文件稱����,《2023年綜合撥款法案》第3305條修訂了《聯(lián)邦食品、藥品和化妝品法案》(即FD&C法案)����,添加了第524B節(jié)以協(xié)助確保設(shè)備的網(wǎng)絡(luò)安全。此外����,法律還規(guī)定����,F(xiàn)D&C法案的修正案將于2023年3月29日頒布起的90天后生效。
根據(jù)法案規(guī)定����,這些網(wǎng)絡(luò)安全要求不適用于2023年3月29日前提交至FDA的申報或提交材料。但FDA方面已經(jīng)確定����,F(xiàn)D&C法案第524B節(jié)中指定的日期,即在90天法定時限內(nèi)征求公眾意見并不具備可行性����。盡管這項政策已經(jīng)在未經(jīng)前期評議的情況下立即實施,但FDA將考量收到的反饋并酌情對具體規(guī)定做出修改����。
FDA表示,醫(yī)療設(shè)備越來越多地接入互聯(lián)網(wǎng)����、醫(yī)院網(wǎng)絡(luò)及其他醫(yī)療設(shè)備����,旨在改善醫(yī)療保健效果并提高醫(yī)療服務(wù)方治療患者的能力。但這些功能也會增加潛在的網(wǎng)絡(luò)安全風(fēng)險����。與其他計算機(jī)系統(tǒng)一樣,醫(yī)療設(shè)備同樣易受安全漏洞的影響����,進(jìn)而破壞設(shè)備的安全性和有效性。
公示期間不會拒絕接收申報
威脅與漏洞不可避免,這就讓降低網(wǎng)絡(luò)安全風(fēng)險變得極具挑戰(zhàn)����。醫(yī)療保健環(huán)境復(fù)雜����,設(shè)備制造商����、醫(yī)院和公共部門必須協(xié)同努力以管理網(wǎng)絡(luò)安全風(fēng)險����。
FDA原則上不會單純根據(jù)FD&C法案新修正案的要求����,在2023年10月1日之前對網(wǎng)絡(luò)設(shè)備上市前提交的申報文件做“拒絕接收”批復(fù)。相反����,F(xiàn)DA希望以交互及/或缺陷審查的方式與申報廠商合作����。
拒絕接收簡稱RTA����,是FDA在2012年針對上市前申報(即510k)制度實施的一項政策����。根據(jù)Rob Packard在Medical Device Academy博文中的解釋,上市前申報應(yīng)在FDA審查流程之前的15個自然日內(nèi)完成����。“FDA將指派一名初步審查員對申報文件做RTA篩選����,并由該審查員整理出一份RTA清單����。FDA隨后通過技術(shù)方式將RTA篩選內(nèi)容替換進(jìn)FDA eSTAR模板����。這也是Medical Device Academy選擇在所有510k申報中使用SFDA eSTAR模板,而非舊的20條式510k格式的原因之一����。”
申報文件必須提供完整的網(wǎng)絡(luò)安全狀況
新發(fā)布的指導(dǎo)文件概述了自2023年3月29日起生效的第524B節(jié)中網(wǎng)絡(luò)安全條款部分的一項要求����,即根據(jù)510(k)、513����、515(c)、515(f)或520(m)對于符合本節(jié)下網(wǎng)絡(luò)設(shè)備定義的設(shè)備����,“應(yīng)包含[FDA]可能要求的信息����,以確保此類網(wǎng)絡(luò)設(shè)備滿足網(wǎng)絡(luò)安全要求����。”
指導(dǎo)文件還提到,申報或提交的廠商應(yīng)向FDA提供一份計劃����,以在合理的時間內(nèi)酌情監(jiān)控����、識別和解決產(chǎn)品上市后出現(xiàn)的網(wǎng)絡(luò)安全漏洞及利用,包括如何協(xié)調(diào)漏洞披露和相關(guān)程序����。
廠商應(yīng)提供設(shè)計����、開及維護(hù)流程和程序����,以合理保證設(shè)備及相關(guān)系統(tǒng)的網(wǎng)絡(luò)安全����。廠商還應(yīng)提供設(shè)備及相關(guān)系統(tǒng)在上市后的更新和補丁修復(fù)����,在合理的固定周期內(nèi)解決不可接受的已知漏洞,并盡快以非固定周期解決可能導(dǎo)致失控風(fēng)險的關(guān)鍵漏洞����。
廠商還應(yīng)向FDA提交軟件物料清單(SBOM)����,包括商業(yè)、開源及現(xiàn)成的軟件組件����,并遵循FDA可能依據(jù)法規(guī)提出的其他要求����,借此對設(shè)備及相關(guān)系統(tǒng)的網(wǎng)絡(luò)安全水平做出合理保證。
指導(dǎo)文件規(guī)定����,對于2023年10月1日前提交的網(wǎng)絡(luò)設(shè)備上市申報,F(xiàn)DA原則上不會僅根據(jù)FD&C法案第524B條要求的信息做“拒絕接收”決定����。“相反,F(xiàn)DA希望以交互及/或缺陷審查的方式與申報廠商合作����。”
在評論這部分內(nèi)容時����,Packard寫道,“我們相信FDA將在2023年10月1日更新eSTAR模板以納入網(wǎng)絡(luò)安全要求。在未來的eSTAR模板中����,將無法提交不包含網(wǎng)絡(luò)安全要求的510k,因為eSTAR會自動驗證模板中各部分內(nèi)容的填寫情況����。”
指導(dǎo)文件還補充稱����,自2023年10月1日起����,“FDA預(yù)計網(wǎng)絡(luò)設(shè)備廠商將有足夠的時間根據(jù)FD&C法案第524B條籌備產(chǎn)品的上市申報材料����,且FDA可能對信息不全的申報做「拒絕接收」處理����。”
文件概述所謂“網(wǎng)絡(luò)設(shè)備”的基本定義����,其中應(yīng)涉及軟件的驗證����、安裝及授權(quán)等����,能夠接入互聯(lián)網(wǎng),而且包含可能易受網(wǎng)絡(luò)安全威脅的廠商驗證����、安裝并授權(quán)的技術(shù)特征。
行業(yè)專家:此舉意在要求廠商自證安全
工業(yè)物聯(lián)網(wǎng)安全廠商MedCrypt及診斷軟件開發(fā)商Gamma Basics的聯(lián)合創(chuàng)始人Mike Kijewski發(fā)文解釋了新規(guī)對醫(yī)療“網(wǎng)絡(luò)設(shè)備”廠商造成的影響����。“現(xiàn)在你必須證明自己開發(fā)的設(shè)備在設(shè)計上是安全的,必須制定策略來監(jiān)控和維護(hù)該設(shè)備上市后和設(shè)備生命周期內(nèi)的安全性����,整理并維護(hù)軟件物料清單,并提供必要的文件來證明所有這些工作����。以上內(nèi)容都應(yīng)包含在提交給FDA的產(chǎn)品上市申報當(dāng)中����。”
面對FDA對指導(dǎo)文件的再次修正����,Packard認(rèn)為“2018年就發(fā)布過一份草案,2022年又推出了更新草案����。這份最終指導(dǎo)文件也有相應(yīng)的更新版本,已經(jīng)被FDA列入A級優(yōu)先列表����,只是這個更新版本還沒有發(fā)布����。”
他還提到,F(xiàn)DA的網(wǎng)絡(luò)安全頁面已經(jīng)更新����,納入了關(guān)于網(wǎng)絡(luò)安全設(shè)備“拒絕接收”政策的新規(guī)定����。“我們認(rèn)為����,這代表更新后的最終版本將很快發(fā)布����。”
2022年4月����,F(xiàn)DA曾經(jīng)發(fā)布指導(dǎo)文件草案,建議醫(yī)療保健行業(yè)將網(wǎng)絡(luò)安全設(shè)備的設(shè)計、標(biāo)簽和FDA給出的意見納入上市申報材料����。這些建議有助于提高上市審查流程,確保上市的醫(yī)療設(shè)備在面對網(wǎng)絡(luò)安全威脅時具有足夠的彈性����。
京公網(wǎng)安備11010802046783號
