2025年6 月27 日����,美國食品藥品監(jiān)督管理局(FDA)發(fā)布《醫(yī)療器械中的網(wǎng)絡(luò)安全:質(zhì)量體系考量和上市前提交內(nèi)容》指南,該指南首次將網(wǎng)絡(luò)安全要求從“推薦性指南” 升級為“法定強制”��,全面強化醫(yī)療器械全生命周期的網(wǎng)絡(luò)安全監(jiān)管���。需要指出的是�����,該指南是由去年3月13日發(fā)布的網(wǎng)絡(luò)安全草案更新而來的�。
一���、核心變化:從“推薦” 到“法定” 的監(jiān)管升級
1“網(wǎng)絡(luò)設(shè)備” 定義擴張,監(jiān)管邊界模糊化
指南明確“網(wǎng)絡(luò)設(shè)備” 需同時滿足三條件:含申辦方驗證的軟件��、具備聯(lián)網(wǎng)能力(如藍牙����、USB 接口等間接連接)�����、存在易受攻擊的技術(shù)特征�����。FDA 特別指出���,USB 維護接口�����、磁感應(yīng)通信設(shè)備等均屬于監(jiān)管范疇。
舉例:某個設(shè)備可能需要通過USB 連接進行維護��。雖然連接可能很短暫�,但連接能力已經(jīng)存在,因此該設(shè)備被認(rèn)為具有連接到互聯(lián)網(wǎng)的能力�����。
2上市前申報資料新增法定清單
a上市后漏洞管理計劃:需包含協(xié)調(diào)漏洞披露(CVD)機制�����、風(fēng)險管理流程及定期更新方案�����;
b網(wǎng)絡(luò)安全保障流程:證明設(shè)計開發(fā)流程能提供“網(wǎng)絡(luò)安全合理保證”;
c軟件物料清單(SBOM):強制公開商業(yè)及開源組件�����,標(biāo)注支持狀態(tài)及終止日期。
3質(zhì)量體系與監(jiān)管依據(jù)深度綁定
指南預(yù)告2026 年2 月2 日起���,質(zhì)量體系法規(guī)(QMSR)將整合ISO 13485:2016,要求企業(yè)提前調(diào)整管理體系�����。同時�����,F(xiàn)DA 明確將網(wǎng)絡(luò)安全作為評估設(shè)備“安全有效性” 的核心指標(biāo)�����,重大漏洞可能導(dǎo)致“不等效(NSE)” 判定���。
二����、技術(shù)要求革新:全生命周期管控強化
1安全開發(fā)框架(SPDF)成強制路徑
指南要求采用SPDF 覆蓋設(shè)計�、開發(fā)���、部署到退役全流程,需提交威脅建模�、漏洞評估�����、第三方組件分析報告���,并新增“未解決異常的網(wǎng)絡(luò)安全影響說明”。
2加密與安全標(biāo)準(zhǔn)升級
加密算法:強制采用NIST FIPS 140-3 標(biāo)準(zhǔn)����,禁用棄用算法(如附錄1 明確加密控制要求)����;
威脅建模:需覆蓋供應(yīng)鏈、生產(chǎn)���、運維等全環(huán)節(jié)�,例如針對第三方組件漏洞(如URGENT/117��、SweynTooth)需專項評估�。
3透明度要求制度化
a;SBOM 強制公開:需包含所有第三方組件(如開源庫����、SDK)的版本號及漏洞狀態(tài);
b����;用戶端風(fēng)險披露:產(chǎn)品標(biāo)簽需標(biāo)注網(wǎng)絡(luò)安全風(fēng)險警示及應(yīng)急響應(yīng)手冊�����。
三����、新舊規(guī)對比:監(jiān)管力度顯著提升
|
監(jiān)管維度<sup>1</sup> |
2025·版要求 |
2023·版舊規(guī) |
|
產(chǎn)品范圍 |
覆蓋非聯(lián)網(wǎng)設(shè)備(如獨立診斷儀器) |
僅限聯(lián)網(wǎng)設(shè)備 |
|
組合產(chǎn)品 |
生物制品-設(shè)備組合需單獨論證 |
未明確要求 |
|
生命周期 |
上市后漏洞監(jiān)控系統(tǒng)納入申報文件 |
僅建議事后響應(yīng) |
|
開發(fā)框架 |
強制采用 SPDF��,覆蓋全流程 |
未指定框架�����,僅推薦 |
四���、企業(yè)應(yīng)對:7 個月合規(guī)倒計時
1產(chǎn)品定性與流程重構(gòu)
a;按“網(wǎng)絡(luò)設(shè)備” 定義審查全產(chǎn)品線��,USB / 藍牙功能設(shè)備需遵循524B 節(jié)要求��;
b�����;將SPDF 與質(zhì)量管理體系整合��。
2技術(shù)與文檔準(zhǔn)備
a;部署OWASP CycloneDX/SPDX 格式SBOM�����,聯(lián)動漏洞掃描工具���;
b;研發(fā)團隊掌握FIPS 140-3 加密標(biāo)準(zhǔn)�����,更新威脅建模工具鏈。
3關(guān)鍵節(jié)點提醒
2026 年2 月1 日前未滿足SPDF 和SBOM 要求的“網(wǎng)絡(luò)設(shè)備” 將喪失上市資格����,企業(yè)需在7 個月內(nèi)完成體系升級�����。
京公網(wǎng)安備11010802046783號