2026 年 2 月 3 日,F(xiàn)DA 正式發(fā)布新版《醫(yī)療器械網(wǎng)絡(luò)安全:質(zhì)量管理體系考量與上市前申報資料要求》指南,替代 2025 年 6 月舊版�����。這份長達 60 頁的指南���,基于近年來醫(yī)療領(lǐng)域網(wǎng)絡(luò)安全事件的慘痛教訓(xùn)(如 WannaCry 勒索病毒���、SweynTooth 漏洞攻擊),進一步細化了醫(yī)療器械全生命周期的網(wǎng)絡(luò)安全管理要求��,尤其強化了上市前申報的資料規(guī)范性和實操性��。本文將從核心框架�����、細節(jié)要求���、合規(guī)實操三個維度�����,為你深度拆解指南全貌��。
一���、指南核心框架與修訂背景
1. 修訂核心動因
·威脅升級:醫(yī)療設(shè)備聯(lián)網(wǎng)率提升導(dǎo)致攻擊面擴大,第三方組件漏洞(如URGENT/11)�����、勒索病毒等事件頻發(fā),2020 年德國醫(yī)院勒索攻擊導(dǎo)致患者轉(zhuǎn)院延誤死亡的案例���,凸顯網(wǎng)絡(luò)安全對患者安全的直接影響���。
·法規(guī)更新:響應(yīng)《2022 年食品和藥物綜合改革法案》(FDORA)新增的第 524B 節(jié)要求,明確 “網(wǎng)絡(luò)設(shè)備(Cyber Device)” 的專項合規(guī)義務(wù)��。
·標(biāo)準(zhǔn)整合:將ISO 13485:2016 全面納入質(zhì)量管理體系法規(guī)(QMSR)��,要求網(wǎng)絡(luò)安全與質(zhì)量體系深度融合��。
2. 核心框架邏輯
指南以“全生命周期風(fēng)險管控” 為核心���,構(gòu)建 “原則 - 執(zhí)行 - 申報 - 專項” 四層框架:
·原則層:明確網(wǎng)絡(luò)安全是設(shè)備安全性和有效性的核心組成,需遵循設(shè)計安全�����、透明化�����、風(fēng)險分級等四大原則;
·執(zhí)行層:通過安全產(chǎn)品開發(fā)框架(SPDF)落地全流程風(fēng)險管控��,涵蓋風(fēng)險評估���、安全架構(gòu)設(shè)計�����、測試驗證等關(guān)鍵環(huán)節(jié)�����;
·申報層:細化不同申報類型(510 (k)�����、PMA��、IDE 等)的資料要求���,強調(diào)資料需與風(fēng)險等級匹配;
·專項層:針對“網(wǎng)絡(luò)設(shè)備” 制定強制性合規(guī)要求��,明確 SBOM���、漏洞管理計劃等核心交付物�����。
二���、適用范圍:這些產(chǎn)品與場景必須關(guān)注
1. 適用器械類型(覆蓋范圍進一步擴大)
·核心適用:含軟件功能���、固件或可編程邏輯的醫(yī)療器械,無論是否聯(lián)網(wǎng)(如植入式起搏器���、血糖監(jiān)測儀�����、醫(yī)院影像系統(tǒng))�����;
·特殊類別:“網(wǎng)絡(luò)設(shè)備(Cyber Device)” 需滿足三大條件 —— 內(nèi)置經(jīng)驗證的軟件、可連接互聯(lián)網(wǎng)���、存在網(wǎng)絡(luò)安全漏洞風(fēng)險(如 Wi-Fi 連接的監(jiān)護儀��、云同步的診斷設(shè)備)��;
·延伸覆蓋:藥械組合產(chǎn)品的器械部分��、510 (k) 豁免產(chǎn)品�����、生物器械組合產(chǎn)品���,均需遵循網(wǎng)絡(luò)安全要求���。
2. 適用申報類型(全申報路徑覆蓋)
包括FD&C 法案規(guī)定的所有上市前申報類型:
·上市前通知(510 (k)):含原始、特殊���、簡化版 510 (k)�����;
·批準(zhǔn)類申請:PMA 及補充申請�����、De Novo 創(chuàng)新器械申請���、HDE 人道主義器械豁免���;
·研究類申請:IDE 臨床試驗豁免、IND 新藥臨床試驗申請��、BLA 生物制品許可申請�����。
三���、四大核心原則:網(wǎng)絡(luò)安全管理的底層邏輯
1. 網(wǎng)絡(luò)安全是 QMSR 核心環(huán)節(jié)
·強制要求:制造商需建立符合QMSR(整合 ISO 13485:2016)的質(zhì)量體系���,網(wǎng)絡(luò)安全需融入設(shè)計開發(fā)、生產(chǎn)�����、售后全流程��;
·推薦工具:采用安全產(chǎn)品開發(fā)框架(SPDF)��,通過全生命周期流程減少漏洞,可與現(xiàn)有產(chǎn)品開發(fā)���、風(fēng)險管理流程整合;
·關(guān)鍵銜接:ISO 13485 的設(shè)計開發(fā)驗證(7.3.7 條款)���、風(fēng)險管理(7.1 條款)需明確包含網(wǎng)絡(luò)安全要求�����。
2. 設(shè)計安全優(yōu)先:五大安全目標(biāo) + 風(fēng)險適配
·核心目標(biāo):身份真實性(含完整性)���、權(quán)限管控、可用性���、數(shù)據(jù)保密性���、及時可更新性,需嵌入設(shè)備架構(gòu)設(shè)計���;
·設(shè)計考量因素:需結(jié)合設(shè)備預(yù)期用途��、使用環(huán)境(如醫(yī)院網(wǎng)絡(luò)的開放性)�����、漏洞可利用性��、患者傷害風(fēng)險等級�����;
·關(guān)鍵要求:針對AI 設(shè)備�����、云服務(wù)設(shè)備等特殊類型�����,需強化數(shù)據(jù)傳輸加密��、訪問權(quán)限分級等設(shè)計��。
3. 透明化原則:用戶知情權(quán)不可忽視
·核心要求:制造商需通過標(biāo)簽�����、文檔向用戶披露關(guān)鍵信息�����,避免因信息缺失導(dǎo)致設(shè)備誤用;
·必披露內(nèi)容:通信接口清單�����、第三方軟件組件�����、已知漏洞及應(yīng)對措施���、安全配置指南、更新流程��;
·違規(guī)后果:標(biāo)簽信息不足可能導(dǎo)致設(shè)備被認定為“標(biāo)識不當(dāng)”��,面臨合規(guī)處罰��。
4. 申報資料風(fēng)險分級:避免 “一刀切”
·分級邏輯:資料詳略程度與設(shè)備網(wǎng)絡(luò)安全風(fēng)險直接掛鉤���,而非軟件風(fēng)險等級�����;
·案例對比:非聯(lián)網(wǎng)體溫計僅需簡化安全架構(gòu)文檔��;聯(lián)網(wǎng)手術(shù)機器人需提交完整的風(fēng)險評估���、測試報告�����、SBOM 等全套資料��;
·核心要求:申報資料需聚焦“網(wǎng)絡(luò)安全風(fēng)險”�����,而非泛泛的質(zhì)量體系文件�����。
四�����、SPDF 框架實操:全生命周期風(fēng)險管控細節(jié)
安全產(chǎn)品開發(fā)框架(SPDF)是指南落地的核心工具�����,涵蓋三大關(guān)鍵環(huán)節(jié)���,每個環(huán)節(jié)均有明確的操作要求和交付物:
1. 安全風(fēng)險管理:從威脅識別到殘留風(fēng)險管控
(1)威脅建模(需貫穿設(shè)計全流程)
·核心任務(wù):識別設(shè)備全系統(tǒng)風(fēng)險(含供應(yīng)鏈�����、制造�����、部署、報廢等環(huán)節(jié))��,定義防護措施���;
·必含內(nèi)容:系統(tǒng)風(fēng)險及緩解措施���、使用環(huán)境假設(shè)(如默認醫(yī)院網(wǎng)絡(luò)為“敵意環(huán)境”)、供應(yīng)鏈引入的風(fēng)險���;
·交付物:威脅建模文檔��,需說明選用的方法論(如MDIC/MITRE 威脅建模手冊)及合理性�����。
(2)網(wǎng)絡(luò)安全風(fēng)險評估(與安全風(fēng)險評估分離但聯(lián)動)
·評估重點:聚焦漏洞“可利用性” 而非發(fā)生概率(區(qū)別于 ISO 14971 的安全風(fēng)險評估)��;
·特殊要求:已知漏洞需納入評估��,CISA 已知利用漏洞目錄中的漏洞需直接設(shè)計排除��;
·交付物:風(fēng)險評估報告���,含風(fēng)險評分方法��、預(yù)/ 后緩解風(fēng)險結(jié)論���、風(fēng)險轉(zhuǎn)移說明(如轉(zhuǎn)移給用戶需明確告知)。
(3)第三方軟件組件管理(新增 SBOM 強制要求)
·核心工具:軟件物料清單(SBOM)需包含制造商自研組件�����、第三方商用軟件���、開源軟件及上游依賴�����;
·SBOM 詳細要求:
o格式:需符合NTIA 2021 年 10 月發(fā)布的 SBOM 基線屬性�����,支持機器可讀��;
o附加信息:每個組件需標(biāo)注支持狀態(tài)(如“積極維護中”“已停止支持”)�����、終止支持日期���;
o漏洞說明:需列明組件已知漏洞(含CISA 目錄漏洞)、風(fēng)險評估結(jié)果�����、管控措施(如補償性控制)��;
·特殊情況:若無法提供SBOM���,需提交書面說明理由�����。
(4)全生命周期風(fēng)險跟蹤
·關(guān)鍵指標(biāo):需跟蹤三大核心metrics 并提交申報資料:
1.已修復(fù)漏洞占比(缺陷密度)��;
2.漏洞識別到修復(fù)的周期���;
3.補丁發(fā)布到終端設(shè)備安裝完成的周期��;
·動態(tài)更新:需根據(jù)新威脅�����、新漏洞及時更新風(fēng)險文檔���,上市后設(shè)備需持續(xù)評估不同軟件版本的風(fēng)險差異。
2. 安全架構(gòu)設(shè)計:從控制措施到視圖文檔
(1)八大安全控制類別(需全面覆蓋)
|
控制類別
|
核心要求
|
實操細節(jié)
|
|
身份認證
|
驗證信息來源真實性�����、實體身份合法性
|
采用加密強度認證(如硬件加密)���、多因素認證�����,禁止硬編碼密碼
|
|
權(quán)限管控
|
最小權(quán)限原則
|
按用戶角色分級(如患者��、醫(yī)護���、管理員)���,默認拒絕未授權(quán)訪問
|
|
加密技術(shù)
|
數(shù)據(jù)傳輸/ 存儲加密
|
采用NIST 推薦標(biāo)準(zhǔn)(如 FIPS 140-3),禁止使用已廢棄算法
|
|
代碼/ 數(shù)據(jù)完整性
|
防止篡改
|
固件/ 軟件需簽名驗證��,禁用未授權(quán)調(diào)試端口(如 JTAG)
|
|
數(shù)據(jù)保密性
|
敏感數(shù)據(jù)保護
|
加密存儲患者數(shù)據(jù)���、密鑰��,避免傳輸過程中泄露
|
|
事件檢測與日志
|
異常行為監(jiān)控
|
記錄配置變更�����、登錄嘗試、網(wǎng)絡(luò)異常等事件�����,支持forensic 分析
|
|
彈性與恢復(fù)
|
應(yīng)對攻擊后的恢復(fù)
|
設(shè)計備份模式��、配置恢復(fù)功能,抵御DoS 攻擊�����、網(wǎng)絡(luò)中斷
|
|
可更新性
|
安全補丁部署
|
支持端到端安全更新��,防止降級攻擊(版本回滾)
|
(2)四大必提架構(gòu)視圖(需含 diagrams + 說明)
·全局系統(tǒng)視圖:描述設(shè)備及所有內(nèi)外部連接(如軟件更新服務(wù)器���、醫(yī)院網(wǎng)絡(luò)�����、云平臺)��,明確數(shù)據(jù)流向���;
·多患者傷害視圖:分析攻擊可能導(dǎo)致的多患者風(fēng)險(如多臺監(jiān)護儀同時癱瘓),說明防護措施���;
·更新/ 補丁視圖:詳細描述補丁從服務(wù)器到終端設(shè)備的部署路徑(含非制造商控制的環(huán)節(jié)��,如醫(yī)院網(wǎng)絡(luò))�����,說明傳輸加密���、身份驗證措施��;
·安全用例視圖:覆蓋設(shè)備關(guān)鍵功能(如編程��、報警��、治療交付)�����,需包含不同運行狀態(tài)(開機���、待機、數(shù)據(jù)傳輸)的安全設(shè)計��。
3. 網(wǎng)絡(luò)安全測試:超越常規(guī)軟件驗證
(1)測試類型要求(需全面覆蓋漏洞場景)
·核心測試:漏洞測試(含模糊測試��、攻擊面分析���、漏洞鏈利用測試)�����、滲透測試���、代碼靜態(tài)/ 動態(tài)分析;
·特殊測試:需驗證硬編碼憑證�����、默認密碼���、未授權(quán)訪問等場景�����,測試第三方組件兼容性���;
·測試時機:貫穿SPDF 全流程,上市前需完成全面測試�����,上市后需按風(fēng)險等級定期測試(如高風(fēng)險設(shè)備每年一次)���。
(2)測試報告要求(需具備可追溯性)
·關(guān)鍵要素:測試方獨立性(如第三方測試需提供原始報告)�����、測試范圍��、方法�����、結(jié)果���、整改措施���;
·特殊說明:未整改的漏洞需說明理由,延期整改需明確時間表及臨時管控措施��;
·工具披露:需列明測試工具名稱��、版本��、配置參數(shù)�����。
五�����、透明化要求:標(biāo)簽與管理計劃的詳細規(guī)范
1. 標(biāo)簽內(nèi)容(需兼顧專業(yè)性與可讀性)
·強制包含信息:
o安全配置指南:防火墻設(shè)置���、密碼復(fù)雜度要求�����、反惡意軟件安裝建議�����;
o接口與端口清單:網(wǎng)絡(luò)端口功能��、數(shù)據(jù)傳輸方向(入/ 出)�����、授權(quán) endpoints�����;
oSBOM 信息:提供機器可讀的 SBOM 獲取路徑(如在線門戶)�����,需及時更新�����;
o更新流程:軟件更新下載路徑��、版本驗證方法���、用戶通知機制��;
o事件響應(yīng):發(fā)現(xiàn)漏洞后的上報方式���、臨時防護措施;
o生命周期信息:設(shè)備及組件的終止支持日期��、安全退役流程(數(shù)據(jù)清除要求)��。
2. 網(wǎng)絡(luò)安全管理計劃(上市前需提交)
·核心要素:
o責(zé)任分工:明確漏洞監(jiān)測��、補丁開發(fā)���、信息披露的責(zé)任人及流程��;
o監(jiān)測機制:列明漏洞監(jiān)測來源(如NIST NVD 數(shù)據(jù)庫�����、第三方供應(yīng)商通知)���、監(jiān)測頻率;
o補丁管理:常規(guī)漏洞補丁的發(fā)布周期(需結(jié)合風(fēng)險等級)�����、緊急漏洞(如CISA 已知利用漏洞)的應(yīng)急響應(yīng)流程��;
o披露機制:協(xié)調(diào)漏洞披露流程(CVD)���,明確向用戶�����、FDA 的通知時限�����;
o動態(tài)更新:計劃需根據(jù)新威脅�����、新法規(guī)及時修訂���。
六���、網(wǎng)絡(luò)設(shè)備(Cyber Device)專項合規(guī)要求
作為FDORA 524B 節(jié)的核心落地要求,網(wǎng)絡(luò)設(shè)備需滿足三大強制性義務(wù):
1. 計劃與流程(524B (b)(1))
·強制提交:上市后漏洞管理計劃��,需包含漏洞監(jiān)測���、補丁發(fā)布��、協(xié)調(diào)披露流程�����;
·補丁時限要求:
o常規(guī)漏洞(已知不可接受但非緊急):按合理周期發(fā)布補?����?����;
o緊急漏洞(可能導(dǎo)致失控風(fēng)險):需脫離常規(guī)周期���,盡快發(fā)布補?�?����;
·特殊要求:計劃需考慮已上市設(shè)備的風(fēng)險差異(如未更新補丁的設(shè)備需單獨評估風(fēng)險)�����。
2. 網(wǎng)絡(luò)安全保障流程(524B (b)(2))
·強制要求:設(shè)計、開發(fā)�����、維護全流程需提供網(wǎng)絡(luò)安全合理保障���,需提交:
o安全架構(gòu)設(shè)計文檔��;
o全生命周期風(fēng)險管理制度�����;
o第三方組件管控流程��。
3. SBOM 提交(524B (b)(3))
·強制提交:包含商用��、開源�����、外購軟件組件的完整SBOM��,需符合 NTIA 基線屬性���,標(biāo)注組件支持狀態(tài)及終止支持日期��;
·豁免情況:無豁免��,所有網(wǎng)絡(luò)設(shè)備均需提交��,無法提供需書面說明理由���。
4. 設(shè)備變更的合規(guī)要求
·影響網(wǎng)絡(luò)安全的變更(如加密算法修改、新增聯(lián)網(wǎng)功能):需按對應(yīng)申報路徑重新提交全套網(wǎng)絡(luò)安全資料���;
·不影響網(wǎng)絡(luò)安全的變更(如材料更換��、滅菌方式調(diào)整):
o需提交漏洞管理計劃(首次或更新版)���;
o說明當(dāng)前是否存在“可能導(dǎo)致失控風(fēng)險的關(guān)鍵漏洞”���;
o提交更新后的SBOM。
七��、申報資料清單與IDE 專項要求
1. 通用申報資料清單(按風(fēng)險分級)
|
資料類別
|
核心內(nèi)容
|
低風(fēng)險設(shè)備
|
高風(fēng)險設(shè)備
|
|
風(fēng)險管理報告
|
威脅建模��、風(fēng)險評估���、SBOM��、漏洞管控
|
簡化版(聚焦關(guān)鍵風(fēng)險)
|
完整版(含全流程記錄)
|
|
安全架構(gòu)文檔
|
四大視圖��、安全控制措施
|
僅需全局視圖+ 核心控制
|
全套視圖+ 詳細控制說明
|
|
測試報告
|
漏洞測試、滲透測試結(jié)果
|
基礎(chǔ)測試報告
|
完整測試報告+ 工具說明
|
|
標(biāo)簽與管理計劃
|
透明化信息��、上市后管理計劃
|
簡化標(biāo)簽+ 基礎(chǔ)計劃
|
完整標(biāo)簽+ 詳細計劃
|
2. IDE 臨床試驗豁免專項要求
·必提交資料:
o知情同意書:需包含網(wǎng)絡(luò)安全風(fēng)險告知�����;
o架構(gòu)視圖:全局系統(tǒng)視圖��、多患者傷害視圖、更新/ 補丁視圖�����;
o安全用例視圖:聚焦高風(fēng)險功能(如植入設(shè)備編程)��;
oSBOM:完整軟件物料清單�����;
o通用標(biāo)簽:包含設(shè)備聯(lián)網(wǎng)信息��、網(wǎng)絡(luò)安全風(fēng)險�����、更新流程�����。
八�����、合規(guī)實操建議與常見誤區(qū)
1. 關(guān)鍵合規(guī)動作(按優(yōu)先級排序)
·立即行動:梳理現(xiàn)有產(chǎn)品是否屬于“網(wǎng)絡(luò)設(shè)備”���,啟動 SBOM 編制(含第三方組件支持狀態(tài)核查)��;
·短期推進:建立SPDF 框架�����,整合網(wǎng)絡(luò)安全風(fēng)險評估與現(xiàn)有質(zhì)量管理體系���;
·長期落地:完善安全架構(gòu)設(shè)計�����,強化加密���、權(quán)限管控等核心控制措施,建立常態(tài)化漏洞監(jiān)測與補丁發(fā)布機制���。
2. 常見誤區(qū)規(guī)避
·誤區(qū)1:僅關(guān)注聯(lián)網(wǎng)設(shè)備�����,忽略非聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)安全要求(如含可編程邏輯的便攜設(shè)備);
·誤區(qū)2:SBOM 僅包含自研組件�����,未涵蓋第三方商用軟件、開源軟件的上游依賴���;
·誤區(qū)3:測試僅覆蓋常規(guī)軟件漏洞�����,未開展?jié)B透測試���、漏洞鏈利用測試;
·誤區(qū)4:標(biāo)簽未包含終止支持日期��、安全退役流程等關(guān)鍵信息���。
九�����、總結(jié):合規(guī)核心在于“全生命周期 + 風(fēng)險適配”
2026 版 FDA 指南的核心變化�����,在于將網(wǎng)絡(luò)安全從 “附加要求” 升級為 “設(shè)備安全有效性的核心組成”���,通過 SPDF 框架實現(xiàn)全流程管控��,通過風(fēng)險分級避免合規(guī)負擔(dān)與實際風(fēng)險脫節(jié)���。對于制造商而言,需重點關(guān)注 SBOM 編制���、安全架構(gòu)設(shè)計�����、漏洞管理計劃三大核心交付物��,同時結(jié)合設(shè)備類型(是否為網(wǎng)絡(luò)設(shè)備)�����、風(fēng)險等級�����,針對性準(zhǔn)備申報資料�����。
未來��,隨著網(wǎng)絡(luò)威脅的持續(xù)演變�����,F(xiàn)DA 大概率將進一步細化應(yīng)急響應(yīng)��、AI 設(shè)備網(wǎng)絡(luò)安全等專項要求�����,制造商需建立動態(tài)合規(guī)機制���,持續(xù)跟蹤法規(guī)更新與技術(shù)發(fā)展。
京公網(wǎng)安備11010802046783號