隨著技術(shù)的進步和數(shù)字化轉(zhuǎn)型的加速，醫(yī)療器械行業(yè)正經(jīng)歷著前所未有的變革。然而，網(wǎng)絡攻擊的增加和數(shù)據(jù)泄露事件的頻發(fā)，醫(yī)療器械的網(wǎng)絡安全問題也日益凸顯。

據(jù)不完全統(tǒng)計，歐盟多國因產(chǎn)品網(wǎng)絡安全缺陷對數(shù)十款醫(yī)療設備實施市場召回；美國監(jiān)管機構(gòu)多次發(fā)布醫(yī)療器械網(wǎng)絡安全風險警示（其中2024年前三季度因網(wǎng)絡安全召回約23%達近14起等）；部分企業(yè)因漏洞事件導致重大經(jīng)濟損失，甚至觸發(fā)國際訂單合作終止條款。

因此對于那些有網(wǎng)絡安全要求的醫(yī)械企業(yè)來說，不管是只布局國內(nèi)市場，還是有出口需求，都需要高度重視網(wǎng)絡安全。本期文章我們就中美有關(guān)網(wǎng)絡安全要求的相關(guān)內(nèi)容跟大家進行簡單分享。

PART.01

中美對醫(yī)療器械網(wǎng)絡安全的相關(guān)要求

在我國，具備電子數(shù)據(jù)交換、遠程控制或用戶訪問功能的獨立軟件和含有軟件組件的產(chǎn)品，應當提供網(wǎng)絡安全研究資料，包括基本信息、實現(xiàn)過程、漏洞評估、結(jié)論等內(nèi)容，詳盡程度取決于軟件安全性級別。具體可參考《醫(yī)療器械網(wǎng)絡安全注冊審查指導原則（2022年修訂版）》，該指導原則中共提到了自動注銷、審核、授權(quán)、節(jié)點鑒別、人員鑒別等22項網(wǎng)絡安全能力。

FDA 510(k)程序雖然主要關(guān)注醫(yī)療器械與已上市產(chǎn)品的等同性，但近年來網(wǎng)絡安全也成為其審查的重點之一。根據(jù)FDA的相關(guān)規(guī)定，如果醫(yī)療器械具有網(wǎng)絡連接功能或包含可編程軟件和電子系統(tǒng)，那么制造商在提交510(k)申請時，必須提供關(guān)于網(wǎng)絡安全的詳細資料。這些資料應證明醫(yī)療器械在網(wǎng)絡安全方面符合FDA的要求，并采取了適當?shù)拇胧﹣肀Ｗo患者的數(shù)據(jù)安全和隱私。

FDA建議制造商制定安全風險管理計劃、安全風險管理報告，其中安全風險管理報告中應包含以下文檔元素：

· 威脅建模

· 網(wǎng)絡安全風險評估

· 互操作性注意事項

· 軟件物料清單（SBOM）

· 組件支持信息

· 漏洞評估和未解決異常評估

FDA 建議，按照質(zhì)量體系法規(guī)詳細規(guī)定的安全風險管理流程，應建立或融入現(xiàn)有流程中，且應涉及制造商的設計、制造、分銷流程，以及產(chǎn)品全生命周期內(nèi)的更新。

PART.02

網(wǎng)絡安全送檢指南

此前我們跟大家分享過廣東省醫(yī)療器械質(zhì)量監(jiān)督檢驗所發(fā)布的“醫(yī)療器械產(chǎn)品網(wǎng)絡安全相關(guān)檢驗送檢事項”，借此機會再跟大家分享一遍：

01

適用范圍

具備電子數(shù)據(jù)交換、遠程訪問與控制、用戶訪問三種功能當中一種及以上功能的第二、三類獨立軟件和含有軟件組件的醫(yī)療器械。

02

資料準備

1. 根據(jù)送檢產(chǎn)品實際情況，按照送檢產(chǎn)品檢驗項目選擇適用的《產(chǎn)品送檢資料清單》并按照其要求準備資料及樣品。

2. 在網(wǎng)絡安全檢驗項目委托書中，檢驗項目內(nèi)容企業(yè)可按軟件自身特性，選擇相應漏洞掃描項目，網(wǎng)絡安全能力核查內(nèi)容按網(wǎng)絡安全能力+性能指標+檢驗方法的形式填寫，企業(yè)可考慮其軟件產(chǎn)品預期用途、使用場景的限制，醫(yī)療器械對于網(wǎng)絡安全威脅應具備必要的識別、保護能力和適當?shù)奶綔y、響應、恢復能力，參考《醫(yī)療器械網(wǎng)絡安全注冊審查指導原則（2022年修訂版）》中提及的22項網(wǎng)絡安全能力具體填寫。

03

注意事項

1. 相關(guān)《產(chǎn)品送檢資料清單》均可在廣東省醫(yī)療器械質(zhì)量監(jiān)督檢驗所網(wǎng)站“檢驗服務--表格下載”欄獲取。

2. 提供滿足檢驗所需的足夠樣品，需蓋章的資料應加蓋委托方公章。

3. 所提供的樣品、配件及文件資料（證書）應真實有效，送檢樣品是經(jīng)出廠檢驗合格產(chǎn)品，符合醫(yī)療器械生產(chǎn)質(zhì)量管理規(guī)范的相關(guān)要求。

當全球監(jiān)管機構(gòu)已形成共識，網(wǎng)絡安全已是醫(yī)療器械的“基礎性能” ，而非附加功能。具體表現(xiàn)如下：

準入壁壘升級：我國醫(yī)療器械注冊申報時對網(wǎng)絡安全研究資料（如適用）的強制要求，歐盟MDR法規(guī)將網(wǎng)絡安全納入CE認證強制審核，美國FDA要求提交全生命周期漏洞管理方案；

市場信任危機：一次重大安全事件足以拖累整個“中國智造”品牌聲譽。

作為一家深耕醫(yī)療器械行業(yè)18年的專業(yè)咨詢機構(gòu)，我們?yōu)閺V大醫(yī)械企業(yè)提供全鏈條的合規(guī)支持（包括專項資料輔導服務），假如您有網(wǎng)絡安全資料輔導需求，歡迎隨時聯(lián)系我們~

?400-888-7587