2025年6月27日,美国FDA正式发布最新版网络安全指导文件《Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions》。这不仅是对2023年版本的升级,更是对法规第524B条款的正式对接。它意味着:网络安全已从技术建议上升为强制合规要求。 https://www.fda.gov/media/119933/download 1. 网络威胁不断升级 近年来,多起攻击事件(如WannaCry、SweynTooth)波及医疗设备与系统,导致设备瘫痪、手术中断,甚至患者生命受威胁。 2. 法律驱动合规 2022年《FDA改革法案》(FDORA)新增FD&C法案第524B条款,要求Cyber Devices必须在上市前提交网络安全相关材料,包括SBOM、安全更新机制、漏洞管理计划等。 3. 质量体系要求 FDA已于2024年宣布,将自2026年2月2日起,把原有QSR(21 CFR Part 820)更新为基于ISO 13485:2016的QMSR,标志美国质量体系将全面与国际接轨。 不仅适用于联网设备,所有含有软件、固件或可编程逻辑的器械(即便不联网)均需符合本指南。 2. 法规地位提高 不同于旧版的“建议性”指南,2025年版直接服务于FD&C法案第524B条,具有法律强制效力。 3. 提交流程更明确 必须在上市前提供以下材料(根据产品情况选择性提交): 威胁建模报告(Threat Modeling) 网络安全架构图 渗透测试/模糊测试(Fuzzing)结果 安全更新机制说明 SBOM(Software Bill of Materials) 漏洞披露与修复策略 FDA强调:“网络安全不再是事后的IT补丁,而是产品设计的起点。” 安全目标的五大核心原则: 1.真实性与完整性(Authenticity & Integrity) 含义:确保数据、设备、命令未被篡改或伪造 实施要点:数字签名、加密校验、Secure Boot 2. 授权机制(Authorization) 含义:限制功能访问在授权用户范围内 实施要点:权限管理、MFA、RBAC 3. 可用性(Availability) 含义:即使遭受攻击仍能提供核心服务 实施要点:安全模式、冗余设计、DoS防护 4. 保密性(Confidentiality) 含义:保护患者数据、系统配置不被泄露 实施要点:数据加密、访问日志、安全擦除 5. 可更新与可补丁性(Updatability & Patchability) 含义:发现漏洞后能安全、迅速修补 实施要点:OTA更新、签名验证、版本回滚保护 FDA建议企业采用安全产品开发框架SPDF(Secure Product Development Framework),将网络安全要求融入: 需求分析与设计控制阶段 风险管理与验证流程 软件更新与维护机制 1. 梳理产品清单,识别“Cyber Devices” 首先明确哪些产品符合§524B中定义的Cyber Device标准,即: 含有软件、固件、可编程逻辑控制(PLC); 可联网(直接或间接); 可受到网络威胁影响其功能; 属于FDA监管的医疗器械。 对所有产品进行一次网络安全风险等级划分,区分高/中/低风险产品,以确定需提交的安全材料范围与深度。 2. 导入“安全开发框架”(SPDF) 将网络安全要求纳入现有的设计控制流程、风险管理流程(ISO 14971)、软件生命周期流程(IEC 62304): 初期设计 → 加入威胁建模(TARA) 架构评审 → 增设“信任边界”分析 验证测试 → 增加渗透测试、模糊测试环节 设计输出 → 提供SBOM、安全架构图、安全标签说明等文档 建议建立“Cybersecurity Design Checklist”,确保每一产品设计环节都经过系统性评估。 3. 建立SBOM生成与维护机制 SBOM(软件物料清单)是核心强制材料,企业应搭建如下能力: 自动生成SBOM(含商业、开源、第三方组件); 跟踪组件生命周期、支持状态、CVE漏洞; 与供应商签署SBOM合规责任条款; 建立版本控制与更新记录机制; 将SBOM嵌入产品注册包及更新包中提交。 工具建议:使用如CycloneDX、SPDX等SBOM格式标准,与自动化工具(如Dependency-Track)集成。 4. 升级补丁管理与响应机制 FDA要求每个Cyber Device需建立漏洞发现后的快速修复机制,包括: 修补策略与响应流程(Patch Management Plan); 补丁测试、验证与OTA(Over-the-Air)发布机制; 用户通知与风险提示机制; 日志记录和安全事件上报机制。 企业应指定“产品安全官(Product Security Officer)”负责安全事件闭环管理。 5. 质量体系融合网络安全要素 自2026年起,FDA正式以ISO 13485替代QSR为法规标准,企业质量体系应提前完成以下对接: 管理评审纳入网络安全绩效指标; 文件控制新增“网络安全设计输入/输出”模板; CAPA(纠正与预防措施)流程纳入安全事件闭环机制; 培训模块新增“安全意识+法规更新+SPDF”专题。 企业可结合MDSAP审核准备一体化体系文件,实现多国市场合规共通。 FDA这次更新网络安全指南,释放了明确信号,网络安全并不是“研发附加项”,而是产品注册的“刚需入口”。 对医疗器械企业而言,这不仅是一次法规升级,更是一次行业洗牌。谁能率先建立SBOM数据库、渗透测试机制、SPDF设计框架,谁就能抢占美国市场窗口;谁还停留在“提交注册材料+纸面审查”阶段,将在QMSR实施后面临系统性合规风险。
Wiselink拥有包括原澳大利亚药品监督管理局局长Dr. Derrick Beech为首席顾问的国际专业团队,秉承源于澳洲、扎根中国、服务世界的精神,信守专业、真诚、开放的核心价值观,致力于为医疗器械、化妆品、食品、保健品和中药制造商提供全球合规认证和临床试验服务。
