医疗开发网络安全的新标准
提高医疗器械的网络安全标准要求制造商遵守新的全球法规。
医疗器械网络安全法规的演变
多年来,医疗器械公司对其产品的网络安全管理一直是监管机构的重要期望。
为了帮助实现这一目标,US FDA 于 2005 年发布了第一份关于医疗器械网络安全的指南。它涵盖了 包含现成 (OTS) 软件的联网医疗器械的网络安全。
随后于 2014 年发布了关于 医疗器械网络安全管理上市前提交内容 的指南和关于 医疗器械网络安全的上市后管理 的指南。这些文件中的建议虽然有用,但被认为是不够的且不够严格。
然而,自 2023 US 政府综合拨款法 通过以及 FDA 发布 2023 年更新的 医疗器械中的网络安全:质量体系考虑因素和上市前提交内容 指南以来,网络安全门槛提高了。 2023 年上市前指南取代了 2014 年上市前指南,后者已于 2018 年和 2022 年以草案形式进行了更新。
多年来,FDA 的上市前指南经历了重大演变,从 2014 年有限的 9 页文件到现在全面的 57 页 2023 年指南。
通过该法案的通过,《2023 年综合拨款法案》将FDA 医疗器械网络安全指南中历来不太正式的“建议”方法转变为基于法规的要求或法律。
例如,根据法律,《综合拨款法》第 3305 条要求申请或提交(例如 510(k) 上市前提交)的发起人(例如医疗器械公司)应:
- 提交监控、识别和解决上市后网络安全漏洞和漏洞利用的计划,包括协调的漏洞披露和相关程序;
- 设计、开发和维护流程和程序,以合理保证设备和相关系统的网络安全,并为设备和相关系统提供上市后更新和补丁,以解决:
- 在合理合理的定期周期中,已知的不可接受的漏洞
- 并尽快淘汰可能导致风险失控的关键漏洞
- 向部长提供软件物料清单,包括商业、开源和现成的软件组件;和
- 遵守部长可能通过法规要求的其他要求,以证明设备和相关系统是网络安全的合理保证。
全球加强医疗器械网络安全的转变
《综合拨款法案》中特别值得注意的是对上市后网络安全计划和软件材料清单的要求,这些要求历来在 US 监管提交文件中并未得到强调。这些需要从医疗器械开发的最初阶段就付出巨大努力。此外,根据 2023 年上市前指南,上市前提交的内容现在需要包括渗透测试和威胁建模练习的结果,这也涉及大量的工作和成本。
对网络安全的更高期望不仅仅局限于US。 EU 关于网络和信息系统安全的 2022/2555 指令(“NIS2”) 现在对医疗产品(包括化学品 (API)、药品和医疗器械)制造商强制实施网络安全风险管理措施和报告要求。
类似于US,澳大利亚 治疗产品管理局 2022 年医疗器械行业网络安全指南 呼吁采用全产品生命周期 (TPLC) 方法来管理网络安全。它还要求将渗透测试和威胁建模作为设备风险管理/评估过程的一部分。
新加坡于 2022 年宣布计划部署 医疗器械网络安全标签计划 - CLS-MD。该标签计划目前正处于“沙盒”或试用期。该计划基于根据四个级别的网络安全规定和评估对医疗器械进行评级。
医疗器械的网络安全标签将表明医疗器械的安全级别。尽管目前是自愿的,但这项新计划表明了新加坡政府对医疗器械网络安全的严重关注。
除了上面的例子之外,世界各地对保持医疗器械“网络安全”的必要性的认识也越来越高,其中包括 国际医疗器械监管机构论坛 的全球倡议,该论坛制作了 医疗器械网络安全的原则和实践、传统医疗器械网络安全的原则和实践 和 医疗器械网络安全软件物料清单的原则和实践 等优秀的技术文件。
如果您正在开发或已经拥有带有软件的医疗器械,特别是如果该设备可以通过电子方式连接到其他设备或网络,那么您需要认真对待网络安全,并充分了解您正在或将要销售的任何地区的网络安全要求和期望。如果您需要全球网络安全合规方面的支持,请随时联系Pure Global寻求帮助。
无论您身在何处,
都欢迎联系我们。
无论您是在寻找更多信息,还是已经准备与我们合作,我们都会在监管流程的每一步提供指导。
联系我们

