美國食品藥品監督管理局（FDA）于2022年4月公布了《醫療器械網絡：質量體系考量與上市前申報指南》草案再次公開征求意見，擬取代2014年10月發布的《醫療器械網絡安全上市前申報指南》。

一、背景

鑒于醫療器械網絡安全問題日益突出，美國逐漸加強醫療器械網絡安全的監管要求。2005年1月發布《聯網醫療器械所含現成軟件網絡安全申報指南》，2014年10月發布《醫療器械網絡安全上市前申報指南》，2016年12月發布《醫療器械網絡安全上市后管理指南》。

2018年10月公布了第二版《醫療器械網絡安全上市前申報指南》草案公開征求意見。2022年草案實為2018年草案的修訂版，同時參考借鑒了IMDRF網絡安全工作組的N60文件成果。

二、主要內容

2022年草案明確了醫療器械網絡安全監管的四條原則。首先，網絡安全是產品安全性和質量體系的組成部分，即網絡安全作為產品安全性的重要組成部分，需要從質量體系角度予以控制；其次，網絡安全源于設計，即產品網絡安全水平取決于其網絡安全設計；再次，網絡安全需透明化，即產品網絡安全風險及控制需及時告知用戶，包括說明書網絡安全信息和漏洞管理計劃；最后，網絡安全上市前申報資料詳盡程度取決于其風險水平，即產品網絡安全風險水平越高，網絡安全上市前申報資料越詳盡。

同時，2022年草案要求采用網絡安全產品開發框架（SPDF）管理網絡安全風險。SPDF主要包括三個方面：一是網絡安全風險管理，包括網絡安全威脅建模、第三方軟件、剩余缺陷網絡安全評估、網絡安全風險管理文檔、全生命周期網絡安全風險管理等要求；二是網絡安全架構，需要從多視角考慮網絡安全的風險控制要求，包括系統全局視角、群體患者傷害視角、升級與補丁視角、網絡安全用例視角等方面；三是網絡安全測試，包括網絡安全需求分析、網絡安全威脅緩解、漏洞測試、滲透測試等方面。

此外，2022年草案在附錄中提供了網絡安全風險控制的具體建議，如身份認證、授權、加密、完整性、保密性、網絡安全事件探測與記錄、恢復性、軟件升級等。

三、與前版主要變化

2022年草案與2014年指南和2018年草案相比，更加強調在質量體系下加強網絡安全設計以保證醫療器械網絡安全，同時上市前申報資料由統一要求或二級要求改為依網絡安全風險水平而定。

總之，美國2022年草案與我國第二版醫療器械網絡安全指導原則相比，在網絡安全生存周期過程質控、注冊申報資料依網絡安全風險水平而定、網絡安全能力建設、IMDRF文件落實等方面基本相同。

參考文獻：

[1] FDA, Cybersecurity for Networked Medical Devices Containing Off-the-Shelf Software, 2005.1

[2] FDA, Content of Premarket Submissions for Management of Cybersecurity in Medical Devices, 2014.10

[3] FDA, Postmarket Management of Cybersecurity in Medical Devices, 2016.12

[4] FDA, Content of Premarket Submissions for Management of Cybersecurity in Medical Devices(Draft), 2018.10

[5] FDA, Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions(Draft), 2022.4