2025年6 月27 日，美國食品藥品監督管理局（FDA）發布《醫療器械中的網絡安全：質量體系考量和上市前提交內容》指南,該指南首次將網絡安全要求從“推薦性指南” 升級為“法定強制”，全面強化醫療器械全生命周期的網絡安全監管。需要指出的是，該指南是由去年3月13日發布的網絡安全草案更新而來的。

一、核心變化：從“推薦” 到“法定” 的監管升級

1“網絡設備” 定義擴張，監管邊界模糊化

指南明確“網絡設備” 需同時滿足三條件：含申辦方驗證的軟件、具備聯網能力（如藍牙、USB 接口等間接連接）、存在易受攻擊的技術特征。FDA 特別指出，USB 維護接口、磁感應通信設備等均屬于監管范疇。

舉例：某個設備可能需要通過USB 連接進行維護。雖然連接可能很短暫，但連接能力已經存在，因此該設備被認為具有連接到互聯網的能力。

2上市前申報資料新增法定清單

a上市后漏洞管理計劃：需包含協調漏洞披露（CVD）機制、風險管理流程及定期更新方案；

b網絡安全保障流程：證明設計開發流程能提供“網絡安全合理保證”；

c軟件物料清單（SBOM）：強制公開商業及開源組件，標注支持狀態及終止日期。

3質量體系與監管依據深度綁定

指南預告2026 年2 月2 日起，質量體系法規（QMSR）將整合ISO 13485:2016，要求企業提前調整管理體系。同時，FDA 明確將網絡安全作為評估設備“安全有效性” 的核心指標，重大漏洞可能導致“不等效（NSE）” 判定。

二、技術要求革新：全生命周期管控強化

1安全開發框架（SPDF）成強制路徑

指南要求采用SPDF 覆蓋設計、開發、部署到退役全流程，需提交威脅建模、漏洞評估、第三方組件分析報告，并新增“未解決異常的網絡安全影響說明”。

2加密與安全標準升級

加密算法：強制采用NIST FIPS 140-3 標準，禁用棄用算法（如附錄1 明確加密控制要求）；

威脅建模：需覆蓋供應鏈、生產、運維等全環節，例如針對第三方組件漏洞（如URGENT/117、SweynTooth）需專項評估。

3透明度要求制度化

a；SBOM 強制公開：需包含所有第三方組件（如開源庫、SDK）的版本號及漏洞狀態；

b；用戶端風險披露：產品標簽需標注網絡安全風險警示及應急響應手冊。

三、新舊規對比：監管力度顯著提升

四、企業應對：7 個月合規倒計時

1產品定性與流程重構

a；按“網絡設備” 定義審查全產品線，USB / 藍牙功能設備需遵循524B 節要求；

b；將SPDF 與質量管理體系整合。

2技術與文檔準備

a；部署OWASP CycloneDX/SPDX 格式SBOM，聯動漏洞掃描工具；

b；研發團隊掌握FIPS 140-3 加密標準，更新威脅建模工具鏈。

3關鍵節點提醒

2026 年2 月1 日前未滿足SPDF 和SBOM 要求的“網絡設備” 將喪失上市資格，企業需在7 個月內完成體系升級。