美国食品和药物管理局发布医疗器械网络安全指南草案

2022年4月8日，美国食品和药物管理局（The Food and Drug Administration，以下简称“FDA”）发布《医疗器械网络安全：质量体系考虑和上市前提交内容》指南草案并公开征求意见。

随着无线、互联网和网络连接的设备、便携式媒体（如USB或CD）以及与医疗设备相关的健康信息频繁的电子交换的使用增加，确保医疗设备功能和安全的需求变得更加重要。此外，对医疗保健部门的网络安全威胁变得更加频繁和严重，并且对临床的影响更大。网络安全事件导致医疗设备和医院网络无法运行，扰乱了美国和全球医疗机构的患者护理服务。此类网络攻击可能会延迟诊断或治疗并导致患者受到伤害，确保医疗器械的安全性和有效性（包括医疗器械网络安全）尤其重要。

早在2014年，FDA就发布了相关的指导意见，为上市前提交的设备网络安全信息提供建议。但基于快速发展的形势和对威胁的了解，FDA需要更新其方法。因此，FDA在2018年10月18日发布题为《医疗器械网络安全管理的上市前提交内容》的指南草案，为制造商在其医疗器械的设计和开发以及为此准备上市前提交的过程中，应该解决的与网络安全相关的问题提出解决方案。

越来越多的医疗设备连接到互联网、医院网络和其他医疗设备，以提供改善医疗保健和提高其治疗患者能力的功能。这些相同的功能也增加了潜在的网络安全风险。与其他计算机系统一样，医疗设备可能容易受到安全漏洞的影响，从而可能影响设备的安全性和有效性。

鉴于快速发展的设备网络安全形势，FDA发布了本指南草案，以取代2018年指南草案，并经过多项更改，包括更改标题更好地反映当前指南草案的范围、更改文档结构与使用安全产品框架保持一致、删除风险等级、更换网络安全材料清单与软件材料清单和在整个指南草案中关于上市前提交文件请求的额外说明，以及在范围内增加了调查设备豁免。

本指南草案旨在进一步强调确保设备设计安全的重要性，在整个产品生命周期中能够减轻新出现的网络安全风险，并明确概述FDA对上市前提交内容的建议，以解决网络安全问题（包括设备标签）。这些建议可以促进高效的上市前审查过程，并有助于确保上市的医疗设备对网络安全威胁有足够的抵御能力。

本指南草案的发布符合FDA的良好指导实践规定，将代表FDA目前对“医疗设备的网络安全：质量体系考虑和上市前提交内容”的看法。该指南草案不是最终版本，目前不强制实施。

*来源：FDA、federalregister

文章来源：赛博研究院