FDA发布网络安全最新指南草案

当地时间2024年3月13日，FDA发布一份网络安全最新指南草案，建议对FDA指南“医疗器械的网络安全:上市前提交的质量系统考虑和内容”(下称“上市前网络安全指南”)进行选择性更新。

在本指南草案定稿之前，目前形式的上市前网络安全指南仍然是FDA对这一主题的当前想法。在定稿之后，本指南草案第II节的定稿将被添加为上市前网络安全指南第VII节。

FDA打算在获得并考虑公众对这些建议更新的意见后，将本指南草案中提出的更新纳入上市前网络安全指南，作为最终指南文件。除了为保持一致性而进行的技术编辑外，现有上市前网络安全指南中不受这些拟议更新影响的部分不打算进行实质性更改。

上市前网络安全指南草案概述

指南草案涵盖以下内容：

A、谁需要遵守FD&C法案第524B条

根据FD&C法案第524B(a)条，对于符合FD&C法案第524B(c)节中定义的“网络器械”的器械，任何人(包括制造商)通过以下途径提交上市前申请或提交申请510(k)、PMA、PDP、DeNovo或HDE必须包括FDA可能要求的此类信息，以确保网络器械符合FD&C法案第524B(b)部分下的网络安全要求。

B、受 FD&C法案第524B条约束的器械

FD&C法案第524B条及其要求适用于“网络器械”。FD&C法案第524B(c)条将“网络器械”定义为：

(1)包括经过验证的软件，由申办者安装或授权的器械;

(2)具有连接互联网的能力;

(3)包含由申办者验证、安装或授权的任何此类技术特征，可能容易受到网络安全威胁的器械。

FDA认为具有以下特征的器械可以连接到互联网。以下清单只是说明性的，并非是详尽的:

• 无线网络或蜂窝网络

• 网络、服务器或云服务提供商连接

• 蓝牙或低功耗蓝牙

• 射频通信

• 感应式通信

• 能够连接到互联网的硬件连接器(例如，USB、以太网、串行端口)

C、符合524B条的文件建议

对于适用的上市前提交类型，制造商必须提供符合FD&C法案第524B节要求的文件。下文各节讨论了关于支持每项要求的文件的建议，概要如下：

1. 计划及程序(第524B(b)(1)条)

FD&C法案第524B(b)(1)条要求网络器械制造商向FDA提交在其上市前提交的文件中“制定计划，在合理的时间内监控、识别并酌情解决上市后的网络安全漏洞和利用，包括协调一致的漏洞披露和相关程序”。我们建议该计划包含《上市前网络安全指南》第V1.B节中描述的网络安全管理计划建议的信息。此外，这一计划还应处理含协调漏洞披露(CVD)和相关程序、开发和发布所需更新和补丁的时间表、预测并对计划进行适当的更新在内的其他事项。

2. 设计、开发和维护流程和程序，以提供合理的网络安全保证(第524B(b)(2)条)

网络器械的制造商必须“设计、开发和维护流程和程序，以提供合理的保证，该器械和相关系统是网络安全的。(FD&C法案第524B(b)(2)条)。

3. 软件物料清单(SBOM)(第524B(b)条)

FD&C法案第524B(b)(3)条要求网络器械制造商提供SBOM，包括商业、开源和现有的软件组件。为帮助遵守此要求，我们建议网络器械提供SBOM，其中包含《上市前网络安全指南》第V.A.4(b)部分建议的信息。

D、修改

FD&C法案第524B条下的新要求适用于根据510(k), 513(De Novo), 515(c)(PMA), 515(f)(PDP)或520(m)(HDE)就符合网络器械定义的器械提交申请或提交的人。因此，根据所列举的条款之一提交器械修改申请的人还需要符合FD&C第524B节的要求。

总的来说，我们建议制造商使用以下方式来确定网络器械制造商提供的信息，以证明他们在提交器械修改的上市前提交时符合FD&C法案第524B部分的新要求。

1. 可能影响网络安全的更改

可能影响网络安全的变更可能包括身份验证或加密算法的变更、新的连接功能或软件更新过程/机制的变更。对于这些类型的变更，请参见上文II.C节了解每个上市前提交文件应包含的要求和建议文件(参见FD&C法案第524B)。

2. 不太可能影响网络安全的变化

不太可能影响网络安全的变更可能包括材料变更、消毒方法变更，或在不改变架构/软件结构/连接的情况下改变算法。

对于这些类型的变更，FDA建议网络器械制造商参阅FD&C法案第524B(1)(2)(3)，根据不同情况提供相关信息，以满足FD&C法案第524B部分的上市前提交要求。

一般来说，在网络安全审查中，FDA打算将实质性审查的重点放在网络安全控制的修改或可能影响网络安全的修改上。然而，无论在上市前提交的申请中对器械提出何种类型的变更，FDA在进行上市前审查和确定器械是否具有合理的网络安全保证时，都打算考虑适用于此类器械的已知网络安全问题。

E.网络器械网络安全的合理保证

FDORA第3305(c)条规定，FD&C法案第524B条中的任何内容“须解释为影响关于确保器件的安全性及有效性有合理保证的权力，其中可能包括确保对某些网络器械的网络安全有合理的保证。”FDA将此条款解释为“网络安全的合理保证”可以是FDA确定器械安全性和有效性的一部分。

此外，确定有合理的网络安全保证与市场前的各种途径和授权相关，如FDA对PMA、PDPDe NovO、HDE和510(K)的审查。随着过去几年市场上互联器械的指数增长，确保网络安全已成为FDA保护公众健康和为器械安全和有效性所必不可少的。