随着技术的进步和数字化转型的加速,医疗器械行业正经历着前所未有的变革。然而,网络攻击的增加和数据泄露事件的频发,医疗器械的网络安全问题也日益凸显。
据不完全统计,欧盟多国因产品网络安全缺陷对数十款医疗设备实施市场召回;美国监管机构多次发布医疗器械网络安全风险警示(其中2024年前三季度因网络安全召回约23%达近14起等);部分企业因漏洞事件导致重大经济损失,甚至触发国际订单合作终止条款。
因此对于那些有网络安全要求的医械企业来说,不管是只布局国内市场,还是有出口需求,都需要高度重视网络安全。本期文章我们就中美有关网络安全要求的相关内容跟大家进行简单分享。
PART.01 中美对医疗器械网络安全的相关要求
在我国,具备电子数据交换、远程控制或用户访问功能的独立软件和含有软件组件的产品,应当提供网络安全研究资料,包括基本信息、实现过程、漏洞评估、结论等内容,详尽程度取决于软件安全性级别。具体可参考《医疗器械网络安全注册审查指导原则(2022年修订版)》,该指导原则中共提到了自动注销、审核、授权、节点鉴别、人员鉴别等22项网络安全能力。
FDA 510(k)程序虽然主要关注医疗器械与已上市产品的等同性,但近年来网络安全也成为其审查的重点之一。根据FDA的相关规定,如果医疗器械具有网络连接功能或包含可编程软件和电子系统,那么制造商在提交510(k)申请时,必须提供关于网络安全的详细资料。这些资料应证明医疗器械在网络安全方面符合FDA的要求,并采取了适当的措施来保护患者的数据安全和隐私。
FDA建议制造商制定安全风险管理计划、安全风险管理报告,其中安全风险管理报告中应包含以下文档元素:
· 威胁建模
· 网络安全风险评估
· 互操作性注意事项
· 软件物料清单(SBOM)
· 组件支持信息
· 漏洞评估和未解决异常评估
FDA 建议,按照质量体系法规详细规定的安全风险管理流程,应建立或融入现有流程中,且应涉及制造商的设计、制造、分销流程,以及产品全生命周期内的更新。
PART.02 网络安全送检指南
此前我们跟大家分享过广东省医疗器械质量监督检验所发布的“医疗器械产品网络安全相关检验送检事项”,借此机会再跟大家分享一遍:
01 适用范围
具备电子数据交换、远程访问与控制、用户访问三种功能当中一种及以上功能的第二、三类独立软件和含有软件组件的医疗器械。
02 资料准备
1. 根据送检产品实际情况,按照送检产品检验项目选择适用的《产品送检资料清单》并按照其要求准备资料及样品。
2. 在网络安全检验项目委托书中,检验项目内容企业可按软件自身特性,选择相应漏洞扫描项目,网络安全能力核查内容按网络安全能力+性能指标+检验方法的形式填写,企业可考虑其软件产品预期用途、使用场景的限制,医疗器械对于网络安全威胁应具备必要的识别、保护能力和适当的探测、响应、恢复能力,参考《医疗器械网络安全注册审查指导原则(2022年修订版)》中提及的22项网络安全能力具体填写。
03 注意事项
1. 相关《产品送检资料清单》均可在广东省医疗器械质量监督检验所网站“检验服务--表格下载”栏获取。
2. 提供满足检验所需的足够样品,需盖章的资料应加盖委托方公章。
3. 所提供的样品、配件及文件资料(证书)应真实有效,送检样品是经出厂检验合格产品,符合医疗器械生产质量管理规范的相关要求。
当全球监管机构已形成共识,网络安全已是医疗器械的“基础性能” ,而非附加功能。具体表现如下:
准入壁垒升级:我国医疗器械注册申报时对网络安全研究资料(如适用)的强制要求,欧盟MDR法规将网络安全纳入CE认证强制审核,美国FDA要求提交全生命周期漏洞管理方案;
市场信任危机:一次重大安全事件足以拖累整个“中国智造”品牌声誉。
作为一家深耕医疗器械行业18年的专业咨询机构,我们为广大医械企业提供全链条的合规支持(包括专项资料辅导服务),假如您有网络安全资料辅导需求,欢迎随时联系我们~
☎400-888-7587
随着技术的进步和数字化转型的加速,医疗器械行业正经历着前所未有的变革。然而,网络攻击的增加和数据泄露事件的频发,医疗器械的网络安全问题也日益凸显。
据不完全统计,欧盟多国因产品网络安全缺陷对数十款医疗设备实施市场召回;美国监管机构多次发布医疗器械网络安全风险警示(其中2024年前三季度因网络安全召回约23%达近14起等);部分企业因漏洞事件导致重大经济损失,甚至触发国际订单合作终止条款。
因此对于那些有网络安全要求的医械企业来说,不管是只布局国内市场,还是有出口需求,都需要高度重视网络安全。本期文章我们就中美有关网络安全要求的相关内容跟大家进行简单分享。
在我国,具备电子数据交换、远程控制或用户访问功能的独立软件和含有软件组件的产品,应当提供网络安全研究资料,包括基本信息、实现过程、漏洞评估、结论等内容,详尽程度取决于软件安全性级别。具体可参考《医疗器械网络安全注册审查指导原则(2022年修订版)》,该指导原则中共提到了自动注销、审核、授权、节点鉴别、人员鉴别等22项网络安全能力。
FDA 510(k)程序虽然主要关注医疗器械与已上市产品的等同性,但近年来网络安全也成为其审查的重点之一。根据FDA的相关规定,如果医疗器械具有网络连接功能或包含可编程软件和电子系统,那么制造商在提交510(k)申请时,必须提供关于网络安全的详细资料。这些资料应证明医疗器械在网络安全方面符合FDA的要求,并采取了适当的措施来保护患者的数据安全和隐私。
FDA建议制造商制定安全风险管理计划、安全风险管理报告,其中安全风险管理报告中应包含以下文档元素:
· 威胁建模
· 网络安全风险评估
· 互操作性注意事项
· 软件物料清单(SBOM)
· 组件支持信息
· 漏洞评估和未解决异常评估
FDA 建议,按照质量体系法规详细规定的安全风险管理流程,应建立或融入现有流程中,且应涉及制造商的设计、制造、分销流程,以及产品全生命周期内的更新。
此前我们跟大家分享过广东省医疗器械质量监督检验所发布的“医疗器械产品网络安全相关检验送检事项”,借此机会再跟大家分享一遍:
具备电子数据交换、远程访问与控制、用户访问三种功能当中一种及以上功能的第二、三类独立软件和含有软件组件的医疗器械。
1. 根据送检产品实际情况,按照送检产品检验项目选择适用的《产品送检资料清单》并按照其要求准备资料及样品。
2. 在网络安全检验项目委托书中,检验项目内容企业可按软件自身特性,选择相应漏洞扫描项目,网络安全能力核查内容按网络安全能力+性能指标+检验方法的形式填写,企业可考虑其软件产品预期用途、使用场景的限制,医疗器械对于网络安全威胁应具备必要的识别、保护能力和适当的探测、响应、恢复能力,参考《医疗器械网络安全注册审查指导原则(2022年修订版)》中提及的22项网络安全能力具体填写。
1. 相关《产品送检资料清单》均可在广东省医疗器械质量监督检验所网站“检验服务--表格下载”栏获取。
2. 提供满足检验所需的足够样品,需盖章的资料应加盖委托方公章。
3. 所提供的样品、配件及文件资料(证书)应真实有效,送检样品是经出厂检验合格产品,符合医疗器械生产质量管理规范的相关要求。
当全球监管机构已形成共识,网络安全已是医疗器械的“基础性能” ,而非附加功能。具体表现如下:
准入壁垒升级:我国医疗器械注册申报时对网络安全研究资料(如适用)的强制要求,欧盟MDR法规将网络安全纳入CE认证强制审核,美国FDA要求提交全生命周期漏洞管理方案;
市场信任危机:一次重大安全事件足以拖累整个“中国智造”品牌声誉。
作为一家深耕医疗器械行业18年的专业咨询机构,我们为广大医械企业提供全链条的合规支持(包括专项资料辅导服务),假如您有网络安全资料辅导需求,欢迎随时联系我们~
☎400-888-7587
医疗器械注册咨询认准金飞鹰
深圳:0755-86194173
广州:020 - 82177679
四川:028 - 68214295
湖南:0731-22881823
湖北:181-3873-5940
江苏:135-5494-7827
广西:188-2288-8311
海南:135-3810-3052
重庆:135-0283-7139
暂无留言