2023年9月27日，FDA發布了題為《醫療器械的網絡安全》的最終指南：質量體系考慮因素和上市前提交內容》的最終指南。

該最終指南更新了2022年4月8日發布的同名指南草案，并取代了該機構2014年發布的最終指南《醫療器械網絡安全管理的上市前提交內容》。雖然新的最終指南與2022年4月的草案基本相似，但它就開展網絡安全風險評估、互操作性考慮因素以及向FDA提交的上市前材料中應包含的文件提供了更詳細的建議。

最終指南還依據新的法定授權，明確授權FDA：

（1）要求在提交”網絡器械”的醫療器械中提供網絡安全信息；

（2）要求制造商采取某些行動，以證明此類器械和相關系統具有”網絡安全”的合理保證。新的法律條款還規定，不遵守FDA網絡安全要求屬于被禁止的行為。有了這一新的法律授權，政府將能夠對違反FDA網絡安全要求的行為進行刑事起訴，或對不合規的公司實施禁制令，包括器械上市后未能維持合理防范網絡安全威脅的流程。

FDA對網絡安全的關注

隨著醫療器械與無線、互聯網和網絡連接系統以及便攜式存儲的集成度越來越高，FDA越來越關注因網絡安全控制不夠健全而對醫療器械的安全性和有效性造成的風險。

FDA在其最新定稿的指南中指出，”網絡事故已導致醫療器械和醫院網絡無法運行，擾亂了病人護理的提供”。這份最新定稿的指南包含了一些建議，旨在補充之前的兩份指南，分別題為：包含現成(OTS)軟件的聯網醫療器械的網絡安全和器械軟件功能的上市前提交內容。

新的法定權限

最終指南還介紹了FDA的新法定權力。作為2023年綜合撥款法案的一部分，《食品和藥品綜合改革法案》（Food and Drug Omnibus Reform Act，簡稱FDORA）于2022年12月29日簽署成為法律。該法案第3305節納入了之前提出的《PATCH法案》的內容，要求提交醫療器械上市前申請（即PMA、510(k)或重新提交）的人員提供FDA可能要求的信息，以確保該器械符合法規中列出的網絡安全要求。

本規定所涵蓋的申請的發起人必須：

1.提交一份計劃，以監控、識別和處理上市后的網絡安全漏洞和利用；

2.設計、開發和維護流程和程序，合理保證器械和相關系統的”網絡安全”，并提供器械和相關系統上市后的更新和補丁，以解決某些網絡安全漏洞；

3.提供軟件材料清單，包括商業、開源和現成的軟件組件；

4.遵守FDA可能通過法規要求的其他要求，以合理保證器械及相關系統的網絡安全。

FDORA將這一新的法律授權限制在一個新定義的”網絡器械”類別中，其定義為以下器械：

1.包括經上市前申請的驗證、安裝或授權作為器械或器械中的軟件；

2.具有連接互聯網的能力；

3.包含經贊助商驗證、安裝或授權的任何可能易受網絡安全威脅的技術特征；

4.此外，法律修正案還新增了一項禁止行為，禁止”不遵守第524B(b)(2)條（與確保器械網絡安全有關）規定的任何要求”。這一新條款使政府能夠對違反網絡安全要求的行為提起刑事訴訟，或對違規公司實施禁制令。

雖然這些新要求本應在法律通過90天后生效，即2023年3月29日生效，但FDA在法律規定生效當天發布了一份指南，澄清FDA在2023年10月1日之前不會對缺乏所需網絡安全信息的上市前提交材料發出”拒絕接受”通知。

最終指南

雖然新指南在結構和內容上與之前的版本相似，但它在原有的安全風險管理部分增加了兩個新的實質性小節，一個新的附錄確定了建議納入上市前申請的具體文件要素也適用于IDE申請，以及一些在之前版本中沒有出現的網絡安全術語的定義。

如2022年指南草案所述，FDA建議實施和采用”安全產品開發框架或”“SPDF”，其定義為在整個器械生命周期中減少產品漏洞數量和嚴重性的一系列流程。與指南草案一樣，SPDF預計將成為解決網絡安全風險的關鍵結構，并應側重于三大要素：安全風險管理、安全架構和網絡安全測試。該指南還參考了IEC 81001-5-1（健康軟件參考標準），將其作為SPDF可以考慮的框架。FDA繼續建議在上市前提交的文件中包括一份安全風險管理報告，以幫助證明器械的安全性和有效性。

新指南中更新的安全風險管理部分包含兩個新的小節，第一個小節涉及”網絡安全風險評估”。指南指出，網絡安全風險難以預測，并認識到不可能根據歷史數據或建模來評估和量化事件發生的可能性。因此，網絡安全風險評估應側重于器械或系統內存在的漏洞以及使用環境中可能存在的漏洞的可利用性。FDA建議，網絡安全風險評估應包含從威脅模型中確定的風險和控制措施，還應包括用于對此類風險進行緩解前和緩解后評分的方法、相關的驗收標準以及將安全風險轉移到安全風險評估中的方法。該評估應包括在上市前提交的文件中。

風險管理部分還包含一個新的”互操作性考慮因素”部分，涉及互操作性功能可能產生的網絡安全考慮因素，包括但不限于與以下器械的接口：

1.其他醫療器械和附件；

2.FDA題為”多功能器械產品”的指南中確定的”其他功能”：政策和考慮因素；

3.與醫療基礎設施的互操作性；

4.通用計算平臺。

該指南指出，適當實施網絡安全控制措施將有助于確保安全有效地交換和使用信息，并建議器械制造商評估是否需要在藍牙和網絡協議等通用技術和通信協議下增加安全控制措施，以確保安全性和有效性。除了建議制造商參考其題為《可互操作醫療器械的設計考慮因素和上市前提交建議》的指南外，該指南還建議器械制造商考慮與互操作性功能相關的適當網絡安全風險和控制措施，并確保將其記錄在案。

最終指南的另一個重要補充是新的附錄4，其中提供了一份FDA建議在上市前提交的文件清單。該清單還確定了哪些文件可能有助于提交，但并不特別建議在IDE申請中提交。例如，附錄指出，指南中討論的《網絡安全風險管理報告》和《威脅模型》可能有助于在IDE中提交，但并非特別推薦。相比之下，”架構視圖”和”標簽”則被特別推薦在器械IDE中提交。

最終指南還在新的附錄5中添加并定義了一些新的關鍵網絡安全術語。雖然許多新增術語都是指南中的新術語，但它們改編自公認來源的現有定義，包括NIST、聯合安全計劃、ISO/IEC和CNSSI4009-2015。

器械制造商的責任狀況

最終確定的指南反映了FDA對器械制造商在整個器械生命周期內防范網絡安全風險的持續期望，包括應對隨著器械老化和新的意外威脅出現而產生的風險。這些期望需要大量的資源來監控新的風險，并針對發現的漏洞開發新的緩解措施。重新設計舊器械以解決新的漏洞可能既有風險又昂貴。但是，讓這些器械對新的黑客攻擊方法不設防，風險更大。

隨著重大數據泄露事件以及由此引發的國會調查和集體訴訟的不斷發生，再加上司法部《虛假索賠法》（False Claims Act）調查和和解中指控的未遵守由司法部《民事網絡欺詐倡議》（Civil Cyber-Fraud Initiative）優先考慮的合同網絡安全標準的行為，不認真對待網絡安全威脅是不可取的。與不遵守食品及藥物管理局網絡安全要求相關的新的法定禁止行為的增加，在已有的重大民事責任風險之上又增加了刑事風險。不過，也許FDA的新授權和最終指南將為制造商提供一些保護，其形式是對可接受的風險程度有更明確的預期，以及該機構對制造商的網絡安全控制、緩解措施和監控計劃表示滿意的印記，這些都將伴隨著器械的許可或批準。即使在獲得許可和批準時獲得了機構滿意的印章，器械制造商仍有責任證明，一旦器械上市，他們已采取適當措施監控和降低新出現的風險。在網絡安全訴訟和執法的雷區不斷擴大的過程中，記錄這些努力將是公司最好的防御手段。