FDA加强医疗设备网络安全要求

关键要点

美国食品药品监督管理局（FDA）于2023年3月29日宣布，将自2023年10月1日起“拒绝接受”因网络安全问题而提交的医疗设备和相关系统。所有新的设备提交必须包含详细的网络安全计划，从即日起生效。

因此，设备制造商需要提交计划，以在“合理的时间范围内”监控、识别和解决被确定的市场后网络安全漏洞和利用，包括协调漏洞披露和计划。

开发者需现在设计并维护程序，以“合理的保证”证明“设备及相关系统是网络安全的”，并创建市场后的更新和补丁，以解决“在合理的时间周期内，被知晓的不可接受的漏洞”，根据相关指导说明。

如果发现非规定更新的漏洞，制造商还必须尽快公开“可能导致失控风险的关键漏洞”。

提交材料还需包括软件材料清单，必须包含所有商业、开源和现成软件组件，同时遵守其他FDA要求，“以证明设备及相关系统的网络安全性”。

这些计划对设备制造商来说并不意外，因为它们已纳入2023年综合拨款法案所赋予的新权力，该法案于2022年12月29日签署成为法律。

该法律创造了“长期期望的FDA权力”，这在之前的决议中并未提及，并包含了《保护与转型网络医疗法案》（PATCH法案）提出的市场前提交要求。

12月的修订得到了医疗保健利益相关者的广泛支持，他们长期请求联邦支持以应对医疗设备安全方面的系统性挑战。医疗保健交付机构长期以来肩负着确保庞大复杂设备生态系统安全的重任，即使是技术最先进的医疗系统，也未能完全满足这一任务。

12月的综合法案中包含的声明要求FDA在法律通过后90天内采取3月29日公告的行动。最终的指导文件标题为《医疗设备中的网络安全：拒绝接收网络设备及相关系统的政策》，涵盖了所有新提交的要求。

新的网络安全要求不适用于3月29日前提交的申请或材料。而基于网络原因的拒绝接受市场前提交的决定将于2023年10月1日生效。

相对而言，FDA表示其意图与这些市场前提交的赞助商进行“协作”，作为互动和/或缺陷审查过程的一部分。该机构预计网络设备的赞助商“将有足够的时间准备市场前提交”，以包括最终指导中的网络要求。

“如不满足条件，FDA可拒绝接受市场前提交，”据其通知。医疗设备被视为“网络设备”，如果它包含“由赞助商验证、安装或授权的软件”，可以连接到互联网，并包含任何可能受网络安全威胁的技术特征。

此次指导未经过典型的公众评论期，因为“事先的公众参与不切实际或不当”。相关官员补充说，“尽管此政策将在没有事先评论的情况下立即实施，FDA将考虑所有收到的意见，并根据需要修订指导文件。”