收藏！医疗器械出海美国网络安全要求盘点

去年下半年开始，网安云就不断接收到医疗行业客户的咨询，了解医疗器械美国上市网络安全相关的问题。今天，小编就把之前调研过的 “医疗器械FDA注册网络安全要求” 详情梳理出来，与大家共享，希望对大家有所帮助。

​1、FDA认证 = 医疗器械上市美国流通的“通行证”

美国食品和药品管理局(FDA)负责美国所有有关食品，药品，化妆品及辐射性仪器的管理，它也是美国最早的消费者保护机构。

医疗器械企业产品要在美国上市流通，必须要做FDA备案或者注册，否则美国FDA有权对货物采取行动，包括对货物扣留、拒绝入境甚至销毁、企业被列入黑名单等。

2、《2023年综合拨款法案》新增“ 确保医疗器械网络安全”要求

《2023年综合拨款法案》于2022年12月29日得以签署成为法律。其中综合法案第3305节通过添加第524B节“ 确保医疗器械网络安全”从而修订了《联邦食品、药品和化妆品法》（FD&C法案）。

该法案于2023年3月29日颁布后90天生效，且2023年10月1日之后，FDA就会要求申请企业据FD&C法案第524B条准备申请资料，如果不符合新条款要求的申请FDA有可能会直接拒绝。

（FD&C法案第524B条内容）

3、FDA《医疗器械的网络安全指南》最终版发布

2023年9月27日，美国食品和药品监督管理局（后续简称FDA）发布了《医疗器械的网络安全指南：质量体系需考虑的因素和上市前需提交的材料》。医疗器械产品设备进入美国市场前，需提交用于证明设备有效性及安全性的材料（即上市前提交材料）。

《指南》为众多医疗器械生产商提供了上市前提交材料（主要是安全性方面）的内容建议。对于想要通过FDA认证并进入美国市场的厂商来说，是非常重要的参考来源。

（安全性方面需提交的技术文件类型参考）

另外，FDA在指南中反复提到SBOM文件（软件物料清单）对医疗器械企业“自证产品网络安全性”的重要性，从上图中我也可窥见一斑。

• 安全风险管理与SBOM：为了为记录医疗器械系统的安全风险管理活动，FDA 建议制造商制定安全风险管理计划和报告，对于安全风险管理报告，FDA在《指南》中明确建议在 安全风险管理报告中，需包含SBOM。
• 第三方软件与SBOM：医疗器械纳入第三方软件时，软件的安全风险应成为整个医疗器械系统风险管理计划中的一部分，而SBOM 是一种有助于管理供应链风险以及明确识别和跟踪设备所含软件的重要工具。
• 网络安全透明度与SBOM：对于网络安全透明度来说，持续性的信息更新是一项重要指标。当软件组件发生了版本的变更或者更替，那么其对应的风险也将产生变化，所以《指南》建议制造商定期更新SBOM。

 

网安云软件物料清单管理平台，以一键安装插件的便捷方式，自动化、动态获取组件资产数据，无需繁琐部署或上传源代码，快速生成标准化的SBOM文件，符合SPDX、OWASP CycloneDX和SCVS等三大国际认可的SBOM标准要求，确保文件格式有效、属性合规，满足FDA审核要求。

点此免费试用：软件物料清单管理平台

FDA网络安全方案咨询：点此​

同时，软件物料清单管理平台还将动态关联外部安全漏洞情报，对企业软件资产进行安全跟踪与管理。运用强大的数据分析、多维数据可视化能力，让软件安全弱点浮出水面，让第三方组件安全与合规问题无所遁形。​