美國修訂法律：醫(yī)療器械上市需自證網(wǎng)絡(luò)安全否則不予

2/2美國修訂法律：醫(yī)療器械上市需自證網(wǎng)絡(luò)安全，否則不予通過

2023-04-0413:04美國衛(wèi)生與公眾服務(wù)部（HHS）下轄食品藥品監(jiān)督管理局（FDA）日前發(fā)布最終指導(dǎo)文件，為網(wǎng)絡(luò)設(shè)備制定了新的網(wǎng)絡(luò)安全要求，其中包括網(wǎng)絡(luò)設(shè)備在上市前的申報(bào)材料中必須提交的信息。文件還要求醫(yī)療保健相關(guān)方應(yīng)將軟件物料清單（SBOM）和漏洞披露報(bào)告納入基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全規(guī)定。

這份題為《醫(yī)療設(shè)備的網(wǎng)絡(luò)安全：FD&C法案第524B條下網(wǎng)絡(luò)設(shè)備及相關(guān)系統(tǒng)的拒絕接收政策》的指導(dǎo)文件稱，《2023年綜合撥款法案》第3305條修訂了《聯(lián)邦食品、藥品和化妝品法案》（即FD&C法案），添加了第524B節(jié)以協(xié)助確保設(shè)備的網(wǎng)絡(luò)安全。此外，法律還規(guī)定，F(xiàn)D&C法案的修正案將于2023年3月29日頒布起的90天后生效。

根據(jù)法案規(guī)定，這些網(wǎng)絡(luò)安全要求不適用于2023年3月29日前提交至FDA的申報(bào)或提交材料。但FDA方面已經(jīng)確定，F(xiàn)D&C法案第524B節(jié)中指定的日期，即在90天法定時(shí)限內(nèi)征求公眾意見并不具備可行性。盡管這項(xiàng)政策已經(jīng)在未經(jīng)前期評議的情況下立即實(shí)施，但FDA將考量收到的反饋并酌情對具體規(guī)定做出修改。

FDA表示，醫(yī)療設(shè)備越來越多地接入互聯(lián)網(wǎng)、醫(yī)院網(wǎng)絡(luò)及其他醫(yī)療設(shè)備，旨在改善醫(yī)療保健效果并提高醫(yī)療服務(wù)方治療患者的能力。但這些功能也會增加潛在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。與其他計(jì)算機(jī)系統(tǒng)一樣，醫(yī)療設(shè)備同樣易受安全漏洞的影響，進(jìn)而破壞設(shè)備的安全性和有效性。

公示期間不會拒絕接收申報(bào)

威脅與漏洞不可避免，這就讓降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)變得極具挑戰(zhàn)。醫(yī)療保健環(huán)境復(fù)雜，設(shè)備制造商、醫(yī)院和公共部門必須協(xié)同努力以管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

FDA原則上不會單純根據(jù)FD&C法案新修正案的要求，在2023年10月1日之前對網(wǎng)絡(luò)設(shè)備上市前提交的申報(bào)文件做“拒絕接收”批復(fù)。相反，F(xiàn)DA希望以交互及/或缺陷審查的方式與申報(bào)廠商合作。

拒絕接收簡稱RTA，是FDA在2012年針對上市前申報(bào)（即510k）制度實(shí)施的一項(xiàng)政策。根據(jù)RobPackard在MedicalDeviceAcademy博文中的解釋，上市前申報(bào)應(yīng)在FDA審查流程之前的15個自然日內(nèi)完成?！癋DA將指派一名初步審查員對申報(bào)文件做RTA篩選，并由該審查員整理出一份RTA清單。FDA隨后通過技術(shù)方式將RTA篩選內(nèi)容替換進(jìn)FDAeSTAR模板。這也是MedicalDeviceAcademy選擇在所有510k申報(bào)中使用SFDAeSTAR模板，而非舊的20條式510k格式的原因之一?！?/p>

申報(bào)文件必須提供完整的網(wǎng)絡(luò)安全狀況

新發(fā)布的指導(dǎo)文件概述了自2023年3月29日起生效的第524B節(jié)中網(wǎng)絡(luò)安全條款部分的一項(xiàng)要求，即根據(jù)510（k）、513、515（c）、515（f）或520（m）對于符合本節(jié)下網(wǎng)絡(luò)設(shè)備定義的設(shè)備，“應(yīng)包含[FDA]可能要求的信息，以確保此類網(wǎng)絡(luò)設(shè)備滿足網(wǎng)絡(luò)安全要求?！?/p>

指導(dǎo)文件還提到，申報(bào)或提交的廠商應(yīng)向FDA提供一份計(jì)劃，以在合理的時(shí)間內(nèi)酌情監(jiān)控、識別和解決產(chǎn)品上市后出現(xiàn)的網(wǎng)絡(luò)安全漏洞及利用，包括如何協(xié)調(diào)漏洞披露和相關(guān)程序。

廠商應(yīng)提供設(shè)計(jì)、開及維護(hù)流程和程序，以合理保證設(shè)備及相關(guān)系統(tǒng)的網(wǎng)絡(luò)安全。廠商還應(yīng)提供設(shè)備及相關(guān)系統(tǒng)在上市后的更新和補(bǔ)丁修復(fù)，在合理的固定周期內(nèi)解決不可接受的已知漏洞，并盡快以非固定周期解決可能導(dǎo)致失控風(fēng)險(xiǎn)的關(guān)鍵漏洞。

廠商還應(yīng)向FDA提交軟件物料清單（SBOM），包括商業(yè)、開源及現(xiàn)成的軟件組件，并遵循FDA可能依據(jù)法規(guī)提出的其他要求，借此對設(shè)備及相關(guān)系統(tǒng)的網(wǎng)絡(luò)安全水平做出合理保證。

指導(dǎo)文件規(guī)定，對于2023年10月1日前提交的網(wǎng)絡(luò)設(shè)備上市申報(bào)，F(xiàn)DA原則上不會僅根據(jù)FD&C法案第524B條要求的信息做“拒絕接收”決定?！跋喾?，F(xiàn)DA希望以交互及/或缺陷審查的方式與申報(bào)廠商合作。”

在評論這部分內(nèi)容時(shí)，Packard寫道，“我們相信FDA將在2023年10月1日更新eSTAR模板以納入網(wǎng)絡(luò)安全要求。在未來的eSTAR模板中，將無法提交不包含網(wǎng)絡(luò)安全要求的510k，因?yàn)閑STAR會自動驗(yàn)證模板中各部分內(nèi)容的填寫情況?！?/p>

指導(dǎo)文件還補(bǔ)充稱，自2023年10月1日起，“FDA預(yù)計(jì)網(wǎng)絡(luò)設(shè)備廠商將有足夠的時(shí)間根據(jù)FD&C法案第524B條籌備產(chǎn)品的上市申報(bào)材料，且FDA可能對信息不全的申報(bào)做「拒絕接收」處理。”

文件概述所謂“網(wǎng)絡(luò)設(shè)備”的基本定義，其中應(yīng)涉及軟件的驗(yàn)證、安裝及授權(quán)等，能夠接入互聯(lián)網(wǎng)，而且包含可能易受網(wǎng)絡(luò)安全威脅的廠商驗(yàn)證、安裝并授權(quán)的技術(shù)特征。

行業(yè)專家：此舉意在要求廠商自證安全

工業(yè)物聯(lián)網(wǎng)安全廠商MedCrypt及診斷軟件開發(fā)商GammaBasics的聯(lián)合創(chuàng)始人MikeKijewski發(fā)文解釋了新規(guī)對醫(yī)療“網(wǎng)絡(luò)設(shè)備”廠商造成的影響?！艾F(xiàn)在你必須證明自己開發(fā)的設(shè)備在設(shè)計(jì)上是安全的，必須制定策略來監(jiān)控和維護(hù)該設(shè)備上市后和設(shè)備生命周期內(nèi)的安全性，整理并維護(hù)軟件物料清單，并提供必要的文件來證明所有這些工作。以上內(nèi)容都應(yīng)包含在提交給FDA的產(chǎn)品上市申報(bào)當(dāng)中?！?/p>

面對FDA對指導(dǎo)文件的再次修正，Packard認(rèn)為“2018年就發(fā)布過一份草案，2022年又推出了更新草案。這份最終指導(dǎo)文件也有相應(yīng)的更新版本，已經(jīng)被FDA列入A級優(yōu)先列表，只是這個更新版本還沒有發(fā)布?！?/p>

他還提到，F(xiàn)DA的網(wǎng)絡(luò)安全頁面已經(jīng)更新，納入了關(guān)于網(wǎng)絡(luò)安全設(shè)備“拒絕接收”政策的新規(guī)定。“我們認(rèn)為，這代表更新后