去年下半年開始,網安雲就不斷接收到醫療行業客戶的諮詢,瞭解醫療器械美國上市網路安全相關的問題。今天,小編就把之前調研過的 “醫療器械FDA註冊網路安全要求” 詳情梳理出來,與大家共享,希望對大家有所幫助。
1、FDA認證 = 醫療器械上市美國流通的“通行證”
美國食品和藥品管理局(FDA)負責美國所有有關食品,藥品,化妝品及輻射性儀器的管理,它也是美國最早的消費者保護機構。
醫療器械企業產品要在美國上市流通,必須要做FDA備案或者註冊,否則美國FDA有權對貨物採取行動,包括對貨物扣留、拒絕入境甚至銷燬、企業被列入黑名單等。
2、《2023年綜合撥款法案》新增“ 確保醫療器械網路安全”要求
《2023年綜合撥款法案》於2022年12月29日得以簽署成為法律。其中綜合法案第3305節透過新增第524B節“ 確保醫療器械網路安全”從而修訂了《聯邦食品、藥品和化妝品法》(FD&C法案)。
該法案於2023年3月29日頒佈後90天生效,且2023年10月1日之後,FDA就會要求申請企業據FD&C法案第524B條準備申請資料,如果不符合新條款要求的申請FDA有可能會直接拒絕。
(FD&C法案第524B條內容)
3、FDA《醫療器械的網路安全指南》最終版釋出
2023年9月27日,美國食品和藥品監督管理局(後續簡稱FDA)釋出了《醫療器械的網路安全指南:質量體系需考慮的因素和上市前需提交的材料》。醫療器械產品裝置進入美國市場前,需提交用於證明裝置有效性及安全性的材料(即上市前提交材料)。
《指南》為眾多醫療器械生產商提供了上市前提交材料(主要是安全性方面)的內容建議。對於想要透過FDA認證並進入美國市場的廠商來說,是非常重要的參考來源。
(安全性方面需提交的技術檔案型別參考)
另外,FDA在指南中反覆提到SBOM檔案(軟體物料清單)對醫療器械企業“自證產品網路安全性”的重要性,從上圖中我也可窺見一斑。
- 安全風險管理與SBOM:為了為記錄醫療器械繫統的安全風險管理活動,FDA 建議製造商制定安全風險管理計劃和報告,對於安全風險管理報告,FDA在《指南》中明確建議在 安全風險管理報告中,需包含SBOM。
- 第三方軟體與SBOM:醫療器械納入第三方軟體時,軟體的安全風險應成為整個醫療器械繫統風險管理計劃中的一部分,而SBOM 是一種有助於管理供應鏈風險以及明確識別和跟蹤裝置所含軟體的重要工具。
- 網路安全透明度與SBOM:對於網路安全透明度來說,持續性的資訊更新是一項重要指標。當軟體元件發生了版本的變更或者更替,那麼其對應的風險也將產生變化,所以《指南》建議製造商定期更新SBOM。
網安雲軟體物料清單管理平臺,以一鍵安裝外掛的便捷方式,自動化、動態獲取元件資產資料,無需繁瑣部署或上傳原始碼,快速生成標準化的SBOM檔案,符合SPDX、OWASP CycloneDX和SCVS等三大國際認可的SBOM標準要求,確保檔案格式有效、屬性合規,滿足FDA稽核要求。
點此免費試用:軟體物料清單管理平臺
FDA網路安全方案諮詢:點此
同時,軟體物料清單管理平臺還將動態關聯外部安全漏洞情報,對企業軟體資產進行安全跟蹤與管理。運用強大的資料分析、多維資料視覺化能力,讓軟體安全弱點浮出水面,讓第三方元件安全與合規問題無所遁形。