2025醫械企業必修課：網絡安全為何成為審查重點？

隨著技術的進步和數字化轉型的加速，醫療器械行業正經曆著前所未有的變革。然而，網絡攻擊的增加和數據泄露事件的頻發，醫療器械的網絡安全問題也日益凸顯。

據不完全統計，歐盟多國因產品網絡安全缺陷對數十款醫療設備實施市場召回；美國監管機構多次發布醫療器械網絡安全風險警示（其中2024年前三季度因網絡安全召回約23%達近14起等）；部分企業因漏洞事件導致重大經濟損失，甚至觸發國際訂單合作終止條款。

因此對於那些有網絡安全要求的醫械企業來說，不管是隻布局國內市場，還是有出口需求，都需要高度重視網絡安全。本期文章我們就中美有關網絡安全要求的相關內容跟大家進行簡單分享。

PART.01

中美對醫療器械網絡安全的相關要求

在我國，具備電子數據交換、遠程控製或用戶訪問功能的獨立軟件和含有軟件組件的產品，應當提供網絡安全研究資料，包括基本信息、實現過程、漏洞評估、結論等內容，詳盡程度取決於軟件安全性級別。具體可參考《醫療器械網絡安全注冊審查指導原則（2022年修訂版）》，該指導原則中共提到了自動注銷、審核、授權、節點鑒別、人員鑒別等22項網絡安全能力。

FDA 510(k)程序雖然主要關注醫療器械與已上市產品的等同性，但近年來網絡安全也成為其審查的重點之一。根據FDA的相關規定，如果醫療器械具有網絡連接功能或包含可編程軟件和電子係統，那麼製造商在提交510(k)申請時，必須提供關於網絡安全的詳細資料。這些資料應證明醫療器械在網絡安全方麵符合FDA的要求，並采取了適當的措施來保護患者的數據安全和隱私。

FDA建議製造商製定安全風險管理計劃、安全風險管理報告，其中安全風險管理報告中應包含以下文檔元素：

· 威脅建模

· 網絡安全風險評估

· 互操作性注意事項

· 軟件物料清單（SBOM）

· 組件支持信息

· 漏洞評估和未解決異常評估

FDA 建議，按照質量體係法規詳細規定的安全風險管理流程，應建立或融入現有流程中，且應涉及製造商的設計、製造、分銷流程，以及產品全生命周期內的更新。

PART.02

網絡安全送檢指南

此前我們跟大家分享過廣東省醫療器械質量監督檢驗所發布的“醫療器械產品網絡安全相關檢驗送檢事項”，借此機會再跟大家分享一遍：

01

適用範圍

具備電子數據交換、遠程訪問與控製、用戶訪問三種功能當中一種及以上功能的第二、三類獨立軟件和含有軟件組件的醫療器械。

02

資料準備

1. 根據送檢產品實際情況，按照送檢產品檢驗項目選擇適用的《產品送檢資料清單》並按照其要求準備資料及樣品。

2. 在網絡安全檢驗項目委托書中，檢驗項目內容企業可按軟件自身特性，選擇相應漏洞掃描項目，網絡安全能力核查內容按網絡安全能力+性能指標+檢驗方法的形式填寫，企業可考慮其軟件產品預期用途、使用場景的限製，醫療器械對於網絡安全威脅應具備必要的識別、保護能力和適當的探測、響應、恢複能力，參考《醫療器械網絡安全注冊審查指導原則（2022年修訂版）》中提及的22項網絡安全能力具體填寫。

03

注意事項

1. 相關《產品送檢資料清單》均可在廣東省醫療器械質量監督檢驗所網站“檢驗服務--表格下載”欄獲取。

2. 提供滿足檢驗所需的足夠樣品，需蓋章的資料應加蓋委托方公章。

3. 所提供的樣品、配件及文件資料（證書）應真實有效，送檢樣品是經出廠檢驗合格產品，符合醫療器械生產質量管理規範的相關要求。

當全球監管機構已形成共識，網絡安全已是醫療器械的“基礎性能” ，而非附加功能。具體表現如下：

準入壁壘升級：我國醫療器械注冊申報時對網絡安全研究資料（如適用）的強製要求，歐盟MDR法規將網絡安全納入CE認證強製審核，美國FDA要求提交全生命周期漏洞管理方案；

市場信任危機：一次重大安全事件足以拖累整個“中國智造”品牌聲譽。

作為一家深耕醫療器械行業18年的專業谘詢機構，我們為廣大醫械企業提供全鏈條的合規支持（包括專項資料輔導服務），假如您有網絡安全資料輔導需求，歡迎隨時聯係我們~

☎400-888-7587