2022年5月，IMDRF发布了一则关于遗留医疗器械的网络安全原则和实践的指南文件草案“Principles and Practices for the Cybersecurity of Legacy Medical Devices”。

该指南文件的目的是为了更详细阐述IMDRF N60指南中所提出的遗留器械的网络安全TPLC框架，包括提供给利益相关者（如：医疗器械制造商和医疗护理提供者）详细的建议，提供了清楚识别潜在遗留器械的方法，以及遗留器械网络安全实施的可行方法。

指南中提出的TPLC框架的关键特征是：制造商和医护人员之间的有限沟通，允许及时、有计划的引入和终止器械，使遗留器械的数量最少化。

该指南中遗留器械的定义是什么呢？

遗留医疗器械，即legacy medical device，指的是不能合理防护现有网络安全威胁的医疗器械，与其目前使用的年份无关，即，遗留医疗器械并不只单纯指更早型号的医疗器械。如果在比较早上市的器械在网络安全的措施方面做的比较好，仍能抵抗目前的网络安全漏洞，那么也不能称之为遗留医疗器械。

该指南适用于本身是软件的医疗器械（即，SaMD）和软件作为产品组成一部分的器械。

遗留器械目前可能存在的网络安全问题有哪些呢？

 其网络安全控制措施不充分或没有相关措施；

安全控制措施虽然在当时是state-of-art，但现在面临非预期的无法防护的威胁；

公司内部缺少适当执行TPLC计划的人员和资源，导致这些遗留器械及其相关风险持续存在。

该指南主要包含以下四方面内容：

 在TPLC框架内解释了遗留器械的网络安全，清楚定义制造商和医护人员在TPLC每个阶段的责任；

提供给制造商和医护人员关于沟通、风险管理、将责任转移给医护人员这三方面的建议；

提供有关终止支持之后的补充控制的建议；

提供制造商和医护人员解决现有遗留器械实施TPLC框架的考虑。

网络安全TPLC框架如下：