美国卫生与公众服务部(HHS)下辖食品药品监督管理局(FDA)日前发布最终指导文件,为网络设备制定了新的网络安全要求,其中包括网络设备在上市前的申报材料中必须提交的信息。文件还要求医疗保健相关方应将软件物料清单(SBOM)和漏洞披露报告纳入基础设施网络安全规定。
这份题为《医疗设备的网络安全:FD&C法案第524B条下网络设备及相关系统的拒绝接收政策》的指导文件称,《2023年综合拨款法案》第3305条修订了《联邦食品、药品和化妆品法案》(即FD&C法案),添加了第524B节以协助确保设备的网络安全。此外,法律还规定,FD&C法案的修正案将于2023年3月29日颁布起的90天后生效。
根据法案规定,这些网络安全要求不适用于2023年3月29日前提交至FDA的申报或提交材料。但FDA方面已经确定,FD&C法案第524B节中指定的日期,即在90天法定时限内征求公众意见并不具备可行性。尽管这项政策已经在未经前期评议的情况下立即实施,但FDA将考量收到的反馈并酌情对具体规定做出修改。
FDA表示,医疗设备越来越多地接入互联网、医院网络及其他医疗设备,旨在改善医疗保健效果并提高医疗服务方治疗患者的能力。但这些功能也会增加潜在的网络安全风险。与其他计算机系统一样,医疗设备同样易受安全漏洞的影响,进而破坏设备的安全性和有效性。
公示期间不会拒绝接收申报
威胁与漏洞不可避免,这就让降低网络安全风险变得极具挑战。医疗保健环境复杂,设备制造商、医院和公共部门必须协同努力以管理网络安全风险。
FDA原则上不会单纯根据FD&C法案新修正案的要求,在2023年10月1日之前对网络设备上市前提交的申报文件做“拒绝接收”批复。相反,FDA希望以交互及/或缺陷审查的方式与申报厂商合作。
拒绝接收简称RTA,是FDA在2012年针对上市前申报(即510k)制度实施的一项政策。根据Rob Packard在Medical Device Academy博文中的解释,上市前申报应在FDA审查流程之前的15个自然日内完成。“FDA将指派一名初步审查员对申报文件做RTA筛选,并由该审查员整理出一份RTA清单。FDA随后通过技术方式将RTA筛选内容替换进FDA eSTAR模板。这也是Medical Device Academy选择在所有510k申报中使用SFDA eSTAR模板,而非旧的20条式510k格式的原因之一。”
申报文件必须提供完整的网络安全状况
新发布的指导文件概述了自2023年3月29日起生效的第524B节中网络安全条款部分的一项要求,即根据510(k)、513、515(c)、515(f)或520(m)对于符合本节下网络设备定义的设备,“应包含[FDA]可能要求的信息,以确保此类网络设备满足网络安全要求。”
指导文件还提到,申报或提交的厂商应向FDA提供一份计划,以在合理的时间内酌情监控、识别和解决产品上市后出现的网络安全漏洞及利用,包括如何协调漏洞披露和相关程序。
厂商应提供设计、开及维护流程和程序,以合理保证设备及相关系统的网络安全。厂商还应提供设备及相关系统在上市后的更新和补丁修复,在合理的固定周期内解决不可接受的已知漏洞,并尽快以非固定周期解决可能导致失控风险的关键漏洞。
厂商还应向FDA提交软件物料清单(SBOM),包括商业、开源及现成的软件组件,并遵循FDA可能依据法规提出的其他要求,借此对设备及相关系统的网络安全水平做出合理保证。
指导文件规定,对于2023年10月1日前提交的网络设备上市申报,FDA原则上不会仅根据FD&C法案第524B条要求的信息做“拒绝接收”决定。“相反,FDA希望以交互及/或缺陷审查的方式与申报厂商合作。”
在评论这部分内容时,Packard写道,“我们相信FDA将在2023年10月1日更新eSTAR模板以纳入网络安全要求。在未来的eSTAR模板中,将无法提交不包含网络安全要求的510k,因为eSTAR会自动验证模板中各部分内容的填写情况。”
指导文件还补充称,自2023年10月1日起,“FDA预计网络设备厂商将有足够的时间根据FD&C法案第524B条筹备产品的上市申报材料,且FDA可能对信息不全的申报做「拒绝接收」处理。”
文件概述所谓“网络设备”的基本定义,其中应涉及软件的验证、安装及授权等,能够接入互联网,而且包含可能易受网络安全威胁的厂商验证、安装并授权的技术特征。
行业专家:此举意在要求厂商自证安全
工业物联网安全厂商MedCrypt及诊断软件开发商Gamma Basics的联合创始人Mike Kijewski发文解释了新规对医疗“网络设备”厂商造成的影响。“现在你必须证明自己开发的设备在设计上是安全的,必须制定策略来监控和维护该设备上市后和设备生命周期内的安全性,整理并维护软件物料清单,并提供必要的文件来证明所有这些工作。以上内容都应包含在提交给FDA的产品上市申报当中。”
面对FDA对指导文件的再次修正,Packard认为“2018年就发布过一份草案,2022年又推出了更新草案。这份最终指导文件也有相应的更新版本,已经被FDA列入A级优先列表,只是这个更新版本还没有发布。”
他还提到,FDA的网络安全页面已经更新,纳入了关于网络安全设备“拒绝接收”政策的新规定。“我们认为,这代表更新后的最终版本将很快发布。”
2022年4月,FDA曾经发布指导文件草案,建议医疗保健行业将网络安全设备的设计、标签和FDA给出的意见纳入上市申报材料。这些建议有助于提高上市审查流程,确保上市的医疗设备在面对网络安全威胁时具有足够的弹性。
