分担责任是医疗器械 IT 安全IT security的一个关键概念。信息共享是实现责任共担的首选手段。ISO 13485:2016 第7.2.3章规定了与客户和当局沟通的义务。作为质量管理体系的一部分，必须以“计划”和记录的方式进行。至少应考虑以下安全沟通途径：

制造商需要有关产品目标环境的信息。

那里有哪些安全控制措施？

操作人员对产品有哪些要求？

应达到何种安全级别（IEC 60601-4-5）？

制造商应告知可能对安全产生影响的服务或产品供应商必要的义务，如遵守IEC 81001-5-1（质量保证协议）。

操作人员要求提供有关产品及其安全使用的广泛信息。制造商应向操作人员提供使用说明或任何其他类型的手册。此外，产品的MDS2表和SBOM也应移交给操作人员（医疗服务提供者）。

制造商必须及时向运营商通报产品漏洞（漏洞披露）。例如，可以通过自己的网页、ISAO（信息共享和分析组织）或直接联系的方式进行。

制造商必须告知操作人员可用的补丁、修复和更新，并且必须安全地提供补丁和更新（如文件完整性检查）。

运营商必须有可靠的方式向制造商通报安全问题（如网络表格或专用电子邮件地址）

制造商必须向国家当局报告与安全有关的严重事故（医疗器械报告）。在欧洲，可能还需要同时通知公告机构。

此外，对于数据泄露，制造商可能有特定的报告义务（不仅要向相关机构报告，还要向受影响的个人报告）。

如果第三方组件出现安全问题，制造商必须通知相关供应商。

如果发生严重的安全事故，制造商还应向律师、媒体和内部负责人通报。

实用建议：为所有可能的利益相关者绘制一张大图，用不同的线路将他们与制造商连接起来，并考虑在整个产品生命周期中每个连接点可能流动的信息。