510K申请时，谁需要准备网络安全文件？以及提交的文件有哪些？

《2023年综合拨款法案》第3305条修订了《联邦食品、药品和化妆品法案》（即FD&C法案），通过新增第524B条确保设备的网络安全。根据FD&C法案第524B(a)条，对于符合FD&C法案第524B(c)节中定义的“网络设备”的器械，必须满足该法案的要求，以确保网络器械符合FD&C法案第524B的网络安全要求。

一、谁需要准备网络安全文件

根据FD&C法案第524B（c）将“网络设备”（cyber device）定义为：

① 制造商作为设备或在设备中验证、安装或授权的软件；

② 具备连接互联网的能力；

③ 包含经申请人验证、安装或授权的可能受到网络安全威胁的技术特征。

草案<Select Updates for the Premarket  Cybersecurity Guidance: Section 524B of the FD&C Act>指出：“网络设备”包括或包含软件的设备，包括固件或可编程逻辑的软件。

该草案中还列举了（包括但不限于）能够连接到互联网的以下设备：

① Wi-Fi或蜂窝网络；

② 网络、服务器或云服务提供商连接；

③ 蓝牙或低功率蓝牙；

④ 射频通信；

⑤ 感应通信；

⑥ 能够连接互联网的硬件连接器（如USB、以太网、串口）。

根据FD&C法案第524B(a)节，任何人（包括制造商）以510(k)、de Novo、HDE、PDP和PMA路径提交符合524B (c)中“网络设备”定义的产品的上市前申请，均需递交相关网络安全资料，以自证确保该设备符合FD&C法案第524B (b)中关于网络安全的要求。

FDA官网指出，如果制造商不确定设备是否是“网络设备”可以向FDA进行咨询。

二、网络安全提交的文件有哪些

2023年9月27日，FDA发布了题为<Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions>的最终指南,其中提到的对于医疗器械上市前需提交材料的各种建议，是对于想要通过FDA认证并进入美国市场的厂商来说是非常重要的参考来源,下面就列出指南中建议的提交文档：

1. Risk Management Report

需要包含的内容有：

1.网络安全风险相关的风险分析、缓解和设计时的考虑；

2.安全控制与安全风险的可追溯性；

3.对安全控制的验证报告的可追溯性；

4.说明事件发生后何时及如何提供安全更新/补丁；

5.描述设备不受恶意软件影响而采取的步骤；

6.总结风险评价的方法和过程；

7.阐述风险评估得出的剩余风险结论；

8.详细说明作为风险管理过程的一部分所开展的风险缓解活动；

9.提供威胁模型、网络安全风险评估、SBOM、测试文档以及其他相关网络安全风险管理文档之间的可追溯性。

2. Threat Model

需要包含的内容有：

1.使用什么方法识别医疗设备系统风险以及缓解的措施（例如：采用STRIDE识别风险），描述网络安全风险评估缓解前和缓解后风险；

2.描述医疗设备系统或使用环境的任何假设网络环境(例如，假定攻击者通过更改、丢弃和重放数据包的能力控制网络)；

3.识别贯穿活动始终的网络安全风险：供应商、制造、安装、与其他设备的互操作、维护/更新活动，以及退市/报废活动流程。

3.Cybersecurity Risk Assessment

1.捕获从威胁模型中识别的风险和控制措施，根据设备及其运行的系统构成的风险级别评估识别的风险；

2.网络安全风险的验收标准要考虑医疗器械系统的总产品生命周期。提供风险缓解前后的评分方法和相关的验收标准，以及将风险转移到风险评价过程的方法。

4. Software Bill of Materials (SBOM) and Related Information

SBOM应包括设备制造商-开发者，也包括第三方组件。包括购买/授权软件和开源软件。以及专有、购买/许可和开源软件所需要/依赖的上游软件依赖关系。

5. Assessment of Unresolved Anomalies

提供提交时产品中存在的软件异常列表，对于每个异常，设备制造商应对异常对设备安全性和有效性的影响进行评估。

6. Cybersecurity Metrics

为证明生产技术的有效性，需要提供以下测量和指标:

1.已确定的漏洞被更新或修补的百分比(缺陷密度)；

2.从漏洞识别到更新或修补的持续时间；

3.从更新或补丁可用到现场安装到设备中完成实施的持续时间。

7. Cybersecurity Controls

一套适当的安全控制应包括但不限于：

1.身份验证（Authentication）;

2.授权（Authorization）;

3.加密系统（Cryptography);

4.代码、数据和执行完整性（Code, data, and execution integrity）;

5.机密性（Confidentiality）;

6.事件检测和记录（Event detection and logging）;

7.网络弹性和恢复（Resiliency and recovery）;

8.固件和软件更新（Firmware and software update）。

8. Architecture Views

提交的材料至少提供以下类型的视图：

1.全局系统视图（Global System View）;

2.多患者伤害视图（Multi-Patient Harm View）;

3.可更新性/可修补性视图（Updateability/Patchability View）;

4.安全用例视图Security Use Case View(s)。

9. Cybersecurity Testing

网络安全测试包含以下测试：

1.《模糊测试报告》;

2.《代码分析报告》;

3.《软件成分分析报告》;

4.《渗透测试报告》;

5.《漏洞扫描报告》。

具体测试细节请见ANSI/ISA 62443-4-1:2018的第9章节。

10. Cybersecurity Labeling

关于设备标识的要求较多，我司出过一期推文，详情请点击查看：FDA关于网络安全对于标签的要求。

11. Cybersecurity Management Plan

网络安全管理计划应包括以下要素:

1.人员责任;

2.监控和识别漏洞的来源、方法和频率(例如，研究人员、NIST国家漏洞数据库(NIST NVD)、第三方软件制造商)；

3.识别和解决CISA已知利用漏洞目录中发现的漏洞；

4.定期安全检测；

5.开发和发布补丁的时间表；

6.更新流程；

7.补丁能力(即，更新可以传送到设备的速率)；

8.描述其协调的漏洞披露过程；和

9.描述生产厂家打算如何向客户传达即将到来的修复、补丁和更新。

另外，关于网络安全所需要参考的标准和法规清单我司也出过一期推文，详情请点击查看：重点汇总：FDA关于医疗器械网络安全的指导文件。

本文的编写仅是出于小编对于法规的理解进行梳理，目的是希望能给有需要的行业朋友提供一定可参考的价值，具体在准备510K的网络安全文档资料时需结合实际产品的情况以及参考FDA的法规执行，以法规要求为准。

如您对于FDA 510K网络安全有相关需要探讨的疑问或者需要合作的项目，请您联系我们。