随着科技的发展，无线、互联网等网络连接能力的日益集成，医疗器械相关的医疗健康信息和其他信息，实现了通过网络的频繁交换，这使得诊疗更加高效。

然而，医疗行业面临的网络安全威胁正在变得越来越频繁和越来越严重。网络安全事件可能使医院网络瘫痪，致使有联网功能的医疗器械可能无法正常运行，从而使医疗机构的患者护理服务中断。这种网络攻击会造成如诊断/或治疗延迟，从而可能会导致患者伤害。

越来越多的连接导致单个器械作为更大的医疗器械系统的一部分。这些系统可以包括医疗机构网络、其他器械，和软件更新服务器以及其他互连的组件。因此，需要对这些系统的所有方面进行充分的网络安全考虑，减缓或避免网络安全威胁，以保证器械系统中的任何资产的安全性和/或有效性，包括足够的网络安全，以及其作为更大系统一部分的安全性。

●网络器械的示例（包括但不限于满足如下要求的器械或系统）

a. 可以与其他器械/系统通讯;

b. 有一个网络/服务器连接或有可能将来与网络/服务器(目前已经禁用了的)连接;

c. 有可能使用未使用的端口进行网络连接;

d. 使用了任何形式的无线通信，例如蓝牙、Wi-Fi，蜂窝、RF、感应;

e. 有一个USB端口/物理媒介端口(例如记忆卡、JTAG);

f. 允许进行软件/固件下载(例如，软件/固件升级或打补丁);

g. 允许云存储或云服务。

●欧盟针对医疗器械网络安全的要求

欧盟于2020年7月更新发布了医疗器械网络安全指南MDCG2019-16 Rev.1.

原文链接：https://health.ec.europa.eu/document/download/b23b362f-8a56-434c-922a-5b3ca4d0a7a1_en?filename=md_cybersecurity_en.pdf

指南中汇总了MDR法规附录I关于网络安全的要求（见下图），其中有一部分是医疗器械通用的要求（如14.1，14.4，14.5，17.1，22.1，23.1），该指南也给出了如何满足这些要求的详细指导。

上图中所适用的MDR法规要求同样也适用于IVDR法规EU 2017/746 ，比对关系如下表

MDCG 2019-16指南中关于医疗设备网络安全风险管理的具体要求如下：

◇网络安全风险管理

网络安全（Cybersecurity）风险管理过程与产品安全风险管理流程具有相同的要素，所有要素都记录在网络安全风险管理计划中。流程要素包括网络安全风险分析、网络安全风险评估、网络安全风险控制、剩余网络安全风险评估和报告。当网络安全风险或控制措施可能对安全性（safety）和有效性产生影响时（如下图所示），应将其纳入安全风险评估。同样，任何可能对网络安全产生影响的产品安全风险控制或考虑都应包括在网络安全风险分析中。

例如，“屏蔽”屏幕显示对于普通设备可能是一种适当的网络安全（Cybersecurity）控制措施，以减少个人数据的泄露，但当医疗设备用于介入使用或显示生命体征时，则“屏蔽”屏幕是一个安全（safety）问题，因此不应实施；或，在紧急情况下，医务人员必须能够没有限制地使用植入的心脏设备，但在正常操作条件下需要采取强有力的网络安全措施。

●FDA对医疗器械网络安全的风险管理要求

欧盟于2020年7月更新发布了医疗器械网络安全指南MDCG2019-16 Rev.1.

◇《FD&C法案》第524B(c)条中给出了网络器械（cyber device）的定义：

a. 包括经申报者确认、安装或授权的软件的器械，这个软件可以本身是器械或是器械的一部分，

b. 具有连接互联网的能力的器械，以及

c. 包含任何经申报者确认、安装或授权的易受网络安全威胁的技术特征的器械。

◇FDA网络安全最终指南“Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions”(20230926)

原文链接：https://www.fda.gov/media/119933/download

◇FDA网络安全最终指南对于器械网络安全风险管理的要求

FDA指出器械或更大器械系统的网络安全风险可以通过使用SPDF来合理控制。SPDF全称是Secure Product Development Framework，网络安全产品开发框架，指的是减少产品中漏洞数量和严重性的一组过程。SPDF包括产品寿命周期的所有方面，包括设计、开发、发布、支持和退市。

作为使用SPDF的一部分，制造商应在获得新信息时应更新其安全风险管理文档，例如在开发过程中和器械发布后发现新的威胁、漏洞、资产或不利影响时

执行网络安全(Cybersecurity)风险管理不同于执行ISO 14971所述的安全(safety)风险管理。执行这两个风险管理的区别在于网络安全方面与安全方面本身的区别，可能的危害的范围和风险评估因素可能不同, 需要在如下框架下综合考虑。

在作风险评估时，应该考虑到，网络安全和安全风险评估过程之间存在耦合，因此当对一种类型的风险（如安全），制造商需要评估对其他类型风险（如网络安全）的影响，反之亦然。

FDA建议器械制造商进行安全风险评估和单独的网络安全风险评估，以确保更全面地识别和管理患者安全风险。

◇FDA建议制造商可以根据AAMI TIR57中描述的来出具网络安全风险管理计划和报告。

网络安全风险管理报告应包括系统威胁建模、网络安全风险评估、软件材料清单（SBOM）、组件支持信息、漏洞评估和未解决异常评估这些文件要素。

除了包含上述文件要素外，网络安全风险管理报告还应：

a.  总结风险评估方法和过程，

b.  详细说明网络安全风险评估的剩余风险结论，

c.  详细说明作为制造商风险管理流程的一部分而开展的风险缓解活动，以及

d.   提供威胁模型、网络安全风险评估、SBOM和测试文件以及其他相关网络安全风险管理文件之间的可追溯性。

●附：医疗器械网络安全能力的检测内容参考