随着互联网在医疗器械领域的广泛应用，全球各地监管部门对医疗器械网络安全提出了越来越严格的要求。近期我们辅导的FDA 510(k)案例中，也有不少产品是需要提交网络安全资料的（如肺功能测试仪），那么本期文章我们就来分享一下：提交FDA 510(k)申请时，哪些情形下必须递交网络安全文件？

1、FDA网络安全要求背景

在2022年签署的《2023年综合拨款法案》（the Consolidated Appropriations Act, 2023）中，第3305节-“确保医疗设备的网络安全”通过增加第524B节“确保设备的网络安全”修订了《联邦食品、药品和化妆品法案》(即FD&C法案)。根据FD&C法案第524B(a)条，对于符合FD&C法案第524B(c)条中定义的“网络设备”的器械，必须满足该法案的要求，以确保网络器械符合FD&C法案第524B的网络安全要求。

2、谁需要准备网络安全文件

根据FD&C法案524B(c)将“网络设备”（cyber device）定义为：

① 制造商作为设备或在设备中验证、安装或授权的软件；

② 具备连接互联网的能力；

③ 包含经申请人验证、安装或授权的可能受到网络安全威胁的技术特征。

2024年3月，FDA又发布指南草案Select Updates for the Premarket  Cybersecurity Guidance: Section 524B of the FD&C Act，以对现有指南“医疗器械网络安全：质量体系考量和上市前提交内容”提出选择更新。该草案中列举了（包括但不限于）能够连接到互联网的以下设备：

① Wi-Fi或蜂窝网络；

② 网络、服务器或云服务提供商连接；

③ 蓝牙或低功率蓝牙；

④ 射频通信；

⑤ 感应通信；

⑥ 能够连接互联网的硬件连接器（如USB、以太网、串口）。

根据FD&C法案第524B(a)节，任何人（包括制造商）以510(k)、De Novo、HDE、PDP和PMA路径提交符合524B (c)中“网络设备”定义的产品的上市前申请，均需递交相关网络安全资料，以自证确保该设备符合FD&C法案第524B (b)中关于网络安全的要求。

FDA官网指出，如果制造商不确定设备是否属于“网络设备”，可以向FDA进行咨询。