2025 年 1 月 31 日,美国食品药品监督管理局(FDA)发布了一则与监护仪相关的网络安全通知。此次涉及的 CMS8000 病人监护仪存在严重网络安全漏洞,潜藏着极大的安全风险。从通知披露的内容来看,漏洞主要体现在以下几个方面: 受影响的产品会向一个硬编码的 IP 地址发送远程访问请求,这一行为直接绕过了现有设备网络设置,使得恶意行为者有机可乘,能够上传和覆盖设备上的文件。 攻击者可以发送特殊格式的 UDP 请求写入任意数据,进而实现远程代码执行,这为非法控制设备打开了方便之门。 当患者连接到监护仪时,该漏洞会导致明文形式的患者数据被传输到一个硬编码的公共 IP 地址。一旦这一漏洞被成功利用,拥有该未指定 IP 地址的设备便可能获取机密的患者信息,甚至引发中间人攻击。 不难想象,这些漏洞一旦被恶意利用,未经授权的用户极有可能远程控制监护仪,致使其无法正常工作,严重威胁患者的生命健康与医疗安全。 面对医疗器械网络安全领域日益严峻的形势,FDA、欧盟以及中国国家药品监督管理局(NMPA)等国家和地区的监管机构,纷纷发布了一系列与网络安全相关的法规和指南文件,旨在强化监管,保障医疗器械的网络安全性能。 2023 年 3 月,美国《联邦食品、药品和化妆品法案》(FD&C 法案)新增第 524B 条,明确规定若未提交网络安全相关要求的资料,FDA 将不予受理相关医疗器械的申请,从源头上把控医疗器械的网络安全。 2023 年 9 月,FDA 发布最终版指南文件 “Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions”,详细阐明了医疗器械产品上市时需提交的网络安全资料的具体要求,为制造商提供了清晰的申报指引。 2024 年 3 月,FDA 发布草稿版的 “Select Updates for the Premarket Cybersecurity Guidance: Section 524B of the FD&C Act”,不仅对产品上市时需提交的网络安全资料提出了新的要求,还对网络器械的定义进行了进一步澄清。不过,截至目前,该指南文件尚未正式发布。 2019 年,欧盟发布指南文件 MDCG2019 - 16,对医疗器械网络安全提出了具体且细致的要求,目前该文件已成为公告机构审核网络安全相关资料的重要依据。 2022 年初,中国药监总局发布最新的《医疗器械网络安全注册审查指导原则》,针对医疗器械注册资料中的网络安全部分,制定了明确的规范和要求 总的来说,面对不断加严的要求,制造商不得不面对这个难题——如何做好医疗器械的网络安全工作以及如何准备好符合要求的网络安全文档。考虑到制造商希望熟悉网络安全的法规要求和编写出符合注册要求文档迫切要求。 世也认证服务有限公司制造商计划编写专题系列公众号文章和组织免费培训,给制造商一些有益帮助。 拟定的题目有: 网络安全与医疗器械风险管理之间的关系 网络安全的通用要求以及如何满足这些要求 如何准备符合FDA申报要求的文档 如何准备符合CE MDR/IVDR要求的文档 如何准备符合NMPA注册要求的文档 更多文章阅读: EU 医疗器械动态:CE MDR/IVDR 过渡期关键要点解析 EU 医疗器械动态:MDCG 2020 - 16 rev.4 对比 rev.3 的关键变化 公司介绍 公司地址
公司在中国上海、香港、德国慕尼黑、奥地利萨尔斯堡、泰国设有办公室和分支机构。涉及的合规产品类别有近25个行业(如医疗器械、 新能源、家电、照明、工具、实验室仪器、机械、体外诊断、无线产品、试剂等)。
德国:Landsberger Str.155 80687 München, Germany
