FDA代表了最新的联邦机构,它将于12月28日发布有关网络安全问题的信息。 新指导。尽管具有网络功能的医疗设备的前景越来越多地带来改善护理和患者治疗的希望,但是不断发展的技术和新发现的连接性也提出了新的安全考虑。

美国食品药品监督管理局针对医疗器械网络安全的上市后管理向行业和FDA员工发布了最终非约束性建议。长达30页的指南特别指出需要在整个产品生命周期内解决网络安全问题,包括在设备的设计,开发,生产,分发,部署和维护期间。它还支持严格的风险评估计划,以衡量漏洞对患者安全的潜在影响。

这些建议代表了FDA当前在此问题上的想法,并不约束FDA或公众。 FDA负责审查,批准和监管医疗产品,包括药品和医疗器械以及食品,化妆品和其他产品。

作为其建议的一部分,FDA鼓励使用和采用由美国国家标准技术研究院发布的自愿性“改善关键基础设施网络安全的框架”。在此框架下,制造商在产品的整个生命周期中“识别,保护,检测,响应和恢复”。

其他建议包括实施全面的网络安全风险管理程序和文档(例如投诉处理),威胁建模,并通过考虑漏洞的可利用性和漏洞被利用时的患者危害的严重性,着重评估患者伤害的风险。该指南提供了有关如何部署风险评估的详细信息。

FDA还澄清了在何种情况下要求公司将根据21 CFR第806部分纠正设备网络安全漏洞所采取的措施通知机构。此外,对于具有定期报告要求的上市前批准设备,FDA建议有关网络安全漏洞及其结果的某些信息设备更改应包括在提交给代理商的报告中​​。

政府机构越来越关注网络安全,而FDA遵循上述机构(包括NIST)以及联邦贸易委员会的机构,发布有关如何评估和应对漏洞的非约束性指南。尽管这些建议是自愿性的,但联邦政府正在稳步建立其对行业期望的基准,并且它将在调查行业实践时考虑这些期望。

请参阅我们姊妹博客上的上一篇文章, 药品& Device 法, 这里.