2021年 3月 5日
医疗器械协调小组(MDCG)于2020年1月6日发布了新指南,以帮助制造商满足医疗器械法规(MDR)和体外诊断医疗器械法规(IVDR)附件一中的所有相关网络安全要求。
新指南介绍了两部法规的许多新举措,如加强了立法者对确保投放到欧盟市场的器械能够应对与网络安全风险相关的新的技术挑战的关注。 在这方面,新法规为所有包含电子可编程系统的医疗器械及本身即是医疗器械的软件规定了某些新的基本安全要求。 它们要求制造商根据最新技术开发和生产产品,同时考虑到包括信息安全在内的风险管理原则,并制定了关于IT安全措施的最低要求,包括防止未经授权的访问。
该指南涵盖了上市前和上市后的网络安全要求,已得到MDCG的认可。MDCG由所有欧盟成员国的代表组成,并由欧盟委员会的一名代表担任主席。
MDCG指南的表1列出了MDR附件一和IVDR附件一中与网络安全相关的所有一般安全和基本性能要求(GSPR)。 MDR和IVDR要求医疗器械制造商在医疗器械的整个生命周期中考虑采用最先进的技术来进行设计、开发和升级。 制造商应在决策时采用最先进的技术(基于适用的标准、指南、他们自己的专有知识以及可公开获取的科学/技术信息),同时证明他们适当解决安全风险的合理性。
MDR附件一和IVDR附件一列出的一些关键GSPR包括:
尽管所有GSPR都同等重要,但关键要求记录于MDR附件一第17.2节和IVDR附件一第16.2节,它们要求装有软件的器械或本身就是器械的软件必须采用最先进的技术进行开发和制造,同时考虑开发生命周期、风险管理(包括信息安全)、验证和确认的原则。 该指南指出,进行安全验证和确认的主要手段是测试。 方法可能包括安全功能测试、模糊测试、漏洞扫描和渗透测试。 制造商还可以使用用于安全码分析的工具、扫描产品使用的开放源代码和库的工具来进行安全性测试,以确定存在已知问题的组件。
该指南还明确指出,在欧盟层面,NIS指令(EU 2016/1148)和《通用数据保护条例》(EU 2016/679 GDPR)与医疗器械网络安全或与负责保护或处理医疗器械中储存的个人数据的运营商相关,并可能与MDR/IVDR法规同时适用。 最后,在欧盟层面,还应提及《欧盟网络安全法》(欧盟第2019/881号条例),该法规首次引入了欧盟范围内的针对ICT产品、服务和流程的网络安全认证框架。
新的MDCG指南还指出,针对医疗器械的网络安全要求已经出现在包括美国、加拿大、澳大利亚和韩国在内的数个市场,正如Emergo by UL之前报告的那样。
Marco Deuschler是UL生命与健康科学部门的业务发展经理。