FDA对设备审查的新网络安全要求现已生效,但该机构表示,在今年晚些时候之前,它不打算拒绝不合规的申请。
医疗设备开发商现在必须在申请或提交网络设备监管审查的申请中包含网络安全计划。
FDA表示,根据最近的立法,其新权力“代表着FDA在监管网络安全方面迈出了重要一步,网络安全是医疗设备安全性和有效性的一部分。”
什么是网络设备?
的新需求将网络设备定义为任何设备,“包括由发起人验证、安装或授权为设备或设备中的软件;有连接互联网的能力;并包含任何经赞助商验证、安装或授权的可能容易受到网络安全威胁的技术特征。”
新规则涵盖了根据510(k)、从头、上市前批准(PMA)和人道主义设备豁免途径寻求批准或许可的网络设备。
网络设备的申请现在必须包括“一项计划,在合理的时间内,在适当的情况下,监测、识别和解决上市后的网络安全漏洞和利用,包括协调的漏洞披露和相关程序。”
设备开发者还必须“设计、开发和维护流程和程序,以提供合理的保证,确保设备和相关系统是网络安全的,并在合理合理的定期周期内,为设备和相关系统提供上市后更新和补丁,以解决已知的不可接受的漏洞;并尽快跳出周期,关键的漏洞,可能导致无法控制的风险。
最后,FDA指示网络设备的开发者提交审查文件,“提供一份软件材料清单,包括商业、开源和现成的软件组件。”
新规定还为“证明设备和相关系统是网络安全的合理保证”所需的其他潜在监管要求敞开了大门。
是什么导致了新的网络设备规定?
这一变化是通过对联邦食品、药物和化妆品法案的修正案实现的。联邦议员将这些修正案纳入了他们的2023年综合拨款法案,该法案由乔·拜登总统于2022年12月29日签署成为法律。
该法案规定,新要求直到2023年3月29日才生效,但FDA上周表示,它“通常不打算仅仅因为网络设备缺乏网络安全信息,就发布‘拒绝接受’(RTA)决定”。相反,该机构表示,它将与申请人“合作”,作为未来六个月互动和/或缺陷审查过程的一部分。
FDA表示:“从2023年10月1日开始,FDA预计此类网络设备的赞助商将有足够的时间准备上市前提交,其中包含FD&C法案第524B条所要求的信息,FDA可能会RTA未包含的上市前提交。”
FDA之前已经发布了关于其510(k)s的RTA政策,PMA验收和备案审查,重新申请验收审查.