近日,FDA发布了一份立即实施的指南文件:《医疗设备的网络安全:拒绝接受FD&C法案第524B条规定的网络设备政策》,本指南传达了FDA关于网络设备上市前提交的RTA决定的政策。
从2023年3月29日开始,网络设备制造商现在被要求包括证明其网络设备和相关系统是网络安全的合理保证的信息。
对2023年10月1日之前提交的网络设备上市提交,FDA一般不打算仅根据FD&C法案第524B条要求的信息发布“拒绝接受”决定。 相反,FDA将与此类上市前提交的赞助商合作,作为互动和/或缺陷审查过程的一部分。2023年10月1日之后将要求符合网络安全的要求,否则将拒绝接受递交。
【指南背景】
2022年12月29日,2023年综合拨款法案(“Omnibus”)签署成为法律。Omnibus第3305条“确保医疗设备的网络安全”通过增加第524B条“确保设备的网络安全”对《联邦食品、药品和化妆品法案》(FD&C法案)进行了修订。
Omnibus声明,FD&C法案修正案将于2023年3月29日综合拨款法案颁布后90天生效。如Omnibus声明所述,网络安全要求不适用于2023年3月29日之前提交给FDA的申请或材料。
在2023年10月1日之前,FDA一般不打算仅根据FD&C法案第524B节要求的信息对网络设备提交的上市前申请发布RTA决定,而是与此类上市前申请的主办方合作,作为互动和/或缺陷审查流程的一部分。从2023年10月1日开始,FDA预计这些申办者将有足够的时间准备包含FD&C法案第524B节要求的信息的上市前申请,FDA可能会拒绝(RTA)不包含这些信息的上市前申请。
【FD&C法案第524B条规定的网络设备政策】
第524B条的网络安全规定包括:
(a)一般规定
根据第510(k)、513、515(c)、515(f)或520(m)节提交符合本节规定的网络设备定义的设备的申请或提交材料的人员应包括[FDA]可能要求的信息,以确保该网络设备符合(b)小节规定的网络安全要求。
(b)
(a)小节中所述的申请或提交材料的发起人应:
(1)提交一份计划,以在合理的时间内监控、识别和解决上市后网络安全漏洞和利用,包括协调的漏洞披露和相关程序;
(2)设计、开发和维护流程和程序,以合理保证设备和相关系统的网络安全,并为设备和相关系统提供上市后更新和补丁,以解决—
(A)在合理合理的定期周期内,已知的不可接受的漏洞;
(B)尽快消除可能导致不可控风险的关键漏洞;
(3)提供软件材料清单,包括商业、开放源代码和现成的软件组件;以及
(4)遵守可能通过法规要求的其他要求,以证明设备和相关系统是网络安全的合理保证。
(c)定义
在本节中,术语“网络设备cyber device”是指这样的设备:
(1)包括由sponsor作为设备或在设备中确认、安装或授权的软件;
(2)具有连接互联网的能力;以及
(3)包含sponsor确认、安装或授权的任何此类易受网络安全威胁的技术特征。