一、關(guān)于歐盟CE認證的醫(yī)械網(wǎng)絡(luò)安全要求參考文件

MDR?附件一列出了針對具有網(wǎng)絡(luò)安全風險的設(shè)備的一般安全和性能要求?(GSPR)，特別是“包含本身就是設(shè)備的電子可編程系統(tǒng)和軟件的設(shè)備”。

醫(yī)療器械協(xié)調(diào)組?(MDCG)?于?2020?年發(fā)布了一份指南，為制造商履行附件?I?中與網(wǎng)絡(luò)安全相關(guān)的?GSPR?提供了路線圖。該指南解決了上市前和上市后的網(wǎng)絡(luò)安全要求，并擴展了有關(guān)軟件設(shè)備設(shè)計和風險評估的?MDR?語言，其中包括若干協(xié)調(diào)國際網(wǎng)絡(luò)安全建議的技術(shù)文件。

其他需要遵守?MDR?之外的網(wǎng)絡(luò)和數(shù)據(jù)特定法規(guī)也應告知您的網(wǎng)絡(luò)安全活動：

• 《通用數(shù)據(jù)保護條例》[條例?(EU)?2016/679]?(GDPR)，是針對居住在歐盟的個人的個人數(shù)據(jù)現(xiàn)行的最嚴格的數(shù)據(jù)保護條例之一。
• NIS?2?指令?[指令?(EU)?2022/2555?]于?2023?年生效，是歐盟范圍內(nèi)的網(wǎng)絡(luò)安全立法，取代和/或廢除了多項先前的網(wǎng)絡(luò)安全指令。

• MDR符合性評估對醫(yī)械網(wǎng)絡(luò)安全的要求

MDR，附錄I，條款號14.2（d）,17.2，17.4和18.8陳述了關(guān)于醫(yī)療器械網(wǎng)絡(luò)安全的基本要求：

• 醫(yī)械設(shè)計與研發(fā)階段：應盡可能地消除或減少軟件操作和交互的IT環(huán)境中，可能出現(xiàn)的負面交互風險；盡可能防止可能阻礙器械按預期運行的未經(jīng)授權(quán)的訪問。
• 對于包含軟件的器械或醫(yī)療軟件系統(tǒng)，在考慮開發(fā)質(zhì)量與進度的同時，仍需考慮開發(fā)生命周期中的風險管理，包括信息安全、驗證和確認的原則。
• 制造商應制定有關(guān)硬件的IT網(wǎng)絡(luò)特性和IT安全措施的最低要求，包括防止未經(jīng)授權(quán)的訪問以按照預期的軟件運行。
• ……

二、MDR符合性評估中需準備的網(wǎng)絡(luò)安全文件

根據(jù)MDR符合性評估要求，需準備的網(wǎng)絡(luò)安全文件或?qū)嵭邢嚓P(guān)措施有：

1、安全風險管理（Security?Risk?Management）：網(wǎng)絡(luò)安全風險分析和管理報告

2、安全能力（Security?Capabilities）：網(wǎng)絡(luò)安全風險控制措施

3、安全風險評估（Security?Risk?Assessment）：威脅建模報告

4、安全效益風險分析（Security?Benefit?Risk?Analysis）：安全效益風險分析報告

5、最低IT要求（Minimum?IT?Requirements）：醫(yī)療器械最低IT安全要求說明

6、驗證/驗證（Verification/Validation）：網(wǎng)絡(luò)安全測試報告

7、生命周期方面（Lifecycle?Aspects）：醫(yī)療器械生命周期安全控制措施

8、使用說明（Instructions?for?use）：醫(yī)療器械使用說明書

9、向醫(yī)療保健提供者提供的信息（Information?to?be?provided?to?healthcare?providers）：醫(yī)療器械安全使用說明書

10、上市后監(jiān)管與警戒（Post-Market?Surveillance?and?Vigilance）：上市后網(wǎng)絡(luò)安全監(jiān)管計劃

11、上市后監(jiān)管系統(tǒng)（Post-market?surveillance?system）：上市后監(jiān)管系統(tǒng)（PMS系統(tǒng)）

12、警戒制度（Vigilance）：安全事件糾正措施

MDR符合性評估醫(yī)械網(wǎng)絡(luò)安全咨詢與相關(guān)文件出具，可進一步咨詢：醫(yī)械網(wǎng)絡(luò)安全方案
?