2026-02-06 01:33:27 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： FDA发布2026版医疗器械网络安全指南，取代2025版，核心是纳入FDORA法案524B条款。新规强制要求网络设备提供SBOM、在设计阶段进行威胁建模并实施全生命周期风险管理。制造商需重新评估产品属性，强化软件供应链与透明度管理，确保符合ISO13485体系要求以应对合规审查。 综合评分： 88 文章分类： 政策法规,网络安全,安全建设,供应链安全,IoT安全

cover_image

【重磅】FDA医疗器械网络安全指南2026版发布，一文讲清变化

原创

专注医械网安专注医械网安

医械网络安全圈

2026年2月5日 16:27 天津

联系方式

微信交流备注：医疗器械

#

📌 一、核心变化概述

2026年2月3日发布的文档全面取代了2025年6月27日的版本，主要变化源于2022年12月29日通过的《食品和药品综合改革法案》(FDORA)第3305条，于2023年3月29日生效的Section 524B”确保医疗器械网络安全”。

📌 二、新增强制要求

1. Section 524B of the FD&C Act的全面纳入（核心变化）

“Cyber device”明确定义（Section VII.B）：

“cyber device” means a device that “(1) includes software validated, installed, or authorized by the sponsor as a device or in a device; (2) has the ability to connect to the internet; and (3) contains any such technological characteristics validated, installed, or authorized by the sponsor that could be vulnerable to cybersecurity threats”

强制提交要求（Section VII.C）：
计划和程序（Section 524B(b)(1)）
设计、开发和维护流程（Section 524B(b)(2)）
软件物料清单(SBOM)（Section 524B(b)(3)）
新增强制要求
修改要求（Section 524B(b)(4)）

2. 软件物料清单(SBOM)强制要求

2026年版本明确要求提供SBOM，而2025年版本仅是建议
SBOM必须包含：
软件支持级别（如”活跃维护”、”不再维护”、”已放弃”）
软件组件结束支持日期
与NTIA 2021年《软件组件透明度》文档一致的最小元素
对于”cyber devices”，SBOM是强制要求（Section VII.C.3）

3. 总产品生命周期(TPLC)安全风险管理强化

2026年版本强调：安全风险管理应贯穿整个产品生命周期
新增要求：
在设计阶段进行威胁建模
持续更新安全风险评估文档
对已识别漏洞进行跟踪和管理
2025年版本未强调TPLC的持续性

📌 三、安全风险评估要求更新

1. 威胁建模要求（V.A.1）

2026年版本：
明确要求在设计过程中进行威胁建模
威胁模型应”包括医疗设备系统中所有元素”
需”识别医疗设备系统风险和缓解措施”
需”说明对医疗设备系统或使用环境的任何假设”
2025年版本：仅一般性提及威胁建模，未要求在设计过程中实施

2. 安全风险评估方法（V.A.2）

2026年版本：
明确指出”网络安全风险评估关注可利用性，而不是可能性”
要求提供”预-和后缓解的风险评分方法和接受标准”
强调”已知漏洞应作为可预见风险进行评估”
2025年版本：未明确区分安全风险评估与安全风险评估的方法论

3. 未解决异常的安全评估（V.A.5）

2026年版本：
明确要求对”未解决异常”进行安全评估
需评估”异常对设备安全和有效性的影响”
需提供”安全和安全风险控制的详细说明”
2025年版本：仅一般性提及软件异常

📌 四、第三方软件组件管理强化

1. 软件物料清单(SBOM)作为关键工具

2026年版本：
明确将SBOM作为”管理软件堆栈中网络安全风险的关键工具”
要求SBOM”包括设备制造商开发的组件和第三方组件”
要求SBOM”定期更新以反映市场设备中软件的任何变化”
2025年版本：未将SBOM作为强制要求

2. 软件供应链风险管理

2026年版本：
强调”软件供应链风险管理是安全风险评估的重要组成部分”
要求”在设计和开发文件中记录软件供应链风险评估”
要求”提供第三方软件组件的更新或替换计划”
2025年版本：仅一般性提及第三方软件

📌 五、文档结构与内容更新

1. 新增Section VII：Cyber Devices

2026年版本新增了专门章节，详细说明”cyber device”的定义和要求
2025年版本无此专门章节

2. 附录更新

Appendix 1：更新了安全控制类别和推荐，增加了更多具体示例
Appendix 2：更新了安全架构流提交文档的详细要求
Appendix 3：新增了关于研究设备豁免(IDE)的特定要求
Appendix 4：更新了提交文档元素与风险的匹配关系
Appendix 5：更新了术语定义

3. 透明度要求强化

2026年版本：
强调设备标签需要包含”足够的信息来解释如何安全配置或更新设备”
明确要求”提供设备网络安全控制、潜在风险和相关信息”
强调”缺乏网络安全信息可能影响设备的安全性和有效性”
2025年版本：仅一般性提及透明度

📌 六、其他重要更新

与ISO 13485:2016的一致性：

2026年版本更明确地将网络安全整合到ISO 13485要求中
明确指出”ISO 13485, incorporated into the QMSR by reference, incorporates risk management throughout its requirements”

安全产品开发框架(SPDF)的强化：

2026年版本更强调SPDF作为满足QMSR的一种方式
明确指出”SPDF是帮助满足QMSR的一种方法，但其他方法也可能满足QMSR”

安全架构要求：

2026年版本要求更详细的安全架构文档
明确要求提供”安全架构视图”的详细信息

📌 七、总结：2026年版本的关键新增要求

| 新增要求 | 2025年版本 | 2026年版本 | 重要性 | | — | — | — | — | | ISO 13485 体系要求 | ❌ | ✅ | ⭐⭐⭐⭐⭐ | | SBOM强制要求 | ❌ | ✅ | ⭐⭐⭐⭐⭐ | | TPLC安全风险管理 | ⭐ | ⭐⭐⭐ | ⭐⭐⭐⭐ | | 威胁建模在设计过程中实施 | ⭐ | ⭐⭐⭐ | ⭐⭐⭐ | | 未解决异常的安全评估 | ⭐ | ⭐⭐⭐ | ⭐⭐⭐ | | 软件供应链风险管理 | ⭐ | ⭐⭐⭐ | ⭐⭐⭐ | | 详细安全架构文档要求 | ⭐ | ⭐⭐⭐ | ⭐⭐⭐ |

📌 八、对医疗器械制造商的关键影响

必须重新评估设备是否属于”cyber device”，因为这将决定是否需要提交SBOM
所有新设备提交必须包含SBOM，特别是对于”cyber devices”
安全风险管理必须贯穿整个产品生命周期，而不仅是上市前
设计阶段必须进行威胁建模，不能等到上市后
必须建立软件供应链风险管理流程，包括第三方软件组件

2026年2月3日的文档代表了FDA对医疗器械网络安全要求的重大升级，特别是将Section 524B的要求正式纳入提交要求，这将对医疗器械制造商的网络安全实践产生深远影响。制造商应尽快评估其产品组合，确定哪些设备属于”cyber device”，并强制SBOM和其他相关文档。

Tips

笔者从2022版草案开始就注重整套递交资料的编写和研究，积累了丰富的注册审查经验，首次递交的网络安全审查资料在中美欧等国家和地区保持零发补，对发补解决的解决也都做到了一次性关闭。主要的策略是深度理解导则要求+掌握网络安全目前主流技术，对导则的要求精准解读，完成符合要求的文档内容，在2022草案解读已经符合了目前2026版要求的内容。欢迎探讨交流。

往期推荐:

【万字长文】IEC 81001-5-1全网最全解读与实践（1）

【万字长文】IEC 81001-5-1全网最全解读与实践（2）

【重要】FDA对CVSS 提出过渡要求

【知识讲解】主要国家/地区医疗器械网络安全注册审查要求

【知识讲解】连载：医疗器械网络安全基本概念

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：医械网络安全圈专注医械网安专注医械网安《【重磅】FDA医疗器械网络安全指南2026版发布，一文讲清变化》