欧盟MDR法规对医疗器械网络安全都有哪些要求？

一、关于欧盟CE认证的医械网络安全要求参考文件

MDR 附件一列出了针对具有网络安全风险的设备的一般安全和性能要求 (GSPR)，特别是“包含本身就是设备的电子可编程系统和软件的设备”。

医疗器械协调组 (MDCG) 于 2020 年发布了一份指南，为制造商履行附件 I 中与网络安全相关的 GSPR 提供了路线图。该指南解决了上市前和上市后的网络安全要求，并扩展了有关软件设备设计和风险评估的 MDR 语言，其中包括若干协调国际网络安全建议的技术文件。

其他需要遵守 MDR 之外的网络和数据特定法规也应告知您的网络安全活动：

• 《通用数据保护条例》[条例 (EU) 2016/679] (GDPR)，是针对居住在欧盟的个人的个人数据现行的最严格的数据保护条例之一。
• NIS 2 指令 [指令 (EU) 2022/2555 ]于 2023 年生效，是欧盟范围内的网络安全立法，取代和/或废除了多项先前的网络安全指令。

• MDR符合性评估对医械网络安全的要求

MDR，附录I，条款号14.2（d）,17.2，17.4和18.8陈述了关于医疗器械网络安全的基本要求：

• 医械设计与研发阶段：应尽可能地消除或减少软件操作和交互的IT环境中，可能出现的负面交互风险；尽可能防止可能阻碍器械按预期运行的未经授权的访问。
• 对于包含软件的器械或医疗软件系统，在考虑开发质量与进度的同时，仍需考虑开发生命周期中的风险管理，包括信息安全、验证和确认的原则。
• 制造商应制定有关硬件的IT网络特性和IT安全措施的最低要求，包括防止未经授权的访问以按照预期的软件运行。
• ……

二、MDR符合性评估中需准备的网络安全文件

根据MDR符合性评估要求，需准备的网络安全文件或实行相关措施有：

1、安全风险管理（Security Risk Management）：网络安全风险分析和管理报告

2、安全能力（Security Capabilities）：网络安全风险控制措施

3、安全风险评估（Security Risk Assessment）：威胁建模报告

4、安全效益风险分析（Security Benefit Risk Analysis）：安全效益风险分析报告

5、最低IT要求（Minimum IT Requirements）：医疗器械最低IT安全要求说明

6、验证/验证（Verification/Validation）：网络安全测试报告

7、生命周期方面（Lifecycle Aspects）：医疗器械生命周期安全控制措施

8、使用说明（Instructions for use）：医疗器械使用说明书

9、向医疗保健提供者提供的信息（Information to be provided to healthcare providers）：医疗器械安全使用说明书

10、上市后监管与警戒（Post-Market Surveillance and Vigilance）：上市后网络安全监管计划

11、上市后监管系统（Post-market surveillance system）：上市后监管系统（PMS系统）

12、警戒制度（Vigilance）：安全事件纠正措施

MDR符合性评估医械网络安全咨询与相关文件出具，可进一步咨询：医械网络安全方案