以下内容是小欧初步梳理的草案指南的核心要点概括，供学习参考。

FDA在FD&C Act 524B(c)中对cyber device给出了定义，概括为以下3个要点：

(1) 包括由赞助商验证、安装或授权的软件，作为设备或在设备中;

(2)具备连接到互联网的能力;

(3) 包含任何经申请人或发起人确认、安装或授权的可能容易受到网络安全威胁的技术特征。

FDA认为包含以下任何功能的设备具有连接互联网的能力，例如：

· Wi-Fi或蜂窝网络

· 网络、服务器或云服务提供商连接

· 蓝牙或低功率蓝牙

· 射频通信

· 感应通信

· 能够连接到互联网的硬件连接器（例如，USB，以太网，串行端口）

（以上的列表是说明性的，并非详尽无遗）

FD&C法案下的524B(a)条规定，通过以下途径提交上市前申请的制造商，510(k)、上市前批准申请(PMA)、产品开发协议(PDP)、De Novo或人道主义设备豁免(HDE)提交的人员必须提交信息，以确保网络设备符合《FD&C法案》第524B(b)条所规定的网络安全要求。

1.计划及程序(第524B条(b)(1)条)

《FD&C法案》第524B(b)(1)条要求网络设备制造商在其上市前提交的文件中向FDA提交“在合理时间内监测、识别和适当解决上市后网络安全漏洞和漏洞利用的计划，包括协调漏洞披露和相关程序”。

计划及程序的内容要求：

1)参考2023.9的网络安全指南Section VI.B中Cybersecurity Management Plan的要求；

2）FDA认为协调漏洞披露(CVD)和相关程序可以包括:

   · 由外部机构识别的协调披露的漏洞(包括第三方软件供应商和研究人员）

   · 由器械制造商识别的披露的漏洞

   · 执行漏洞披露的制造商程序

3）描述时间表，以及相关的理由，以开发和发布所需的更新和补丁：

    · FD&C法案第524B(b)(2)(A)条要求网络设备制造商在合理的常规周期内对已知的不可接受的漏洞进行更新和修补。

   ·《FD&C法案》第524B(b)(2)(b)条要求网络设备制造商为设备和相关系统提供可用更新和补丁，以尽快解决可能超出周期的、可能导致无法控制风险的关键漏洞。

4）对计划、程序以及在整个产品生命周期识别的已知的新风险、威胁、漏洞、资产或不利影响的新信息，进行合适的定期更新。

2.设计、开发和维护流程和程序以提供合理的网络安全保证(第524B(b)(2)条)

网络设备制造商必须“设计、开发和维护流程和程序，以提供设备和相关系统网络安全的合理保证……”《FD&C法》524B(b)(2)条)。FDA认为相关系统包括制造商控制的元素，如其他设备，执行FDA指南“多功能设备产品: 政策和考虑”中描述的“其他功能”的软件，15软件/周件更新服务器，以及与医疗保健设施网络的连接。应考虑并使用上市前网络安全指南中确定并在该指南附录4中总结的文档建议，以证明设备和相关系统符合FD&C法案第524B(b)(2)条要求的网络安全的合理保证。

3.软件物料清单(SBOM)(第524B(b)(3)条)

FD&C Act Section 524B(b)(3)要求 cyber devices的制造商提供SBOM, 包括商用、开源和现成的软件组件。为协助遵守此要求，我们建议网络设备提供包含《上市前网络安全指南》第V.A.4(b)条所建议信息的soms。

依据法规，当器械发生变更需要进行上市前递交时，是需要符合网络安全法规要求，递交资料的不同根据变化的类型而不同，需要评估这种变化是否会影响该器械的网络安全。

1.可能影响网络安全的变更

一般来说，可能影响网络安全的变化可能包括对身份验证或加密算法，新的连接特性，或不断变化的软件更新等。对于这种类型的变更，请参见章节1C。，以获取每次上市前提交的所需和推荐文件(参见FD&C法案第524B节)。

2.可能不影响网络安全的变更

一般来说，不太可能影响网络安全的变化可能包括重大变化、灭菌方法，或更改算法而不更改架构/软件的算法变更等。对于这类变更在草案指南中给出了相关的文档建议，需要结合实际情况予以分析。

对于网络安全的要求，以上指南目前是草案阶段，如有涉及到网络安全功能的制造商需要提前考虑和跟踪相关的要求，以便及时符合。