Team-NB欧洲公告机构协会在信中表达了其成员对提升欧洲医疗器械网络安全所做努力的观点、修改MDR/IVDR法规的提案。
Team-NB对MDR/IVDR法规中提议的变更表示欢迎,变更通过加入ENISA(MDR第87a条提议)弥补网络安全监管方面的缺漏,并由此加强GSPR的明确性(MDR附录I,17.4)。然而,事关医疗器械可用性和患者安全的决策必须被确保依旧由MDR/IVDR法规创立并定义的治理机构负责,以此同时ENISA 将获得对网络安全事件和跨部门网络安全活动全方位的监督权。
Team-NB也同样承认修订监管指南和标准的必要性,如MDCG网络安全工作组负责人在2025年由波兰发起的草案报告中所述,尤其是Team-NB认为MDCG 2019-16修订版1《医疗器械网络安全指南》将从更新中获益。Team-NB还期望制定统一的医疗器械网络安全标准,从而极大简化相关的合规工作,该标准将允许推定满足Team-NB监管框架,更便于全部参与者(尤其是医疗技术领域的中小企业)的合规。具体而言,Team-NB认为IEC 81001-5-1《健康软件和健康信息技术系统的安全性、有效性与保障》可作为统一标准的基础,Team-NB愿意全力支持所有能在最新指南和标准中充分反映网络安全当前技术水平state-of-the-art的活动。
然而,针对MDR和IVDR法规纳入更细化网络安全要求这一意图,Team-NB表示关注。作为《新立法框架》(NLF)的组成,两项法规旨在通过协调标准、通用规范、监管指南以适应创新与环境变化。以“硬”法为基础的技术条款妨碍创新,如之前所示(欧盟血液、细胞和组织的指令在某种程度上阻碍了该领域创新)。指导和标准在具备充分证明时允许偏离,例如:针对特定使用案例的更优或更适合的解决方案时。然而,其确实提高了不同成员国、公告机构、医疗器械软件(MDSW)开发者之间的协调性。Team-NB担心在网络安全(以及所有其他技术或科学问题)上僵化的法规,将在不提升甚至可能削弱网络安全的情况下,显著减少创新医疗器械在欧洲患者中的可及性。
同样地,若将《网络弹性法案》(CRA)所提供的框架延伸至覆盖医疗器械,其对网络安全的改善也只是渐进式,但行政负担却会不成比例地过度加重。医疗器械软件领域发生此类额外的治理重叠,很可能造成中小企业进一步减少在欧洲市场的参与度,进而减少制造商之间的良性竞争以及患者和从业人员对医疗器械的可及性。Team-NB认为,正如欧洲委员会在其MDR和IVDR修订草案中所提出的,在监管框架之间开展交流和互通是更可行且令人满意的解决方案。
Team-NB还希望强调,当前技术水平(SOTA)绝非模糊或不精确的基准,即使Team-NB理解对不熟悉医疗器械监管合规的人而言其可能造成此种印象。SOTA 基于欧盟《蓝皮书》,因此对根据新立法框架(NLF)制定的欧洲产品法规(包括MDR和IVDR)具有基础与根本性,其反映了当前的技术能力或临床实践,并基于科学、技术和实际考量的综合性见解。选择该原则用于医疗器械监管,是因为其能够适应创新周期,而不会使法规明显滞后。网络安全意味着防御者与外部攻击者之间的永无止境的竞争,将导致非常动态的创新周期。因此,SOTA 作为原则对网络安全的意义甚至可能比动态性较弱的领域(如临床实践)更为重要,因为网络安全绝不可能只是简单符合法规要求,而必须被设计和实施为持续性过程。
总之,Team-NB欢迎基于指导方针和统一标准的欧洲医疗器械网络安全框架修订和发展,对法规中设置过于详细的技术要求持谨慎态度,因为前述要求的更新速度无法赶上立法者的修订速度。“技术先进性”原则应继续作为该领域及医疗器械开发与合规的其他所有方面的指导原则。Team-NB认为欧洲委员会在其MDR和IVDR修订草案中提出的调整足够实现通用网络安全与医疗器械监管框架之间的互通。
热门跟贴