美国FDA重新发布数码安全指导文件以配合QMSR要求

美国FDA在完成从质量体系法规（the Quality System Regulation，QSR）向质量管理体系法规（the Quality System Management Regulation，QMSR）的过渡后，近期再次发布了一份关于医疗器械数码安全质量体系管理考量的最终指导文件（指导文件原文地址：https://www.fda.gov/media/119933/download）。该文件于2026年2月3日正式发布，旨在与新的QMSR要求保持一致。

此次更新将《美国联邦法规》（the Code of Federal Regulations，CFR）第21编第820部分（21 CFR part 820）中对QSR的引用替换为对QMSR的引用，并更具体地引用了国际标准化组织（the International Standards Organization，ISO）的ISO 13485标准。FDA在从QSR过渡到QMSR两天后发布了这份指导文件，QMSR主要依赖ISO 13485标准，以实现与全球其他监管机构在质量体系法规上的协调。

该文件向行业提供了FDA关于具有数码安全（Cybersecurity）风险的医疗器械在设计、标签以及上市前申报材料中应包含文件的建议。这些建议旨在促进一致性、提高上市前审查效率，并帮助确保已上市的医疗器械对数码安全威胁具备足够弹性。同时，文件还说明了FDA对《联邦食品、药品和化妆品法案（FD&C Act）》第524B节（即涉及数码安全器械的条款）的建议。本指导文件取代了2025年6月27日发布的旧版最终指导文件《医疗器械中的数码安全：质量体系注意事项及上市前申报材料内容（Guidance for Industry and Food and Drug Administration Staff: Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions）》。

FDA解释称，此次修订依据二级指导程序（21 CFR 10.115(g)(4)）进行，以配合21 CFR 820部分向QMSR的更新。在新指导文件中，FDA指引注册申请方参考QMSR而非过去的QSR，并指出质量管理体系要求可在QMSR（即21 CFR第820部分）中找到。此外，更新后的法规在整个指导文件中均引用ISO 13485标准。

FDA表示，本文件旨在说明如何利用符合QMSR的文档输出来解决数码安全问题，从而为器械的安全性和有效性提供合理保证，并引导注册申请方参考ISO 13485的具体条款。例如，21 CFR 820.10(c)要求所有包含软件自动化的器械类别制造商必须遵守ISO 13485第7.3条及其子条款关于设计与开发的要求。作为设计与开发的一部分，设计与开发确认应依据已策划并记录的安排执行，以确保产品满足规定应用或预期用途的要求（子条款7.3.7），且确认包括器械软件的确认。同时，ISO 13485第7.1子条款规定组织需为产品实现记录风险管理过程。

在安全控制实施方面，FDA删除了原指导文件中涉及制造商确保产品适宜性的大段法规引用内容。旧版内容曾引用21 CFR 820.30(c)和(d)，要求制造商建立程序以确保设计要求适宜并满足预期用途，以及定义和记录设计输出。这些内容现已移除。

尽管新指导文件已定稿，FDA仍通过网站www.regulations.gov在案号FDA-D-1158下接受利益相关方的意见。