美国FDA曾因多种网络安全原因拒绝过申请：

- 未能展示和记录网络安全实践，如风险分析或缺少对低风险/无风险结论的证实。

- 在各种网络安全活动中缺乏可追溯性，例如，未能提供证据证明已确立安全要求、考虑威胁、识别漏洞、评估风险、实施控制，并通过证据（如测试）证明风险已得到有效缓解。

- 缺少软件网络安全实践的技术证据（审查、日志、工具输出）。

- 缺少对可能构成网络风险的关键架构组件的评估，如与通信渠道相关的风险、对安全性和有效性影响的评估，以及如何考虑和降低这些风险的演示。未能证明如何在器械上市后保持器械的安全状态，例如，评估定期更新、通信和分发需求的流程，以及现场更新的有记录和安全的流程。

欧盟公告机构已开始以网络安全为由拒绝市场批准申请：

- 缺少员工网络安全专业知识资格证明。

- 缺少网络安全文件。

- 质量管理体系中缺少网络安全流程。

- 缺少渗透测试证据。

- 缺少对特定接口（如 USB、BLE）的考虑。

- 缺少网络安全风险分析。

- 缺少上市后监管活动，例如，搜索公共数据库中已知的第三方漏洞；缺少补丁管理或补丁管理不足。

- 缺少如何将遗留器械（在没有安全生命周期流程的情况下发布）提升到安全状态或如何执行上市后管理的流程。

本文由广州佳誉医疗器械有限公司/佛山浩扬医疗器械有限公司联合编辑