自2023年9月发布医疗器械网络安全最终指南，到2025年6月进行版本迭代，再到如今—— 2026年2月，美国医疗器械监管体系经历了一场历史性的变革。随着FDA最终规则的生效，实施了数十年的质量体系法规（Quality System Regulation, QSR, 21CFRPart820）正式转型为质量管理体系法规（Quality Management System Regulation, QMSR）。这一变革的核心在于将美国联邦法规与国际公认的ISO 13485:2016标准进行全面协调 。紧随其后，FDA于2026年2月3日发布了更新后的指南文件《医疗器械网络安全：质量管理体系考量与上市前提交内容》该文件取代了2025年6月27日发布的旧版指南 。

第一部分：监管格局的宏观转变

1.1 QSR 到QMSR 的历史性跨越

在过去近三十年中，美国医疗器械制造商一直遵循21 CFR Part 820（QSR）的规定。这套法规虽然严谨，但与全球通用的ISO 13485 标准存在差异，导致跨国企业必须维护两套并行的质量体系。2024年2月2日，FDA发布最终规则，修订Part 820 以引用ISO 13485:2016，从而建立了QMSR 。该规则于2026年2月2日正式生效 。

2026版网络安全指南的发布时间（2026年2月3日）紧随QMSR生效日之后，这绝非巧合，而是为了确保FDA的指导性文件与现行法律框架保持一致 。对于行业观察者来说，这意味着2025版指南在生效仅7个月后即被废止，其主要原因并非技术要求的过时，而是其引用的法律基础（QSR）已被QMSR取代。

第二部分：通用原则与核心定义的重构

2.1 网络安全作为QMSR 的一部分

在2025版指南中，第四章标题为“网络安全是器械安全和质量体系法规的一部分”（Cybersecurity is Part of Device Safety and the Quality System Regulation） 。而在2026版指南中，这一标题被修订为“网络安全是器械安全和质量管理体系法规的一部分Cybersecurity is Part of Device Safety and the Quality Management System RegulationA(QMSR)” 。

这一修订不仅仅是术语的替换，它标志着FDA监管视角的转移。

QSR视角(2025)：侧重于特定的合规性检查点，如“设计控制”（Design Controls）。

QMSR视角(2026)：侧重于系统的整体性和过程方法。指南明确指出，根据QMSR（21 CFR 820.10(c)），制造商必须遵守ISO 13485 第7.3条及其子条款的要求 。

这种转变意味着，FDA不再仅仅关注制造商是否完成了一个名为“网络安全风险分析”的步骤，而是关注网络安全是否被整合到了整个产品实现（Product Realization）的策划中。

2.2 安全产品开发框架(SPDF) 的法规定位

两个版本的指南都强烈推荐使用“安全产品开发框架”（SPDF）来管理全生命周期的网络安全风险。SPDF被定义为一组流程，旨在减少产品生命周期中漏洞的数量和严重程度 。

然而，实施SPDF的法规理由发生了变化：

2025版：SPDF 是满足21CFR820.30（设计控制）要求的一种方式。

2026版：SPDF是满足QMSR要求的一种方式，特别是为了符合ISO13485 第7.1条（产品实现的策划）和第7.3条（设计和开发） 。

ISO 13485 第7.1条要求组织在产品实现的全过程中建立风险管理过程。这意味着网络安全活动不能仅局限于研发部门（Design and Development），它必须延伸到生产、安装和服务等所有产品实现阶段。SPDF因此从一个“最佳实践的设计工具”升级为“满足ISO 13485风险管理要求的核心机制”。

第三部分：条款级深度对比分析

3.1 安全风险管理(Security Risk Management)

这是指南中最核心的部分，规定了如何识别威胁和评估漏洞。

3.1.1 从820.30(g) 到ISO 13485 Clause 7.1

2025版指南原文逻辑：

"21 CFR Part 820 中的质量体系(QS) 法规在 21 CFR 820.30(g) 中明确涉及了风险管理活动。"

2026版指南原文逻辑：

"ISO 13485 的第7.1条规定，组织应在产品实现过程中记录一个或多个风险管理过程。"

变化分析：

旧模式(820.30(g))：风险分析在法律上被归类为“设计验证”（Design Validation）的一部分。这曾导致一种误区，即风险分析是在设计完成后，为了验证设计的安全性而进行的“事后检查”。

新模式(ISO 13485 7.1)：风险管理被置于“产品实现”（Product Realization）的顶层策划阶段。这意味着在画第一张设计图纸之前，风险管理流程就必须已经启动。

3.1.2 威胁建模与设计输入

威胁建模（Threat Modeling）在2026版指南中被更明确地关联到ISO13485 第7.3.3条（设计和开发输入） 。第7.3.3条明确要求输入必须包括“根据预期用途的功能、性能、可用性和安全要求”。

制造商在提交上市前申请时，应将威胁建模报告明确链接到ISO13485体系下的“设计输入”文档中。威胁建模识别出的每一个威胁，都应转化为一条具体的、可验证的设计输入要求（Security Requirement）。

3.2 第三方软件组件与供应链控制

随着SBOM成为法定要求，对第三方组件的管理成为监管重点。

3.2.1 从820.50 到ISO 13485 Clause 7.4

2025版引用：21 CFR 820.50（采购控制）。

2026版引用：ISO13485 第7.4 条（采购） 。

关键差异：

ISO 13485第7.4.1条要求建立选择、评价和重新评价供方的准则。更重要的是，第7.4.3条（采购产品的验证）要求组织实施检验或其他活动，以确保采购的产品满足规定的采购要求。

在网络安全中，这意味着制造商不能仅仅从供应商处获取一个开源组件就直接使用。根据第7.4.3 条，制造商必须对该组件进行“验证”。这为SBOM的使用提供了法规依据：SBOM不仅是清单，更是进行漏洞扫描（SCA）、已知漏洞排查等“采购产品验证活动”的基础工具。制造商必须证明其对第三方软件进行了充分的验证，而不仅仅是签署了采购协议。

3.3 安全架构与设计控制

3.3.1 设计输出与验证

2025版引用： 820.30(d)（设计输出）。

2026版引用：ISO 13485 第7.3.4条（设计和开发输出） 。

ISO 13485 第7.3.4条特别指出，设计输出应“包含或引用产品接收准则”。在网络安全架构视图中，这意味着每一个安全控制措施（如加密算法、认证机制）都必须有明确的“接收准则”（Acceptance Criteria）。在上市前提交中，FDA将审查这些架构视图是否能够作为设计输出，被后续的验证活动（7.3.6）所覆盖。

3.4 网络安全测试：验证与确认的分离

2025版引用：820.30(f)（验证）和820.30(g)（确认）。

2026版引用：ISO 13485第7.3.6条（设计和开发验证）和第7.3.7条（设计和开发确认） 。

表格：术语与法规依据的映射变化

FDA2026年医疗器械网络安全监管新格局

在旧法规下，风险分析常常被视为确认（Validation）的一部分。在ISO 13485框架下，风险管理是独立的（Clause 7.1），并且贯穿于验证和确认的全过程。制造商在提交资料时，应清晰区分“安全功能验证测试”（Security Verification Testing，如渗透测试、模糊测试）和“安全确认”（Security Validation，如涉及用户操作的安全可用性测试）。

第四部分：“网络设备”的特殊要求与QMSR的交集

尽管FD&C法案第524B条是独立的法律要求，但其执行细节在2026版指南中被重新锚定到了QMSR上。

4.1 合理保证(Reasonable Assurance) 的证明路径

第524B(b)(2) 条要求制造商提供网络安全的“合理保证”。在2026版指南中，这种“合理保证”被解释为通过符合ISO 13485第7.3条的设计和开发流程来实现 。

当FDA审查员评估一个设备是否具有“合理保证”时，他们实际上是在审核制造商是否完整执行了ISO 13485 的设计控制流程。如果制造商的文档结构仍然沿用旧的QSR 术语（如仅提及DHF 而非Design and Development File），可能会被视为不符合QMSR 的要求，进而影响对“合理保证”的判定。

4.2 上市后监控与纠正预防措施

第524B(b)(1) 条要求的上市后监控计划，在2026版指南中与ISO 13485第8章（测量、分析和改进） 建立了联系。

投诉处理：从820.198变为ISO 13485第8.2.2 条。

数据分析：强调ISO 13485第8.4条（数据分析）。制造商必须证明其有一个系统性的流程来收集和分析来自外部（如ISACs, CVE数据库）的安全数据，这不仅是安全要求，也是质量体系的数据分析要求。

改进：漏洞修复不仅仅是“补丁”，它属于ISO 13485第8.5条（改进） 的范畴，可能触发纠正措施（Corrective Action, 8.5.2）或预防措施（Preventive Action, 8.5.3）。

第五部分：文档与合规的战略调整

对于医疗器械制造商而言，这次更新不仅仅是更改引用的法规编号，更涉及到底层文档体系的重构。

5.1从DHF 到Design and Development File

2025版：要求建立设计历史文件（Design History File, DHF），依据820.30(j)。

2026版：要求建立设计和开发文档（Design and Development File），依据ISO 13485第7.3.10条 。

虽然两者内容相似，但ISO 13485的要求更强调对设计和开发过程的“记录”。在准备上市前提交（如510(k)）时，制造商应开始使用“Design and Development File”这一术语，以向FDA展示其QMSR合规性。

5.2 检查模式的彻底改变

2026版指南的背景是FDA检查模式的根本性变革。

QSIT 的终结：使用了数十年的“质量体系检查技术”（QSIT）指南随着QSR的废止而退役 。

新检查程序(7382.850)：FDA推出了新的检查合规程序CP7382.850 。这一新程序基于风险，并与ISO 13485的结构保持一致。

对网络安全的影响：在未来的工厂检查中，FDA 检查员将不再手持QSIT指南，而是依据ISO 13485条款进行检查。这意味着检查员可能会直接询问：“请展示你们根据第7.1条制定的网络安全风险管理策划文档”，或者“请展示你们根据第7.4.3 条对第三方软件组件进行的验证记录”。如果制造商的现场文档系统没有更新为ISO结构，将面临巨大的合规风险。

5.3 历史遗留文档的处理

对于在2026年2月2日之前设计和上市的设备，FDA并不要求回溯性地重新生成所有文档，但要求进行“比较分析”（Comparative Analysis） 。

制造商应编写一份“网络安全合规性映射表”，将旧的21CFR820文档（如基于820.30(g) 的风险分析）映射到新的ISO 13485条款上。这对于应对QMSR生效后的首次FDA检查至关重要。

总结

FDA 2026年发布的《医疗器械网络安全指南》不仅是对2025 版的更新，它是美国医疗器械监管体系与国际接轨的标志性产物。通过引入QMSR和ISO 13485，FDA实际上提升了对网络安全过程管理的要求——从关注“文档结果”转向关注“管理过程”。

对于行业从业者而言，理解这一变化不仅是为了应对2026年2月后的FDA检查，更是为了建立一个真正具有韧性、符合全球标准的医疗器械网络安全管理体系。本次法规更新的深度解读，应当成为每一个致力于医疗器械出海和合规的中国企业的必修课。

本文由广州佳誉医疗器械有限公司/佛山浩扬医疗器械有限公司联合编辑