解密 524B：掌握 2026 FDA 資安新制的法律核心

2026年2月3日，FDA 發布了熱騰騰的《Cybersecurity in Medical Devices: Quality Management System Considerations and Content of Premarket Submissions》。

這份文件不僅因應FDA品質管理系統法規(QMSR)，更重要的任務是：完整落實《FD&C Act》中的524B條款。

什麼是 FDORA 524B？

FDORA(Food and Drug Omnibus Reform Act of 2022)是對美國現行《聯邦食品、藥品和化妝品法案》(FD&C Act)的關鍵性修訂案，賦予了FDA法律授權，首次以法律條文明確規定醫療器材的資安責任。

其中，524B條款明確規定：任何符合網路設備(Cyber Device)定義的產品，必須滿足特定的網路安全要求，如果醫療器材商未能提供相關資料，FDA 可能會根據「拒絕受理」(Refuse to Accept, RTA)政策，對其進行審查前拒絕受理的處理。

什麼算是Cyber Device?

FD&C Act 第 524B 條款對於Cyber Device定義如下，只要您的設備符合以下三大特徵，就必須強制執行最嚴格的資安合規：

1. 包含軟體：不論是嵌入式軟體(Firmware)、韌體，或是獨立的醫療軟體(SaMD)。

2. 具備連接能力：具有連接網際網路的能力，或具備可連網的物理接口(如 WiFi、藍牙、Ethernet、甚至是供數據交換用的 USB)。

3. 易受攻擊性：軟體或連網功能可能受到網路威脅，進而影響設備的安全性與有效性。

524B 條款下的三大核心法律義務

為了符合 524B，製造商必須做到以下三件事：

1. 建立漏洞監測與修補計畫(Vulnerability Monitoring Plan)

製造商必須證明自己有能力監控、識別並處理產品上市後出現的資安漏洞。也就是建立漏洞監測與修補計畫，524B要求製造商提交正式計畫，說明上市後如何：

• 主動監測新發現的漏洞。

• 及時發布安全更新與補丁。

• 披露重大漏洞給相關使用者：特別是如何揭露與通知，相當重要。

2. 提供「合理的資安保證」(Reasonable Assurance of Cybersecurity)

524B 要求製造商提供合理的保證來證明設備是安全的。具體化為 SPDF(Secure Product Development Framework)的落實。製造商必須提交：

• 威脅建模(Threat Modeling)：一份詳盡的攻擊路徑分析，用以證明開發團隊已預判潛在威脅，並在設計階段佈署了相應的防禦對策。

• 安全目標設計：明確說明設備如何達成真實性（Authenticity）、授權控制（Authorization）及可用性（Availability）等關鍵安全維度，確保設備在受威脅環境中仍能穩定運作。

3. 軟體清單的透明化 (The SBOM)

這是 524B 最具代表性的要求。製造商必須提交 SBOM(Software Bill of Materials)，詳列產品中每一個組件(包含開源碼與第三方軟體)。這就像食品的成分表，一旦某個組件(如Log4j)出事，監管機構與醫療機構能立即定位受影響的設備。

2026 年改版：524B × QMSR 的全面整合

為什麼 2026 年的改版如此重要？

因為這次更新將524B的法律要求，與最新的品質管理系統法規 (QMSR) 進行了綁定。

• 資安即品質：524B 的要求現在被視為 QMS 設計控制的一部分。

• 法規調和：配合 2026 年生效的 QMSR，資安風險管理正式併入醫療器材風險管理範疇。