背景概述：2022 年 1 月，欧盟在官方公报上悄悄贴出一纸授权法案——2022/30/EU。它把“网络安全”正式塞进《无线电设备指令》的三条小节（3.3(d)(e)(f)），并给制造商留了 42 个月的“改装期”。2025 年 1 月 30 日，欧盟再发公报 (EU) 2025/138，把 EN 18031 系列标准扶正为“协调标准”。8 月 1 日起，任何带无线功能的终端要想贴上 CE 标志，必须先通过 EN 18031 的三重试炼——网络不崩、隐私不漏、钱包不丢。一句话，8 月之前是加分项，8 月之后是生死关。信息来源：欧盟官方公报 OJEU 2025/138、UL Solutions、ENCS、立祥检测、Nem

医疗器械FDA注册网络安全要求中，SBOM（软件物料清单）及其相关信息已成为eSTAR提交中又一“高频发补雷区”！如何在首次提交就避开SBOM相关的审评“深坑”，确保高效合规？本文将系统拆解eSTAR对SBOM的核心提交要点，并深度剖析审评中常见的发补问题与避坑策略。助力您一次过关！

双报背景与核心挑战一、监管定位不同FDA：依赖联邦法规与专项指南（如2025年《医疗器械网络安全：质量体系考虑和上市前提交内容指南》），强调网络安全是设备安全性的组成部分，需在上市前提交中独立呈现。欧盟MDR：依据MDR附件一中的“一般安全与性能要求”（GSPR），网络安全被整合到技术文档中，由公告机构（Notified Body）审查是否符合GSPR。监管主要差异项目 FDA MDR指南 官方法规性指南（如2025最新版网络安全指南） 多由MDCG/EN标准/协调文件组成关注焦点 网络安全作为“质量体系+上市前评估”并重 网络安全被纳入“基本安全与性能

“威胁建模识别出11条高危攻击路径，SBOM溯源发现7个关键组件存在未修复漏洞——这些必须申报的‘未解决异常’（Unresolved Anomalies），如何向FDA证明其残余风险可控？”在eSTAR网络安全提交中，基于威胁的风险评估（Threat-based Risk Assessment）与SBOM（软件物料清单）的交叉验证，是界定未解决异常的核心依据。在eSTAR实践中，该项内容已成为网络安全模块的高频发补点。eSTAR提交要求：FDA guidance document Content of Premarket Submissions for Device Software Functions recommends that device manufacturers provide a lis

2025年6月27日，FDA发布最新《医疗器械网络安全：质量体系考虑因素和上市前提交内容》指南，新指南强调风险管理报告的重要性，同时器械制造商需通过SPDF框架来确保设备安全并保护患者数据。同时在最新版的eSTAR（新旧版本此处提交内容和要求未发生改变）的Risk Management - Report提交要求中指出，安全风险管理报告应包含如下内容：①　与网络安全风险相关的风险分析、缓解措施以及设计考量因素。②　一份关于安全风险与安全控制措施之间对应关系的矩阵表。③　对已记录的安全控制措施的验证报告的可追溯性检查。④　关于安全更新/补丁的

2025年6月27日，FDA发布最新《医疗器械网络安全：质量体系考虑因素和上市前提交内容》指南，新指南强调网络安全风险管理的重要性，在整个风险管理过程中，FDA建议使用威胁建模来为整个风险分析活动提供信息和支持，V.A.2章节Cybersecurity Risk Assessment风险评估中也明确建议风险评估应涵盖从威胁模型中得出的风险及相应的控制措施。最新版的eSTAR（新旧版本此处提交内容和要求未发生改变）中也将Threat Model作为必须提交的内容，威胁建模已成为必需内容。相关提交实务如下图所示：威胁建模要求如下：①　确定医疗器械系统风险和缓解措

2025年6月27日，FDA发布最新《医疗器械网络安全：质量体系考虑因素和上市前提交内容》指南，取代2023年版本，合规要求再升级！从数十个成功案例中，我们总结出FDA发补重点判断技巧，助你高效应对：（基于2025年最新指南及eSTAR提交实战经验）1. 明确缺项型句式特征：You provided XXXXX documentation; however, you did not provide...应对策略： 直接对照指南原文（通常紧跟在此类表述后）补充缺失文件和内容 典型场景:缺少SBOM、未提交未解决异常清单、缺少风险评估。发补案例:案例说明：红色部分为本发补点的缺项描述