欧盟医疗器械CE认证有关网络安全的指导原则：MDCG2019-16 医疗器械网络安全指导原则

医疗器械协调工作组（MDCG）前期发布了“医疗器械信息安全指南, 2019年12月”。该指南不具有法律约束力，但公告机构必须遵循。这意味着您作为制造商也需要遵循。不幸的是，该指南并未就如何处理该问题提出明确的框架，而是概述了也可在其他资源中找到的要求和方法，例如：

uISO /IEC 80001-1风险管理在包含医疗器械的IT网络中的应用

uIEC /TR 80001-2-2风险管理在包含医疗器械的IT网络中的应用第2-2部分：医疗器械安保需求、风险和控制的披露和沟通指南。

uAAMITIR 57医疗器械安保原则-风险管理

MDCG指南把MDR一般安全和性能要求（GSPR）关联了起来。介绍了深度防御，良好网络安全防范 （FDA指导中的基本安全防范）以及网络安全风险与产品安全风险之间的关系这样一些概念。

还引入可用性工程与网络安全之间的联系：脆弱性被视为合理可预见的滥用的促成因素。

MDCG指南提出了6个最佳实践，主要使用了ISO 13485和IEC 62304中的设计和维护过程中步骤：

1 管理上的安全

-ISO13485 4.1，用于安全风险管理过程；

-IEC62304 5.1：软件开发计划；

-IEC62304 6.1：软件维护

2 安全要求规范

-IEC62304 5.2：软件需求分析 

3 通过设计确保安全，包括深度防御

-IEC62304 5.3：软件体系结构；

4安全实施

-IEC62304 5.4：软件详细设计；

-IEC62304 5.5：软件实施和单元验证；

-以及SOUP管理的正确性

5安全验证和确认

-IEC62304 5.6：软件集成测试；

-IEC62304 5.7：软件系统验证； 

6安全相关问题的管理

-IEC62304 6.2：问题和修改分析；

-IEC62304 9：问题解决

7安全更新管理

-IEC 623046.3：修改实施；

-IEC62304 8.2：变更控制；

8 安全准则

-5.8软件发布；

-以及软件文档，请参阅IEC 82304-1第7节。

指南也提到验证与确认 

安全验证和确认测试的主要手段还是测试，方法可以包括安全功能测试、模糊测试，漏洞扫描和渗透测试。额外的安全测试可以通过使用安全的代码分析工具和工具,扫描开放源代码和库中使用的产品,确定组件与已知问题。 

指南也描述了关于说明书，PMS和警戒等内容。

IMDRF就医疗器械网络安全发布的官方指南——《医疗器械网络安全原则与实践》（Principles and Practicesfor Medical DeviceCybersecurity），这个在全球监管协调方面具有重要且特别的意义。