2026年2月2日,美国食品药品监督管理局(FDA)正式实施质量体系法规(QMSR),标志着医疗器械质量体系监管进入与国际标准深度融合的新阶段,该法规修订了21 CFR Part 820的医疗器械现行良好生产规范(CGMP)要求,通过引用全面纳入ISO 13485:2016标准,实现与**主流监管框架的协同统一。紧随其后,FDA于2月3日快速发布两份网络安全相关指南的最终版本(其中CSV指南短期内从草案转为最终版),引发行业广泛关注。作为上一版本(2025年6月发布)仅时隔半年的修订版,此次更新绝非简单的“QSR”替换为“QMSR”,而是围绕QMSR落地、ISO 13485:2016衔接,对网络安全合规要求进行了多维度细化与优化。结合FDA官网法规原文及指南细节,本文详细对比两版指南差异,拆解核心合规要点,为医疗器械企业适配QMSR、规避注册风险提供指引。
一、发布背景与替代关系:锚定QMSR,衔接国际标准
两版指南的核心差异根源的在于发布背景的不同,均围绕FDA监管法规的迭代的展开,且存在明确的替代关系,符合FDA QMSR“ harmonize the FDA ’s CGMP regulatory framework with international standards ”的核心目标。
2025版指南于6月27日发布,为Level 1最终指南,核心背景是结合此前频发的医疗器械网络安全事件,更新上市前提交的网络安全文档要求,重点衔接FDORA法案524B条款的基础要求,彼时仍以旧版QSR(21 CFR Part 820)为核心合规依据。
2026版指南作为Level 2修订版,依据21 CFR 10.115(g)(4)修订程序发布,于2月3日正式生效并取代2025年6月版本。其核心修订背景是2024年2月FDA发布的QMSR最终规则于2026年2月2日正式落地,指南需全面衔接ISO 13485:2016标准,同步优化网络安全与质量体系的深度融合要求,这与QMSR“将ISO 13485:2016纳入官方参考、降低企业跨国合规成本”的核心导向高度一致。
二、核心合规依据:从旧版QSR到ISO 13485:2016的全面切换
这是2026版指南最关键的变更,核心是顺应QMSR实施要求,废止旧版21 CFR Part 820相关引用,全面对接ISO 13485:2016标准,实现质量体系与网络安全合规的协同统一,同时FDA明确ISO 13485要求与原QSR**水平相当,通过术语统一、概念对齐优化合规体验。
2025版指南基于旧版QSR,核心引用21 CFR 820系列条款,包括820.30(设计控制)、820.198(投诉处理)、820.22(质量审核)等,重点强调设计控制在网络安全中的应用;而2026版指南则将所有质量体系相关表述,全部替换为ISO 13485:2016的对应条款,例如将“设计控制(21 CFR 820.30)”替换为ISO 13485*7.3节(设计和开发),将“软件验证和风险分析(21 CFR 820.30(g))”替换为ISO 13485*7.3.7小节(设计和开发验证)和*7.1节(风险管理)。
此外,在安全产品开发框架(SPDF)的融合要求上,2025版仅强调SPDF与现有质量体系的整合,未明确关联ISO 13485条款;2026版则细化了SPDF与ISO 13485关键条款的对应关系,要求SPDF全生命周期流程衔接设计开发、生产过程、持续改进等条款,风险控制环节需符合ISO 13485*7.1节要求,这与QMSR“在产品全生命周期建立风险管控机制”的要求相契合。
三、技术细节优化:聚焦风险管控与供应链合规
2026版指南在技术细节上进行了多处补充优化,重点聚焦安全风险管理、第三方软件组件管理、网络安全架构与测试三大维度,进一步收紧合规要求,贴合QMSR“强化全流程质量管控”的监管趋势,同时呼应FDA QMSR实施后“采用新检查程序(7382.850)、扩大审查范围”的变化。
在安全风险管理方面,2026版基于ISO 13485*7.1节,明确要求企业同时开展安全风险评估和单独的网络安全风险评估,以AAMI TIR57等标准细化两者接口要求,避免风险控制引入新隐患;相较于2025版,新增了CISA已知漏洞目录的处理要求,明确此类漏洞需在设计阶段消除。
在第三方软件组件管理上,2026版强化供应链风险管理,明确软件物料清单(SBOM)需符合NTIA相关标准的最低要素,需提供组件支持级别及终止日期,无法提供SBOM需提交合理说明,这一要求衔接ISO 13485*7.4节(供应商控制),相较于2025版的模糊要求,合规导向更清晰。
在网络安全架构与测试上,2026版细化了架构视图的信息要求,明确需包含通信路径协议、身份验证流程等细节,新增模糊测试、边界分析等测试方法参考,要求测试文档覆盖所有安全控制,实现与风险评估结果的精准对应,弥补了2025版“未明确测试强制性关联要求”的短板。
四、上市前提交文档:明确ISO条款对应,细化风险分级要求
结合QMSR与ISO 13485:2016的衔接要求,2026版指南对上市前提交文档进行了重点优化,核心是明确文档与ISO条款的对应关系,细化基于风险的文档提交要求,同时扩大了部分文档的强制提交范围,这与QMSR“扩大FDA审查范围、将内部审计报告等原豁免材料纳入核查”的趋势一致。
2025版指南仅要求文档符合QMSR要求,未明确与ISO 13485条款的对应关系;2026版则明确所有提交文档需体现与ISO 13485:2016条款的衔接,例如网络安全风险管理报告对应*7.1节,设计开发文档对应*7.3节,同时优化文档表格,补充关联说明,区分简单设备与复杂设备(含网络、AI的设备)的文档提交差异。
在特定文档要求上,SBOM提交从2025版的“推荐提交”变为网络设备(cyber device)的“法定要求”,且需为机器可读格式、包含供应链依赖信息;风险评估文档新增漏洞全生命周期评估、评估方法合理性说明等要求;IDE提交文档补充了与后续上市申请文档的衔接要求,强调临床试验期间网络安全改进的文档记录需符合ISO 13485*8.5节(改进)要求。
五、合规结语:专业QMSR支持,助力企业规避注册风险
综上,FDA 2026版网络安全指南的核心更新,是全面适配QMSR生效及ISO 13485:2016标准衔接要求,看似是“QSR”到“QMSR”的名称替换,实则在合规依据、技术细节、文档要求等方面均有实质性优化,尤其强化了质量体系与网络安全的融合、供应链合规、风险分级管控等要点,同时叠加QMSR实施后FDA检查流程的更新、审查范围的扩大,对医疗器械企业的合规能力提出了更高要求。
对于医疗器械企业而言,QMSR落地后,如何精准解读指南差异、适配ISO 13485:2016标准、完善网络安全合规体系、规范上市前文档提交,成为规避FDA注册挑战、顺利进入美国市场的关键。尤其是中国企业,往往因不熟悉FDA QMSR监管逻辑、对ISO条款衔接把控不足、技术文档不符合细节要求,导致注册延误、审核失败,错失市场机遇。
作为专业的医疗器械合规咨询机构,SPICA角宿咨询凭借对FDA QMSR法规及网络安全指南的深度解读、丰富的合规实操经验,为企业提供*QMSR专业合规支持,助力企业高效适配新规要求。SPICA角宿咨询的核心支持包括:精准拆解2026版与2025版网络安全指南的核心差异,结合FDA官网最新监管要求,协助企业梳理合规重点;指导企业完成质量体系与ISO 13485:2016的衔接优化,完善SPDF框架与质量体系的融合,适配QMSR全生命周期风险管控要求;协助企业规范SBOM编制、网络安全风险评估、架构设计与测试等工作,确保技术细节符合指南要求;指导企业优化上市前提交文档,明确文档与ISO 13485条款的对应关系,规避文档提交风险,同时应对FDA QMSR实施后的现场审核与抽查;全程对接FDA审核沟通,及时响应补充信息请求(RFI),提供注册全流程合规辅导,***企业FDA QMSR合规审核,高效开拓美国市场,实现合规与市场拓展双赢。
