WISE COMPANY

[ FDA eSTAR 5.6 Guidance ]
2025년 7월, FDA는 최신 eSTAR 5.6을 공개하였습니다.
510(k) 제출에는 이미 필수였으며, De Novo 제출도 2025년 10월부터 의무화됩니다.

[ Cybersecurity in Medical Devices Final Guidance (2025-06-27) ]
FDA는 의료기기 사이버 보안을 제품 생애 주기 전체에서 관리할 것을 요구합니다.
즉, eSTAR 5.6 제출 시 아래 문서와 증거를 충실히 준비해야 합니다.

▶ Cybersecurity Management Plan (사이버 보안 관리 계획)

• 제품 생애 주기 전체에서 보안을 어떻게 관리할지 계획합니다.
• 신규 취약점 발생 시 업데이트 및 갱신합니다.
• 예: 보안 패치 주기, 로그 모니터링 정책 등을 포함합니다.

▶ SPDF (보안 제품 개발 프레임워크)

• 인증, 암호화, 로깅, 업데이트 등 보안 통제가 설계 문서와 연결되어야 합니다.

▶ SBOM (소프트웨어 자재 명세서)

• 사용된 모든 소프트웨어 구성 요소, 버전, EOL 정보를 포함합니다.
• 취약점 대응 계획까지 기록합니다.

▶ Threat Modeling Documentation (위협 모델링 문서)

• 기기의 설계와 운영 환경을 분석하여 잠재적 사이버 위협을 식별합니다.
• 위험이 높은 공격 시나리오와 대응 방안을 평가합니다.

▶ Cybersecurity Risk Management Documentation (사이버 보안 위험 관리 문서)

• ISO 14971, ANSI/AAMI SW96 표준 기반 위험 평가 및 완화 절차를 기록합니다.
• 예: 공격 가능성이 높은 기능과 완화 조치를 매핑합니다.

▶ 사이버 보안 시험 자료

• 취약성 시험(VA), 침투 시험(PT), 위협 완화 시험을 수행합니다.
• 내부 시험만으로는 부족하며, 제3자 독립성 증빙이 필요합니다.

▶ Postmarket 관리 계획

• 패치 주기, 취약점 모니터링 채널, 환자 안전 대응 절차 등 실제 운영 증거를 제출해야 합니다.

FDA 인허가, 사이버 보안 제출이 막막하다면
와이즈컴퍼니(주)가 전략적 파트너가 되어드립니다.

문의

eSTAR 5.6 준비 및 FDA 사이버 보안 제출
와이즈컴퍼니와 함께 합리적으로 진행하세요.
아래 연락처 또는 카카오톡 문의하기로 문의하시면 성심껏 답변하고 도움드리겠습니다.

와이즈 – 국내외 인허가 · 사이버보안 자문

와이즈컴퍼니(주) 카카오톡 문의하기