מהפכת הסייבר של ה-FDA: כך תעמדו בדרישות החדשות למכשור רפואי ב-2025

 פתיחה

בשנת 2025, ה‑FDA פרסם ב־27 ביוני הנחיה חדשה וחשובה בשם “Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions”, שמחליפה את הגרסה מ‑2023 ומגדירה לראשונה באופן ברור ומחייב את תפיסת ה־“מכשיר סייבר” (cyber device), כולל תנאי פיקוח רלוונטיים תחת סעיף 524B ב‑FD&C Act.

אם אתם מפתחים, מנהלים או מוודאים איכות ארגונית ביחידה לפיתוח מכשור רפואי, מדובר בשינוי פרדיגמה קריטי: כיום, סייבר נחשב לחלק בלתי נפרד מאבטחת המטופל והיעילות הטיפולית. הפוסט הזה עוסק באיך להטמיע את דרישות ה‑FDA בפרקטיקה שלכם, תוך שילוב בין אסטרטגיה, מסמכים, תהליכים וכלים.

רקע והקשר רגולטורי

במסגרת FDORA (Food and Drug Omnibus Reform Act של 2022), נכנס לתוקף סעיף 524B בחוק ה‑FD&C Act החל מ־29 במרץ 2023, שמגדיר מי נחשב ⁣“cyber device” ומחייב הגשה של תיעוד סייבר במסגרת בקשות לפני שיווק (510(k), PMA, De Novo ועוד).

ההנחיה החדשה מ‑2025 מציינת במפורש שגרסתה חלה גם על גרסאות מוקדמות של מכשירים עם שינויים בתוכנה או חיבוריות, והגשה חלקית עלולה להידחות באופן מידי (Refuse to Accept).

ב‑2 בפברואר 2026 צפוי לצאת לתוקף תיקון לרגולציית מערכת האיכות (Quality System Regulation, 21 CFR Part 820) שתאזן אותה עם ISO 13485:2016 – ראש לציון לכך שסייבר הופך לתנאי מערכת איכות, לא רק היבט טכני.

טעויות נפוצות

  1. הגדרה מוטעית של כלי כ‑"לא מכשיר סייבר": גם אם המכשיר לא תוכנן עם חיבור אינטרנט, אך יש לו פוטנציאל להתחבר (USB, Wi‑Fi, Bluetooth וכו'), הוא נחשב cyber device.
  2. הפרדה בלתי ברורה בין ניהול סיכוני בטיחות (ISO 14971) לניהול סיכוני סייבר: FDA דורש שני מסמכים נפרדים – אך מחברים ביניהם.
  3. אי-הגשה של SBOM (Software Bill of Materials): ההנחיות החדשות דורשות SBOM קריא מכונה ואדם לכל רכיב בתוכנה.
  4. לא ביצוע threat modeling בשלבים המוקדמים של עיצוב: השלב הזה הוא בסיס ל-SPDF ויש לבצע אותו בשיתוף צוותי עיצוב, פיתוח וסייבר.
  5. דלג על תיעוד של postmarket vulnerability handling: חובה להציג תוכנית לניטור, triage, תיקונים ועדכונים בטוחים בפוסט־שיווק.

צעדים נכונים ליישום

1. זיהוי האם מדובר באמת ב‑“cyber device”

תשובות חיוביות מתחייבות לפי §524B(c):

  • מכיל תוכנה/firmware או programmable logic
  • יכול להתחבר לאינטרנט (ישירות או עקיפה)
  • חשוף לאיומי סייבר דרך התוכנה או החומרה

2. הטמעת SPDF – Secure Product Development Framework

SPDF היא מסגרת אחידה שמחברת בין פיתוח מוצר, ניהול סיכונים וסייבר לאורך כל מחזור החיים. היא כוללת:

  • security requirements בשלבי תכנון
  • threat modeling & risk assessments
  • secure coding, code review, penetration testing, SBOM
  • תוכנית עדכון ו‑patch management
  • תכנון תגובה לאירועים – incident response

3. ביצוע מודל איום ו־Threat Modeling

השתמשו ב‑DFD (Data Flow Diagram) מסוג DFD3 לפי Adam Shostack לציור המערכת והסביבה. הציבו Trust Boundaries והגדירו את נקודות השבר. השתמשו בדגם STRIDE לזיהוי איומים בכל רכיב או ממשק.

4. ניהול סיכון סייבר (Security Risk Assessment)

צרו טבלת Cybersecurity Risk Assessment:

  • נכס (Asset)
  • איום (Threat)
  • פגיעות (Vulnerability)
  • השפעה (Impact)
  • ניקוד CVSS

5. בחירת ויישום אמצעי בקרה (Security Risk Controls)

הכללים צריכים לכסות לפחות את התחומים:

  • Authentication
  • Authorization
  • Cryptography
  • Data/code integrity
  • Confidentiality
  • Logging
  • Resiliency & Recovery
  • Updatability & Patchability

6. בדיקות ואימות (Verification & Validation)

מעבר לוולידציה רגילה:

  • penetration testing
  • fuzzing, static/dynamic analysis
  • בדיקות SBOM ושרשראות אספקה
  • usability testing של הוראות אבטחה למשתמש

7. תיוג והנחיות תפעול למשתמש (Labeling)

ספקו מידע למשתמש הכולל הוראות שילוב סביבות, תפעול עדכוני סייבר, הערות לגבי הגבלות סביבה, ומשימות אבטחה.

8. טיפול לאחר ההשקה – Postmarket Plan

הגישו תוכנית ניטור פגיעויות, תהליך triage, cadence לתיקונים, התראות למשתמשים, ותיעוד ב‑DHF.

סיפור מקרה מהשטח

חברת X מפתחת מקרר תרופות עם חיבור Wi‑Fi לתיעוד טמפרטורה. היא:

  • ביצעה DFD כולל סביבה בבתי חולים
  • זיהתה Tampering דרך STRIDE
  • יישמה TLS ו‑client certificate
  • ערכה בדיקות חדירה ותיקנה פגיעות USB
  • סיפקה למשתמשים מדריך label ברור לעדכונים והגנה

שאלות נפוצות (FAQ)

ש: האם ההנחיה מחייבת ISO 13485? ת: לא, אך התאמת QMS תהיה הכרחית עם כניסת התקנות החדשות ב‑2026.

ש: האם חובה להגיש SBOM? ת: כן – נדרש גם לגרסאות עם תוכנה חלקית.

ש: האם GUI חדש מחייב הגשה? ת: תלוי אם שונה רכיב תוכנה/חיבור המשפיע על סייבר.

סיכום וקריאה לפעולה

ההנחיה של ה‑FDA היא קריאה למעבר מאבטחה כגימיק לאבטחה כמנוע איכות.

מה לעשות עכשיו?

  • ודאו שהמכשיר עונה להגדרת cyber device
  • הטמיעו SPDF
  • בצעו threat modeling עם STRIDE ו‑CVSS
  • הכינו SBOM מלא
  • שלבו תוכנית פוסט־שיווק, עדכונים ובדיקות עצמאיות


Two interconnected shield icons — one larger (BCP) containing a smaller one (DR) — surrounded by abs

BCP, DR ו-ISO 22301 — מה ההבדל ולמה רוב הארגונים בישראל עדיין לא מוכנים?

By Ronit Sade March 26, 2026
תוכנית רציפות עסקית BCP היא לא אותו דבר כמו DR. הגדרה מדויקת, הבדלים מעשיים, ומה ISO 22301:2019 דורש — המדריך המלא.
נראה זכוכית מגדלת ענקית שבוחנת טיפה של חומר.

מדריך 2026: עדכון גיליונות בטיחות (SDS) – האם אתם עומדים ברגולציה האירופית החדשה?

By Ronit Sade March 19, 2026
אם העסק שלכם עובד עם השוק האירופי או מייבא חומרים מאירופה, כנראה ששמתם לב לשינוי בפורמט ה-SDS. תקנה 2020/878 של האיחוד האירופי נכנסה לתוקף מלא, והיא מחייבת עדכון משמעותי של כל גיליונות הבטיחות.
ה-FDA ואת ה-ISO כשני חלקי פאזל ענקיים שמתחברים בדיוק מושלם, ויוצרים גשר יציב מעל אוקיינוס.

המדריך המלא ל-QMSR: איך יצרני מכשור רפואי בישראל צריכים להתכונן למהפכת ה-FDA?

By Ronit Sade March 13, 2026
עידן חדש ברגולציית המכשור הרפואי: ה-FDA פרסם את חוק ה-QMSR (Quality System Regulation Amendment), הממזג רשמית את דרישות 21 CFR Part 820 עם תקן ISO 13485:2016 הבינלאומי. עבור חברות ישראליות המייצאות לשוק האמריקאי, מדובר בשינוי דרמטי בניהול סיכונים ובקרת איכות.
Colorful cartoon illustration of a food safety inspection scene with a quality inspector examining a

אוגוסט 2026 מתקרב: האם העסק שלך מוכן לדרישות HACCP בישראל?

By Ronit Sade February 19, 2026
אוגוסט 2026 מסמן שינוי משמעותי בדרישות HACCP ומערכת בטיחות מזון עצמית לעסקים קטנים ובינוניים. מה משתנה, מי חייב להיערך, ואיך להימנע מאכיפה מנהלית? מדריך מעשי ליצרני מזון.
Business Continuity Plan document on a clipboard inside an industrial facility, with safety helmet,

BCP לארגונים תעשייתיים: איך לבנות תוכנית המשכיות עסקית שבאמת עומדת בביקורת

By Ronit Sade February 13, 2026
מה זה BCP ואיך בונים תוכנית המשכיות עסקית שבאמת עומדת בביקורת? מדריך פרקטי לארגונים תעשייתיים כולל חיבור ל ISO 9001 ו ISO 13485, טעויות נפוצות וטיפים ליישום אפקטיבי.
שעון חול דרמטי שבו מסמכי ISO 13485:2016 נוזלים כלפי מטה וקוברים בניין של ה-FDA, לצד שעון מעורר שמציג

2 בפברואר 2026: היום שבו ה-FDA מפסיק “להחליק פינות”

By Ronit Sade February 5, 2026
Starting February 2, 2026, the FDA will enforce QMSR aligned with ISO 13485:2016. What this means for medical device manufacturers—and why waiting is no longer an option.
תרשים שילוב מדדי קיימות במדדי איכות – Green QA ו‑ESG

איכות ירוקה (Green QA & ESG): מדד חדש בעידן של קיימות

By Ronit Sade January 29, 2026
למד כיצד עקרונות Green QA ו‑ESG משנים את עולם הבטחת האיכות – מדידת פליטות פחמן, אנרגיה ופסולת כחלק אינטגרלי בדוחות איכות.
גרף שמציג תהליך עמידה ב‑21 CFR Part 11 לרשומות וחתימות אלקטרוניות

Electronic Records & Electronic Signatures – מדריך מקצועי ל‑21 CFR Part 11

By Ronit Sade January 22, 2026
מדריך מקצועי ל‑21 CFR Part 11 של ה‑FDA לניהול רשומות וחתימות אלקטרוניות — דרישות, טעויות נפוצות, וולידציה, אבטחה ודוגמאות יישום מהשטח.
סביבת ייצור מזון תעשייתית מודרנית עם ציוד נירוסטה, אזור עבודה נקי ומבוקר, המשקף עמידה בתקני בטיחות

FSSC 22000 גרסה 7 – כל החידושים שחשוב להכיר (ולמה זה הרבה יותר מעדכון טכני)

By Ronit Sade January 15, 2026
סקירה מקיפה של כל החידושים ב-FSSC 22000 גרסה 7: תקני ISO 22002:2025, דרישות GFSI, תרבות בטיחות מזון, אימות וניהול שינויים.
תקריב של שולחן עבודה עם קלסר

טעויות נפוצות במבדק MDR — ומה לעשות אחרת

By Ronit Sade January 8, 2026
הכירו את 10 הטעויות הנפוצות במבדק MDR שעלולות לעלות ביוקר — ואיך להימנע מהן עם כלים פרקטיים, דוגמאות מהשטח והכוונה מקצועית שתחסוך זמן, כסף ועוגמת נפש.