מהפכת הסייבר של ה-FDA: כך תעמדו בדרישות החדשות למכשור רפואי ב-2025

 פתיחה

בשנת 2025, ה‑FDA פרסם ב־27 ביוני הנחיה חדשה וחשובה בשם “Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions”, שמחליפה את הגרסה מ‑2023 ומגדירה לראשונה באופן ברור ומחייב את תפיסת ה־“מכשיר סייבר” (cyber device), כולל תנאי פיקוח רלוונטיים תחת סעיף 524B ב‑FD&C Act.

אם אתם מפתחים, מנהלים או מוודאים איכות ארגונית ביחידה לפיתוח מכשור רפואי, מדובר בשינוי פרדיגמה קריטי: כיום, סייבר נחשב לחלק בלתי נפרד מאבטחת המטופל והיעילות הטיפולית. הפוסט הזה עוסק באיך להטמיע את דרישות ה‑FDA בפרקטיקה שלכם, תוך שילוב בין אסטרטגיה, מסמכים, תהליכים וכלים.

רקע והקשר רגולטורי

במסגרת FDORA (Food and Drug Omnibus Reform Act של 2022), נכנס לתוקף סעיף 524B בחוק ה‑FD&C Act החל מ־29 במרץ 2023, שמגדיר מי נחשב ⁣“cyber device” ומחייב הגשה של תיעוד סייבר במסגרת בקשות לפני שיווק (510(k), PMA, De Novo ועוד).

ההנחיה החדשה מ‑2025 מציינת במפורש שגרסתה חלה גם על גרסאות מוקדמות של מכשירים עם שינויים בתוכנה או חיבוריות, והגשה חלקית עלולה להידחות באופן מידי (Refuse to Accept).

ב‑2 בפברואר 2026 צפוי לצאת לתוקף תיקון לרגולציית מערכת האיכות (Quality System Regulation, 21 CFR Part 820) שתאזן אותה עם ISO 13485:2016 – ראש לציון לכך שסייבר הופך לתנאי מערכת איכות, לא רק היבט טכני.

טעויות נפוצות

  1. הגדרה מוטעית של כלי כ‑"לא מכשיר סייבר": גם אם המכשיר לא תוכנן עם חיבור אינטרנט, אך יש לו פוטנציאל להתחבר (USB, Wi‑Fi, Bluetooth וכו'), הוא נחשב cyber device.
  2. הפרדה בלתי ברורה בין ניהול סיכוני בטיחות (ISO 14971) לניהול סיכוני סייבר: FDA דורש שני מסמכים נפרדים – אך מחברים ביניהם.
  3. אי-הגשה של SBOM (Software Bill of Materials): ההנחיות החדשות דורשות SBOM קריא מכונה ואדם לכל רכיב בתוכנה.
  4. לא ביצוע threat modeling בשלבים המוקדמים של עיצוב: השלב הזה הוא בסיס ל-SPDF ויש לבצע אותו בשיתוף צוותי עיצוב, פיתוח וסייבר.
  5. דלג על תיעוד של postmarket vulnerability handling: חובה להציג תוכנית לניטור, triage, תיקונים ועדכונים בטוחים בפוסט־שיווק.

צעדים נכונים ליישום

1. זיהוי האם מדובר באמת ב‑“cyber device”

תשובות חיוביות מתחייבות לפי §524B(c):

  • מכיל תוכנה/firmware או programmable logic
  • יכול להתחבר לאינטרנט (ישירות או עקיפה)
  • חשוף לאיומי סייבר דרך התוכנה או החומרה

2. הטמעת SPDF – Secure Product Development Framework

SPDF היא מסגרת אחידה שמחברת בין פיתוח מוצר, ניהול סיכונים וסייבר לאורך כל מחזור החיים. היא כוללת:

  • security requirements בשלבי תכנון
  • threat modeling & risk assessments
  • secure coding, code review, penetration testing, SBOM
  • תוכנית עדכון ו‑patch management
  • תכנון תגובה לאירועים – incident response

3. ביצוע מודל איום ו־Threat Modeling

השתמשו ב‑DFD (Data Flow Diagram) מסוג DFD3 לפי Adam Shostack לציור המערכת והסביבה. הציבו Trust Boundaries והגדירו את נקודות השבר. השתמשו בדגם STRIDE לזיהוי איומים בכל רכיב או ממשק.

4. ניהול סיכון סייבר (Security Risk Assessment)

צרו טבלת Cybersecurity Risk Assessment:

  • נכס (Asset)
  • איום (Threat)
  • פגיעות (Vulnerability)
  • השפעה (Impact)
  • ניקוד CVSS

5. בחירת ויישום אמצעי בקרה (Security Risk Controls)

הכללים צריכים לכסות לפחות את התחומים:

  • Authentication
  • Authorization
  • Cryptography
  • Data/code integrity
  • Confidentiality
  • Logging
  • Resiliency & Recovery
  • Updatability & Patchability

6. בדיקות ואימות (Verification & Validation)

מעבר לוולידציה רגילה:

  • penetration testing
  • fuzzing, static/dynamic analysis
  • בדיקות SBOM ושרשראות אספקה
  • usability testing של הוראות אבטחה למשתמש

7. תיוג והנחיות תפעול למשתמש (Labeling)

ספקו מידע למשתמש הכולל הוראות שילוב סביבות, תפעול עדכוני סייבר, הערות לגבי הגבלות סביבה, ומשימות אבטחה.

8. טיפול לאחר ההשקה – Postmarket Plan

הגישו תוכנית ניטור פגיעויות, תהליך triage, cadence לתיקונים, התראות למשתמשים, ותיעוד ב‑DHF.

סיפור מקרה מהשטח

חברת X מפתחת מקרר תרופות עם חיבור Wi‑Fi לתיעוד טמפרטורה. היא:

  • ביצעה DFD כולל סביבה בבתי חולים
  • זיהתה Tampering דרך STRIDE
  • יישמה TLS ו‑client certificate
  • ערכה בדיקות חדירה ותיקנה פגיעות USB
  • סיפקה למשתמשים מדריך label ברור לעדכונים והגנה

שאלות נפוצות (FAQ)

ש: האם ההנחיה מחייבת ISO 13485? ת: לא, אך התאמת QMS תהיה הכרחית עם כניסת התקנות החדשות ב‑2026.

ש: האם חובה להגיש SBOM? ת: כן – נדרש גם לגרסאות עם תוכנה חלקית.

ש: האם GUI חדש מחייב הגשה? ת: תלוי אם שונה רכיב תוכנה/חיבור המשפיע על סייבר.

סיכום וקריאה לפעולה

ההנחיה של ה‑FDA היא קריאה למעבר מאבטחה כגימיק לאבטחה כמנוע איכות.

מה לעשות עכשיו?

  • ודאו שהמכשיר עונה להגדרת cyber device
  • הטמיעו SPDF
  • בצעו threat modeling עם STRIDE ו‑CVSS
  • הכינו SBOM מלא
  • שלבו תוכנית פוסט־שיווק, עדכונים ובדיקות עצמאיות


יור מינימליסטי בסגנון שטוח על רקע קרם בהיר. במרכז מופיעים שני מגנים המשתלבים זה בזה:
By Ronit Sade July 3, 2026
אינטגרציה של ISO 27001 ו-ISO 42001 — המדריך המעשי לשילוב אבטחת מידע עם ממשל AI בארגון ישראלי. מה ניתן לאחד, מה חייב להישאר נפרד, וכיצד לחסוך 30% ממשאבי ההטמעה. רונית שדה יועצים בע"מ מסבירה.
Professional minimalist illustration for a blog post about the EUDAMED European medical device datab
By Ronit Sade June 25, 2026
מ-28 במאי 2026 EUDAMED הוא חובה ליצרני מכשור רפואי בשוק האירופי. צ'קליסט רישום מלא, הדדליין הקריטי הבא ב-28 בנובמבר, ומה קורה אם איחרתם.
Professional minimalist illustration for a blog post about ISO 42001 AI governance certification as
By Ronit Sade June 23, 2026
הסמכת ISO 42001 כבר מופיעה בדרישות RFP של 40% מהמכרזים לספקי AI באירופה. כך הופכים את תקן ממשל ה-AI מהוצאה רגולטורית למנוף מכירות שמנצח עסקאות.
גז רפואי תחת רגולציה GMP ו-GDP — מדריך ליצרנים, ממלאים ומפיצים
By Ronit Sade June 11, 2026
גז רפואי הוא תרופה לכל דבר. מה דורשים GMP ו-GDP מיצרנים, ממלאים ומפיצים בישראל — ואיך נערכים למבדק בלי הפתעות.
כמה עולה הסמכת ISO 13485 — מדריך עלויות ליצרני מכשור רפואי
By Ronit Sade June 6, 2026
כמה עולה הסמכת ISO 13485 בישראל? מה משפיע על העלות, איך לחסוך, ומתי שווה להביא יועץ. מדריך מעשי ליצרני מכשור רפואי.
רקע קרם בהיר בצבע המותג, במרכז סביבת עבודה רפואית-דיגיטלית עם מכשור רפואי מודרני ומסך בקרה. מעליהם ש
By Ronit Sade April 30, 2026
QMSR כבר בתוקף, ה-FDA עדכן את הנחיות הסייבר, וה-AI Act מתקרב. מה זה אומר ליצרנים, ליבואנים ולחברות דיגיטל הלת' שכבר עכשיו רוצות להיות מוכנות?
Professional minimalist illustration for a blog post about FDA QMSR inspections 2026.
Color palette:
By Ronit Sade April 23, 2026
ביום העצמאות 2026 שואלים: האם חברות מדטק ישראליות עצמאיות רגולטורית? QMSR שינה את הכללים — תעודת ISO 13485 כבר לא מספיקה. מדריך מעשי.
Professional minimalist illustration for a blog post about digital independence and information secu
By Ronit Sade April 18, 2026
תיקון 13 לחוק הגנת הפרטיות, תפוגת ISO 27001:2013, ואיומי סייבר מוגברים — 3 שינויים שמחייבים פעולה מיידית. מדריך מעשי מרונית שדה יועצים בע"מ.
ISO 13485 מול QMSR: טבלת השוואת הפערים המלאה לשנת 2026
By Ronit Sade April 9, 2026
: ISO 13485 מול QMSR — מדריך השוואה מקצועי לכל הפערים בין התקן הבינלאומי לרגולציית ה-FDA החדשה שנכנסה לתוקף בפברואר 2026. עם דוגמאות ופתרונות יישום. תשובה קצרה: QMSR של ה-FDA, שנכנס לתוקף ב-2 בפברואר 2026, מאמץ את ISO 13485:2016 בהפניה (by reference) אך מוסיף מעליו דרישות אמריקאיות ייחודיות. לכן תאימות מלאה ל-ISO 1348
clean geometric shapes, with a subtle abstract seder plate silhouette integrated as a circular frame
By Ronit Sade April 3, 2026
ניהול איכות תעשייתי מחייב עצירה לחשיבה אחת בשנה. ארבע שאלות מעשיות שמנהל איכות חייב לשאול את עצמו לפני חזרה לעבודה — ולמה פסח הוא הזמן הנכון לעשות זאת.