新版GMP法规和欧盟《网络弹性法案》将如何影响实验室
2026年3月23日
文章
分享文章
近年来,关键基础设施和企业的网络攻击数量激增,这一趋势让网络安全成为关注焦点。因此,全球各国政府正陆续出台旨在加强网络安全的法规。其中具有代表性的是欧盟的《网络弹性法案》(CRA)[1],其他典型案例包括美国的“网络信任标识”(U.S. Cyber Trust Mark)以及中国的《网络安全法》[2,3]。
这些立法推动了GMP法规的更新,并将影响全球受监管环境中的实验室。本文基于对瑞士万通总部企业服务总监Stefan Gohr的访谈,介绍了主要变更内容,阐述了其对实验室的影响,为实验室管理者提供初步行动指导,并介绍了瑞士万通如何为满足《网络弹性法案》的要求做准备。
点击直接跳转至相关主题:
《网络弹性法案》简述
欧盟于2024年发布《网络弹性法案》,并于同年秋季获得批准。该法案旨在通过提高在欧洲市场所销售产品的安全标准来增强网络安全。
《网络弹性法案》适用于包含数字元素的产品,不仅包括软件,还涵盖能与其他系统交换数据的设备。
如果您的实验室仪器会向软件或云端发送数据,或通过网络进行通信,那么它将受到《网络弹性法案》的影响。
Stefan Gohr,
企业服务总监 在 瑞士万通总部
这项新规将分两个阶段实施:
- 2026年9月:供应商必须开始向欧盟网络安全局(ENISA)报告网络安全漏洞。
- 2027年12月:不符合《网络弹性法案》要求的产品将无法在欧盟市场销售。
尤其是第二步,将会对实验室产生更深远的影响,——它们可能无法再获得相关设备的替换件或备件。
《网络弹性法案》推动 GMP 法规发生的变化
根据《网络弹性法案》,供应商必须实施漏洞管理流程,包括定期对产品进行安全更新,一旦发现安全漏洞,必须立即修复。
这与受监管环境中长期以来的实践相冲突,——仅在必要时才对已验证的系统进行更新。不过,在受监管环境中,网络安全不容忽视,因为这些企业生产的是关键产品。
系统只有不断修补漏洞并持续提升安全等级,才能保持安全,这是一个持续的过程。这种新认知已反映在附录11《计算机化系统》的修订版中。
——Stefan Gohr,
企业服务总监 在 瑞士万通总部
基于这些原因,GMP委员会更新了第4章《文件》和附录11《计算机化系统》[4]。征求意见工作于2025年7月至10月进行,修订后的指南预计于2026年正式生效。
《网络弹性法案》和新版 GMP 将如何影响实验室?
《网络弹性法案》和新版GMP指南将影响验证流程,并可能导致现有设备需要更换。
简而言之,旧版GMP指南的要求是:建立一个系统,对其进行验证,然后就再也不要动它。这种方法与《网络弹性法案》相冲突,因此GMP委员会决定遵循CRA的新标准。
——Stefan Gohr,
企业服务总监 在 瑞士万通总部
首先,频繁的软件更新和安全更新将导致系统需要进行多次的重新验证。实验室必须制定实施安全补丁和系统更新的策略,不仅要覆盖操作系统(如,Windows),还要包括关键的实验室软件。根据修订后的GMP指南,受监管实验室应遵循供应商的建议。推荐措施包括单独进行安全更新,和建立专用的测试环境。
其次,《网络弹性法案》将禁止销售不合规的分析设备和软件。虽然2027年12月之前已售出的设备和软件不受影响,但此类产品的任何更新都必须合规。对于部分供应商而言,调整旧产品以适应新法规可能过于复杂且成本高昂,因此他们可能会在2027年前停产相关产品并宣布终止支持。
受监管实验室若希望继续使用不合规设备,必须建立应急IT环境,将这些设备与公司网络和互联网完全隔离。对于与LIMS和ERP系统集成的分析仪器而言,这种方案不现实,且可能危及数据完整性。
非受监管实验室可自行进行风险评估,决定是否在等待新投资到位前,暂时继续使用不合规设备。但应意识到,推迟更换会增加安全风险,因为安全漏洞会随时间扩大
实验室可以做哪些准备以保障合规?
实验室可以采取以下几项措施,为新版GMP指南和《网络弹性法案》做好准备(见图1)。
- 评估现有设备和软件,找出潜在的不足之处。
- 制定安全更新部署策略,尽量减少重新验证的工作量。
- 建立专用测试环境,保障更新不干扰日常运行。
新版GMP指南和《网络弹性法案》将会增加受监管实验室的工作量和成本。现在就开始规划并制定路线图,将有助于实验室为这些变化做好准备。
评估实验室现有设备
首先,评估当前使用的所有设备和软件。实验室还应联系供应商(如,瑞士万通),了解其针对具体产品的合规计划。
需解决的关键问题:
- 供应商是否仍对设备和软件提供支持?
- 供应商是否关注到了《网络弹性法案》和新版GMP指南?他们管理产品漏洞的流程是怎样的?他们计划如何提供安全更新?
- 供应商是否会在2027年12月之后继续支持其设备或软件?
如果对上述任一问题的答案是否定的,实验室应预留更换预算,或与IT部门合作制定系统隔离策略。如果多个系统受到影响,应根据系统对日常运行的关键程度,制定更换或隔离的路线图。
软件物料清单(SBOM)和硬件物料清单(HBOM)— 衡量准备情况的便捷指标
评估现有软件时,实验室应检查是否有软件物料清单(SBOM)。《网络弹性法案》强制要求,提供软件物料清单(SBOM),它列出了构建软件所用所有组件(包括第三方组件)的关键信息,有助于识别软件是否包含存在已知漏洞的组件。
通常情况下,软件物料清单(SBOM)以文本文件形式存放在安装目录中,或列于产品文档中。如果没有软件物料清单(SBOM),实验室应将其视为警示信号,表明该产品可能尚未达到《网络弹性法案》的要求。此时建议联系供应商,确认是否会在法规强制执行前提供软件物料清单(SBOM)。
对于硬件,与软件物料清单(SBOM)对应的是硬件物料清单(HBOM)。任何包含固件的设备都需要硬件物料清单(HBOM)文件,供应商必须以数字格式提供硬件物料清单(HBOM)文件。建议联系供应商索要该文件,或询问可提供的时间。
制定安全更新部署策略
新版GMP法规和《网络弹性法案》要求必须定期进行安全更新。为尽量减少验证工作并降低生产中断风险,实验室应制定实施策略。
将安全更新单独发布对于减少重新验证的工作量至关重要。常规的软件更新通常包含新功能和安全更新,这就需要进行全面的验证。相比之下,单独发布的安全更新仅修复安全问题,而不添加新功能。由于其影响范围较小,验证过程更快速、更简单。
快速验证非常重要,因为关键安全问题需要尽快修复。在遇到关键安全问题时,等待六到九个月才完成全面重新验证是不可接受的。
只有提供单独安全更新的产品,才能使重新验证过程更快速、成本更低、更易管理。通过与供应商紧密合作,实验室可以保障系统没有任何功能改变,其已验证的流程仍能按预期工作。单独的安全更新结合风险管理,使得对整个系统进行重新验证变得不再必要。
——Stefan Gohr,
企业服务总监 在 瑞士万通总部
建立测试环境
安装安全更新始终存在系统故障的风险,可能导致生产中断。为降低此风险,实验室应考虑建立测试环境。
在此方案下,首先在测试系统上安装安全包,并对日常运行所需的关键功能进行全面测试。只有在测试环境中成功测试了受安全更新影响的功能后,才将安全更新部署到生产环境。图2展示了有测试环境的和无测试环境的实验室之间的区别。
较大的组织可以考虑建立三个环境:开发/确认环境、测试环境和生产环境。开发/确认环境用于方法开发和验证。测试环境与生产环境完全一致(如,使用相同的网络和防火墙)。日常运行(如,产品放行的质量控制)在生产环境中进行。
即使您已拥有一个运行中的生产环境,我仍建议您并行搭建一个测试环境,或着手规划,例如,为此分配预算并在IT部门内预留资源。
——Stefan Gohr,
企业服务总监 在 瑞士万通总部
增设测试环境会产生额外成本,并需要更的IT资源,尤其是客户端/服务器系统。请阅读下方免费白皮书,进一步了解可扩展且具有高成本效益系统的重要性:
瑞士万通如何保障符合《网络弹性法案》的要求?
瑞士万通早已着手为应对这些法规做准备,以保障在法规强制执行时,我们能够满足针对供应商的《网络弹性法案》和GMP要求。我们可以保障我们的 OMNIS 奥秘一代平台软件将符合相关要求。软件物料清单(SBOM)文件已存放在安装目录中,并且我们随每次版本更新都会发布一份网络安全声明,该声明可在瑞士万通知识库中查阅。硬件物料清单(HBOM)文件目前正在准备中。
客户将定期收到 OMNIS 软件的更新和安全补丁。对于已签订 OMNIS 软件维护合同的客户,我们将直接联系。对于其他客户,我们正在评估不同的信息传达渠道。
我们正在全力以赴,保障 OMNIS 软件符合新规,无论是《网络弹性法案》还是新版GMP指南。
——Stefan Gohr,
企业服务总监 在 瑞士万通总部
针对不同需求提供不同版本的 OMNIS 软件
不同行业对软件更新的要求各异。在某些领域,类似于APP更新定期自动更新是可以接受的。但在受监管环境中,这种自动更新并不可取。此外,实验室网络可能未连接至互联网。
因此,瑞士万通提供两个版本的 OMNIS 软件。它们在技术支持和服务保障方面有所不同,具体差异详见表1。
| 特点 | 标准版 | 长期支持版 |
|---|---|---|
| 软件支持保障 | 下一版本发布后,支持终止 | 自发布之日起,提供5年支持保障 |
| 服务保障 | 下一版本发布前,保障所有部件可获得维修服务 | 自发布之日起,保障所有部件可获得为期5年的维修服务 |
| IQ/OQ支持 | 不提供IQ/OQ | 提供完整的计算机系统认证文档,符合FDA 21 CFR Part 11和EudraLex第4卷附录11的要求 |
| 重新认证 | 不提供再认证 | 提供再认证 |
| 安全更新 | 定期发布 | 根据客户定义的策略进行手动部署 |
瑞士万通如何支持需要更换不合规系统的客户
对于供应商不再支持的硬件和软件,必须进行更换,因为将其与公司网络隔离仅是权宜之计。更换新产品,尤其是新的软件解决方案,会面临各种挑战。为协助客户顺利过渡到 OMNIS 软件,我们成立了瑞士万通企业服务团队。该团队会根据客户的具体需求和情况,提供专业的咨询和实施服务。
瑞士万通企业服务团队还可以提供 OMNIS 软件维护合同,保障漏洞管理和安全补丁管理。他们将与客户的IT和安全专家合作,共同制定安全补丁的部署策略。服务经理将负责该策略在客户现场 OMNIS 软件整个生命周期内的实施和维护。
由于各个企业的IT架构、IT战略和IT安全策略各不相同,不存在通用的解决方案。我们强烈建议根据企业的具体需求和实际情况,灵活调整 OMNIS 软件的安全更新策略。这正是我们咨询服务发挥作用的地方,协助客户找到适合其需求的解决方案。
——Stefan Gohr,
企业服务总监 在 瑞士万通总部
结论
新版GMP指南和《网络弹性法案》将改变受监管实验室的工作方式。实验室可以通过评估现有设备和软件,着手为这些变化做好准备。部分系统可能需要更换,因为当《网络弹性法案》和修订后的GMP附录11强制执行时,它们将不再受到支持。
由于网络安全是一个持续的过程,定期的安全更新将成为常态。这一转变将要求实验室改变其分析系统的更新、重新验证和维护流程。此外,可能还需要增设额外的测试环境,以保障系统的持续运行。
只有符合新版GMP法规和《网络弹性法案》要求的解决方案(如,OMNIS 软件),才能保障实验室持续合规。为协助客户向 OMNIS 软件顺利过渡,瑞士万通成立了企业服务团队,该团队与客户紧密合作,帮助部署和维护一个安全、并根据其特定安全策略量身定制的 OMNIS 环境。
参考文献
[1] European Commission. Cyber Resilience Act. Shaping Europe’s digital future. https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act (accessed 2025-12-18).
[2] Federal Communications Commission. U.S. Cyber Trust Mark. Federal Communications Commission (FCC). https://www.fcc.gov/CyberTrustMark (accessed 2025-12-18).
[3] Creemers, R.; Webster, G.; Triolo, P. Translation: Cybersecurity Law of the People’s Republic of China (Effective June 1, 2017). DigiChina, 2018.
[4] European Commission. Stakeholders’ Consultation on EudraLex Volume 4 - Good Manufacturing Practice Guidelines: Chapter 4, Annex 11 and New Annex 22 - Public Health. Public Health. https://health.ec.europa.eu/consultations/stakeholders-consultation-eudralex-volume-4-good-manufacturing-practice-guidelines-chapter-4-annex_en (accessed 2025-12-18).
