One of the most difficult sections of Technical Documentation (TD) is Software. Normally, our clients receive at least two rounds of supplementary questions from the Chinese authority (NMPA). This article is designed to help you match the required contents with the official software and cybersecurity guidance to ensure a first-time-right submission.

1 Medical Device Software Research

Basado en las "Directrices de revisión del registro de software para dispositivos médicos de 2022".

1.1 Principios básicos y clasificaciones

Definición del software para dispositivos médicos en China

La guía comienza aclarando qué se considera software para dispositivos médicos. China adopta el marco IMDRF y distingue entre software independiente (SaMD) y componentes de software (SiMD) integrados en un dispositivo. El SaMD se define como software que cumple su función médica sin hardware específico, ejecutándose en plataformas informáticas de propósito general.

La directriz diferencia además el software del sistema, el software de aplicación, el software intermedio y el software de soporte, aclarando qué elementos se consideran parte del dispositivo médico y cuáles pertenecen al entorno externo. Solo el software esencial para la función médica del dispositivo se considera parte del producto regulado.

Software Lifecycle and Its Regulatory Implications

China requires manufacturers to adopt a structured software lifecycle aligned with international standards. The lifecycle spans planning, requirements, design, coding, testing, release, deployment, maintenance, and retirement. The guideline emphasizes that lifecycle control is inseparable from safety. Because defects are inherent, regulators expect robust processes, traceability, and risk based testing rather than reliance on final inspection.

La documentación del ciclo de vida debe demostrar la trazabilidad entre los requisitos, el diseño, el código, las pruebas y los controles de riesgo. Esta trazabilidad no es opcional; es un mecanismo fundamental para demostrar que el software se comporta según lo previsto y que los riesgos se han mitigado sistemáticamente.

Software Testing, Verification, and Validation

La guía distingue entre pruebas, verificación y validación, en consonancia con la terminología de IEC 62304 e IMDRF. Las pruebas incluyen pruebas unitarias, de integración y de sistema, utilizando métodos de caja negra, caja blanca o caja gris. La verificación garantiza que cada producto desarrollado cumpla con sus requisitos de entrada, mientras que la validación confirma que el software final satisfaga las necesidades del usuario y el uso previsto.

Software Updates and Versioning

China places unusual emphasis on the classification of software updates. Updates are categorized as major or minor, depending on whether they affect safety or effectiveness. Major updates require a formal registration change, while minor updates are controlled through the quality system. The guideline provides detailed criteria—for example, changes to core algorithms, intended use, or operating platforms are typically major updates. Versioning rules must clearly distinguish update types, and the “software release version” is tied directly to regulatory change control.

Funciones principales, algoritmos y uso previsto

Una característica distintiva de la guía china es su marco analítico para las funciones, algoritmos y usos previstos del software. Las funciones se clasifican como esenciales o secundarias, y como de procesamiento, control o seguridad. Los algoritmos se categorizan según su importancia, complejidad e interpretabilidad. El uso previsto se divide en funciones auxiliares para la toma de decisiones y funciones que no la llevan a cabo. Esta estructura se utiliza para determinar la clasificación de riesgos, la profundidad de las pruebas y los requisitos de evaluación clínica.

Software Safety Classification

Un requisito fundamental es el control de calidad del ciclo de vida completo. Esto significa que la documentación debe abarcar desde el análisis del concepto y los requisitos hasta la verificación, la validación y la desactivación final. El nivel de seguridad del software (grave, moderado o leve) determina la profundidad de esta documentación.

Grave: Posible muerte o lesión grave, directa o indirecta.

• Moderate: Possible direct or indirect slight injury.

Bajo: Ninguna posibilidad de lesión.

1.2 Resumen de los requisitos de la plantilla de registro

• Basic Information: You must define the software identifier, physical topology, and the Typical Operating Environment. This includes specific hardware configurations and an external software environment list (OS, middleware, and support software) using "compatible versions" rather than vague terms like "or higher".

• Implementation Process: This covers the development overview, risk management, and SRS. A critical element is the Traceability Analysis, which must link requirements, design, source code (down to software units), unit/integration/system testing, and risk control.

• Legacy and OTS Software: For "Off-The-Shelf" (OTS) or legacy software where full lifecycle records are unavailable, you must provide a specific list and a cybersecurity evaluation.

1.3 Requirements for Change Registration and Renewal

La NMPA clasifica las actualizaciones en cambios mayores y menores.

• Major Software Updates (Requires Change Registration): These are enhancements that affect safety or effectiveness. Examples include changes in core algorithms, input/output data types, clinical workflows, or migrating to an incompatible platform (e.g., Windows to iOS).

Actualizaciones menores de software: Estas incluyen correcciones de errores (actualizaciones correctivas) o cambios en el texto de la interfaz de usuario. No requieren registro inmediato, pero deben gestionarse según el Sistema de Gestión de Calidad (SGC) y presentarse durante el próximo cambio o renovación.

• Renewal: Applicants must submit a Software Update History Report summarizing all changes since the last approval to ensure the versioning matches the recorded "Software Version Naming Rules".

2 Investigación sobre ciberseguridad de dispositivos médicos

Based on the "Guiding Principles for Cybersecurity Registration Review of Medical Devices 2022"

2.1 Marco de ciberseguridad y privacidad de datos

Cybersecurity guidance applies to any device with electronic data exchange, remote access, or user access. The NMPA focuses on the "Security Triad": Confidentiality, Integrity, and Availability (CIA).

Es fundamental distinguir entre datos médicos (información confidencial del paciente) y datos del dispositivo (registros/información operativa). La documentación debe demostrar un aislamiento efectivo entre estos tipos de datos y garantizar que la información personal esté protegida contra el acceso no autorizado o la manipulación.

Datos médicos frente a datos de dispositivos

The guideline distinguishes medical data (which may include personal information) from device data (which must not contain personal information). This distinction affects data protection measures, access control, and regulatory obligations under China’s cybersecurity and personal information laws.

Electronic Interfaces and Network Exposure

Cualquier dispositivo con intercambio electrónico de datos, acceso remoto o acceso de usuario se incluye dentro del ámbito de la ciberseguridad. La guía proporciona definiciones detalladas de interfaces de red, interfaces físicas y medios de almacenamiento, haciendo hincapié en que las características de la interfaz determinan el riesgo de ciberseguridad y los controles necesarios.

Cybersecurity Capabilities

The guideline lists 22 cybersecurity capabilities—from authentication and audit logging to malware detection and SBOM management—that manufacturers must evaluate for applicability. These capabilities form the basis for design controls, testing, and user instructions.

Cybersecurity Verification and Validation

Las pruebas de ciberseguridad incluyen el modelado de amenazas, el análisis de vulnerabilidades, las pruebas de penetración, el fuzzing y la revisión de código seguro. Estas actividades deben integrarse en el ciclo de vida del software, en lugar de considerarse un aspecto secundario.

Cybersecurity Updates and Incident Response

Like software updates, cybersecurity updates are classified as major or minor. Manufacturers must maintain a vulnerability monitoring and disclosure process and establish an incident response mechanism covering detection, assessment, mitigation, and communication.

2.2 Resumen de los requisitos de la plantilla de registro

• Cybersecurity Capabilities: You must evaluate 22 specific capabilities, including Automatic Log-off (ALOF), Malware Detection (MLDP), and Software Bill of Materials (SBOM). If a capability is not applicable, a detailed technical justification is mandatory.

Evaluación de vulnerabilidades: Debe presentar un informe que detalle las vulnerabilidades conocidas (puntuaciones CVE/CVSS) y pruebas de mitigación mediante pruebas como el escaneo de vulnerabilidades y las pruebas de penetración.

• Traceability: Similar to software, you must trace cybersecurity requirements through design and testing.

2.3 Cambios y renovación en ciberseguridad

• Major Cybersecurity Changes: Adding new network functions (e.g., adding 5G/Cloud features) or significant changes to data architecture are considered major and require a new registration.

• Cybersecurity Patches (CSUP): Regular security patches are generally minor changes. However, if a patch alters the device's intended use or core performance, it may trigger a major change.

• Renewal and Incident Response: For renewals, you must demonstrate a functioning Emergency Response Mechanism. This includes a summary of post-market security incidents, updated SBOMs for any third-party components, and a report on how newly discovered vulnerabilities were handled during the product's lifecycle.

What we can support

To succeed in China’s regulatory system for active medical devices with software and standalone medical software (SaMD), you need a partner who understands both the technical and compliance expectations. We support manufacturers with full Chinese registration services or, if preferred, only the software related development and documentation required by NMPA.

Para agilizar su presentación y garantizar que cumpla plenamente con las directrices de software y ciberseguridad de 2022, le proporcionamos plantillas de documentación de software elaboradas profesionalmente y adaptadas al mercado chino. Estas plantillas le ayudarán a cumplir con los requisitos de conformidad desde la primera presentación hasta el final del ciclo de vida del producto.

Beyond initial approval, we also assist with change registration, minor update control, and renewal, ensuring your software remains compliant as it evolves.

Si desea una vía de acceso fluida y fiable al mercado chino, tanto para el software integrado en dispositivos como para el software independiente, estamos preparados para ayudarle.