Ein Ransomware-Angriff legt die IT eines Krankenhauses lahm. Eine Homecare-App überträgt Vitalwerte unverschlüsselt ins Netz. Szenarien wie diese sind kein Science-Fiction – sie sind dokumentierte Realität. Für Hersteller digitaler Medizinprodukte ist Cybersecurity damit längst kein Randthema mehr, sondern eine zentrale Anforderung an Patientensicherheit und Marktzulassung.
Wer ist betroffen – und wer nicht?
Eine Kompresse kann man normalerweise nicht hacken. Deswegen sind klassische mechanische Klasse-I-Produkte – etwa chirurgisches Einmalmaterial oder einfache Verbandsmittel – von Cybersecurity-Anforderungen in der Regel ausgenommen.
Anders sieht es bei digitalen und vernetzten Produkten aus: Apps zur Patientenbegleitung, Monitoring-Lösungen im Homecare-Bereich, vernetzte Diagnosegeräte oder cloudbasierte Auswertungssoftware fallen klar in den Anwendungsbereich.
Die entscheidende Frage lautet: Verarbeitet oder überträgt das Produkt Patientendaten, ist es mit anderen Systemen vernetzt oder hat es durch digitale Datenerhebung einen direkten Einfluss auf klinische Entscheidungen? Wenn ja, ist Cybersecurity Pflicht – nicht Kür.
Das regulatorische Umfeld: Was gilt heute?
Die regulatorische Landschaft hat sich in den vergangenen Jahren erheblich verdichtet – insbesondere im Bezug auf IT-Sicherheitsanforderungen.
Hersteller müssen heute viele Regelwerke im Blick behalten. Dazu zählen:
| Regelwerk | Relevanz für Hersteller |
| EU MDR Anhang I | Grundlegende Sicherheits- und Leistungsanforderungen für (digitale) Medizinprodukte |
| MDCG 2019-16 | Leitfaden der EU-Kommission zu Cybersecurity für Medizinprodukte |
| IEC 81001-5-1 | Norm für IT-Sicherheit in der Medizintechnik – Grundlage von Forderungen der EU-MDR und des MDCG-Leitfadens – erfasst auch Standalone- und Wellness-Software – Harmonisierung voraussichtlich erst 2028 |
| NIS2-Richtlinie | Gilt für Betreiber vernetzter Systeme im Gesundheitssektor in der Europäischen Union. Klärt insbesondere Vigilanz- und Sorgfaltspflichten sowie Verantwortlichkeiten |
| Cyber Resilience Act | Gilt für alle digitalen bzw. vernetzten Produkte auf dem EU-Markt |
Was Hersteller konkret umsetzen müssen
Die wichtigsten Handlungsfelder im Überblick:
- Security by Design: Cybersecurity-Maßnahmen sollten in der Designphase verankert werden – nicht nachträglich eingefügt werden. Nachrüsten ist teuer, fehleranfällig und oft für die Zulassung nicht ausreichend.
- Bedrohungs- und Risikoanalyse: Methoden wie STRIDE oder CVSS helfen, potenzielle Angriffsvektoren systematisch zu identifizieren und zu bewerten. Ergebnisse müssen dokumentiert und in das Risikomanagement nach ISO 14971 integriert sein.
- Software Bill of Materials (SBOM): Eine vollständige Auflistung aller verwendeten Softwarekomponenten und deren Herkunft ist Pflicht. Sie ermöglicht schnelle Reaktionen bei bekannt werdenden Schwachstellen in Komponenten von Drittanbietern – und vice versa.
- Post-Market Surveillance: Nach der Zulassung endet die Verantwortung nicht. Hersteller müssen Systeme auch nach derInverkehrbringung laufend überwachen – die Grundlagen von ISO 13485 gelten auch für medizinische Software.
- Meldepflichten (neu): Geplant ist, dass Hersteller aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle an nationale Behörden (CSIRTs) sowie an ENISA melden müssen.
Früh anfangen zahlt sich aus
Cybersecurity ist heute ein entscheidender Faktor für die regulatorische Zulassung digitaler Medizinprodukte. Hersteller, die das Thema erst in späten Entwicklungsphasen angehen, riskieren kostspielige Nacharbeit, Verzögerungen bei Benannten Stellen und im schlimmsten Fall die Ablehnung des Konformitätsbewertungsverfahrens.
Die gute Nachricht: Wer Cybersecurity früh als integralen Bestandteil der Produktentwicklung begreift – nicht als Compliance-Übung am Ende – schafft Produkte, die robuster, vertrauenswürdiger und dauerhaft marktfähig sind. Das ist kein zusätzlicher Aufwand. Es ist gutes Engineering.
BEO BERLIN begleitet Hersteller bei der Umsetzung regulatorischer Anforderungen im Bereich Cybersecurity. Schreiben Sie uns Ihre Fragen oder kontaktieren Sie uns für ein kostenloses Erstgespräch.
WEITERFÜHRENDE QUELLEN
• MDCG 2019-16: Guidance on Cybersecurity for medical devices (europa.eu)
• IEC 81001-5-1: Health software – Part 5-1: Safety, effectiveness and security
• BSI: Cybersicherheitsanforderungen an netzwerkfähige Medizinprodukte (TR-03161)
• EU Cyber Resilience Act – Verordnungstext (2024/2847)
(1 Bewertung(en), durchschnittlich: 5,00 aus 5)
Loading...
