5-2025

RegularienMDR, CRA und

RegularienMDR, CRA und NIS2 im ÜberblickRegulatorische Anforderungen an vernetzte Geräte und Komponenten in der Medizintechnik:© Shutterstock/rakerAusgangslage:Vernetzte Systeme als neue RealitätDie technische Entwicklung in der Medizintechnikhat in den letzten Jahren zu einer signifikantenZunahme an Vernetzung, Interoperabilitätund Softwareabhängigkeit geführt. Geräte, die früherals abgeschlossene Einheiten funktionierten,sind heute häufig in übergeordnete IT-Systemeeingebunden, vernetzt mit anderen medizinischenKomponenten oder sogar mit cloud basiertenDiensten verbunden. Dies gilt insbesondere fürmoderne Diagnostik systeme, OP-Assistenzsystemeund automatisierte Labortechnik.Autor:Daniel HeinzlerBusiness Development ManagerHMS Networkswww.hms.deVorteile und HerausforderungenDieser Wandel bringt nicht nur funktionaleVorteile – wie Telemedizin, Ferndiagnose oderUpdatefähigkeit – sondern auch neue Herausforderungen.Denn in Zukunft verschmelzen funktionaleSicherheit („Safety“) und Informationssicherheit(„Security“) immer mehr zu gemeinsamenEngineering-Aufgaben. Safety schütztPatienten vor unvertretbaren Risiken durchdas Produkt; Security schützt das Produkt undsein Umfeld vor Angriffen, Manipulation undMissbrauch.Für Hersteller und Zulieferer stehen somitauch Komponenten, Baugruppen und eingebetteteSysteme zunehmend im Fokus regulatorischerAnforderungen. Die Einhaltung technischerNormen reicht in vielen Fällen nicht mehraus. Vielmehr fordert der Gesetzgeber nachvollziehbareProzesse, dokumentierte Risikobetrachtungenund in manchen Fällen sogarproduktbezogene Nachweise zu IT-Sicherheitund Cyberresilienz.„Statischer“ Prozess wird zum RisikoFrüher war Versionsfixierung ein probatesMittel: Komponenten wurden „eingefroren“,Änderungen vermieden - und damit Test-, QMundZulassungsaufwand planbar gehalten. Invernetzten Systemen ist das heute der falscheReflex. Neue Schwachstellen (CVEs) werdenwöchentlich aufgedeckt, Supply-Chain­Abhängigkeiten (Libraries, Treiber, OS) ändernsich laufend. Ein „statischer“ Prozess wird sovom Sicherheitsnetz zum Risiko.Kurzüberblick:Die drei großen Rechtsrahmen• Verordnung (EU) 2017/745 über Medizinprodukte(„Medical Device Regulation“,MDR):Diese verpflichtet Medizinprodukte-Herstellerzu Risikomanagement über den gesamtenLebenszyklus, klinischer Bewertung, Post-Market Surveillance (PMS) und Post-MarketClinical Follow-up (PMCF). Cybersecurity istdabei Teil der grundlegenden SicherheitsundLeistungsanforderungen (u. a. Schutz vorunbefugtem Zugriff, sichere Updates, Protokollierung).• Verordnung (EU) 2024/2847 über horizontaleCybersicherheitsanforderungen („CyberResilience Act“, CRA):Sie legt für „Produkte mit digitalen Elementen“(z. B. IPCs, Gateways, Embedded-Plattformen)verbindliche Security-by-Design-Pflichtenfest - inklusive Schwachstellenmanagement,Updates, Sicherheitsdokumentation und Software-Stückliste(„Software Bill of Materials“,SBOM). Ein Medizinprodukt kann vom CRAausgenommen sein; Komponenten/Hilfsgeräteim Produktumfeld sind es in der Regel nicht.• Richtlinie (EU) 2022/2555 („Network andInformation Security“, NIS2):Sie verlangt von „wesentlichen“ und „wichtigen“Einrichtungen - darunter typischerweise auchgrößere Krankenhäuser - ein Informationssicherheits-Management(z. B. Risikomanagement,Lieferkettenkontrollen, Meldepflichten).National wird das in Deutschland u. a. überdas NIS2UmsuCG und branchenspezifischeStandards (B3S) konkretisiert.ZusammenfassungDie MDR regelt die Produkt-Safety und­ Security, der CRA regelt Security-Pflichten fürdigitale Komponenten und die NIS2-Richtlinieregelt Security-Pflichten bei Betreibern (z. B.Krankenhäusern).MSDR – Anforderungenan Geräte und KomponentenDie europäische Verordnung (EU) 2017/745über Medizinprodukte (MDR) stellt klare Forderungenan Sicherheit, Leistungsfähigkeit undklinische Eignung von Medizinprodukten. Auchwenn sich die MDR primär an Hersteller richtet,betrifft sie zunehmend auch Zulieferer –insbesondere dann, wenn ihre KomponentenBestandteil eines zertifizierungspflichtigen Endproduktswerden.36 meditronic-journal 5/2025

RegularienSafety & Security in der Praxis © HMSBereits im Geltungsbereich (Artikel 1&2)wird deutlich: Die MDR erfasst nicht nur dasEndgerät, sondern auch deren Bestandteilewie Softwaremodule oder Zubehörteile, sofernsie funktional in das Medizinprodukt integriertsind. Besonders relevant ist dabei Anhang I derMDR („Allgemeine Sicherheits- und Leistungsanforderungen“),welcher zahlreiche technischeAnforderungen beschreibt, die auch von Zulieferernbeachtet werden müssen.Konkrete Abschnitte mit Auswirkung aufE mbedded-Komponenten (Auszug):• Abschnitt 14.2(d): Risiken in Zusammenhangmit möglichen Wechselwirkungen zwischenSoftware und der IT-Umgebung sollenausgeschlossen werden.• Abschnitt 17.4: Der Hersteller muss Mindestanforderungenan Hardware, IT-Netze undCybersicherheitsmaßnahmen (Schutz vorunbefugtem Zugriff) für den bestimmungsgemäßenBetrieb festlegen.• Abschnitt 23(ab): Anforderungen anGebrauchsanweisungen und technischeUnterlagen zu o. g. Mindestanforderungen.Typische Anforderungen an Komponentenherstellersind daher:• Bereitstellung technischer Dokumentationmit sicherheitsrelevanten Informationen• Nachweise zur Kompatibilitätmit regulatorischen Anforderungen• Unterstützung bei Risikobewertung• Absicherung von Lebenszyklenund UpdatefähigkeitCRA – Cybersecurityfür vernetzte ProdukteWichtig für die Medizintechnik:Medizinprodukte und deren Komponenten fallennicht unter den CRA, wenn sie bereits densektorspezifischen Regelungen wie MDR oderIVDR unterliegen (vgl. CRA Art. 2 Abs. 2(a)+(b)).Komponenten, die als eigenständige „Produktemit digitalen Elementen“ in Verkehr gebracht werden(z. B. Netzwerkmodule, IPCs), also nichtexplizit für den Gebrauch in Medizinprodukten,können aber CRA-pflichtig sein.Aber: Wenn Komponenten, die später inMedizin produkten eingesetzt werden, bereitsCRA-konform sind, vereinfacht das die Integrationund Konformität des Endprodukts für den OEM.Anforderungen an Produkteaus dem CRA Anhang I:Teil 1: Hersteller von Produkten mit digitalenElementen müssen … (Auszug)• … diese ohne bekannte, ausnutzbare Schwachstellenin Verkehr bringen. (Anhang I, Teil I,Nr. 2 a)• … sichere Standardkonfiguration und Werks-Reset ermöglichen. (Nr. 2 b)• … die Patch-/Updatefähigkeit mit Sicherheitsupdates(ggf. automatisch) sicherstellen.Updates müssen innerhalb eines angemessenenZeitrahmens installiert werden; Opt-outnur nutzerfreundlich und temporär. (Nr. 2 c)• … Schutz vor unbefugtem Zugriff durch geeigneteKontrollen bieten. Mindestens Authentifizierung,Identitäts-/Zugriffsverwaltung; unbefugtenZugriff detektieren/melden. (Nr. 2 d)• … so konzipiert, entwickelt und hergestellt werden,dass sie – auch bei externen Schnittstellen– möglichst geringe Angriffsflächen bieten.Teil 2: Zur Behandlung von Schwachstellen/Vorfällen müssen Hersteller …• … Software-Stücklisten (SBOM) in gängigem,maschinenlesbarem Format bereitstellen;mindestens Top-Level-Abhängigkeiten.(Anhang I, Teil II, Nr. 1)• … Schwachstellen zügig beheben und Sicherheitsupdatesgetrennt von Funktionsupdatesausliefern. „Unverzüglich“, risikobasiert. (Nr. 2)• … regelmäßig Sicherheit testen und überprüfen.Wirksame Security-Tests über denLebenszyklus. (Nr. 3)• … koordinierte Offenlegung von Schwachstellenetablieren und Anlaufstelle veröffentlichen.CVD-Policy + Kontaktadresse fürMeldungen; Informationsaustausch fördern.(Nr. 5 und Nr. 6)• … sichere Update-Lieferketten und kostenfreie,zeitnahe Sicherheitsupdates bereitstellen.Mechanismen für eine sichere Verteilung,ggf. automatische Installation; inkl. Hinweise/Handlungsempfehlungen. (Nr. 7 und Nr. 8)Der Cyber Resilience Act (CRA) ist eine EU-Verordnung für „Produkte mit digitalen Elementen“(Hardware, Firmware, Software), die direkt oderindirekt vernetzt sind. Er gilt sektor übergreifend– also auch für eingebettete Standardkomponenten,Softwarebibliotheken, Module und IPCs,die später in Medizingeräten verwendet werden.Produktsicherheit in Europa: Gesetzliche Basis und Nachweiswegemeditronic-journal 5/202537