Softwareupdates bei Medizinprodukten: Zwischen IT-Schutz und regulatorischer Hürde

Mit der Verordnung (EU) 2017/745 über Medizinprodukte (Medical Device Regulation – MDR) gelten hohe Anforderungen an die Sicherheit und Leistungsfähigkeit von Medizinprodukten – auch und gerade bei Software. Die CE-Kennzeichnung dokumentiert die Konformität eines Medizinprodukts mit diesen Anforderungen und setzt die Durchführung eines entsprechenden Konformitätsbewertungsverfahrens voraus. Änderungen an bereits zertifizierten Produkten müssen nach den Vorgaben der MDR dokumentiert sowie unter bestimmten Voraussetzungen gemeldet bzw. genehmigt werden. So können auch Änderungen an Softwarekomponenten dazu führen, dass ein Konformitätsbewertungsverfahren neu durchgeführt oder ergänzt werden muss. 

Demgegenüber kann auch ein bereits CE-zertifiziertes Produkt nach den Vorschriften der MDR als non-compliant eingestuft werden, wenn es nicht mehr aktuellen regulatorischen Anforderungen entspricht. Die Durchführung von Sicherheitsupdates in Bezug auf Medizinprodukte-Software unterliegt dabei auch besonderen Vorgaben für die Cybersicherheit. So erfordert die Richtlinie (EU) 2022/2555 (NIS2-Richtlinie), dass Hersteller von Medizinprodukte umfassende Risikomanagementmaßnahmen zur Cybersicherheit implementieren, auch bezogen auf die Medizinprodukte selbst. Das schließt unter anderem die Durchführung von Sicherheitsupdates für Softwarekomponenten ein.

Hersteller stehen dadurch in einem Spannungsfeld zwischen Cybersicherheit und regulatorischer Stabilität. Zum einen müssen Medizinprodukte sicher sein und enthaltene Softwarekomponenten auch laufend sicher gehalten werden – zum anderen müssen Änderungen dokumentiert werden und können sogar dazu führen, dass das für das Medizinprodukt durchgeführte Konformitätsbewertungsverfahren neu bzw. ergänzend durchgeführt werden muss. 

Dabei gilt jedoch: Nicht jede Änderung einer Software zwingt zur Wiederholung des gesamten Konformitätsbewertungsverfahrens. Entscheidend ist, ob die Änderung als „wesentlich“ im Sinne der MDR gilt. Dies ist unter anderem dann der Fall, wenn:

• neue Funktionen hinzukommen,
• bestehende Algorithmen oder Architektur signifikant geändert werden,
• sich die Zweckbestimmung des Produkts verändert.

Auch sicherheitsrelevante Updates können grundsätzlich unter diese Definition fallen, insbesondere wenn sie Auswirkungen auf die Risikoanalyse, Leistungsmerkmale oder Interoperabilität haben. 

Ob eine wesentliche Änderung vorliegt, ist im Einzelfall zu beurteilen. Daher besteht insbesondere die Gefahr, dass Hersteller sich gezwungen sehen, veraltete oder unsichere Versionen weiter zu betreiben, um regulatorische Risiken oder lange Prüfungsprozesse zu vermeiden. Wenn notwendige Softwareupdates aus diesem Grund nicht eingespielt werden, kann es zu Versorgungslücken oder Nutzungseinschränkungen kommen. Zudem besteht das Risiko, dass ein Medizinprodukt auch dadurch non-compliant wird, dass es veraltete Software enthält. Das ist nicht nur für Hersteller ein Problem – sondern auch für Betreiber und Patienten, die auf sichere und funktionierende Produkte angewiesen sind.

Damit Sicherheitsupdates nicht zur regulatorischen Falle werden, sollten Hersteller von Medizinprodukten entsprechende Strategien entwickeln und Maßnahmen ergreifen:

1. Änderungen systematisch bewerten

Hersteller sollten jede geplante Softwareänderung mit Blick auf die Einordnung der Wesentlichkeit und die Anforderungen an die Cybersicherheit prüfen und dokumentieren. 

2. Anforderungen an Dokumentation und Meldung erfüllen

Hersteller sollten Anforderungen an Dokumentation und Meldung von Änderungen für verschiedene Fallgruppen ermitteln und Prozesse zu deren Erfüllung implementieren. 

3. Update-Strategien von Anfang an berücksichtigen

Durch modulare Softwarearchitektur (z.B. Trennung von Sicherheitslayern und medizinischer Logik) lassen sich Updates oft ohne Auswirkungen auf die CE-Zertifizierung umsetzen. Dies sollten Hersteller bereits bei der Entwicklung von Medizinprodukten mitdenken. 

4. Regulatorische Anforderungen vertraglich absichern

Damit die regulatorischen Anforderungen durch- und umgesetzt werden können, sollte dies in den Kundenverträgen entsprechend abgesichert werden. 

Sicherheitsupdates sind technisch nötig, aber regulatorisch herausfordernd. Hersteller von Medizinprodukten müssen sorgfältig abwägen, ob Änderungen als „wesentlich“ gelten und die CE-Kennzeichnung beeinflussen. 

Gerne unterstützen wir Sie dabei, regulatorische Updatefähigkeit strukturiert abzusichern – mit klaren Prozessen, abgestimmten Bewertungsgrundlagen und effizienter Zusammenarbeit aller Beteiligten. Sprechen Sie uns gerne an!