06.08.2025
Softwarebasierte Medizinprodukte von der Patientenmonitoring-App bis zur intelligenten Insulinpumpe sind essenziell für die moderne Gesundheitsversorgung. Doch mit wachsender Digitalisierung steigt auch das Risiko von Cyberangriffen oder Sicherheitslücken. Neue regulatorische Anforderungen – etwa zur Cybersicherheit oder Interoperabilität – können dazu führen, dass Softwarekomponenten schon nach wenigen Jahren als überholt gelten. Hersteller sind deshalb verpflichtet, regelmäßige Sicherheitsupdates bereitzustellen. Was aus Sicht der IT-Sicherheit geboten ist, kann jedoch regulatorisch zum Problem werden: Denn bestimmte Änderungen an Softwarekomponenten können so wesentlich sein, dass sie die bestehende CE-Kennzeichnung infrage stellen und ein neues Konformitätsbewertungsverfahren erforderlich machen.
Mit der Verordnung (EU) 2017/745 über Medizinprodukte (Medical Device Regulation – MDR) gelten hohe Anforderungen an die Sicherheit und Leistungsfähigkeit von Medizinprodukten – auch und gerade bei Software. Die CE-Kennzeichnung dokumentiert die Konformität eines Medizinprodukts mit diesen Anforderungen und setzt die Durchführung eines entsprechenden Konformitätsbewertungsverfahrens voraus. Änderungen an bereits zertifizierten Produkten müssen nach den Vorgaben der MDR dokumentiert sowie unter bestimmten Voraussetzungen gemeldet bzw. genehmigt werden. So können auch Änderungen an Softwarekomponenten dazu führen, dass ein Konformitätsbewertungsverfahren neu durchgeführt oder ergänzt werden muss.
Demgegenüber kann auch ein bereits CE-zertifiziertes Produkt nach den Vorschriften der MDR als non-compliant eingestuft werden, wenn es nicht mehr aktuellen regulatorischen Anforderungen entspricht. Die Durchführung von Sicherheitsupdates in Bezug auf Medizinprodukte-Software unterliegt dabei auch besonderen Vorgaben für die Cybersicherheit. So erfordert die Richtlinie (EU) 2022/2555 (NIS2-Richtlinie), dass Hersteller von Medizinprodukte umfassende Risikomanagementmaßnahmen zur Cybersicherheit implementieren, auch bezogen auf die Medizinprodukte selbst. Das schließt unter anderem die Durchführung von Sicherheitsupdates für Softwarekomponenten ein.
Hersteller stehen dadurch in einem Spannungsfeld zwischen Cybersicherheit und regulatorischer Stabilität. Zum einen müssen Medizinprodukte sicher sein und enthaltene Softwarekomponenten auch laufend sicher gehalten werden – zum anderen müssen Änderungen dokumentiert werden und können sogar dazu führen, dass das für das Medizinprodukt durchgeführte Konformitätsbewertungsverfahren neu bzw. ergänzend durchgeführt werden muss.
Dabei gilt jedoch: Nicht jede Änderung einer Software zwingt zur Wiederholung des gesamten Konformitätsbewertungsverfahrens. Entscheidend ist, ob die Änderung als „wesentlich“ im Sinne der MDR gilt. Dies ist unter anderem dann der Fall, wenn:
Auch sicherheitsrelevante Updates können grundsätzlich unter diese Definition fallen, insbesondere wenn sie Auswirkungen auf die Risikoanalyse, Leistungsmerkmale oder Interoperabilität haben.
Ob eine wesentliche Änderung vorliegt, ist im Einzelfall zu beurteilen. Daher besteht insbesondere die Gefahr, dass Hersteller sich gezwungen sehen, veraltete oder unsichere Versionen weiter zu betreiben, um regulatorische Risiken oder lange Prüfungsprozesse zu vermeiden. Wenn notwendige Softwareupdates aus diesem Grund nicht eingespielt werden, kann es zu Versorgungslücken oder Nutzungseinschränkungen kommen. Zudem besteht das Risiko, dass ein Medizinprodukt auch dadurch non-compliant wird, dass es veraltete Software enthält. Das ist nicht nur für Hersteller ein Problem – sondern auch für Betreiber und Patienten, die auf sichere und funktionierende Produkte angewiesen sind.
Damit Sicherheitsupdates nicht zur regulatorischen Falle werden, sollten Hersteller von Medizinprodukten entsprechende Strategien entwickeln und Maßnahmen ergreifen:
1. Änderungen systematisch bewerten
Hersteller sollten jede geplante Softwareänderung mit Blick auf die Einordnung der Wesentlichkeit und die Anforderungen an die Cybersicherheit prüfen und dokumentieren.
2. Anforderungen an Dokumentation und Meldung erfüllen
Hersteller sollten Anforderungen an Dokumentation und Meldung von Änderungen für verschiedene Fallgruppen ermitteln und Prozesse zu deren Erfüllung implementieren.
3. Update-Strategien von Anfang an berücksichtigen
Durch modulare Softwarearchitektur (z.B. Trennung von Sicherheitslayern und medizinischer Logik) lassen sich Updates oft ohne Auswirkungen auf die CE-Zertifizierung umsetzen. Dies sollten Hersteller bereits bei der Entwicklung von Medizinprodukten mitdenken.
4. Regulatorische Anforderungen vertraglich absichern
Damit die regulatorischen Anforderungen durch- und umgesetzt werden können, sollte dies in den Kundenverträgen entsprechend abgesichert werden.
Sicherheitsupdates sind technisch nötig, aber regulatorisch herausfordernd. Hersteller von Medizinprodukten müssen sorgfältig abwägen, ob Änderungen als „wesentlich“ gelten und die CE-Kennzeichnung beeinflussen.
Gerne unterstützen wir Sie dabei, regulatorische Updatefähigkeit strukturiert abzusichern – mit klaren Prozessen, abgestimmten Bewertungsgrundlagen und effizienter Zusammenarbeit aller Beteiligten. Sprechen Sie uns gerne an!
Silvia C. Bauer
Partnerin
Köln
silvia.c.bauer@luther-lawfirm.com
+49 221 9937 25789
Elisabeth Kohoutek
Partnerin
Frankfurt a.M.
elisabeth.kohoutek@luther-lawfirm.com
+49 69 27229 22036
Franziska Neugebauer
Senior Associate
Köln
franziska.neugebauer@luther-lawfirm.com
+49 221 9937 25790