Regulierungsdschungel Medizintechnik: Ein kompakter Überblick zu AI Act, CRA, Data Act, NIS-2, MDR & Co.
Gerade im Bereich Cyber- und Datensicherheit ist es entscheidend, den Überblick zu behalten: Welche Gesetze gelten für Ihr Unternehmen? Welche Anforderungen müssen Sie für Ihre Produkte erfüllen? Und wie unterscheiden sich die einzelnen Regelwerke in ihrem Fokus?
Die kompakte Übersichtstabelle zeigt auf einen Blick, welche EU-Regelwerke für Unternehmen und Produkte im Medizintechnikbereich relevant sind, für wen sie gelten und welche zentralen Anforderungen sich daraus ergeben. Diese Übersicht unterstützt Sie dabei, gezielt die für Ihr Unternehmen wichtigen Vorgaben zu identifizieren und eine solide Grundlage für Ihre Compliance-Strategie zu schaffen.
| Regelwerk | Unternehmens- bezug | Produkt- bezug | Betroffene Unternehmen (EU) | Anforderungen |
| EU MDR | o | o | Hersteller von aktiven und nicht aktiven Medizinprodukten einschließlich Software as a Medical Device (MDSW) | Direkt EU-weit geltende gesetzliche Anforderungen an die Medizinproduktehersteller: QM-System, Anforderungen an Wirtschaftsakteure, Technische Dokumentation, klinische Bewertung/Prüfung, PMS, etc. |
| EU IVDR | o | o | Hersteller von In-vitro Diagnostika Medizinprodukten | Direkt EU-weit geltende gesetzliche Anforderungen an die Medizinproduktehersteller: QM-System, Anforderungen an Wirtschaftsakteure, Technische Dokumentation, klinische Bewertung/Prüfung, PMS, etc. |
| EU AI Act | o | o | Alle Wirtschaftsakteure (u.a. Hersteller, Verteiler und Betreiber) im Zusammenhang mit Software mit oder auf Basis von KI(-Komponenten) – auch Medizinprodukte-Hersteller | Direkt EU-weit geltende hohe gesetzliche Anforderungen an Niedrig-Risiko-KI: Daten-Management, Menschliche Überwachung, Reporting, Technische Dokumentation, Konformitätsbewertung und CE-Kennzeichnung sowie zusätzliche Anforderungen, wenn Hochrisiko-KI-Komponenten im Spiel sind (ähnlich MDR-/IVD-Anforderungsniveau) |
| EU GDPR (DSGVO) | o | - | Alle Unternehmen, die personenbezogene Daten verarbeiten – auch Medizinprodukte-Hersteller | Direkt EU-weit geltende gesetzliche Informations-, Kommunikations-, Dokumentations- Meldepflichten, Verhaltensregeln, Umsetzung der Rechte betroffener Personen, Benennung eines Datenschutzbeauftragten, etc. |
| EU NIS-2 | o | - | Unternehmen im Zusammenhang mit kritischer Infrastruktur (KRITIS) – unter bestimmten Umständen auch Medizinprodukte-Hersteller | EU-weit geltende Anforderungen, die durch nationale Gesetze umgesetzt werden müssen, an die Cybersicherheit von Unternehmen, wie Cybersecurity-Governance und Awareness, Risikomanagement und Sicherheitsmaßnahmen, Dokumentations- und Nachweispflichten, Meldepflichten, etc. |
| EU CRA | - | o | Unternehmen mit Produkten mit digitalen Elementen, die über ein Netzwerk verbunden sind (Medizinprodukte nach MDR und IIVDR sind ausgenommen) | Direkt EU-weit geltende gesetzliche Anforderungen an die Cybersicherheit von Produkten, wie Safety-by-Design und Safety-by-Default, Schwachstellenmanagement und Patching, Konformitätsbewertung und CE-Kennzeichnung, Dokumentations-, Informations- und Meldepflichten, etc. |
| EU Data Act | o | - | Unternehmen mit vernetzen Produkten und verbundenen Dienste (betroffen sind nur die Rohdaten) – auch Medizinprodukte-Hersteller | Direkt EU-weit geltende gesetzliche Anforderungen an den Zugang zu Gerätedaten, Datenweitergabe an Dritte, Transparenzpflichten, Datenschutz, Interoperabilität und Cloud-Portabilität, etc. |
Die regulatorischen Rahmenbedingungen in der Medizintechnik und im Bereich Cyber- und Datensicherheit entwickeln sich stetig weiter. Ein strukturierter Überblick hilft Ihnen, die für Ihr Unternehmen relevanten Regelwerke frühzeitig zu erkennen und gezielt umzusetzen. Nutzen Sie die Übersichtstabelle von SEQLY als Ausgangspunkt für Ihre Compliance-Strategie und teilen Sie sie gern mit Ihrem Netzwerk, um mehr Transparenz in den Regulierungsdschungel zu bringen.
