IEC 81001-5-1:2021 - Wichtige Klarstellungen im Dezember 2025
1. Rolle von Health Software im Ökosystem
Das ISH betont: Health Software ist immer Teil eines vernetzten, sozio-technischen Gesundheits-IT-Systems. Die Bezugnahme auf ISO 81001-1 schärft die Einbettung in die Gesamtarchitektur und unterstreicht die Systemperspektive.
2. Security-Aktivitäten & Dokumentation
Hersteller müssen klar definierte Begleitdokumente liefern, um Risiken sauber an Betreiber zu übergeben.
Wichtige Aspekte:
- Offenlegung von Security-Issues
- Prüfung relevanter Security-Guidelines
- Transparente Übergabeprozesse für Risikomanagement
3. Software-Kategorien: Maintained / Supported / Required
Das ISH erläutert die drei Kategorien aus Kapitel 4.3 und deren rechtliche sowie technische Bedeutung:
- Kategorien sind verschachtelt, aber nicht hierarchisch für Risikoprofile.
- Für alle Software-Items gilt: Risiken identifizieren, Updates kommunizieren, Integritätsprüfungen durchführen (je nach Kategorie unterschiedlich).
- Hersteller dürfen Kategorien über die Lebensdauer degradieren (z. B. Maintained → Supported), müssen aber den Risikotransfer dokumentieren.
4. Keine vierte Kategorie: Transitional Software
Das ISH stellt klar: Transitional Software ist kein eigener Typ, sondern ein Zustand des Gesamtprodukts (Annex F).
5. Post-Market Security: Fokus auf Informationsflüsse
Beim Incident Monitoring liegt der Fokus auf der Prüfung der Information, nicht zwingend auf der Quelle. Das stärkt die Effizienz im Post-Market-Security-Prozess.
Fazit
Mit dem Interpretation Sheet 1 schafft die IEC 81001-5-1 mehr Klarheit für Hersteller und Betreiber. Die präzisierten Anforderungen helfen, Risiken im Lebenszyklus von Health Software besser zu managen und die Cybersecurity im Gesundheitswesen nachhaltig zu stärken.
