Startseite » Cyber Resilience Act: Was ändert sich für die Healthcare-Branche?
8. Oktober 2025

Mit dem Stichtag 11. Dezember 2024 ist der EU Cyber Resilience Act (CRA) Realität – und zum 11. Dezember 2027 wird seine Einhaltung europaweit Pflicht. Die EU schraubt damit die Anforderungen an die Cybersicherheit digitaler Produkte deutlich nach oben. Gerade für den Healthcare-Sektor und Hersteller von Medizinprodukten stellt sich die Frage: Betrifft uns das? Was ist konkret zu tun – und wo lauern Stolpersteine?

Was steckt hinter dem Cyber Resilience Act?

Mit dem Cyber Resilience Act setzt die EU einen neuen Sicherheitsmaßstab für nahezu alle digitalen Produkte – von Software über smarte Geräte bis hin zu klassischer IT-Hardware. Sicherheit soll künftig kein Zufall mehr sein: Der CRA verpflichtet Hersteller, Händler und Importeure dazu, Cybersicherheit konsequent zu bedenken und praktisch umzusetzen – und zwar über den gesamten Lebenszyklus eines Produkts hinweg. Dazu zählen etwa strenge Anforderungen beim Schwachstellen- und Updatemanagement, die transparente Offenlegung von Softwarebestandteilen (Stichwort: SBOM). Und: Der CRA erweitert das bekannte CE-Kennzeichen um den Bereich der Cybersecurity. Für eine weiterhin konforme Verwendung der CE-Kennzeichnung sind die neuen Cybersecurity-Anforderungen des CRA zwingend zu erfüllen.

Medizinprodukte: Ein Sonderfall dank MDR und IVDR

Wer im medizinischen Bereich mit klassischen Medizingeräten oder Diagnostik-Software arbeitet, kann zunächst aufatmen: Medizinprodukte sowie In-vitro-Diagnostika unterliegen nicht dem CRA, sondern den speziell für sie geschaffenen, bereits sehr strengen Vorgaben der MDR und IVDR. Diese EU-Regelwerke genießen als „lex specialis“ Vorrang. Die technischen und regulatorischen Pflichten (z.B. Risikoanalysen, Zweckbestimmung, technische Dokumentation, CE-Kennzeichnung) richten sich für Medizinprodukte daher weiterhin nach MDR bzw. IVDR.

Wichtig: Entscheidend bleibt die vom Hersteller definierte Zweckbestimmung. Nur das, was einen spezifisch medizinischen Zweck verfolgt und unter die Definition des Medizinprodukts fällt, wird der MDR bzw. IVDR unterstellt.

Bedeutung des CRA für das Gesundheitswesen

Auch wenn klassische Medizinprodukte – etwa OP-Roboter, Implantate oder Insulinpumpen – weiter unter die MDR oder IVDR fallen, wird sich die neue Verordnung deutlich auf die digitale Infrastruktur im Gesundheitswesen auswirken. Viele dieser Produkte sind heute mit zusätzlichen digitalen Services vernetzt, beispielsweise Apps oder Cloud-Komponenten. Solche Begleitlösungen sind rechtlich nur dann Medizinprodukt, wenn sie einen spezifischen medizinischen Zweck haben.

Eine App im Ökosystem einer Insulinpumpe beispielsweise fällt regelmäßig unter die MDR, wenn sie die Pumpe steuert, deren Anwendung beeinflusst oder klinisch relevante Informationen für Diagnose oder Therapie liefert. Nur wenn sie keinen spezifischen medizinischen Zweck verfolgt, kann sie als allgemeines IT-Produkt unter den CRA fallen.

Gleiches gilt für Cloud-Backends, Patientenportale oder Telemedizinplattformen, die keinen medizinischen Zweck nachweisen. Sofern sie als funktionaler Bestandteil eines Medizinprodukts dienen, bleiben die Vorgaben von MDR/IVDR maßgeblich. Wenn sie dagegen keinen medizinischen Zweck verfolgen, kann der CRA greifen – jedoch immer nur, wenn sie (rechtlich/faktisch) Teil eines „Produkts mit digitalen Elementen“ sind.

Regulatorische Stolpersteine und Konsequenzen für Hersteller von Gesundheitssoftware

Die Unterscheidung, ob und welche Komponenten als Medizinprodukt gelten, bleibt eine zentrale Herausforderung. Entscheidend sind Zweckbestimmung, Dokumentation und die tatsächliche Anwendung eines Produkts. Insbesondere bei Mischprodukten oder Software mit mehreren Funktionen wird es schnell komplex.

Wird ein Produkt ausschließlich für den medizinischen Zweck entwickelt und vermarktet, gilt ohne Ausnahme die MDR bzw. IVDR – der CRA findet keine Anwendung. Bei modular aufgebauter Software gilt: Nur die Module mit medizinischem Zweck sind Medizinprodukt, andere Module nicht; letztere können gesondert unter den CRA fallen. Beide Bereiche müssen dann regulatorisch sauber getrennt werden.

Auch die bewusste Entscheidung, ein Produkt nicht als Medizinprodukt zu deklarieren bzw. zu vermarkten, entbindet nicht mehr von regulatorischen Pflichten – sie verlagert diese künftig vielmehr in den Rahmen des CRA. Entwicklungsprozesse, Produktunterlagen und das gesamte Risikomanagement müssen diese Anforderungen mit bedenken und erfüllen.

Die Schlüsselfrage für Hersteller lautet künftig: Welche Teile meines Produkts – etwa Firmware, Apps oder Cloud-Dienste – sind medizinrechtlich relevant und fallen unter die MDR/IVDR? Und welche Komponenten gelten als allgemeine IT-Produkte und müssen die Vorgaben des CRA erfüllen? Diese Grenzziehung entscheidet nicht nur über die anzuwendenden Normen, sondern auch über die jeweiligen Pflichten und das Verfahren zur Markteinführung.

Wer die gesetzlichen Vorgaben nicht einhält, muss sowohl im Medizinprodukterecht als auch nach dem CRA mit Konsequenzen rechnen: Diese reichen von Auflagen der Marktüberwachungsbehörden über Rücknahmen vom Markt bis hin zu finanziellen Sanktionen.

Praxisthema Fristen: Zeit zum Handeln

Die meisten materiellen CRA-Pflichten gelten nach einer Übergangsfrist von 36 Monaten. Bestimmte Vorgaben – insbesondere zu Schwachstellenmanagement und Meldepflichten – greifen schon nach 21 Monaten.

Hersteller sollten die Zeit jetzt nutzen, um Prozesse, Tooling und Compliance umzubauen: Transparenz über Softwarebestandteile (SBOM), ein aktives Schwachstellenmanagement und ein systematischer Umgang mit Produkt-Updates werden essenziell. Viele der regulatorischen Schritte dauern erfahrungsgemäß länger als erwartet.

Fazit: Klarheit schaffen, Risiken minimieren

Mit dem CRA steigen die regulatorischen Anforderungen für digitale Produkte auch im Gesundheitswesen spürbar. Entscheidend für Hersteller ist es jetzt, ihre Produktlandschaft genau zu prüfen: Welche Komponenten sind Medizinprodukt, welche fallen unter den CRA? Eine rechtliche Klärung der Einordnung als Medizinprodukt und eine saubere, nachvollziehbare Dokumentation sind dabei das A und O. Wer frühzeitig Transparenz schafft und Zuständigkeiten klärt, sichert sich nicht nur die notwendige Rechtssicherheit, sondern bleibt auch langfristig wettbewerbsfähig und innovationsfähig im dynamischen Healthcare-Markt.

Kategorien
Schlagwörter
Autor
Lisa Kaiser
Frau Kaiser betrat 2020 die Rechtsbranche und fand früh ihre Leidenschaft im Medizinrecht. Als Fachanwältin für Medizinrecht verfügt sie über eine fundierte Ausbildung und einen erfolgreich abgeschlossenen Master of Laws (LL.M.), der ihre akademische und praktische Kompetenz unterstreicht.

In ihrer beruflichen Laufbahn hat Frau Kaiser umfangreiche Erfahrung in verschiedenen rechtlichen Auseinandersetzungen gesammelt, sowohl außergerichtlich als auch vor Gericht. Besonders stark ist sie in den Bereichen Arzthaftung, Sozialrecht und Versicherungsrecht, wo sie Mandanten kompetent vertritt.

Durch ihre Branchenerfahrung in der Pharmaindustrie verfügt Frau Kaiser über Kenntnisse in Compliance, Vertragsgestaltung, Arzneimittelrecht und weiteren relevanten Rechtsgebieten. Diese machen sie zu einer wertvollen Ressource für das Team von Lyck+Pätzold.healthcare.recht und deren Mandanten. Mehr zu Lisa Kaiser
Newsletter
Wollen Sie unter den Ersten sein, die über aktuelle Entwicklungen im Gesundheitsrecht und der Gesundheitspolitik informiert werden?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.