BLOG

Cyber Resilience Act, Medizinprodukte und der AI Act – Eine integrierte Perspektive auf Cybersicherheit und KI in der Gesundheitsbranche

Mit dem Cyber Resilience Act (CRA) und dem kommenden AI Act stellt die EU neue Anforderungen an die IT-Sicherheit und den Einsatz künstlicher Intelligenz (KI).

Besonders im Bereich digitaler Gesundheitsprodukte, zu denen vernetzte Medizinprodukte gehören, nehmen diese Regelwerke eine zentrale Rolle ein. Die neuen Vorschriften setzen Maßstäbe, die eine integrierte Sicherheitsstrategie erfordern, um Innovationen wie KI in der Medizin sicher und regelkonform zu gestalten.

Cyber Resilience Act, Medizinprodukte und der AI Act
Cyber Resilience Act, Medizinprodukte und der AI Act

Cyber Resilience Act, Medizinprodukte und der AI Act – Eine integrierte Perspektive auf Cybersicherheit und KI in der Gesundheitsbranche

Mit dem Cyber Resilience Act (CRA) und dem kommenden AI Act stellt die EU neue Anforderungen an die IT-Sicherheit und den Einsatz künstlicher Intelligenz (KI).

Besonders im Bereich digitaler Gesundheitsprodukte, zu denen vernetzte Medizinprodukte gehören, nehmen diese Regelwerke eine zentrale Rolle ein. Die neuen Vorschriften setzen Maßstäbe, die eine integrierte Sicherheitsstrategie erfordern, um Innovationen wie KI in der Medizin sicher und regelkonform zu gestalten.

Teilen Sie diesen Beitrag:

Teilen Sie diesen Beitrag:

CRA und AI Act – Sicherheitsstandards für digitale Gesundheitsprodukte

Der CRA zielt darauf ab, die IT-Sicherheitsstandards für Produkte mit digitalen Elementen zu vereinheitlichen und setzt strenge Anforderungen an vernetzte Geräte und Software. Er fordert u.a. Sicherheitsupdates, die Einhaltung eines sicheren Standardkonfigurationsniveaus sowie eine detaillierte Dokumentation, wie etwa eine Software Bill of Materials (SBOM).

Der AI Act ergänzt diese Sicherheitsanforderungen um spezifische Vorgaben für KI-gestützte Systeme und Produkte, die als „hochriskant“ eingestuft werden, was auf viele Anwendungen in der Medizin zutrifft.

Die Verknüpfung dieser Regelungen soll eine umfassende Risikobewältigung für digitale Gesundheitsprodukte gewährleisten, insbesondere wenn KI für Diagnosen oder patient:innenspezifische Therapien eingesetzt wird.

Integration in die Anforderungen der MDR und IVDR

Medizinprodukte, insbesondere solche, die auf KI basieren oder vernetzt sind, unterliegen bereits der MDR und IVDR. Der CRA sowie der AI Act schaffen jedoch zusätzliche Standards und Vorgaben, die vor allem für Hersteller digitaler Gesundheitsprodukte von Bedeutung sind. Diese müssen die folgenden Aspekte integrieren:

  • Cybersicherheit nach CRA

    Die MDR fordert bereits Sicherheit über den gesamten Lebenszyklus von Medizinprodukten. Der CRA erweitert dies durch detaillierte Sicherheitsvorgaben für vernetzte Geräte, die für medizinische KI-Anwendungen ebenso gelten. Eine laufende IT-Sicherheitsüberprüfung und Dokumentation ist unabdingbar, um Sicherheitslücken zu vermeiden.

  • Risikomanagement für KI gemäß AI Act

    Der AI Act legt strenge Anforderungen an das Risikomanagement und die Transparenz von KI-Algorithmen fest. Medizinprodukte mit KI-Komponenten müssen also nicht nur die medizinische Sicherheit gemäß MDR erfüllen, sondern auch sicherstellen, dass ihre Algorithmen robust, fair und transparent arbeiten. Zudem verlangt der AI Act, dass diese KI-Systeme kontrollierbar und nachvollziehbar gestaltet sind, was besonders für die Nutzung in kritischen medizinischen Anwendungen gilt.

Überschneidungen und Synergien – Ein integrierter Sicherheitsansatz

  • Einheitliche Zertifizierung und CE-Kennzeichnung

    Sowohl der CRA als auch der AI Act verlangen Konformitätsbewertungen. Für viele Produkte wird eine CE-Kennzeichnung erforderlich sein, die die Anforderungen an Cybersicherheit und KI-Einsatz zusammenführt.

  • Software Bill of Materials (SBOM)

    Die Verpflichtung zur Führung einer SBOM ist nicht nur für die CRA-Compliance relevant, sondern auch zur Überwachung der Komponenten für KI-Anwendungen sinnvoll. Gerade bei KI-Software, die oft Open-Source-Bibliotheken nutzt, ist die Dokumentation aller verwendeten Module entscheidend, um Sicherheitslücken zu identifizieren.

  • Risikomanagement und Transparenz

    Der AI Act fordert bei hohem Risiko eine nachvollziehbare Erklärung und Transparenz der KI-Prozesse. Kombiniert mit den CRA-Vorgaben müssen Produkte in der Gesundheitsbranche daher sowohl technische als auch ethische Risiken sorgfältig überwachen und kontrollieren.

Fazit

Mit dem CRA und dem AI Act schafft die EU eine Zukunftsvision für die digitale Gesundheit, die Innovation und Sicherheit vereint. Hersteller von vernetzten und KI-gestützten Medizinprodukten sind gefordert, ihre Entwicklungsprozesse anzupassen und neue Standards für Cybersicherheit und KI zu implementieren.

So können Produkte entstehen, die den höchsten Sicherheitsanforderungen gerecht werden und zugleich den Innovationsanspruch im Gesundheitswesen erfüllen.

Kontaktieren Sie uns

Sie planen die Inverkehrbringung eines Medizinprodukts und suchen einen erfahrenen Legalhersteller? Kontaktieren Sie uns für ein unverbindliches Beratungsgespräch. Gemeinsam entwickeln wir die passende Strategie für Ihr Medizinprodukt.

Weitere spannende News für Sie

  •
    10. April 2026

    BAYOOCARE Swiss – Ihr CH-Rep

  •
    10. April 2026

    Klassifizierung von Software Medizinprodukten – effizient und rechtskonform

  •
    25. März 2026

    Ihre StartUp Journey mit BAYOOCARE