Bestands-Medizinprodukte und Cybersecurity: Altprodukte, Legacy-Devices, DiGA und MDR-Übergangsbestimmungen

Bei unserer Beratungstätigkeit werden wir immer wieder mit Fragen zur Auslegung der Verordnung über Medizinprodukte (EU) 2017/745 (MDR) konfrontiert. Insbesondere die Interpretation der MDR-Übergangsbestimmungen kann im Einzelfall anspruchsvoll werden.

Im Zuge eines Projekts zum Aufbau MDR konformer PMS (Post Market Surveillance)-Prozesse wurde bearbeitet, wie Cybersecurity-Anforderungen in geeigneter Weise abgebildet werden können. Dabei haben sich eine Reihe von Fragen zur Umsetzung regulatorischer Anforderungen bei Altprodukten ergeben. Die Fragen und Antworten könnten auch für Sie interessant sein! Deshalb möchten wir Ihnen diese nicht vorenthalten. Ähnlichkeiten mit der realen Welt sind beabsichtigt 😊.

Stellen im Markt befindliche Altprodukte ein besonderes Problem mit Blick auf Cybersecurity dar?

Ja. Je älter beispielsweise die Version eines Betriebssystems ist, und je seltener Patches eingespielt wurden, desto mehr Schwachstellen werden bekannt, die sich ausnutzen lassen. Das gilt auch für verwendete Libraries etc. pp. Das Problem ist: der Betreiber möchte das Produkt weiter nutzen und benötigt einen Patch. Der Hersteller patcht nicht, etwa weil er es nicht kann (z.B.: kein Update vom Hersteller der SOUP-Komponente verfügbar).

Führen die gestiegenen Anforderungen an Informationssicherheit der MDR (z.B.: Anhang I – Grundlegende Sicherheits- und Leistungsanforderungen, 17.2. und 17.4.) dazu, dass Altprodukte nach und nach, aber bis spätestens 26. Mai 2025 vom Markt genommen werden müssen?

Das kommt darauf an und hängt von der Art eines Altprodukts ab. In der MDR, Art. 120(4) steht: „Produkte, die vor dem 26. Mai 2021 gemäß den Richtlinien 90/385/EWG und 93/42/EWG rechtmäßig in Verkehr gebracht wurden, und Produkte, die ab dem 26. Mai 2021 gemäß Absatz 3 des vorliegenden Artikels in Verkehr gebracht wurden, können bis zum 26. Mai 2025 weiter auf dem Markt bereitgestellt oder in Betrieb genommen werden.“ Deshalb müssen nicht alle Altprodukte ab 26. Mai 2025 zwangsläufig vom Markt genommen werden.

Ein Beispiel wäre ein Klasse I Produkt, das vor dem 26. Mai 2021 in Verkehr gebracht wurde und auch unter der MDR ein Klasse I Produkt bleibt. Dieses Produkt dürfte auch über den 26. Mai 2025 hinaus auf dem Markt bleiben, solange es sicher und leistungsfähig ist. Es dürfte aber dann nicht mehr in Verkehr gebracht, in Betrieb genommen oder auf dem Markt bereitgestellt werden.

Bei meiner Frage hatte ich eher an die so genannten „Legacy-Produkte” gemäß MDR, Art. 120 (3)) gedacht. Ich denke, für derartige Produkte trifft die Aussage durchaus zu, da die entsprechenden Bescheinigungen der Benannten Stellen auslaufen oder erstmalig erstellt werden müssen und die Hersteller dadurch gezwungen sind, entweder die Geräte MDR konform zu machen und sich (neu) bescheinigen zu lassen oder den Produktlebenszyklus zu beenden, so dass sie die Geräte nicht mehr länger anbieten können.

Ja, in diesem Fall sehe ich das auch so. „Altgerät“ ist nicht „Altgerät“.

Aber wie sind in einem solchen Fall Hol- und Bringschuld geregelt? Muss der Hersteller den Betreiber informieren, dass ein bestimmtes Produkt nicht länger verfügbar ist, er es also nicht nachordern kann? Muss auch der Betreiber das nachverfolgen?

Durch die CE-Kennzeichnung erklärt der Hersteller die Konformität seines Produkts mit den Anforderungen der MDR zum Zeitpunkt des Inverkehrbringens.

Der Betreiber, der das Produkt kauft, muss, bevor er das Produkt in Betrieb nimmt, prüfen, ob das gekaufte Produkt den gesetzlichen Vorgaben entspricht (z.B.: Konformitätserklärung des Herstellers prüfen).

Interessant wird es, wenn der Betreiber das Produkt beschafft und „zwischenlagert“, d.h. nicht sofort in Betrieb nimmt.

Hier greift wieder MDR, Art. 120(4): „Produkte, die vor dem 26. Mai 2021 gemäß den Richtlinien 90/385/EWG und 93/42/EWG rechtmäßig in Verkehr gebracht wurden, und Produkte, die ab dem 26. Mai 2021 gemäß Absatz 3 des vorliegenden Artikels in Verkehr gebracht wurden, können bis zum 26. Mai 2025 weiter auf dem Markt bereitgestellt oder in Betrieb genommen werden.“

Die Inbetriebnahme ist gemäß MDR, Art. 2(29) definiert: „Inbetriebnahme“ bezeichnet den Zeitpunkt, zu dem ein Produkt, mit Ausnahme von Prüfprodukten, dem Endanwender als ein Erzeugnis zur Verfügung gestellt wird, das erstmals als gebrauchsfertiges Produkt entsprechend seiner Zweckbestimmung auf dem Unionsmarkt verwendet werden kann;“

Hier dürfte der Betreiber das Produkt nur bis zum 26. Mai 2025 erstmals von einem seiner Mitarbeiter („Endanwender“) in Betrieb nehmen lassen. War das Produkt vor diesem Zeitpunkt schon in Verwendung kann es weiter benutzt werden.

Der Betreiber hat darüber hinaus weitere Pflichten.

Welche?

In Deutschlang ist das Gesetz zur Durchführung unionsrechtlicher Vorschriften betreffend Medizinprodukte (Medizinprodukterecht-Durchführungsgesetz – MPDG) zu beachten. Das MPDG sagt (§11): „Produkte und Produkte nach § 2 Absatz 2 dürfen nicht betrieben oder angewendet werden, wenn sie Mängel aufweisen, durch die Patienten, Beschäftigte oder Dritte gefährdet werden können. Produkte und Produkte nach § 2 Absatz 2 dürfen nur nach Maßgabe der Rechtsverordnung nach § 88 Absatz 1 Satz 1 Nummer 6 betrieben und angewendet werden.“

Cybersecurity-Probleme treten doch permanent auf. Da sie quasi „aus dem Nichts“ kommen, muss auch bei Produkten, die sich bereits im Markt befinden, reagiert werden. Ist der Hersteller dann nicht verpflichtet, die Altprodukte nach Ende der Übergangsfrist vom Markt zu nehmen? Insbesondere, wenn der sichere Betrieb nicht durch Patches gewährleistet werden kann? Ich denke hier immer wieder an die Informationssicherheit…

Marktbeobachtung gab es auch schon vor der MDR. Sollte ein Risiko erkannt werden, dann muss der Hersteller handeln (CAPA).

Aber jetzt wird es richtig interessant! Eine Software der Klasse I (gemäß Richtlinie 93/42/EWG), darf, sofern sie vor dem 26. Mai 2021 rechtmäßig in Verkehr gebracht wurde, gemäß MDR, Art. 120(3) bis zum 26. Mai 2024 in Verkehr gebracht werden. Aber nur, wenn a) diese Software gemäß MDR eine Bescheinigung einer Benannten Stelle benötigen würde und b) keine wesentlichen Änderungen der Auslegung und der Zweckbestimmung vorliegen!

Momentan werden Security-Patches nicht als „wesentliche Änderungen der Auslegung“ gesehen.

Für DiGA sieht es anders aus: in der „Verordnung über das Verfahren und die Anforderungen zur Prüfung der Erstattungsfähigkeit digitaler Gesundheitsanwendungen in der gesetzlichen Krankenversicherung (Digitale Gesundheitsanwendungen-Verordnung – DiGAV) findet sich in § 6a Abs. (2): „Ab dem 1. Januar 2023 ermöglichen digitale Gesundheitsanwendungen den Datenexport in die elektronische Patientenakte gemäß einer Festlegung für die semantische und syntaktische Interoperabilität von Daten der elektronischen Patientenakte nach § 355 Absatz 2a des Fünften Buches Sozialgesetzbuch.“

Das könnte schlimmstenfalls als „Änderung der Zweckbestimmung“ interpretiert werden.

Damit findet die MDR Anwendung, d.h. die (Stand-alone-)Software muss ggf. unter Anwendung der (berüchtigten „Regel 11“) klassifiziert und das Verfahren der Konformitätsbewertung neu gewählt werden.

Zudem gilt: „Die Anforderungen der vorliegenden Verordnung an die Überwachung nach dem Inverkehrbringen, die Marktüberwachung, die Vigilanz, die Registrierung von Wirtschaftsakteuren und von Produkten gelten jedoch anstelle der entsprechenden Anforderungen der genannten Richtlinien.“

Zusammenfassung

Die Anwendung der Übergangsregeln der MDR zum Inverkehrbringen sowie der Betrieb von im Markt befindlichen Produkten verlangen besondere Aufmerksamkeit.

Die Diskussion zeigt, wie komplex die Anforderungen werden können und was zu beachten ist. Dabei konnte nur ein kleiner Teil der Thematik angerissen werden.

Sie sind nicht allein! Wir helfen Ihnen gerne bei der Diskussion derartiger Fragestellungen und freuen uns auf Ihre Rückmeldungen!