MDR, NIS2, CRA und ihr Verhältnis

Die seit Mai 2021 geltende Medizinprodukteverordnung (kurz „MDR“) enthält im ersten Kapitel ihres Anhangs I grundlegende Sicherheits- und Leistungsanforderungen an Medizinprodukte und im zweiten Kapitel Nr. 17 spezifische Anforderungen an die IT-Sicherheit (Cybersecurity) für Produkte mit Software oder Netzwerkanbindung.

Verhältnis von NIS2 und MDR – ein Nebeneinander

Das Verhältnis von MDR und NIS2 ist ein Nebeneinander mit Überschneidungen – beide Kodifikationen verfolgen unterschiedliche Schutzrichtungen, können aber dasselbe Produkt bzw. dieselbe Einrichtung treffen. Die MDR hat Medizinprodukte als solche zum Regelungsgegenstand, richtet sich an Hersteller und verfolgt das Ziel, die Sicherheit und Leistung des Produkts zu gewährleisten. Die NIS2 hingegen betrifft die Netzwerk- undInformationssysteme von Einrichtungen, richtet sich an deren Betreiber – etwa Krankenhäuser oder Labore – und zielt auf die Stärkung der Cybersicherheit in einer Vielzahl von Sektoren ab.

Wenn ein Medizinprodukt in einer als „wesentlich” oder „wichtig” eingestuften Einrichtung betrieben wird (z.B. Krankenhaus), greifen beide Regime gleichzeitig: Der Hersteller muss das Produkt nach MDR cybersicher gestalten. Der Betreiber muss nach NIS2 die gesamte IT-Infrastruktur – einschließlich der eingesetzten Medizinprodukte – absichern und Vorfälle melden.

Verhältnis von CRA und MDR – Verhältnis lex specialis

Der am 10.12.2024 in Kraft getretene Cyber-Resilience Act (kurz „CRA“) regelt IT-Sicherheitsanforderungen für Produkte mit digitalen Elementen. Für Medizinprodukte gilt jedoch eine Bereichsausnahme (Art. 2 Abs. 2 CRA): Soweit die MDR oder die „In-vitro-Diagnostika-Verordnung“ (IVDR) gleichwertige IT-Sicherheitsanforderungen enthalten, haben diese Vorrang (man spricht von „lex specialis“). Die Erwägungsgründe erklären dies damit, dass MDR und IVDR bereits eigene Cybersicherheitsanforderungen enthalten, die einem ähnlichen Ansatz folgen wie der CRA. Insbesondere enthalten beide Verordnungen grundlegende Anforderungen für Produkte, die mittels elektronischer Systeme funktionieren oder selbst Software sind, sowie Risikomanagementpflichten und Konformitätsbewertungsverfahren mit Cybersicherheitsbezug.

Was aber zu beachten ist – CRA schließt die Lücke

Die Ausnahme gilt nur, soweit das Produkt tatsächlich unter MDR oder IVDR fällt. Das erfordert eine sorgfältige Prüfung im Einzelfall, denn nicht jedes Produkt mit medizinischem Bezug ist automatisch ein Medizinprodukt im Sinne der MDR. Maßgeblich ist die Zweckbestimmung des Produkts. Ein Fitnessarmband etwa, das Herzfrequenz misst, aber keine medizinische Zweckbestimmung hat, ist kein Medizinprodukt und fällt damit grundsätzlich unter den CRA. Anhang III Klasse I des CRA, also der er niedrigeren Risikoklasse wichtiger Produkte, listet ausdrücklich am Körper tragbare Produkte zur Gesundheitsüberwachung, die nicht unter MDR oder IVDR fallen, als wichtige Produkte mit digitalen Elementen.

Gerne unterstützen wir Sie sowohl bei der Betroffenheitsprüfung als auch beratend zu den einzelnen umzusetzenden Maßnahmen.

Ihre Ansprechpartner in unserem Büro Dresden sind:

Rechtsanwalt und Fachanwalt für IT-Recht Stefan Ansgar Strewe

Rechtsanwältin und Fachanwältin für IT-Recht sowie für internationales Wirtschaftsrecht Anne Schramm

Rechtsanwältin Anne Graurock