{"id":714404,"date":"2023-03-13T09:00:00","date_gmt":"2023-03-13T08:00:00","guid":{"rendered":"https:\/\/www.johner-institut.de\/blog\/?p=714404"},"modified":"2023-05-08T17:51:51","modified_gmt":"2023-05-08T15:51:51","slug":"iso-29147","status":"publish","type":"post","link":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-29147\/","title":{"rendered":"ISO 29147: Wie Hersteller IT-Schwachstellen offenlegen sollten"},"content":{"rendered":"\n<p><strong>ISO 29147<\/strong> \u2013 noch nie geh\u00f6rt? Dabei ist diese Norm gerade f\u00fcr Hersteller von Medizinprodukten sehr hilfreich: Sie sollten sich die ISO 29147 zunutze machen, auch um regulatorische Anforderungen zu erf\u00fcllen. <\/p>\n\n\n\n<p>Welche Anforderungen das sind&nbsp;und wie Sie die ISO 29147 dabei einbeziehen k\u00f6nnen, lesen Sie in diesem Beitrag.<\/p>\n\n\n\n<!--more-->\n\n\n\n<h2 class=\"wp-block-heading\">1. \u00dcber die ISO 29147<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">a) Kontext<\/h3>\n\n\n\n<p>Die ISO 29147 gibt Leitlinien, um u. a. IT-Schwachstellen richtig zu ver\u00f6ffentlichen. Das ist gar nicht so einfach: <\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Ver\u00f6ffentlicht man Schwachstellen (zu fr\u00fch), erfahren Hacker davon und k\u00f6nnen dies&nbsp;ausnutzen. <\/li>\n\n\n\n<li>Legt man die Schwachstellen wie Buffer Overflows oder andere Software-Fehler nicht offen, lassen sich Risiken nicht minimieren.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">b) Zielsetzung der ISO 29147<\/h3>\n\n\n\n<p>Die ISO 29147 gibt Hilfestellung:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Wann und in welcher Form<\/strong> sollen Hersteller reagieren, um Risiken zu minimieren, die aus Schwachstellen resultieren?<\/li>\n\n\n\n<li><strong>Welche Informationen<\/strong> \u00fcber die Schwachstellen sollen die Hersteller <strong>welchen Empf\u00e4ngern<\/strong> melden?<\/li>\n\n\n\n<li><strong>Was soll ein Prozess leisten<\/strong>, um eine positive Kommunikation zwischen den Beteiligten (Anwender, Hersteller, H\u00e4ndler) zu erreichen?<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">c) Anwendungsbereich der ISO 29147<\/h3>\n\n\n\n<p>Die ISO 29147 unterst\u00fctzt Hersteller durch Richtlinien und Empfehlungen bei folgenden Aktivit\u00e4ten:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Empfangen von Informationen \u00fcber (m\u00f6gliche) Schwachstellen<\/li>\n\n\n\n<li>Verbreiten von Informationen zum Umgang mit Schwachstellen<\/li>\n\n\n\n<li>Dokumentieren des Prozesses<\/li>\n<\/ul>\n\n\n\n<p>Die Norm nennt dazu konkrete Beispiele. Sie spielt mit der ISO\/IEC 30111 zusammen.<\/p>\n\n\n\n<figure class=\"wp-block-image alignnone\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/02\/ISO-29147.jpg\" data-rel=\"lightbox-image-0\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"952\" height=\"459\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/02\/ISO-29147.jpg\" alt=\"Prozess nach ISO 29147\" class=\"wp-image-714432\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/02\/ISO-29147.jpg 952w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/02\/ISO-29147-300x145.jpg 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/02\/ISO-29147-768x370.jpg 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/02\/ISO-29147-150x72.jpg 150w\" sizes=\"auto, (max-width: 952px) 100vw, 952px\" \/><\/a><figcaption class=\"wp-element-caption\">Umgang mit Schwachstellen: Wie der Prozess durch die ISO 29147 und die ISO 30111 beschrieben wird (zum Vergr\u00f6\u00dfern klicken)<\/figcaption><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">2. Regulatorischer Kontext <\/h2>\n\n\n\n<p>Medizinproduktehersteller m\u00fcssen eine Vielzahl von regulatorischen Anforderungen erf\u00fcllen. Dies gilt auch f\u00fcr den Umgang und die Kommunikation mit Schwachstellen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Hersteller m\u00fcssen die <a href=\"https:\/\/www.johner-institut.de\/blog\/medizinische-informatik\/it-sicherheit-im-gesundheitswesen\/\">IT-Sicherheit<\/a> gew\u00e4hrleisten. Das fordert die <a href=\"https:\/\/www.johner-institut.de\/blog\/tag\/mdr\/\">MDR<\/a> in den <a href=\"https:\/\/www.johner-institut.de\/blog\/tag\/grundlegende-anforderungen\/\">grundlegenden Sicherheits- und Leistungsanforderungen<\/a>. Dazu z\u00e4hlt auch, dass die Hersteller den Anwendern und Betreibern Informationen bereitstellen, dass und wie diese zur IT-Sicherheit beitragen m\u00fcssen. Meldungen \u00fcber Schwachstellen k\u00f6nnen ein Teil dieser Informationen sein.<\/li>\n\n\n\n<li>Die <a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/medizinprodukte-anwendermelde-und-informationsverordnung-mpamiv\/\">MPAMIV<\/a> verpflichtet Hersteller und Betreiber dazu, Risiken mit Medizinprodukten zu melden. Die Verordnung gibt Vorgaben zum Zeitpunkt und Umfang der Meldung.<\/li>\n\n\n\n<li>Die FDA hat mehrere <a href=\"https:\/\/www.johner-institut.de\/blog\/fda\/fda-guidance-zur-cybersecurity\/\"><strong>Guidance-Dokumente<\/strong> zum Thema <strong>Cybersecurity<\/strong><\/a>&nbsp;ver\u00f6ffentlicht, von denen eines auch die Post-Market-Phase und die Kommunikation zwischen Herstellern und Anwendern betrifft.<\/li>\n\n\n\n<li>Die <a href=\"https:\/\/www.johner-institut.de\/blog\/category\/iec-62304-medizinische-software\/\"><strong>IEC 62304<\/strong><\/a> definiert einen Wartungs- und <a href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/problemloesungsprozess-software\/\">Probleml\u00f6sungsprozess<\/a>. Teil des Probleml\u00f6sungsprozesses ist die Kommunikation mit den Anwendern im Fall von Problemen, zu denen IT-Schwachstellen z\u00e4hlen.<\/li>\n\n\n\n<li>Sowohl die FDA, die MDR als auch die <a href=\"https:\/\/www.johner-institut.de\/blog\/category\/qualitaetsmanagement-iso-13485\/\">ISO 13485<\/a>:2016 stellen Anforderungen an die <a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/post-market-surveillance\/\"><strong>Post-Market Surveillance<\/strong><\/a> und die <strong>Kommunikation mit den Kunden<\/strong>. Diese Kommunikation muss bidirektional sein und auch Probleme wie Schwachstellen beinhalten.<\/li>\n\n\n\n<li>Die <a href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-81001-5-1\/\">IEC 81001-5-1<\/a> fordert in Kapitel 4.1.7 die Offenlegung sicherheitsrelevanter Probleme&nbsp;und war zeitgerecht und mit Risikobewertung, beispielsweise per CVSS. Auch die L\u00f6sung des Problems soll dabei beschrieben werden. Die Norm selbst ist, Stand 3\/2023, noch nicht unter MDR und IVDR harmonisiert, aber bereits von der EU-Kommission daf\u00fcr vorgesehen.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">3. Anforderungen der ISO 29147<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">a) Aufbau der Norm<\/h3>\n\n\n\n<p>In den ersten vier Kapiteln der ISO 29147 werden der Anwendungsbereich und referenzierte Normen beschrieben sowie Begriffe definiert und Abk\u00fcrzungen eingef\u00fchrt. <\/p>\n\n\n\n<p>Die Anforderungen werden in den Kapiteln 5 bis 9 formuliert. <\/p>\n\n\n\n<figure class=\"wp-block-image alignnone\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/02\/ISO-29147-1.jpg\" data-rel=\"lightbox-image-1\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"1005\" height=\"576\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/02\/ISO-29147-1.jpg\" alt=\"Kapitelstruktur der ISO 29147\" class=\"wp-image-714439\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/02\/ISO-29147-1.jpg 1005w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/02\/ISO-29147-1-300x172.jpg 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/02\/ISO-29147-1-768x440.jpg 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/02\/ISO-29147-1-150x86.jpg 150w\" sizes=\"auto, (max-width: 1005px) 100vw, 1005px\" \/><\/a><figcaption class=\"wp-element-caption\">Kapitelstruktur der ISO 29147 (zum Vergr\u00f6\u00dfern klicken)<\/figcaption><\/figure>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 512 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><path d=\"M216,0h80c13.3,0,24,10.7,24,24v168h87.7c17.8,0,26.7,21.5,14.1,34.1L269.7,378.3c-7.5,7.5-19.8,7.5-27.3,0 L90.1,226.1c-12.6-12.6-3.7-34.1,14.1-34.1H192V24C192,10.7,202.7,0,216,0z M512,376v112c0,13.3-10.7,24-24,24H24 c-13.3,0-24-10.7-24-24V376c0-13.3,10.7-24,24-24h146.7l49,49c20.1,20.1,52.5,20.1,72.6,0l49-49H488C501.3,352,512,362.7,512,376z M388,464c0-11-9-20-20-20s-20,9-20,20s9,20,20,20S388,475,388,464z M452,464c0-11-9-20-20-20s-20,9-20,20s9,20,20,20 S452,475,452,464z\"><\/path><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Download<\/span><\/div>\n<p>Die ISO\/IEC 29147:2020 k\u00f6nnen Sie <a href=\"https:\/\/www.evs.ee\/en\/evs-en-iso-iec-29147-2020\">hier<\/a> preisg\u00fcnstig beziehen. <br><\/p>\n<\/div>\n\n\n\n<h3 class=\"wp-block-heading\">b) Anforderungen an Hersteller<\/h3>\n\n\n\n<p>Laut ISO 29147 sollten die Hersteller Folgendes regeln und ggf. kommunizieren:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Kontaktdaten<\/strong>:<strong> <\/strong>Wie m\u00f6chte der Hersteller kontaktiert werden?\n<ul class=\"wp-block-list\">\n<li>E-Mail (typischerweise ein Alias wie security-alert@firma.com)<\/li>\n\n\n\n<li>Telefonnummer<\/li>\n\n\n\n<li>Webformular mit Pflichtfeldern und optionalen Feldern<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Sicherung der Kommunikation<\/strong>:<strong> <\/strong>\u00fcber z. B. S\/MIME, PGP, HTTPS (f\u00fcr Webformular)<\/li>\n\n\n\n<li><strong>Absprachen zur Kommunikation<\/strong>:<strong> <\/strong>Verschickten von z. B. Empfangsbest\u00e4tigung, regelm\u00e4\u00dfigen Status-Updates. \u00dcber welche Kan\u00e4le erfolgt dies?<\/li>\n\n\n\n<li>Schwachstellenmeldung: Welche Informationen sollten enthalten sein?&nbsp;<\/li>\n\n\n\n<li><strong>Nachverfolgung von Berichten und Meldungen<\/strong>: Wie werden Berichte oder Meldungen nachverfolgt, auch um mit den Meldenden kommunizieren zu k\u00f6nnen<\/li>\n\n\n\n<li><strong>Abstimmung zwischen Meldenden und Hersteller<\/strong>:<strong> <\/strong>um z. B. Information der \u00d6ffentlichkeit oder von Beh\u00f6rden zeitlich zu synchronisieren<\/li>\n\n\n\n<li><strong>Ver\u00f6ffentlichung bzw. Verteilung von Sicherheitshinweisen<\/strong>: Form, Medium, Push versus Pull<\/li>\n<\/ol>\n\n\n\n<h3 class=\"wp-block-heading\">c) Anforderungen an die Schwachstellenmeldungen<\/h3>\n\n\n\n<h4 class=\"wp-block-heading\">Inhalte einer Schwachstellenmeldung<\/h4>\n\n\n\n<p>Die Norm schl\u00e4gt vor, dass Schwachstellenmeldungen folgende Inhalte abdecken:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Kontaktdaten des Meldenden (Name, Firma, E-Mail, Telefon &#8230;)<\/li>\n\n\n\n<li>Beschreibung der Schwachstelle<\/li>\n\n\n\n<li>Vermutung \u00fcber Schwachstelle bzw. Teil des Produkts<\/li>\n\n\n\n<li>Vermutung, ob Schwachstelle bereits ausgenutzt wird<\/li>\n\n\n\n<li>Hinweis, ob es bereits einen Exploit gibt<\/li>\n\n\n\n<li>Auswirkung der Schwachstelle<\/li>\n\n\n\n<li>Kontaktinformationen \u00fcber Hersteller (falls man nicht selbst der Hersteller ist)<\/li>\n\n\n\n<li>Angabe, ob man als Entdecker der Schwachstelle genannt werden will<\/li>\n\n\n\n<li>Kommentar<\/li>\n\n\n\n<li>Datei (zum Upload) mit weiteren Informationen, wenn z. B. schon eine Tracking-ID vergeben wurde<\/li>\n\n\n\n<li>Struktur einer Schwachstellenmeldung<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\">Struktur einer Schwachstellenmeldung<\/h4>\n\n\n\n<p>Die ISO 29147 gibt auch Hinweise, wie Hersteller die Hinweise zum Umgang mit Schwachstellen strukturieren k\u00f6nnen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\u00dcberblick \/ Zusammenfassung<\/li>\n\n\n\n<li>Betroffenes Produkt bzw. Software<\/li>\n\n\n\n<li>Eindeutige Kennung<\/li>\n\n\n\n<li>Beschreibung der Schwachstelle<\/li>\n\n\n\n<li>Beschreibung m\u00f6glicher Bedrohungen<\/li>\n\n\n\n<li>M\u00f6gliche Auswirkungen, wenn Schwachstelle ausgenutzt wird<\/li>\n\n\n\n<li>L\u00f6sung und Workarounds<\/li>\n\n\n\n<li>Referenzen<\/li>\n\n\n\n<li>Danksagung<\/li>\n\n\n\n<li>\u00c4nderungshistorie der Information<\/li>\n\n\n\n<li>Kontaktinformationen<\/li>\n<\/ul>\n\n\n\n<p>In Kapitel 9 diskutiert die Norm, unter welchen Umst\u00e4nden, zu welchem Zeitpunkt und an welche Empf\u00e4nger die Hersteller diese Informationen kommunizieren sollten.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">4. Fazit und Zusammenfassung<\/h2>\n\n\n\n<p>Die ISO 29147 ist v\u00f6llig unspezifisch f\u00fcr Medizinprodukte. Aber Medizinproduktehersteller sollten sie als Hilfestellung nutzen, wenn sie die gesetzlichen Anforderungen an den Umgang mit Sicherheitsschwachstellen erf\u00fcllen m\u00fcssen. Das w\u00fcrde den Herstellern in besonderem Ma\u00df gelingen, wenn sie die Gedanken der Norm in ihren Verfahrensanweisungen ber\u00fccksichtigen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Kundenkommunikation<\/li>\n\n\n\n<li>Vigilanz<\/li>\n\n\n\n<li>Software-Wartung<\/li>\n\n\n\n<li>Probleml\u00f6sung<\/li>\n\n\n\n<li>Post-Market Surveillance<\/li>\n<\/ul>\n\n\n\n<p>Viele Hersteller st\u00f6hnen angesichts der vielen Normen. Die ISO 29147 sollten sie nicht als zus\u00e4tzliche Last, sondern als eine wirksame Hilfestellung verstehen.<\/p>\n\n\n\n<div class=\"wp-block-group has-white-color has-ji-banner-gradient-background has-text-color has-background is-layout-constrained wp-container-core-group-is-layout-301020a0 wp-block-group-is-layout-constrained\" style=\"padding-top:var(--wp--preset--spacing--50);padding-right:var(--wp--preset--spacing--50);padding-bottom:var(--wp--preset--spacing--50);padding-left:var(--wp--preset--spacing--50)\">\n<div class=\"wp-block-columns is-layout-flex wp-container-core-columns-is-layout-28f84493 wp-block-columns-is-layout-flex\">\n<div class=\"wp-block-column is-vertically-aligned-center is-content-justification-center is-layout-constrained wp-block-column-is-layout-constrained\" style=\"flex-basis:40%\">\n<p class=\"has-large-font-size\">IT-Sicherheit entlang des gesamten Produktlebenszyklus gew\u00e4hrleisten<\/p>\n<\/div>\n\n\n\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:25%\">\n<figure class=\"wp-block-image size-large is-resized\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/01\/JI_Icon-Pentesting_we.svg\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/01\/JI_Icon-Pentesting_we.svg\" alt=\"\" class=\"wp-image-5367787\" width=\"150\" height=\"150\"\/><\/a><\/figure>\n<\/div>\n\n\n\n<div class=\"wp-block-column is-vertically-aligned-center is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:35%\">\n<p>Gehen Sie mit einem Pentest des Johner Instituts auf Nummer sicher!<\/p>\n\n\n\n<div class=\"wp-block-buttons is-content-justification-left is-layout-flex wp-container-core-buttons-is-layout-fc4fd283 wp-block-buttons-is-layout-flex\">\n<div class=\"wp-block-button is-style-white-red\"><a class=\"wp-block-button__link wp-element-button\" href=\"https:\/\/www.johner-institut.de\/produktpruefung\/it-security\/\">Weitere Infos finden Sie hier<\/a><\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<p>\u00c4nderungshistorie<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>2023-03-13: Beitrag v\u00f6llig \u00fcberarbeitet, Struktur ge\u00e4ndert und regulatorischen Kontext aktualisiert<\/li>\n\n\n\n<li>2017-02-22: Erste Version ver\u00f6ffentlicht<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>ISO 29147 \u2013 noch nie geh\u00f6rt? Dabei ist diese Norm gerade f\u00fcr Hersteller von Medizinprodukten sehr hilfreich: Sie sollten sich die ISO 29147 zunutze machen, auch um regulatorische Anforderungen zu erf\u00fcllen. Welche Anforderungen das sind&nbsp;und wie Sie die ISO 29147 dabei einbeziehen k\u00f6nnen, lesen Sie in diesem Beitrag.<\/p>\n","protected":false},"author":74,"featured_media":714432,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2}},"categories":[1108],"tags":[1126,1200],"ppma_author":[1213],"class_list":["post-714404","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-regulatory-affairs","tag-it-security","tag-post-market-phase","category-1108","description-off"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.3 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>ISO 29147: Wie Hersteller IT-Schwachstellen offenlegen sollten<\/title>\n<meta name=\"description\" content=\"Die ISO 29147 gibt Medizinprodukteherstellern Hinweise zum gesetzeskonformen Sammeln und Kommunizieren von Schwachstellen\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-29147\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"ISO 29147: Wie Hersteller IT-Schwachstellen offenlegen sollten\" \/>\n<meta property=\"og:description\" content=\"Die ISO 29147 gibt Medizinprodukteherstellern Hinweise zum gesetzeskonformen Sammeln und Kommunizieren von Schwachstellen\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-29147\/\" \/>\n<meta property=\"og:site_name\" content=\"Regulatorisches Wissen f\u00fcr Medizinprodukte\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/JohnerInstitut\/\" \/>\n<meta property=\"article:published_time\" content=\"2023-03-13T08:00:00+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2023-05-08T15:51:51+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/02\/ISO-29147.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"952\" \/>\n\t<meta property=\"og:image:height\" content=\"459\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Christian Rosenzweig\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"Christian Rosenzweig\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"6\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/iso-29147\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/iso-29147\\\/\"},\"author\":{\"name\":\"Christian Rosenzweig\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/person\\\/a1bfe9a403a4dd4f8aed197335feb568\"},\"headline\":\"ISO 29147: Wie Hersteller IT-Schwachstellen offenlegen sollten\",\"datePublished\":\"2023-03-13T08:00:00+00:00\",\"dateModified\":\"2023-05-08T15:51:51+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/iso-29147\\\/\"},\"wordCount\":929,\"commentCount\":4,\"publisher\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#organization\"},\"image\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/iso-29147\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2017\\\/02\\\/ISO-29147.jpg\",\"keywords\":[\"IT Security\",\"Post-Market-Phase bei Medizinprodukten\"],\"articleSection\":[\"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte\"],\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/iso-29147\\\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/iso-29147\\\/\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/iso-29147\\\/\",\"name\":\"ISO 29147: Wie Hersteller IT-Schwachstellen offenlegen sollten\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/iso-29147\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/iso-29147\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2017\\\/02\\\/ISO-29147.jpg\",\"datePublished\":\"2023-03-13T08:00:00+00:00\",\"dateModified\":\"2023-05-08T15:51:51+00:00\",\"description\":\"Die ISO 29147 gibt Medizinprodukteherstellern Hinweise zum gesetzeskonformen Sammeln und Kommunizieren von Schwachstellen\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/iso-29147\\\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/iso-29147\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/iso-29147\\\/#primaryimage\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2017\\\/02\\\/ISO-29147.jpg\",\"contentUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2017\\\/02\\\/ISO-29147.jpg\",\"width\":952,\"height\":459,\"caption\":\"Prozess nach ISO 29147\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/iso-29147\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Blog\",\"item\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte\",\"item\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/category\\\/regulatory-affairs\\\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"ISO 29147: Wie Hersteller IT-Schwachstellen offenlegen sollten\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#website\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/\",\"name\":\"Regulatorisches Wissen f\u00fcr Medizinprodukte\",\"description\":\"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen\",\"publisher\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#organization\",\"name\":\"Johner Institut GmbH\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2015\\\/07\\\/Johner-Institut.png\",\"contentUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2015\\\/07\\\/Johner-Institut.png\",\"width\":1213,\"height\":286,\"caption\":\"Johner Institut GmbH\"},\"image\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/www.facebook.com\\\/JohnerInstitut\\\/\",\"https:\\\/\\\/x.com\\\/christianjohner\",\"https:\\\/\\\/www.youtube.com\\\/user\\\/JohnerInstitut\"]},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/person\\\/a1bfe9a403a4dd4f8aed197335feb568\",\"name\":\"Christian Rosenzweig\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/05\\\/Christian_Rosenzweig_300x300.png608f3c25642fdf010fd6a50508840c4c\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/05\\\/Christian_Rosenzweig_300x300.png\",\"contentUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/05\\\/Christian_Rosenzweig_300x300.png\",\"caption\":\"Christian Rosenzweig\"},\"description\":\"Christian Rosenzweig ist seit mehr als 20 Jahren im regulierten Medizinprodukteumfeld t\u00e4tig und ein absoluter Enthusiast in diesem Bereich. Er ist Mitglied des Normengremiums f\u00fcr Software und vernetzte Medizinprodukte, Experte f\u00fcr aktive Medizinprodukte, Risikomanagement und IT-Security, Leiter des Bereichs Risikomanagement und IT-Security am Johner Institut, Dozent f\u00fcr diese Themenbereiche bei Seminaren des Johner Instituts, sowie in dessen Studieng\u00e4nge. Operative Beratungsarbeit in Kundenprojekten gibt ihm die M\u00f6glichkeit, den Transfer zwischen Theorie und Praxis im Alltag anzuwenden.\",\"sameAs\":[\"https:\\\/\\\/www.linkedin.com\\\/in\\\/christian-rosenzweig-150810134\\\/\"],\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/author\\\/christianrosenzweig\\\/\"}]}<\/script>\n<meta name=\"copyright\" content=\"Johner Institut GmbH\" \/>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"ISO 29147: Wie Hersteller IT-Schwachstellen offenlegen sollten","description":"Die ISO 29147 gibt Medizinprodukteherstellern Hinweise zum gesetzeskonformen Sammeln und Kommunizieren von Schwachstellen","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-29147\/","og_locale":"de_DE","og_type":"article","og_title":"ISO 29147: Wie Hersteller IT-Schwachstellen offenlegen sollten","og_description":"Die ISO 29147 gibt Medizinprodukteherstellern Hinweise zum gesetzeskonformen Sammeln und Kommunizieren von Schwachstellen","og_url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-29147\/","og_site_name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","article_publisher":"https:\/\/www.facebook.com\/JohnerInstitut\/","article_published_time":"2023-03-13T08:00:00+00:00","article_modified_time":"2023-05-08T15:51:51+00:00","og_image":[{"width":952,"height":459,"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/02\/ISO-29147.jpg","type":"image\/jpeg"}],"author":"Christian Rosenzweig","twitter_misc":{"Verfasst von":"Christian Rosenzweig","Gesch\u00e4tzte Lesezeit":"6\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-29147\/#article","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-29147\/"},"author":{"name":"Christian Rosenzweig","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/a1bfe9a403a4dd4f8aed197335feb568"},"headline":"ISO 29147: Wie Hersteller IT-Schwachstellen offenlegen sollten","datePublished":"2023-03-13T08:00:00+00:00","dateModified":"2023-05-08T15:51:51+00:00","mainEntityOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-29147\/"},"wordCount":929,"commentCount":4,"publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-29147\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/02\/ISO-29147.jpg","keywords":["IT Security","Post-Market-Phase bei Medizinprodukten"],"articleSection":["Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte"],"inLanguage":"de","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-29147\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-29147\/","url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-29147\/","name":"ISO 29147: Wie Hersteller IT-Schwachstellen offenlegen sollten","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-29147\/#primaryimage"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-29147\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/02\/ISO-29147.jpg","datePublished":"2023-03-13T08:00:00+00:00","dateModified":"2023-05-08T15:51:51+00:00","description":"Die ISO 29147 gibt Medizinprodukteherstellern Hinweise zum gesetzeskonformen Sammeln und Kommunizieren von Schwachstellen","breadcrumb":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-29147\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-29147\/"]}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-29147\/#primaryimage","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/02\/ISO-29147.jpg","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/02\/ISO-29147.jpg","width":952,"height":459,"caption":"Prozess nach ISO 29147"},{"@type":"BreadcrumbList","@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-29147\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Blog","item":"https:\/\/www.johner-institut.de\/blog\/"},{"@type":"ListItem","position":2,"name":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","item":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},{"@type":"ListItem","position":3,"name":"ISO 29147: Wie Hersteller IT-Schwachstellen offenlegen sollten"}]},{"@type":"WebSite","@id":"https:\/\/www.johner-institut.de\/blog\/#website","url":"https:\/\/www.johner-institut.de\/blog\/","name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","description":"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen","publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.johner-institut.de\/blog\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":"Organization","@id":"https:\/\/www.johner-institut.de\/blog\/#organization","name":"Johner Institut GmbH","url":"https:\/\/www.johner-institut.de\/blog\/","logo":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","width":1213,"height":286,"caption":"Johner Institut GmbH"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/JohnerInstitut\/","https:\/\/x.com\/christianjohner","https:\/\/www.youtube.com\/user\/JohnerInstitut"]},{"@type":"Person","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/a1bfe9a403a4dd4f8aed197335feb568","name":"Christian Rosenzweig","image":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png608f3c25642fdf010fd6a50508840c4c","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png","caption":"Christian Rosenzweig"},"description":"Christian Rosenzweig ist seit mehr als 20 Jahren im regulierten Medizinprodukteumfeld t\u00e4tig und ein absoluter Enthusiast in diesem Bereich. Er ist Mitglied des Normengremiums f\u00fcr Software und vernetzte Medizinprodukte, Experte f\u00fcr aktive Medizinprodukte, Risikomanagement und IT-Security, Leiter des Bereichs Risikomanagement und IT-Security am Johner Institut, Dozent f\u00fcr diese Themenbereiche bei Seminaren des Johner Instituts, sowie in dessen Studieng\u00e4nge. Operative Beratungsarbeit in Kundenprojekten gibt ihm die M\u00f6glichkeit, den Transfer zwischen Theorie und Praxis im Alltag anzuwenden.","sameAs":["https:\/\/www.linkedin.com\/in\/christian-rosenzweig-150810134\/"],"url":"https:\/\/www.johner-institut.de\/blog\/author\/christianrosenzweig\/"}]}},"jetpack_publicize_connections":[],"jetpack_featured_media_url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/02\/ISO-29147.jpg","jetpack-related-posts":[{"id":976141,"url":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/aami-tir-57-it-security-medizinprodukte\/","url_meta":{"origin":714404,"position":0},"title":"AAMI TIR 57: IT-Sicherheit und Risikomanagement","author":"Christian Rosenzweig","date":"24. Oktober 2017","format":false,"excerpt":"Der TIR 57 ist ein \u201eTechnical Information Report\u201c der amerikanischen AAMI. Er m\u00f6chte Hilfestellung dabei geben, Risiken durch mangelnde IT-Sicherheit von Medizinprodukten zu erkennen und zu beherrschen und so die Anforderungen der ISO 14971 an das Risikomanagement zu erf\u00fcllen. TIR 57: Zusammenfassung f\u00fcr eilige Leser Der AAMI TIR 57 ist\u2026","rel":"","context":"In &quot;Risikomanagement &amp; ISO 14971&quot;","block_context":{"text":"Risikomanagement &amp; ISO 14971","link":"https:\/\/www.johner-institut.de\/blog\/category\/iso-14971-risikomanagement\/"},"img":{"alt_text":"Schutzziele TIR 57 versus ISO 14971","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/10\/TIR-57-versus-ISO-14971.jpg?resize=350%2C200&ssl=1","width":350,"height":200},"classes":[]},{"id":3799,"url":"https:\/\/www.johner-institut.de\/blog\/iso-14971-risikomanagement\/nachgelagerte-phase-iso-14971\/","url_meta":{"origin":714404,"position":1},"title":"Die nachgelagerte Phase: Nicht nur relevant f\u00fcr die ISO 14971","author":"Prof. Dr. Christian Johner","date":"9. September 2020","format":false,"excerpt":"Eine der h\u00e4ufigsten Abweichungen bei Audits hat einen Bezug zur sogenannten \"nachgelagerten Phase\". Nachgelagerte Phase: Die Phase nach Entwicklung und Produktion 1. Ziele der nachgelagerten Phase Die nachgelagerte Phase dient mit Bezug zum Risikomanagement mehreren Zwecken: Bisher nicht identifizierte Gef\u00e4hrdungen sollen anhand neuer Daten gefunden werden.Bereits gefundene Gef\u00e4hrdungen sollen bez\u00fcglich\u2026","rel":"","context":"In &quot;Risikomanagement &amp; ISO 14971&quot;","block_context":{"text":"Risikomanagement &amp; ISO 14971","link":"https:\/\/www.johner-institut.de\/blog\/category\/iso-14971-risikomanagement\/"},"img":{"alt_text":"Nachgelagerte Phase: Die Phase nach Entwicklung und Produktion","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2012\/01\/Nachgelagerte-Phase.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2012\/01\/Nachgelagerte-Phase.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2012\/01\/Nachgelagerte-Phase.png?resize=525%2C300&ssl=1 1.5x"},"classes":[]},{"id":13395,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iso-80002-2-software-validierung\/","url_meta":{"origin":714404,"position":2},"title":"ISO 80002-2: Validierung von Prozess-Software","author":"Urs M\u00fcller","date":"6. April 2017","format":false,"excerpt":"Die ISO 80002-2 (genau: ISO TR 80002-2) beschreibt die Anforderungen an die Validierung von Software, die im Rahmen von QM-relevanten Prozessen eingesetzt wird. Damit gibt die ISO 80002-2 wertvolle Hinweis, wie Medizinproduktehersteller die Anforderungen der ISO 13485:2016 nach Prozess-Software-Validierung erf\u00fcllen k\u00f6nnen. \u00a0Inhalts\u00fcbersicht Anwendungsbereich der Norm \u00bb Ist die ISO 80002-2\u00a0verpflichtend?\u2026","rel":"","context":"In &quot;Qualit\u00e4tsmanagement &amp; ISO 13485&quot;","block_context":{"text":"Qualit\u00e4tsmanagement &amp; ISO 13485","link":"https:\/\/www.johner-institut.de\/blog\/category\/qualitaetsmanagement-iso-13485\/"},"img":{"alt_text":"ISO 80002-2: Software-Validierung","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/07\/ISO-80002-2-1024x577.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/07\/ISO-80002-2-1024x577.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/07\/ISO-80002-2-1024x577.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/07\/ISO-80002-2-1024x577.png?resize=700%2C400&ssl=1 2x"},"classes":[]},{"id":3856029,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iso-27034\/","url_meta":{"origin":714404,"position":3},"title":"ISO 27034 zur Sicherheit von Anwendungen: Lesen = Zeitverschwendung?","author":"Prof. Dr. Christian Johner","date":"1. Dezember 2020","format":false,"excerpt":"Die ISO 27034 tr\u00e4gt den Titel Informationstechnik\u00a0- IT Sicherheitsverfahren\u00a0- Sicherheit von Anwendungen. Sie wird u.a. im Leitfaden des BSI referenziert. Doch mancher Hersteller fragt sich: Muss ich auch noch diese Norm lesen? Muss ich damit rechnen, dass mein Auditor diese Norm (mit Verweis auf den Stand der Technik) einfordert? Lesen\u2026","rel":"","context":"In &quot;Software &amp; IEC 62304&quot;","block_context":{"text":"Software &amp; IEC 62304","link":"https:\/\/www.johner-institut.de\/blog\/category\/iec-62304-medizinische-software\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-Kontext-ASC-V2.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-Kontext-ASC-V2.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-Kontext-ASC-V2.jpg?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/11\/ISO-27034-Kontext-ASC-V2.jpg?resize=700%2C400&ssl=1 2x"},"classes":[]},{"id":12577,"url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-19011\/","url_meta":{"origin":714404,"position":4},"title":"ISO 19011: Auditmanagement f\u00fcr Medizinproduktehersteller unter der MDR","author":"Prof. Dr. Christian Johner","date":"15. Mai 2025","format":false,"excerpt":"Die ISO 19011 ist der internationale Leitfaden f\u00fcr die Auditierung von Managementsystemen. Daher betrachtet Ihre Benannte Stelle die ISO 19011 als Stand der Technik, wenn sie bei Ihnen im ISO 13485-Zertifizierungsaudit pr\u00fcft, ob Sie Ihre internen Audits und Lieferantenaudits wirksam durchf\u00fchren. Folglich sollten insbesondere die Qualit\u00e4tsmanagement-Verantwortlichen die ISO 19011 kennen\u2026","rel":"","context":"In &quot;Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte&quot;","block_context":{"text":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","link":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},"img":{"alt_text":"ISO 19011: Kapitelstruktur","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/01\/ISO-19011-compressor.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/01\/ISO-19011-compressor.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/01\/ISO-19011-compressor.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/01\/ISO-19011-compressor.png?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/01\/ISO-19011-compressor.png?resize=1050%2C600&ssl=1 3x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/01\/ISO-19011-compressor.png?resize=1400%2C800&ssl=1 4x"},"classes":[]},{"id":12161,"url":"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/messmittel\/","url_meta":{"origin":714404,"position":5},"title":"Messmittel: Was Sie f\u00fcrs Audit wissen sollten","author":"Mario Klessascheck","date":"16. August 2023","format":false,"excerpt":"Hersteller m\u00fcssen die regulatorischen und normativem Anforderungen an Messmittel erf\u00fcllen. Die Messmittel sind Gegenstand der meisten Audits (ISO 9001, ISO 13485) und Inspektionen (z.B. 21 CFR part 820). H\u00e4ufig werden Sie auch als Pr\u00fcfmittel bezeichnet. Dieser Artikel stellt Ihnen diese Anforderungen an die Messmittel \/ Pr\u00fcfmittel vor und zeigt Ihnen,\u2026","rel":"","context":"In &quot;Qualit\u00e4tsmanagement &amp; ISO 13485&quot;","block_context":{"text":"Qualit\u00e4tsmanagement &amp; ISO 13485","link":"https:\/\/www.johner-institut.de\/blog\/category\/qualitaetsmanagement-iso-13485\/"},"img":{"alt_text":"Kann man Software kalibrieren, eichen, justieren?","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/10\/Kalibrieren-Eichen-Justieren-Messen.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/10\/Kalibrieren-Eichen-Justieren-Messen.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/10\/Kalibrieren-Eichen-Justieren-Messen.jpg?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/10\/Kalibrieren-Eichen-Justieren-Messen.jpg?resize=700%2C400&ssl=1 2x"},"classes":[]}],"jetpack_shortlink":"https:\/\/wp.me\/pavawf-2ZQE","jetpack_sharing_enabled":true,"authors":[{"term_id":1213,"user_id":74,"is_guest":0,"slug":"christianrosenzweig","display_name":"Christian Rosenzweig","avatar_url":{"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png","url2x":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png"},"0":null,"1":"","2":"","3":"","4":"","5":"","6":"","7":"","8":"","9":""}],"_links":{"self":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/714404","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/users\/74"}],"replies":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/comments?post=714404"}],"version-history":[{"count":19,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/714404\/revisions"}],"predecessor-version":[{"id":5377417,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/714404\/revisions\/5377417"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/media\/714432"}],"wp:attachment":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/media?parent=714404"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/categories?post=714404"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/tags?post=714404"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/ppma_author?post=714404"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}