{"id":8604,"date":"2025-09-03T15:40:10","date_gmt":"2025-09-03T13:40:10","guid":{"rendered":"http:\/\/www.johner-institut.de\/blog\/?p=8604"},"modified":"2025-09-06T09:51:21","modified_gmt":"2025-09-06T07:51:21","slug":"fda-guidance-zur-cybersecurity","status":"publish","type":"post","link":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/fda-guidance-zur-cybersecurity\/","title":{"rendered":"Die FDA Cybersecurity Guidance Documents"},"content":{"rendered":"\n<p>Die <strong>Cybersecurity von Medizinprodukten<\/strong> ist nicht nur ein Schwerpunkt der <strong>FDA<\/strong>, sondern auch anderer Gesetzgeber und Beh\u00f6rden, sowohl in den US als auch anderen M\u00e4rkten.<\/p>\n\n\n\n<p>Das ist nachvollziehbar,<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>weil einerseits die Cybersecurity-Bedrohungen st\u00e4ndig zunehmen und<\/li>\n\n\n\n<li>andererseits die Medizinprodukte immer vernetzter und damit angreifbarer sind.<\/li>\n\n\n\n<li>Zudem ist die Patientenversorgung wie die Diagnose und Therapie immer st\u00e4rker von diesen vernetzten Produkten abh\u00e4ngig.<\/li>\n<\/ul>\n\n\n\n<p>Die USA hat den \u201eFood, Drug &amp; Cosmetic Act\u201c (FD&amp;C) um Anforderungen an \u201eCyber Devices\u201c erg\u00e4nzt, und die FDA mehrere <strong>Guidance Documents zur Cybersecurity<\/strong> ver\u00f6ffentlicht, die dieser Artikel vorstellt.<\/p>\n\n\n\n<!--more-->\n\n\n\n<h2 class=\"wp-block-heading\">1. FDA Guidance zur Pre-Market Cybersecurity<\/h2>\n\n\n\n<p>Das erste Dokument umfasst 57 Seiten und tr\u00e4gt den Titel <em>\u201eCybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submission\u201c<\/em>. Es wurde im <strong>September 2023<\/strong> freigegeben. Allerdings hat die FDA bereits im <strong>M\u00e4rz 2024<\/strong> ein Update dazu geplant (siehe <a href=\"#GeplanteUpdates\">Kapitel 1.4 <\/a>&#8222;Geplante Updates&#8220;). Im Juli 2025 wurde die Guidance in einer finalen Version publiziert.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 512 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><path d=\"M216,0h80c13.3,0,24,10.7,24,24v168h87.7c17.8,0,26.7,21.5,14.1,34.1L269.7,378.3c-7.5,7.5-19.8,7.5-27.3,0 L90.1,226.1c-12.6-12.6-3.7-34.1,14.1-34.1H192V24C192,10.7,202.7,0,216,0z M512,376v112c0,13.3-10.7,24-24,24H24 c-13.3,0-24-10.7-24-24V376c0-13.3,10.7-24,24-24h146.7l49,49c20.1,20.1,52.5,20.1,72.6,0l49-49H488C501.3,352,512,362.7,512,376z M388,464c0-11-9-20-20-20s-20,9-20,20s9,20,20,20S388,475,388,464z M452,464c0-11-9-20-20-20s-20,9-20,20s9,20,20,20 S452,475,452,464z\"><\/path><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Download<\/span><\/div>\n<p>Sie k\u00f6nnen sich die <a href=\"https:\/\/www.fda.gov\/regulatory-information\/search-fda-guidance-documents\/cybersecurity-medical-devices-quality-system-considerations-and-content-premarket-submissions\">FDA Guidance zur Pre-Market Cybersecurity hier herunterladen<\/a>.<\/p>\n<\/div>\n\n\n\n<h3 class=\"wp-block-heading\">1.1 Anforderungen an den Produktlebenszyklus<\/h3>\n\n\n\n<p>Eine zentrale Anforderung der FDA besteht darin, dass der Hersteller die Cybersecurity im QM-System verankert haben muss. Sie beschreit dazu einen Security Product Development Framework SPDF.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 48 48\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M20,19.5h16v-3H20V19.5z M20,25.5h16v-3H20V25.5z M20,31.5h10v-3H20V31.5z M14.1,20c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4s-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6c-0.4,0.4-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4C13,19.9,13.5,20,14.1,20z M14.1,26c0.6,0,1-0.2,1.4-0.6c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4 S14.6,22,14.1,22c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4c0,0.6,0.2,1,0.6,1.4S13.5,26,14.1,26z M14.1,32c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4S13.5,32,14.1,32z M7,40c-1.7,0-3-1.4-3-3V11c0-0.8,0.3-1.5,0.9-2.1C5.5,8.3,6.2,8,7,8h34 c0.8,0,1.5,0.3,2.1,0.9C43.7,9.5,44,10.2,44,11v26c0,0.8-0.3,1.5-0.9,2.1C42.5,39.7,41.8,40,41,40L7,40z M7,37h34V11H7V37z M7,11\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Weiterf\u00fchrende Informationen<\/span><\/div>\n<p>Die FDA nennt als weitere n\u00fctzliche Quellen f\u00fcr das Verst\u00e4ndnis des SPDF:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>den <a href=\"https:\/\/healthsectorcouncil.org\/JSP2\/\">Joint Security Plan<\/a> (Version 2 erschienen 03\/2024)<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>die <a href=\"https:\/\/www.accessdata.fda.gov\/scripts\/cdrh\/cfdocs\/cfstandards\/detail.cfm?standard__identification_no=43889\">IEC 81001-5-1<\/a><\/li>\n<\/ul>\n<\/div>\n\n\n\n<h4 class=\"wp-block-heading\">1.1.1 Ziele des SPDF<\/h4>\n\n\n\n<p>Dieses SPDF muss den ganzen Produktlebenszyklus abbilden und die \u201e\u00fcblichen\u201c Ziele der IT-Sicherheit erreichen, Vertraulichkeit (<strong>C<\/strong>onfidentiality), Integrit\u00e4t (<strong>I<\/strong>ntegrity) und Verf\u00fcgbarkeit (<strong>A<\/strong>vailability). Die FDA erg\u00e4nzt diese \u201eCIA-Ziele\u201c um die F\u00e4higkeit des Produkts und Systems zum raschen Update bzw. Patch.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">1.1.2 Vom SPDF geforderte Aktivit\u00e4ten<\/h4>\n\n\n\n<p>Die FDA m\u00f6chte, dass die Hersteller die Cybersecurity ihrer Produkte erreichen, indem sie ein \u201eSecurity Risk Management\u201c durchf\u00fchrt. Dazu verweist sie auf die die AAMI TIR 57.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 48 48\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M20,19.5h16v-3H20V19.5z M20,25.5h16v-3H20V25.5z M20,31.5h10v-3H20V31.5z M14.1,20c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4s-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6c-0.4,0.4-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4C13,19.9,13.5,20,14.1,20z M14.1,26c0.6,0,1-0.2,1.4-0.6c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4 S14.6,22,14.1,22c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4c0,0.6,0.2,1,0.6,1.4S13.5,26,14.1,26z M14.1,32c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4S13.5,32,14.1,32z M7,40c-1.7,0-3-1.4-3-3V11c0-0.8,0.3-1.5,0.9-2.1C5.5,8.3,6.2,8,7,8h34 c0.8,0,1.5,0.3,2.1,0.9C43.7,9.5,44,10.2,44,11v26c0,0.8-0.3,1.5-0.9,2.1C42.5,39.7,41.8,40,41,40L7,40z M7,37h34V11H7V37z M7,11\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Weiterf\u00fchrende Informationen<\/span><\/div>\n<p>Ein <a href=\"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/aami-tir-57-it-security-medizinprodukte\/\">Artikel zum AAMI TIR 57<\/a> beschreibt den Security Risk Management Prozess und dessen Zusammenspiel mit dem Risikomanagementprozess nach ISO 14971.<\/p>\n<\/div>\n\n\n\n<p>Als Teil dieses Prozesses m\u00fcssen die Hersteller die folgenden Aktivit\u00e4ten ausf\u00fchren:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Ein <a href=\"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/threat-modeling\/\">Threat Modelling<\/a> des ganzen Systems, was eine System-Architektur voraussetzt<\/li>\n\n\n\n<li>Eine Bewertung der Cybersecurity-Risiken<\/li>\n\n\n\n<li>Die Bewertung der Risiken durch die <a href=\"https:\/\/www.johner-institut.de\/blog\/tag\/interoperabilitat\/\">Interoperabilit\u00e4t<\/a> (dazu verweist die FDA auf das <a href=\"https:\/\/www.fda.gov\/regulatory-information\/search-fda-guidance-documents\/design-considerations-and-pre-market-submission-recommendations-interoperable-medical-devices\">Guidance Document zur Interoperabilit\u00e4t<\/a>)<\/li>\n\n\n\n<li>Eine Bewertung der Risiken durch <a href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/off-the-shelf-software-ots-versus-soup\/\">Off-the-shelf-Software<\/a> und das Erstellen einer Software Bill of Materials SBOM (mehr dazu im <a href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/sbom-software-bills-of-materials\/\">Fachartikel zur SBOM<\/a>)<\/li>\n\n\n\n<li>Die Bewertung der Security-Risiken durch verbliebene \u201eAnomalien\u201c<\/li>\n\n\n\n<li>Eine fortlaufende Bewertung der Cybersecurity-Risiken in der Post-Market-Phase. Diese k\u00f6nnen sich \u00e4ndern, weil beispielsweise neue Angriffsvektoren bekannt werden oder Produkte nicht mehr gepflegt werden.<\/li>\n\n\n\n<li>Auch die \u00dcberwachung des <a href=\"https:\/\/www.cisa.gov\/known-exploited-vulnerabilities-catalog\"><em>\u201eKnown Exploited Vulnerability Catalogs\u201c<\/em><\/a> z\u00e4hlt dazu.<\/li>\n\n\n\n<li>Ein Cybersecurity Testing, das die Wirksamkeit von Ma\u00dfnahmen zur Minimierung der Cybersecurity-Risiken pr\u00fcft und beispielsweise ein Penetration- und Fuzz-Testing, eine statische und dynamische Code-Analyse sowie eine \u201eAttack Surface Analysis\u201c beinhaltet.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">1.2 Anforderungen an das Produkt<\/h3>\n\n\n\n<p>Im Anhang nennt die FDA auch konkrete Produktanforderungen mit Bezug zur Cybersecurity. Diese betreffen die Kryptografie, Authentifizierungs- und Autorisierungskonzepte, die F\u00e4higkeit Angriffe zu protokollieren sowie das Produkt zu patchen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">1.3 Anforderungen an die Dokumentation<\/h3>\n\n\n\n<p>All diese T\u00e4tigkeiten m\u00fcssen in einer umfangreichen Dokumentation m\u00fcnden, wie beispielsweise:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Cybersecurity Management Plan<\/li>\n\n\n\n<li>Architekturdokumentation mit verschiedenen \u201eViews\u201c wie dem \u201eMulti-Patient Harm View\u201c und dem \u201eUpdateability and Patchability View\u201c<\/li>\n\n\n\n<li>SBOM<\/li>\n\n\n\n<li>Begleitmaterialien und Gebrauchsanweisungen<\/li>\n<\/ul>\n\n\n\n<p>Selbst die Ver\u00f6ffentlichung von \u201eSecurity Issues\u201c regelt die FDA und verweist dazu auf eine <a href=\"https:\/\/www.nema.org\/standards\/view\/manufacturer-disclosure-statement-for-medical-device-security\">Vorgabe der NEMA mit dem Titel <em>\u201eManufacturer Disclosure Statement for Medical Device Security\u201c<\/em><\/a>.<\/p>\n\n\n\n<p>Der Anhang 4 des Guidance Documents beschreibt den Aufbau einer solchen Cybersecurity-Akte (s. Abb. 1).<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/03\/FDA-Cybersecurity-Premarket-Submission-Documentation.png\" data-rel=\"lightbox-image-0\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"394\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/03\/FDA-Cybersecurity-Premarket-Submission-Documentation-1024x394.png\" alt=\"Mindmap zeigt von der FDA vorgeschlagene Kapitelstruktur der Cybersecurity-Akte (Postmarket Submission Documentation)\" class=\"wp-image-5378282\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/03\/FDA-Cybersecurity-Premarket-Submission-Documentation-1024x394.png 1024w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/03\/FDA-Cybersecurity-Premarket-Submission-Documentation-300x115.png 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/03\/FDA-Cybersecurity-Premarket-Submission-Documentation-768x296.png 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/03\/FDA-Cybersecurity-Premarket-Submission-Documentation-1536x591.png 1536w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/03\/FDA-Cybersecurity-Premarket-Submission-Documentation.png 1684w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/a><figcaption class=\"wp-element-caption\"><em>Abb. 1: Die von der FDA geforderte Struktur der Cybersecurity-Akte<\/em><\/figcaption><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"GeplanteUpdates\">1.4 Update<\/h3>\n\n\n\n<p>Nach nur gut einem halben Jahr sieht die FDA die Notwendigkeit, das Dokument zu erg\u00e4nzen. Diese geplanten \u00c4nderungen hat sie in einem Entwurf publiziert. Ein Grund ist der ge\u00e4nderte FD&amp;C mit dem Abschnitt 524b. <\/p>\n\n\n\n<p>Inzwischen hat die FDA das <a href=\"https:\/\/www.fda.gov\/regulatory-information\/search-fda-guidance-documents\/cybersecurity-medical-devices-quality-system-considerations-and-content-premarket-submissions\">Guidance Document zur Cybersecurity<\/a> in einer finalen Version publiziert.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">1.4.1 \u00c4nderung bei der Definition<\/h4>\n\n\n\n<p>Die FDA gibt nun genauer vor, was sie als Cyber Device z\u00e4hlt: Bereits ein USB-Anschluss oder eine serielle Schnittstelle w\u00fcrden die F\u00e4higkeit des Ger\u00e4ts begr\u00fcnden, sich mit dem Internet zu verbinden. Folglich m\u00fcssten die Anforderungen der Abschnitts 524B des FD&amp;C greifen und damit die Anforderungen der FDA an die Cybersecurity von Medizinprodukten.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">1.4.2 Erweiterter Cybersecurity Management Plan<\/h4>\n\n\n\n<p>Zudem w\u00fcnscht die FDA einen noch granulareren Cybersecurity Management Plan:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Er soll eine genau Beschreibung enthalten, wie der Hersteller Patches entwickelt, freigibt und ausrollt.<\/li>\n\n\n\n<li>Ebenso regelt sie noch feiner, wie die Hersteller Schwachstellen und \u201eExploits\u201c offenbaren m\u00fcssen.<\/li>\n\n\n\n<li>Schlie\u00dflich soll der Plan, der \u00fcber den kompletten Lebenszyklus gepflegt werden muss, unterscheiden, ob Produkte weiter gepflegt werden oder abgek\u00fcndigt wurden, aber noch genutzt werden.<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\">1.4.3 \u00c4nderungen bei \u00c4nderungsmitteilungen<\/h4>\n\n\n\n<p>Auch die \u00c4nderungsmitteilungen an die FDA sind von der geplanten Erweiterung des Guidance Documents zur Pre-Market-Cybersecurity betroffen. So will die Beh\u00f6rde sehen, welche Teile des Produkts ge\u00e4ndert werden, die eine Auswirkung auf die Cybersecurity haben k\u00f6nnen oder sollen. Beispiele sind die Architektur, Verschl\u00fcsselungsalgorithmen und neue \u201eConnectivity Features\u201c.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">1.4.4 Sonstige \u00c4nderungen<\/h4>\n\n\n\n<p>Relevant ist f\u00fcr die FDA k\u00fcnftig auch die Cybersecurity bei der Entscheidung, ob ein Produkt \u201esubstantially equivalent\u201c ist. D.h. Hersteller m\u00fcssen explizit die Cybersecurity betrachten, wenn sie ein \u201epredicate device\u201c angeben.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">2. Post-Market Management of Cybersecurity<\/h2>\n\n\n\n<p>Deutlich in die Jahre gekommen ist eine zweite Guideline mit dem Titel <em>\u201ePost-Market Management of Cybersecurity in Medical Devices\u201c<\/em> aus dem Jahr 2016.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 512 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><path d=\"M216,0h80c13.3,0,24,10.7,24,24v168h87.7c17.8,0,26.7,21.5,14.1,34.1L269.7,378.3c-7.5,7.5-19.8,7.5-27.3,0 L90.1,226.1c-12.6-12.6-3.7-34.1,14.1-34.1H192V24C192,10.7,202.7,0,216,0z M512,376v112c0,13.3-10.7,24-24,24H24 c-13.3,0-24-10.7-24-24V376c0-13.3,10.7-24,24-24h146.7l49,49c20.1,20.1,52.5,20.1,72.6,0l49-49H488C501.3,352,512,362.7,512,376z M388,464c0-11-9-20-20-20s-20,9-20,20s9,20,20,20S388,475,388,464z M452,464c0-11-9-20-20-20s-20,9-20,20s9,20,20,20 S452,475,452,464z\"><\/path><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Download<\/span><\/div>\n<p>Sie k\u00f6nnen diese <a href=\"https:\/\/www.fda.gov\/media\/95862\/download\">\u201ePost-Market Cybersecurity Guidance\u201c hier herunterladen<\/a>.<\/p>\n<\/div>\n\n\n\n<p>Die FDA hat erkannt, dass Hersteller w\u00e4hrend der Entwicklung nicht alle k\u00fcnftigen Bedrohungen mit Bezug zur Cybersecurity vorhersagen und adressieren k\u00f6nnen. Daher verlangt sie, dass die Hersteller auch nach der Entwicklung kontinuierlich diese Bedrohungen analysieren und entsprechende Ma\u00dfnahmen ergreifen.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 576 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><path d=\"M569.5,440c18.5,32-4.7,72-41.6,72H48.1c-36.9,0-60-40.1-41.6-72L246.4,24c18.5-32,64.7-32,83.2,0L569.5,440 L569.5,440z M288,354c-25.4,0-46,20.6-46,46s20.6,46,46,46s46-20.6,46-46S313.4,354,288,354z M244.3,188.7l7.4,136 c0.3,6.4,5.6,11.3,12,11.3h48.5c6.4,0,11.6-5,12-11.3l7.4-136c0.4-6.9-5.1-12.7-12-12.7h-63.4C249.4,176,244,181.8,244.3,188.7 L244.3,188.7z\"><\/path><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Achtung<\/span><\/div>\n<p>Die Anforderungen des Pre-Market Guidance Dokuments enth\u00e4lt auch Anforderungen an die Post-Market Cybersecurity.<\/p>\n<\/div>\n\n\n\n<h3 class=\"wp-block-heading\">2.1 \u201ePostmarket\u201c-Informationsquellen<\/h3>\n\n\n\n<p>Zu den Informationsquellen, die die Hersteller auswerten sollen, z\u00e4hlen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Ergebnisse der Sicherheitsforscher<\/li>\n\n\n\n<li>Eigene Tests<\/li>\n\n\n\n<li>Soft- und Hardware-Lieferanten<\/li>\n\n\n\n<li>Kunden wie Krankenh\u00e4user<\/li>\n\n\n\n<li>Institutionen, die sich auf das Sammeln, Analysieren und Verbreiten entsprechender Informationen spezialisiert haben<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">2.2 Ma\u00dfnahmen<\/h3>\n\n\n\n<p>Die FDA empfiehlt das <a href=\"https:\/\/www.nist.gov\/cyberframework\" target=\"_blank\" rel=\"noreferrer noopener\">NIST Framework<\/a> (National Institut for Standards and Technology) anzuwenden, dessen Elemente (Identify, Protect, Detect, Respond und Recover) auch das erste Guidance-Dokument aufgreift.<\/p>\n\n\n\n<ol start=\"1\" class=\"wp-block-list\">\n<li>Finden Sie heraus, welche wesentlichen (klinischen) Leistungsmerkmale Ihr Medizinprodukt erf\u00fcllen muss.<\/li>\n\n\n\n<li>Identifizieren Sie die Risiken, die auftreten, wenn diese Leistungsmerkmale nicht erf\u00fcllt sind \u2014 hier aufgrund eines Cybersecurity-Problems.<\/li>\n\n\n\n<li>Analysieren Sie, wie es zu diesem Problem kommen kann. Nutzen Sie dazu die o. g. Informationen.<\/li>\n\n\n\n<li>Bewerten Sie diese potenziellen Probleme und deren Wahrscheinlichkeiten, z. B. mit dem&nbsp;<a href=\"https:\/\/www.first.org\/cvss\/specification-document\" target=\"_blank\" rel=\"noreferrer noopener\">Common Vulnerability Scoring System<\/a>.<\/li>\n\n\n\n<li>Analysieren Sie die Auswirkungen auf die Gesundheit, d. h. den Schweregrad m\u00f6glicher Sch\u00e4den.<\/li>\n\n\n\n<li>Bewerten Sie die Vertretbarkeit der Risiken.<\/li>\n\n\n\n<li>Beseitigen Sie Schwachstellen (immer), stellen Sie die Wirksamkeit der Ma\u00dfnahmen sicher und dokumentieren Sie all das.<\/li>\n\n\n\n<li>Informieren Sie die Nutzer.<\/li>\n<\/ol>\n\n\n\n<p>An dieser Stelle erw\u00e4hnt die FDA, dass <strong>proaktive Ma\u00dfnahmen zur Verbesserung der Cybersecurity gem\u00e4\u00df 21 CFR part 806.10 der FDA nicht gemeldet werden m\u00fcssen<\/strong>.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/09\/FDA-Postmarket-Cybersecurity-Guidance-Draft.png\" data-rel=\"lightbox-image-1\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"993\" height=\"309\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/09\/FDA-Postmarket-Cybersecurity-Guidance-Draft.png\" alt=\"FDA Postmarket Cybersecurity Guidance Cocument\" class=\"wp-image-12649\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/09\/FDA-Postmarket-Cybersecurity-Guidance-Draft.png 993w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/09\/FDA-Postmarket-Cybersecurity-Guidance-Draft-300x93.png 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/09\/FDA-Postmarket-Cybersecurity-Guidance-Draft-768x239.png 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/09\/FDA-Postmarket-Cybersecurity-Guidance-Draft-150x47.png 150w\" sizes=\"auto, (max-width: 993px) 100vw, 993px\" \/><\/a><figcaption class=\"wp-element-caption\">Abb. 2: Die Kapitelstruktur des FDA Guidance Documents zur <strong>Post<\/strong>-Market Cybersecurity<\/figcaption><\/figure>\n\n\n\n<p><a href=\"https:\/\/cdn.johner-institut.de\/blog\/wp-content\/uploads\/2015\/09\/FDA-Postmarket-Cybersecurity-Guidance-Draft.png\" data-rel=\"lightbox-image-2\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><\/a><\/p>\n\n\n\n<h3 class=\"wp-block-heading\">2.3 Zwischenfazit<\/h3>\n\n\n\n<p>Die Forderungen der FDA konkretisieren, was man von einer \u00fcblichen Markt\u00fcberwachung erwarten w\u00fcrde. Bemerkenswert sind:<\/p>\n\n\n\n<ol start=\"1\" class=\"wp-block-list\">\n<li>Das Dokument ist an einigen Stellen erstaunlich konkret, z. B. die auszuwertenden Informationsquellen bzw. die anzuwendenden Methoden betreffend.<\/li>\n\n\n\n<li>Das Dokument gibt Antworten auf die Fragen, wann Cybersecurity-bezogene Ma\u00dfnahmen zu melden sind.<\/li>\n\n\n\n<li>Das Dokument definiert Begriffe (z. B. Exploit, Remediation, Threat, Threat Modelling) und gibt zahlreiche Beispiele.<\/li>\n<\/ol>\n\n\n\n<h2 class=\"wp-block-heading\">3. Wesentliche Unterschiede zu Europa<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">3.1 Lebenszyklusphasen<\/h3>\n\n\n\n<p>Die Post-Market-Anforderungen will die FDA in einem Plan des Herstellers abgebildet sehen (\u201e<strong>Cyber Management Plan<\/strong>\u201c). Diese Anforderungen stellt sie interessanterweise im Pre-Market Guidance Document.<\/p>\n\n\n\n<p>In Europa erwartet man hingegen bei Harmonisierung der IEC 81001-5-1, dass das QM-System alle Pre- und Postmarketprozesse vollst\u00e4ndig abbildet.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.2 Dokumentation<\/h3>\n\n\n\n<p>Die FDA ist bei der Forderung nach einer <strong>SBOM<\/strong> wesentlich pr\u00e4ziser: W\u00e4hrend die IEC 81001-5-1 und das MDCG 2019-16 die SBOM bestenfalls erw\u00e4hnen, verlinkt die FDA auf die NTIA-Spezifikation und erg\u00e4nzt noch weitere Forderungen (z.B. Angabe des End of Support zu jedem Element der SBOM).<\/p>\n\n\n\n<p>Die FDA legt gro\u00dfen Wert auf die <strong>\u201earchitectural views\u201c<\/strong> und spezifiziert sehr pr\u00e4zise ihre Erwartungen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.3 Sonstiges<\/h3>\n\n\n\n<p>Zudem erwartet die FDA <strong>Metriken<\/strong>, um die Reaktionsf\u00e4higkeit des Herstellers auf bekanntgewordene Schwachstellen zu bewerten.<\/p>\n\n\n\n<p>Mit der konkreten Liste an Artefakten zur Einreichung und der Aussage, dass der Begriff \u201ecyber device\u201c sich m\u00f6glicherweise auf alle <strong>Datenschnittstellen<\/strong> bezieht (explizit auch auf USB), ist die FDA ebenfalls sehr deutlich mit ihren Erwartungen. Die EU l\u00e4sst mit MDCG 2019-16 und IEC 81001-5-1 deutlich mehr Spielraum bei der Interpretation.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">4. Tipps f\u00fcr Hersteller<\/h2>\n\n\n\n<p>Die Erfahrungen des Johner Instituts zeigen, dass Hersteller von den folgenden Tipps profitieren:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Nutzen Sie das <strong>eStar-Format<\/strong>. Denn es listet die konkreten Artefakte der Cybersecurity, die die FDA bei der Einreichung bei allen Zulassungsverfahren (auch PMA) erwartet.<\/li>\n\n\n\n<li>Beachten Sie, dass selbst rein lokale Schnittstellen (z.B. <strong>USB oder Bluetooth<\/strong>) eine vollst\u00e4ndige Cybersecurity-Dokumentation erfordern. Allerdings ist eine Skalierung des Umfangs dieser Dokumentation m\u00f6glich.<\/li>\n\n\n\n<li>Nutzen Sie bei Unklarheiten <strong><a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/fda-pre-submission-programm\/\">\u201ePre-Submission-Meetings\u201c<\/a><\/strong> mit der FDA. Die Beh\u00f6rde ist oft \u00fcberraschend hilfsbereit und offen f\u00fcr Diskussionen.<\/li>\n\n\n\n<li>Greifen Sie auf <strong>unsere Hilfe<\/strong> zur\u00fcck, insbesondere wenn Sie noch wenig Erfahrungen mit dem Thema gesammelt haben. Denn der Weg des Eigenstudiums ist meist aufwendig und fehlerbehaftet.<\/li>\n\n\n\n<li>Lassen Sie <strong>Penetration-Test extern durchf\u00fchren<\/strong> (z.B. <a href=\"https:\/\/www.johner-institut.de\/produktpruefung\/it-security-pentesting\/\"><strong>bei uns<\/strong><\/a>), um keine Diskussionen um die Unabh\u00e4ngigkeit der Tester zu riskieren. Lassen Sie die zumindest die finale Software-Konfiguration testen. Da wir dabei fast immer Schwachstellen finden, empfehlen wir entwicklungsbegleitende kleinere Pen-Tests.<\/li>\n\n\n\n<li>Das <a href=\"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/threat-modeling\/\">Threat-Modeling<\/a> ist ebenfalls sehr aufwendig, zeitintensiv und bedarf gro\u00dfer Erfahrung mit Security-Risiken. Deshalb empfehlen wir auch hier <strong>Tools<\/strong> zu <strong>nutzen<\/strong> und <strong>Experten einzubinden<\/strong>.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">5. Fazit und Zusammenfassung<\/h2>\n\n\n\n<p>Medizinprodukte, die Software enthalten oder Software sind, verf\u00fcgen meist \u00fcber Datenschnittstellen. Deshalb m\u00fcssen sie ausreichend cybersicher ausgelegt werden.<\/p>\n\n\n\n<p>Die FDA beschreibt ihre Anforderungen recht detailliert in ihren beiden Guidance-Dokumenten f\u00fcr Pre- und Postmarket. Dar\u00fcber hinaus gibt sie mit den Recognized Consensus Standards praktische Hilfen zur Umsetzung.<\/p>\n\n\n\n<p>Erfreulich ist, dass diese Liste auch die IEC 81001-5-1 erw\u00e4hnt, weil diese Norm in anderen Teilen der Welt bereits verbindlich (z.B. Japan) oder harmonisiert (in der EU in Arbeit) ist.<\/p>\n\n\n\n<p>Mit der neusten geplanten Anpassung der Premarket Guidance legt die FDA die Messlatte noch h\u00f6her. Denn jetzt kommen auch bei \u00c4nderungen an bereits zugelassenen Produkten Anforderungen aus der Cybersecurity auf die Hersteller zu.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 50 50\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><rect width=\"10.16\" height=\"10.27\"><\/rect><rect y=\"13.24\" width=\"10.16\" height=\"10.27\"><\/rect><rect y=\"26.49\" width=\"10.16\" height=\"10.27\"><\/rect><rect x=\"13.15\" y=\"13.24\" width=\"10.16\" height=\"10.27\"><\/rect><rect x=\"13.15\" y=\"26.49\" width=\"10.16\" height=\"10.27\"><\/rect><rect x=\"13.15\" y=\"39.73\" width=\"10.16\" height=\"10.27\"><\/rect><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Unterst\u00fctzung<\/span><\/div>\n<p>Nutzen Sie die <a href=\"https:\/\/www.johner-institut.de\/technische-dokumentation\/it-sicherheit\/\">Hilfe des Johner Instituts bei der Interpretation und effizienten Umsetzung von FDA-Anforderungen<\/a>. <a href=\"\/kontakt\/\"><strong>Nehmen Sie gleich Kontakt auf<\/strong><\/a> mit den IT-Security-Experts des Johner Instituts<\/p>\n<\/div>\n\n\n\n<p>\u00c4nderungshistorie<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>2025-09-02: In Abschnitt 1.4 auf das inzwischen publizierte Guidance-Dokument verwiesen<\/li>\n\n\n\n<li>2024-03-26: Artikel komplett neu geschrieben mit Ausnahme des zweiten Kapitels<\/li>\n\n\n\n<li>2018-10-23: Erste Version des Artikels publiziert<\/li>\n<\/ul>\n\n\n\n<div class=\"wp-block-group has-white-color has-ji-banner-gradient-background has-text-color has-background is-layout-constrained wp-container-core-group-is-layout-301020a0 wp-block-group-is-layout-constrained\" style=\"padding-top:var(--wp--preset--spacing--50);padding-right:var(--wp--preset--spacing--50);padding-bottom:var(--wp--preset--spacing--50);padding-left:var(--wp--preset--spacing--50)\">\n<div class=\"wp-block-columns is-layout-flex wp-container-core-columns-is-layout-28f84493 wp-block-columns-is-layout-flex\">\n<div class=\"wp-block-column is-vertically-aligned-center is-content-justification-center is-layout-constrained wp-block-column-is-layout-constrained\" style=\"flex-basis:40%\">\n<p class=\"has-large-font-size\">\u00dcberlassen Sie die Sicherheit Ihrer Patienten nicht dem Zufall<\/p>\n<\/div>\n\n\n\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:25%\">\n<figure class=\"wp-block-image size-large is-resized\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/01\/JI_Icon-Pentesting_we.svg\"><img loading=\"lazy\" decoding=\"async\" width=\"32\" height=\"32\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/01\/JI_Icon-Pentesting_we.svg\" alt=\"\" class=\"wp-image-5367787\" style=\"width:150px;height:150px\"\/><\/a><\/figure>\n<\/div>\n\n\n\n<div class=\"wp-block-column is-vertically-aligned-center is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:35%\">\n<p>Gehen Sie mit einem Pentest des Johner Instituts auf Nummer sicher!<\/p>\n\n\n\n<div class=\"wp-block-buttons is-content-justification-left is-layout-flex wp-container-core-buttons-is-layout-fc4fd283 wp-block-buttons-is-layout-flex\">\n<div class=\"wp-block-button is-style-white-red\"><a class=\"wp-block-button__link wp-element-button\" href=\"https:\/\/www.johner-institut.de\/produktpruefungen\/pruefung-der-it-sicherheit\">Weitere Infos finden Sie hier<\/a><\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Die Cybersecurity von Medizinprodukten ist nicht nur ein Schwerpunkt der FDA, sondern auch anderer Gesetzgeber und Beh\u00f6rden, sowohl in den US als auch anderen M\u00e4rkten. Das ist nachvollziehbar, Die USA hat den \u201eFood, Drug &amp; Cosmetic Act\u201c (FD&amp;C) um Anforderungen an \u201eCyber Devices\u201c erg\u00e4nzt, und die FDA mehrere Guidance Documents zur Cybersecurity ver\u00f6ffentlicht, die dieser&hellip;<\/p>\n","protected":false},"author":74,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2}},"categories":[1103,184],"tags":[1188,1126,269],"ppma_author":[1213],"class_list":["post-8604","post","type-post","status-publish","format-standard","hentry","category-iso-14971-risikomanagement","category-iec-62304-medizinische-software","tag-fda","tag-it-security","tag-medizinische-software","category-1103","category-184","description-off"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.4 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>FDA-Guidance zur Cybersecurity bei Medizinprodukten<\/title>\n<meta name=\"description\" content=\"Die FDA fordert in einem Guidance Document zur Cybersecurity konkrete Aktivit\u00e4ten und Dokumentation f\u00fcr die Zulassung z.B. nach 510(k)\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/fda-guidance-zur-cybersecurity\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"FDA-Guidance zur Cybersecurity bei Medizinprodukten\" \/>\n<meta property=\"og:description\" content=\"Die FDA fordert in einem Guidance Document zur Cybersecurity konkrete Aktivit\u00e4ten und Dokumentation f\u00fcr die Zulassung z.B. nach 510(k)\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/fda-guidance-zur-cybersecurity\/\" \/>\n<meta property=\"og:site_name\" content=\"Regulatorisches Wissen f\u00fcr Medizinprodukte\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/JohnerInstitut\/\" \/>\n<meta property=\"article:published_time\" content=\"2025-09-03T13:40:10+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-09-06T07:51:21+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/03\/FDA-Cybersecurity-Premarket-Submission-Documentation.png\" \/>\n\t<meta property=\"og:image:width\" content=\"1684\" \/>\n\t<meta property=\"og:image:height\" content=\"648\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Christian Rosenzweig\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"Christian Rosenzweig\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"11\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/fda-guidance-zur-cybersecurity\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/fda-guidance-zur-cybersecurity\\\/\"},\"author\":{\"name\":\"Christian Rosenzweig\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/person\\\/a1bfe9a403a4dd4f8aed197335feb568\"},\"headline\":\"Die FDA Cybersecurity Guidance Documents\",\"datePublished\":\"2025-09-03T13:40:10+00:00\",\"dateModified\":\"2025-09-06T07:51:21+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/fda-guidance-zur-cybersecurity\\\/\"},\"wordCount\":1788,\"commentCount\":6,\"publisher\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#organization\"},\"image\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/fda-guidance-zur-cybersecurity\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/03\\\/FDA-Cybersecurity-Premarket-Submission-Documentation-1024x394.png\",\"keywords\":[\"FDA - Medizinprodukte in den USA\",\"IT Security\",\"Medizinische Software \\\/ Medical Device Software\"],\"articleSection\":[\"Risikomanagement &amp; ISO 14971\",\"Software &amp; IEC 62304\"],\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/fda-guidance-zur-cybersecurity\\\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/fda-guidance-zur-cybersecurity\\\/\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/fda-guidance-zur-cybersecurity\\\/\",\"name\":\"FDA-Guidance zur Cybersecurity bei Medizinprodukten\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/fda-guidance-zur-cybersecurity\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/fda-guidance-zur-cybersecurity\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/03\\\/FDA-Cybersecurity-Premarket-Submission-Documentation-1024x394.png\",\"datePublished\":\"2025-09-03T13:40:10+00:00\",\"dateModified\":\"2025-09-06T07:51:21+00:00\",\"description\":\"Die FDA fordert in einem Guidance Document zur Cybersecurity konkrete Aktivit\u00e4ten und Dokumentation f\u00fcr die Zulassung z.B. nach 510(k)\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/fda-guidance-zur-cybersecurity\\\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/fda-guidance-zur-cybersecurity\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/fda-guidance-zur-cybersecurity\\\/#primaryimage\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/03\\\/FDA-Cybersecurity-Premarket-Submission-Documentation.png\",\"contentUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/03\\\/FDA-Cybersecurity-Premarket-Submission-Documentation.png\",\"width\":1684,\"height\":648},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/fda-guidance-zur-cybersecurity\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Blog\",\"item\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Software &amp; IEC 62304\",\"item\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/category\\\/iec-62304-medizinische-software\\\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"Die FDA Cybersecurity Guidance Documents\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#website\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/\",\"name\":\"Regulatorisches Wissen f\u00fcr Medizinprodukte\",\"description\":\"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen\",\"publisher\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#organization\",\"name\":\"Johner Institut GmbH\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2015\\\/07\\\/Johner-Institut.png\",\"contentUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2015\\\/07\\\/Johner-Institut.png\",\"width\":1213,\"height\":286,\"caption\":\"Johner Institut GmbH\"},\"image\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/www.facebook.com\\\/JohnerInstitut\\\/\",\"https:\\\/\\\/x.com\\\/christianjohner\",\"https:\\\/\\\/www.youtube.com\\\/user\\\/JohnerInstitut\"]},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/person\\\/a1bfe9a403a4dd4f8aed197335feb568\",\"name\":\"Christian Rosenzweig\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/05\\\/Christian_Rosenzweig_300x300.png608f3c25642fdf010fd6a50508840c4c\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/05\\\/Christian_Rosenzweig_300x300.png\",\"contentUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/05\\\/Christian_Rosenzweig_300x300.png\",\"caption\":\"Christian Rosenzweig\"},\"description\":\"Christian Rosenzweig ist seit mehr als 20 Jahren im regulierten Medizinprodukteumfeld t\u00e4tig und ein absoluter Enthusiast in diesem Bereich. Er ist Mitglied des Normengremiums f\u00fcr Software und vernetzte Medizinprodukte, Experte f\u00fcr aktive Medizinprodukte, Risikomanagement und IT-Security, Leiter des Bereichs Risikomanagement und IT-Security am Johner Institut, Dozent f\u00fcr diese Themenbereiche bei Seminaren des Johner Instituts, sowie in dessen Studieng\u00e4nge. Operative Beratungsarbeit in Kundenprojekten gibt ihm die M\u00f6glichkeit, den Transfer zwischen Theorie und Praxis im Alltag anzuwenden.\",\"sameAs\":[\"https:\\\/\\\/www.linkedin.com\\\/in\\\/christian-rosenzweig-150810134\\\/\"],\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/author\\\/christianrosenzweig\\\/\"}]}<\/script>\n<meta name=\"copyright\" content=\"Johner Institut GmbH\" \/>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"FDA-Guidance zur Cybersecurity bei Medizinprodukten","description":"Die FDA fordert in einem Guidance Document zur Cybersecurity konkrete Aktivit\u00e4ten und Dokumentation f\u00fcr die Zulassung z.B. nach 510(k)","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/fda-guidance-zur-cybersecurity\/","og_locale":"de_DE","og_type":"article","og_title":"FDA-Guidance zur Cybersecurity bei Medizinprodukten","og_description":"Die FDA fordert in einem Guidance Document zur Cybersecurity konkrete Aktivit\u00e4ten und Dokumentation f\u00fcr die Zulassung z.B. nach 510(k)","og_url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/fda-guidance-zur-cybersecurity\/","og_site_name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","article_publisher":"https:\/\/www.facebook.com\/JohnerInstitut\/","article_published_time":"2025-09-03T13:40:10+00:00","article_modified_time":"2025-09-06T07:51:21+00:00","og_image":[{"width":1684,"height":648,"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/03\/FDA-Cybersecurity-Premarket-Submission-Documentation.png","type":"image\/png"}],"author":"Christian Rosenzweig","twitter_misc":{"Verfasst von":"Christian Rosenzweig","Gesch\u00e4tzte Lesezeit":"11\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/fda-guidance-zur-cybersecurity\/#article","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/fda-guidance-zur-cybersecurity\/"},"author":{"name":"Christian Rosenzweig","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/a1bfe9a403a4dd4f8aed197335feb568"},"headline":"Die FDA Cybersecurity Guidance Documents","datePublished":"2025-09-03T13:40:10+00:00","dateModified":"2025-09-06T07:51:21+00:00","mainEntityOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/fda-guidance-zur-cybersecurity\/"},"wordCount":1788,"commentCount":6,"publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/fda-guidance-zur-cybersecurity\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/03\/FDA-Cybersecurity-Premarket-Submission-Documentation-1024x394.png","keywords":["FDA - Medizinprodukte in den USA","IT Security","Medizinische Software \/ Medical Device Software"],"articleSection":["Risikomanagement &amp; ISO 14971","Software &amp; IEC 62304"],"inLanguage":"de","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/fda-guidance-zur-cybersecurity\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/fda-guidance-zur-cybersecurity\/","url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/fda-guidance-zur-cybersecurity\/","name":"FDA-Guidance zur Cybersecurity bei Medizinprodukten","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/fda-guidance-zur-cybersecurity\/#primaryimage"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/fda-guidance-zur-cybersecurity\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/03\/FDA-Cybersecurity-Premarket-Submission-Documentation-1024x394.png","datePublished":"2025-09-03T13:40:10+00:00","dateModified":"2025-09-06T07:51:21+00:00","description":"Die FDA fordert in einem Guidance Document zur Cybersecurity konkrete Aktivit\u00e4ten und Dokumentation f\u00fcr die Zulassung z.B. nach 510(k)","breadcrumb":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/fda-guidance-zur-cybersecurity\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/fda-guidance-zur-cybersecurity\/"]}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/fda-guidance-zur-cybersecurity\/#primaryimage","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/03\/FDA-Cybersecurity-Premarket-Submission-Documentation.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/03\/FDA-Cybersecurity-Premarket-Submission-Documentation.png","width":1684,"height":648},{"@type":"BreadcrumbList","@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/fda-guidance-zur-cybersecurity\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Blog","item":"https:\/\/www.johner-institut.de\/blog\/"},{"@type":"ListItem","position":2,"name":"Software &amp; IEC 62304","item":"https:\/\/www.johner-institut.de\/blog\/category\/iec-62304-medizinische-software\/"},{"@type":"ListItem","position":3,"name":"Die FDA Cybersecurity Guidance Documents"}]},{"@type":"WebSite","@id":"https:\/\/www.johner-institut.de\/blog\/#website","url":"https:\/\/www.johner-institut.de\/blog\/","name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","description":"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen","publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.johner-institut.de\/blog\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":"Organization","@id":"https:\/\/www.johner-institut.de\/blog\/#organization","name":"Johner Institut GmbH","url":"https:\/\/www.johner-institut.de\/blog\/","logo":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","width":1213,"height":286,"caption":"Johner Institut GmbH"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/JohnerInstitut\/","https:\/\/x.com\/christianjohner","https:\/\/www.youtube.com\/user\/JohnerInstitut"]},{"@type":"Person","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/a1bfe9a403a4dd4f8aed197335feb568","name":"Christian Rosenzweig","image":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png608f3c25642fdf010fd6a50508840c4c","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png","caption":"Christian Rosenzweig"},"description":"Christian Rosenzweig ist seit mehr als 20 Jahren im regulierten Medizinprodukteumfeld t\u00e4tig und ein absoluter Enthusiast in diesem Bereich. Er ist Mitglied des Normengremiums f\u00fcr Software und vernetzte Medizinprodukte, Experte f\u00fcr aktive Medizinprodukte, Risikomanagement und IT-Security, Leiter des Bereichs Risikomanagement und IT-Security am Johner Institut, Dozent f\u00fcr diese Themenbereiche bei Seminaren des Johner Instituts, sowie in dessen Studieng\u00e4nge. Operative Beratungsarbeit in Kundenprojekten gibt ihm die M\u00f6glichkeit, den Transfer zwischen Theorie und Praxis im Alltag anzuwenden.","sameAs":["https:\/\/www.linkedin.com\/in\/christian-rosenzweig-150810134\/"],"url":"https:\/\/www.johner-institut.de\/blog\/author\/christianrosenzweig\/"}]}},"jetpack_publicize_connections":[],"jetpack_featured_media_url":"","jetpack-related-posts":[{"id":12419,"url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/fda-update\/","url_meta":{"origin":8604,"position":0},"title":"FDA Update: Nichts von der US-Beh\u00f6rde verpassen","author":"Luca Salvatore","date":"1. Oktober 2019","format":false,"excerpt":"Die FDA hat sich umfassende Transparenz auf die Fahnen geschrieben. Entsprechend publiziert die Beh\u00f6rde\u00a0regelm\u00e4\u00dfig\u00a0Informationen in einer Menge, die kaum noch \u00fcberschaubar ist. Dieser Artikel h\u00e4lt Sie mit dem Wichtigsten auf dem Laufenden. FDA Update Q3: Ende September mit Fokus auf Software Zusammenfassung der Zusammenfassungen Sie haben keine Zeit, unsere Zusammenfassungen\u2026","rel":"","context":"In &quot;Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte&quot;","block_context":{"text":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","link":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},"img":{"alt_text":"FDA Update","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/12\/FDA-Update-compressor.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/12\/FDA-Update-compressor.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/12\/FDA-Update-compressor.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/12\/FDA-Update-compressor.png?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/12\/FDA-Update-compressor.png?resize=1050%2C600&ssl=1 3x"},"classes":[]},{"id":12787,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/fda-interoperability-guidance\/","url_meta":{"origin":8604,"position":1},"title":"FDA: Interoperability Guidance (1. Entwurf)","author":"Prof. Dr. Christian Johner","date":"19. Februar 2016","format":false,"excerpt":"Die FDA hat ein Interoperability Guidance als Entwurf ver\u00f6ffentlicht. Es tr\u00e4gt den Titel \u201eDesign Considerations and Pre-market Submission Recommendations for Interoperable Medical Devices\u201c (hier zum Download). Lesen Sie hier, was die FDA damit bezweckt und auf welche Anforderungen Sie sich einstellen m\u00fcssen. Interoperability Guidance Document: Was die FDA bezweckt #1\u2026","rel":"","context":"In &quot;Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte&quot;","block_context":{"text":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","link":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},"img":{"alt_text":"FDA Interoperability Guidance","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/02\/FDA-Interoperability-Guidance.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/02\/FDA-Interoperability-Guidance.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/02\/FDA-Interoperability-Guidance.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/02\/FDA-Interoperability-Guidance.png?resize=700%2C400&ssl=1 2x"},"classes":[]},{"id":57,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/security-patch\/","url_meta":{"origin":8604,"position":2},"title":"Security Patches &#8211; aus der regulatorischen Brille betrachtet","author":"Christian Rosenzweig","date":"12. Januar 2018","format":false,"excerpt":"Unter einem Security Patch versteht man eine Nachbesserung an einer Software, um eine Sicherheitsl\u00fccke zu stopfen. F\u00fcr einen Security Patch gelten teilweise andere regulatorische Anforderungen als an andere Software Updates. Auf was Sie achten m\u00fcssen, erfahren Sie in diesem Beitrag. Security Patch Definition Eine etwas l\u00e4ngliche aber hilfreiche Definition des\u2026","rel":"","context":"In &quot;Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte&quot;","block_context":{"text":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","link":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},"img":{"alt_text":"Security Patch","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2008\/10\/Security-Patch-150x150.jpg?resize=350%2C200&ssl=1","width":350,"height":200},"classes":[]},{"id":1214537,"url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/fda-software-precertification-pre-cert-pilot-program\/","url_meta":{"origin":8604,"position":3},"title":"FDA Software Precertification (Pre-Cert) Pilot Program","author":"Prof. Dr. Christian Johner","date":"30. September 2022","format":false,"excerpt":"Von 2017 bis 2022 bot die FDA ausgew\u00e4hlten Firmen f\u00fcr standalone Software ein \"Precertification (Pre-Cert) Pilot Program\" an, das den Zulassungsprozess von Digital Health Produkten vereinfachen und beschleunigen sollte. Weiterf\u00fchrende Informationen Auf Ihrer Webseite informiert die Beh\u00f6rde ausf\u00fchrlich dar\u00fcber. Dieser Artikel fasst Ihnen die wichtigsten Aspekte zusammen und verschafft Ihnen\u2026","rel":"","context":"In &quot;Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte&quot;","block_context":{"text":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","link":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},"img":{"alt_text":"FDA CQOE Pre-Cert Program","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/04\/FDA-CQOE-Pre-Cert-Program.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/04\/FDA-CQOE-Pre-Cert-Program.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/04\/FDA-CQOE-Pre-Cert-Program.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/04\/FDA-CQOE-Pre-Cert-Program.png?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/04\/FDA-CQOE-Pre-Cert-Program.png?resize=1050%2C600&ssl=1 3x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/04\/FDA-CQOE-Pre-Cert-Program.png?resize=1400%2C800&ssl=1 4x"},"classes":[]},{"id":8191,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/medical-device-data-systems-mdds\/","url_meta":{"origin":8604,"position":4},"title":"MDDS: Medical Device Data Systems","author":"Urs M\u00fcller","date":"14. Oktober 2022","format":false,"excerpt":"Am 27.09.2019 hat die FDA das Guidance-Dokument zu den Medical Device Data Systems (MDDS) als neue Version ver\u00f6ffentlicht. Am 19. April 2021 hat sie die Klassifizierung dieser Produkte \u00fcberarbeitet. Dieses Dokument erl\u00e4utert, wann Ihr Produkt (z. B. Ihre Software) als MDDS z\u00e4hlt, wann Sie sich auf eine \u00dcberwachung durch die\u2026","rel":"","context":"In &quot;Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte&quot;","block_context":{"text":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","link":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/09\/Medical-Device-Data-Systems-MDDS-Guidance.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/09\/Medical-Device-Data-Systems-MDDS-Guidance.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/09\/Medical-Device-Data-Systems-MDDS-Guidance.png?resize=525%2C300&ssl=1 1.5x"},"classes":[]},{"id":2672084,"url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/3d-druck-medizin\/","url_meta":{"origin":8604,"position":5},"title":"3D-Druck in der Medizin: Anregungen bekommen,  Fallen vermeiden","author":"Prof. Dr. Christian Johner","date":"17. September 2019","format":false,"excerpt":"Glaubt man den Analysen von Gartner, hat der 3D-Druck in der Medizin den \u201eGipfel der \u00fcberzogenen Erwartungen \u00fcberschritten. Viele Firmen versuchen noch auf den Zug aufzuspringen. Sie haben jedoch weder eine genaue Vorstellung wie, noch wissen sie, wie Gesetze den 3D-Druck regulieren. Die Regularien sind komplex und unterscheiden sich ggf.\u2026","rel":"","context":"In &quot;Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte&quot;","block_context":{"text":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","link":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/09\/FDA-Guidance-3D-Druck.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/09\/FDA-Guidance-3D-Druck.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/09\/FDA-Guidance-3D-Druck.jpg?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/09\/FDA-Guidance-3D-Druck.jpg?resize=700%2C400&ssl=1 2x"},"classes":[]}],"jetpack_shortlink":"https:\/\/wp.me\/pavawf-2eM","jetpack_sharing_enabled":true,"authors":[{"term_id":1213,"user_id":74,"is_guest":0,"slug":"christianrosenzweig","display_name":"Christian Rosenzweig","avatar_url":{"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png","url2x":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png"},"0":null,"1":"","2":"","3":"","4":"","5":"","6":"","7":"","8":"","9":""}],"_links":{"self":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/8604","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/users\/74"}],"replies":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/comments?post=8604"}],"version-history":[{"count":39,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/8604\/revisions"}],"predecessor-version":[{"id":5381746,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/8604\/revisions\/5381746"}],"wp:attachment":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/media?parent=8604"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/categories?post=8604"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/tags?post=8604"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/ppma_author?post=8604"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}