IT-Sicherheitsüberprüfung nach §17 MPBetreibV

Ablaufdiagramm für Software als Medizinprodukt (Klassen IIb/III) und IVD-Software (Klassen C/D)
HANDREICHUNG FBMT / BVMI
1
Vorbereitung
§4, §7, §13, §14, §17(1) MPBetreibV
1.1
Betreiber
Prüfung Klasse der Software als Medizinprodukt
Prüfung, ob die Software unter §17(1) fällt: SaMD Klassen IIb/III (MDR Art. 51 i.V.m. Anh. VIII VO (EU) 2017/745) oder IVD-Software Klassen C/D (IVDR Art. 47 i.V.m. Anh. VIII VO (EU) 2017/746). Ausnahme: DiGA nach §33a SGB V und DiPA nach §78a SGB XI.
§17(1) B3S 6.5
EUDAMED – Klasse prüfen
1.2
Hersteller
Herstellerdokumentation bereitstellen
Gebrauchsanweisung, sicherheitsbezogene Informationen, Instandhaltungshinweise, MDS2 und Software Bill of Materials (SBoM) übergeben.
B3S 6.13.14
Gebrauchsanweisung / Security Guideline
MDS2 – BSI Leitfaden Medizinprodukte SBoM – Expertenkreis CyberMed (ACS)
1.3
Betreiber
MDS2 Funktionen dokumentieren (Inkl. B3S Mapping)
Dokumentation der Sicherheitskonfigurationen. Manufacturer Disclosure Statement mit 240 Items in 23 Themenfeldern als Grundlage für die IT-Sicherheitsüberprüfung.
B3S 6.13.14
MDS2 Formular
1.4
Betreiber
Betriebs- und Sicherheitskonzept erstellen
Netzwerkintegration planen, Anforderungen an digitale Infrastruktur berücksichtigen (§4 Abs. 6).
§4(6) B3S 6.6 / 6.13.1
Inhalte anzeigen
Systemzeichnung — Netzwerkplan mit Darstellung aller Verbindungen des Medizinprodukts zu IT-Systemen, Schnittstellen und Netzwerksegmenten.
Dokumentation der Betriebsumgebung — Beschreibung der digitalen Infrastruktur: Betriebssysteme, Datenbanken, Middleware, Firewalls, VPN, Zugangskontrollen und Schnittstellen zu weiteren Systemen.
Betriebs- und Sicherheitskonzept
1.5
Betreiber
Verantwortlichkeitsvereinbarung
Klare Zuordnung der Zuständigkeiten zwischen Hersteller, Betreiber und ggf. Dienstleister.
B3S 6.12
Zuständigkeitsvereinbarung
RACI-Matrix
2
Installation & Einweisung
§17 Abs. 1 MPBetreibV
2.1
Hersteller / befugte Person
Prüfung ordnungsgemäße Installation
Hersteller oder eine im Einvernehmen mit dem Hersteller handelnde befugte Person prüft die korrekte Installation. Auch per Fernzugriff möglich.
§17(1) Nr. 1 B3S 6.13.10
Prüfprotokoll ordnungsgemäße Installation
2.2
Hersteller / befugte Person
Einweisung der beauftragten Person
Einweisung anhand Gebrauchsanweisung, sicherheitsbezogener Informationen, Instandhaltungshinweise und zulässiger Verbindung mit anderen Produkten.
§17(1) Nr. 2 B3S 6.8
Einweisungsprotokoll / -nachweis
2.3
Betreiber
Dokumentation der Software als Medizinprodukt im Medizinproduktebuch
Erfassung von Installation, Einweisung, IT-Sicherheitsüberprüfungen, Fristen und Instandhaltungen im Medizinproduktebuch gemäß §13 MPBetreibV. Das Medizinproduktebuch muss dem Benutzer während der Arbeitszeit zugänglich sein.
§13 MPBetreibV B3S 6.5
Medizinproduktebuch (aktualisiert)
2.4
Betreiber
Risikomanagement IT-Netzwerk
Risikoanalyse nach DIN EN ISO 80001-1 für den vernetzten Betrieb des Medizinprodukts. Schutzziele: Safety, Effectiveness, Security.
B3S 5 / 6.13.10
Risikobewertung IT-Netzwerk
⚠ §17(2): Software darf nur von eingewiesenen Personen betrieben/benutzt werden.
Voraussetzung für Betrieb erfüllt
3
IT-Sicherheitsüberprüfung (Erst-/Folgeprüfung)
§17 Abs. 3 MPBetreibV
3.1
Betreiber
Beauftragung qualifizierter Prüfer
Nur Personen/Betriebe/Einrichtungen, die die Voraussetzungen nach §5 hinsichtlich der IT-Sicherheitsüberprüfungen des jeweiligen Produktes erfüllen.
§17(4) i.V.m. §5 B3S 8.1
3.2
Prüfer
Dokumentenprüfung
Prüfung anhand MDS2, Security Guideline, B3S, IT-Grundschutz. Abgleich der dokumentierten IT-Sicherheitseigenschaften mit der tatsächlichen Installation.
§17(3) B3S 6.10
3.3
Prüfer
Nachweissprüfung
Konfigurationsprüfung, Schwachstellenscan, ggf. Penetrationstest – je nach Risikoprofil und Art der Software.
B3S 6.13.5
3.4
Prüfer
Erstellung Prüfprotokoll
Protokoll mit Datum der Durchführung, Ergebnissen und ggf. Mängelliste erstellen.
§17(3) S. 4 B3S 6.10
Prüfprotokoll IT-Sicherheitsüberprüfung
Vorlage Prüfprotokoll (VDI 5707) ↓
3.5
Prüfer
Mängelliste erstellen (bei Feststellungen)
Festgestellte Mängel aus Dokumenten- und Nachweissprüfung (→ 3.2, 3.3) in einer Mängelliste dokumentieren.
Mängelliste
Ergebnis der Prüfung — Mängel festgestellt?
4
Mängelbeseitigung (falls Mängel festgestellt)
Pflicht des Betreibers
4.1
Betreiber
Mängelbeseitigung
Festgestellte Mängel beseitigen, ggf. unter Mitwirkung des Herstellers oder IT-Dienstleisters.
B3S 6.9
4.2
Prüfer
Nachprüfung
Verifizierung der Mängelbeseitigung durch den qualifizierten Prüfer.
Nachprüfungsprotokoll
4.3
Betreiber
Dokumentation aktualisieren
Mängelbeseitigung und Nachprüfung im Medizinproduktebuch dokumentieren.
§13
Medizinproduktebuch (aktualisiert)
Prüfung abgeschlossen — keine (weiteren) Mängel
5
Folgeprüfung (Zyklus)
§17 Abs. 3 Satz 2–3 MPBetreibV
🔄

Nächste IT-Sicherheitsüberprüfung spätestens alle 2 Jahre

Frist: Spätestens mit Ablauf des Monats, in dem die Installation erfolgte oder die letzte Prüfung durchgeführt wurde. Bei konkretem Anlass (Benutzungs-/Umgebungsbedingungen) auch früher. → Weiter mit Phase 3

§17(3) S. 2–3
Rechtsgrundlage: §17 MPBetreibV (in Kraft seit Feb. 2025, §17 gilt ab Aug. 2025) — SaMD Klassen IIb/III (MDR), IVD-Software Klassen C/D (IVDR). Verstöße = Ordnungswidrigkeit (§19 Nr. 3).
Normen & Standards: MDS2, BSI IT-Grundschutz, B3S „Medizinische Versorgung" v1.3.1 (DKG, Eignung festgestellt 3.11.2025), DIN EN IEC 80001-1, DIN EN IEC 81001-5-1.
Erstellt von: FBMT / BVMI – Handreichung zur Umsetzung der IT-Sicherheitsüberprüfung.
Impressum

Angaben gemäß § 5 DDG

Botenstoffe Consulting GmbH
Franz-Volhard-Straße 5
68167 Mannheim

Vertreten durch

Geschäftsführer: Karsten Hellinger

Kontakt

Telefon: +49 621 4908956 0
E-Mail: info [at] botenstoffe.com

Registereintrag

Eintragung im Handelsregister.
Registergericht: Amtsgericht Mannheim
Registernummer: HRB 750668

Umsatzsteuer-ID

Umsatzsteuer-Identifikationsnummer gemäß § 27a Umsatzsteuergesetz:
DE367926760

Verantwortlich für den Inhalt nach § 18 Abs. 2 MStV

Karsten Hellinger
Botenstoffe Consulting GmbH
Franz-Volhard-Straße 5
68167 Mannheim

Haftungsausschluss

Haftung für Inhalte

Die Inhalte dieser Seite wurden mit größtmöglicher Sorgfalt erstellt. Für die Richtigkeit, Vollständigkeit und Aktualität der Inhalte können wir jedoch keine Gewähr übernehmen. Als Diensteanbieter sind wir gemäß § 7 Abs. 1 DDG für eigene Inhalte auf diesen Seiten nach den allgemeinen Gesetzen verantwortlich. Nach §§ 8 bis 10 DDG sind wir als Diensteanbieter jedoch nicht verpflichtet, übermittelte oder gespeicherte fremde Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen.

Haftung für Links

Diese Handreichung kann Links zu externen Websites Dritter enthalten, auf deren Inhalte wir keinen Einfluss haben. Deshalb können wir für diese fremden Inhalte auch keine Gewähr übernehmen. Für die Inhalte der verlinkten Seiten ist stets der jeweilige Anbieter oder Betreiber der Seiten verantwortlich. Die verlinkten Seiten wurden zum Zeitpunkt der Verlinkung auf mögliche Rechtsverstöße überprüft. Rechtswidrige Inhalte waren zum Zeitpunkt der Verlinkung nicht erkennbar. Eine permanente inhaltliche Kontrolle der verlinkten Seiten ist jedoch ohne konkrete Anhaltspunkte einer Rechtsverletzung nicht zumutbar. Bei Bekanntwerden von Rechtsverletzungen werden wir derartige Links umgehend entfernen.

Urheberrecht

Die durch den Seitenbetreiber erstellten Inhalte und Werke auf diesen Seiten unterliegen dem deutschen Urheberrecht. Die Vervielfältigung, Bearbeitung, Verbreitung und jede Art der Verwertung außerhalb der Grenzen des Urheberrechtes bedürfen der schriftlichen Zustimmung des jeweiligen Autors bzw. Erstellers. Downloads und Kopien dieser Seite sind nur für den privaten, nicht kommerziellen Gebrauch gestattet.

Widerspruch gegen Werbung

Der Nutzung von im Rahmen der Impressumspflicht veröffentlichten Kontaktdaten durch Dritte zur Übersendung von nicht ausdrücklich angeforderter Werbung und Informationsmaterialien wird hiermit ausdrücklich widersprochen. Die Betreiber der Seiten behalten sich ausdrücklich rechtliche Schritte im Falle der unverlangten Zusendung von Werbeinformationen, etwa durch Spam-E-Mails, vor.