Seit dem 01.04.2022 wird von Herstellern digitaler Gesundheitsanwendungen (DiGA) eine ISMS-Zertifizierung nach ISO 27001 oder auf Basis von IT-Grundschutz gefordert. Auch Pentests sind nun verpflichtend.
Mit der 1. DiGAVÄndV (Erste Verordnung zur Änderung der Digitalen Gesundheitsanwendungen-Verordnung) kommen auf Hersteller und Betreiber digitaler Gesundheitsanwendungen neue Verpflichtungen zu. Diese betreffen in erster Linie den Aufbau sowie Nachweis eines Informationssicherheits-Managementsystems (ISMS) und die Durchführung von Penetrationstests. Ab April 2023 wird zudem eine Datenschutzzertifizierung nach Art. 42 DSGVO verbindlich.
Neue ISMS-Zertifizierungspflicht für DiGA-Hersteller
Ab sofort wird von DiGA-Herstellern eine ISMS-Zertifizierung gemäß ISO 27001 oder BSI IT-Grundschutz (ISO 27001 auf der Basis von IT-Grundschutz) gefordert. Nachzuweisen ist das eingeführte Informationssicherheits-Managementsystem (ISMS) über ein akkreditiertes Zertifikat. Diese Forderung gilt seit dem 01.04.2022 sowohl für neue Hersteller als auch für bereits gelistete oder sich im Antragsverfahren befindliche DiGA. Das Zertifikat muss dem Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) auf Verlangen vorgelegt werden.
Pentests als Basisanforderung für alle DiGA
Waren Pentests bisher nur bei digitalen Gesundheitsanwendungen mit erhöhtem Schutzbedarf gefordert, sind sie nun fester Bestandteil der Basisanforderungen, die für alle digitalen Gesundheitsanwendungen gleichermaßen gelten. Damit ist die Durchführung von Pentests eine der notwendigen Voraussetzungen für DiGA-Hersteller, um im DiGA-Verzeichnis erstattungsfähiger digitaler Gesundheitsanwendungen entsprechend gelistet zu werden.
Ab 2023 auch Datenschutzzertifikat Pflicht
Noch muss der Datenschutz einer DiGA nur über die Herstellereigenerklärung nachgewiesen werden. Ab dem 01.04.2023 soll sich dies allerdings ändern: Von da an ist eine Datenschutzzertifizierung nach Art. 42 DSGVO erforderlich, um auch weiterhin im DiGA-Verzeichnis gelistet zu bleiben.
Die wichtigsten Infos zum Fast-Track-Verfahren beim BfArM in Kürze
Um ins Verzeichnis erstattungsfähiger digitaler Gesundheitsanwendungen aufgenommen zu werden, muss ein Prüfverfahren beim BfArM durchlaufen werden. Nach Eingang des vollständigen Antrags dauert die Bewertungszeit in etwa drei Monate.
Folgende Nachweise sind zu erbringen bzw. sollten auf Verlangen vorgelegt werden können:
Weitere Informationen zum Antragsverfahren finden Sie im Leitfaden „Das Fast-Track-Verfahren für digitale Gesundheitsanwendungen (DiGA) nach § 139e SGB V“ des BfArM.
Mit der 1. DiGAVÄndV (Erste Verordnung zur Änderung der Digitalen Gesundheitsanwendungen-Verordnung) kommen auf Hersteller und Betreiber digitaler Gesundheitsanwendungen neue Verpflichtungen zu. Diese betreffen in erster Linie den Aufbau sowie Nachweis eines Informationssicherheits-Managementsystems (ISMS) und die Durchführung von Penetrationstests. Ab April 2023 wird zudem eine Datenschutzzertifizierung nach Art. 42 DSGVO verbindlich.
Neue ISMS-Zertifizierungspflicht für DiGA-Hersteller
Ab sofort wird von DiGA-Herstellern eine ISMS-Zertifizierung gemäß ISO 27001 oder BSI IT-Grundschutz (ISO 27001 auf der Basis von IT-Grundschutz) gefordert. Nachzuweisen ist das eingeführte Informationssicherheits-Managementsystem (ISMS) über ein akkreditiertes Zertifikat. Diese Forderung gilt seit dem 01.04.2022 sowohl für neue Hersteller als auch für bereits gelistete oder sich im Antragsverfahren befindliche DiGA. Das Zertifikat muss dem Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) auf Verlangen vorgelegt werden.
Pentests als Basisanforderung für alle DiGA
Waren Pentests bisher nur bei digitalen Gesundheitsanwendungen mit erhöhtem Schutzbedarf gefordert, sind sie nun fester Bestandteil der Basisanforderungen, die für alle digitalen Gesundheitsanwendungen gleichermaßen gelten. Damit ist die Durchführung von Pentests eine der notwendigen Voraussetzungen für DiGA-Hersteller, um im DiGA-Verzeichnis erstattungsfähiger digitaler Gesundheitsanwendungen entsprechend gelistet zu werden.
Ab 2023 auch Datenschutzzertifikat Pflicht
Noch muss der Datenschutz einer DiGA nur über die Herstellereigenerklärung nachgewiesen werden. Ab dem 01.04.2023 soll sich dies allerdings ändern: Von da an ist eine Datenschutzzertifizierung nach Art. 42 DSGVO erforderlich, um auch weiterhin im DiGA-Verzeichnis gelistet zu bleiben.
Die wichtigsten Infos zum Fast-Track-Verfahren beim BfArM in Kürze
Um ins Verzeichnis erstattungsfähiger digitaler Gesundheitsanwendungen aufgenommen zu werden, muss ein Prüfverfahren beim BfArM durchlaufen werden. Nach Eingang des vollständigen Antrags dauert die Bewertungszeit in etwa drei Monate.
Folgende Nachweise sind zu erbringen bzw. sollten auf Verlangen vorgelegt werden können:
- Nachweis über die Erfüllung medizinprodukterechtlicher Anforderungen
- Erklärung nach Anlage 1 der DiGAV: Anforderungen an Datenschutz und Datensicherheit
- Erklärung nach Anlage 2 der DiGAV: Anforderungen an Interoperabilität, Robustheit, Verbraucherschutz, Nutzerfreundlichkeit, Unterstützung von Leistungserbringenden, Qualität medizinischer Inhalte und Patientensicherheit
- Nachweis positiver Versorgungseffekte*
- Nachweis über die Durchführung von Penetrationstests
- ISMS-Zertifikat gemäß ISO 27001 oder „ISO 27001 auf der Basis von IT-Grundschutz (BSI Standard 200-2: IT-Grundschutz-Methodik)“
- Bei sehr hohem Schutzbedarf: Beantwortung der Checkliste der Zusatzanforderungen bei DiGA mit sehr hohem Schutzbedarf
- Ab dem 01.04.2023: Zertifikat nach Artikel 42 der DSGVO
Weitere Informationen zum Antragsverfahren finden Sie im Leitfaden „Das Fast-Track-Verfahren für digitale Gesundheitsanwendungen (DiGA) nach § 139e SGB V“ des BfArM.
