Aktualisierter DiGA-Leitfaden: Das sollten DiGA-Hersteller wissen

Seit Inkrafttreten des Digitale-Versorgung-Gesetzes (DVG) ist es Ärzt:innen und Psychothera-peut:innen möglich, sogenannte „Apps auf Rezept“ zu verschreiben. Vorher muss eine digitale Ge-sundheitsanwendung (DiGA) jedoch erfolgreich ein Prüfverfahren beim Bundesinstitut für Arzneimit-tel und Medizinprodukte (BfArM) durchlaufen haben. Der dazugehörige Leitfaden wurde am 11. Ok-tober aktualisiert und bringt in erster Linie Änderungen in Bezug auf Penetrationstests mit sich.

Höhere Anforderungen an Penetrationstests & neue Fristen

Die Revision des DiGA-Leitfadens fordert, dass Penetrationstest künftig vorrangig von BSI-zertifizierten Teststellen durchgeführt werden. Zudem sollen sie verpflichtend Code Reviews sowie Whitebox-Tests enthalten. Waren Pentests nach der Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) bisher nur für DiGA mit erhöhtem Schutzbedarf vorgeschrieben, sind diese mit Inkrafttreten des Digitale-Versorgung-und-Pflege-Modernisierungs-Gesetz (DVPMG) für alle DiGA obligatorisch. Damit gehört die Durchführung von Penetrationstests ab sofort zu den „Basisanforderungen, die für alle digitalen Gesundheitsanwendungen gelten“ (Anlage 1). Daraus ergeben sich für DiGA-Hersteller – abhängig vom Stand des Antragsverfahrens – zwei relevante Fristen:
 

  • 31.01.2024: Der 31.01.2024 ist für DiGA-Hersteller relevant, die sich entweder vor dem 01.02.2024 bereits im Antragsverfahren befinden oder schon im DiGA-Verzeichnis gelistet sind. Diese müssen belegen, dass die durchgeführten Pentests die neuen Anforderungen bereits erfüllen. Dafür sind Nachweise des entsprechenden IT-Sicherheitsdienstleisters notwendig. Erfüllt der Penetrationstest die neuen Anforderungen nicht, muss der DiGA-Hersteller einen Zeitplan vorlegen, bis wann dieser gemäß den aktualisierten Forderungen abgeschlossen sein wird. Vorliegen muss der Nachweis über die Durchführung des Penetrationstests (inklusive der Behebung von möglicherweis gefundenen Schwachstellen) spätestens bis zum 31.01.2024.
  • 01.02.2024: Ab dem 01.02.2024 ist ein Pentest nach den neuen Anforderungen Voraussetzung für die formale Vollständigkeit des Antrages. Hierzu zählen unter anderem manuelle Code Reviews, Whitebox-Tests sowie die vorrangige Durchführung des Pentests durch eine BSI-zertifizierte Teststelle.


Durch das Inkrafttreten des DVPMG erfährt Sicherheit als Prozess eine noch stärkere Bedeutung als zuvor. Penetrationstests werden in diesem Kontext als ein essenzielles Mittel gesehen, um die Sicherheit der Daten über den gesamten Anwendungsprozess und alle erdenklichen Nutzungsszenarien hinweg zu gewährleisten. Denn mithilfe von Pentests können mögliche Angriffsmuster nachgebildet werden, mit dem Ziel, eventuell bestehende Sicherheitslücken aufzudecken.

Daher sind diese ab sofort für alle DiGA verpflichtend. Das bedeutet, dass für die Produktversion, deren Aufnahme in das DiGA-Verzeichnis beantragt wird, für alle Komponenten (einschließlich aller Backend-Komponenten) ein Penetrationstest durchgeführt worden sein muss. Grundlage für die Testkonzeption bilden einerseits das Durchführungskonzept für Penetrationstests des BSI sowie andererseits die jeweils aktuellen OWASP Top-10 Sicherheitsrisiken.

Sollten über die Zeit beispielsweise neue Schnittstellen in das Internet hinzukommen oder für externe Verbindungen relevante Bibliotheken aktualisiert werden, ist der Pentest anwendungsbezogen zu wiederholen.

 

Mit TÜVIT zum anforderungskonformen Pentest

Personenbezogene Daten sind besonders schützenswert. Das gilt allgemein, aber vor allem dann, wenn Gesundheitsdaten, wie beispielsweise Diagnosen über körperliche und psychische Erkrankungen oder Medikation, im Spiel sind. Mithilfe von Pentests unterstützen wir Sie dabei, zum einen mögliche Schwachstellen innerhalb Ihrer DiGA frühzeitig zu identifizieren und zum anderen den erforderlichen Nachweis gegenüber dem BfArM zu erbringen.

Als nach ISO 17025 BSI-zertifizierte Teststelle blicken wir auf jahrzehntelange Erfahrung bei der Durchführung von Penetrationstest zurück und haben bereits viele Gesundheitsanwendungen erfolgreich geprüft. Dabei nehmen wir sowohl mobile Apps als auch Webanwendungen unter die Lupe. Zum Einsatz kommt eine Kombination aus automatisierten und manuellen Whitebox-Tests, um aussagekräftige und qualitativ hochwertige Ergebnisse zu erzielen. Als Prüfgrundlage dienen das Durchführungskonzept für Penetrationstests des BSI sowie die OWASP Top 10 Risiken für Webanwendungen bzw. mobile Apps.

Möchten auch Sie für Ihre Digitale Gesundheitsanwendung einen Antrag auf Zulassung beim BfArM stellen oder müssen Sie Ihre DiGA anforderungsbezogen neu testen lassen? Dann nehmen Sie gerne Kontakt zu uns auf!

 

Über TÜVIT

Die TÜV Informationstechnik GmbH (TÜVIT) steht für Sicherheit in der Informationstechnik. Mit Auditierungen und Evaluierungen begleiten wir Kund:innen bis zur erfolgreichen Zertifizierung. Als unabhängiger Prüfdienstleister ist TÜVIT ein verlässlicher Wegbereiter für IT-Sicherheit in zahlreichen Unternehmen und Organisationen der Wirtschaft und öffentlichen Hand. Unser Fokus: Ganzheitliche Cyber-Resilienz und IT-Sicherheit in der Lieferkette. Dafür sind wir in technologisch führenden Regionen rund um den Globus akkreditiert. Zu unseren Kompetenzfeldern zählen branchenübergreifend Sicherheitsprüfungen von Hard- und Softwarekomponenten, Embedded Systems, ITK-Netzwerken und -komponenten sowie Applikationen, zudem Audits für ISMS und Datenschutzmanagement. 

1995 gegründet, gehört TÜV Informationstechnik GmbH mit Hauptsitz in Essen zur Business Unit Digital & Semiconductor, einer der sechs weltweit aufgestellten Business Units innerhalb der TÜV NORD GROUP. TÜV NORD GROUP agiert mit über 14.000 Mitarbeitenden und Geschäftsaktivitäten in 100 Ländern als einer der weltweit größten Technologie-Dienstleister.

Diese Seite weiterempfehlen: