Mit der 1. DiGAVÄndV (Erste Verordnung zur Änderung der Digitalen Gesundheitsanwendungen-Verordnung) kommen auf Hersteller und Betreiber digitaler Gesundheitsanwendungen neue Verpflichtungen zu. Diese betreffen in erster Linie den Aufbau sowie Nachweis eines Informationssicherheits-Managementsystems (ISMS) und die Durchführung von Penetrationstests. Ab April 2023 wird zudem eine Datenschutzzertifizierung nach Art. 42 DSGVO verbindlich.
Neue ISMS-Zertifizierungspflicht für DiGA-Hersteller
Ab sofort wird von DiGA-Herstellern eine ISMS-Zertifizierung gemäß ISO 27001 oder BSI IT-Grundschutz (ISO 27001 auf der Basis von IT-Grundschutz) gefordert. Nachzuweisen ist das eingeführte Informationssicherheits-Managementsystem (ISMS) über ein akkreditiertes Zertifikat. Diese Forderung gilt seit dem 01.04.2022 sowohl für neue Hersteller als auch für bereits gelistete oder sich im Antragsverfahren befindliche DiGA. Das Zertifikat muss dem Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) auf Verlangen vorgelegt werden.
Pentests als Basisanforderung für alle DiGA
Waren Pentests bisher nur bei digitalen Gesundheitsanwendungen mit erhöhtem Schutzbedarf gefordert, sind sie nun fester Bestandteil der Basisanforderungen, die für alle digitalen Gesundheitsanwendungen gleichermaßen gelten. Damit ist die Durchführung von Pentests eine der notwendigen Voraussetzungen für DiGA-Hersteller, um im DiGA-Verzeichnis erstattungsfähiger digitaler Gesundheitsanwendungen entsprechend gelistet zu werden.
Ab 2023 auch Datenschutzzertifikat Pflicht
Noch muss der Datenschutz einer DiGA nur über die Herstellereigenerklärung nachgewiesen werden. Ab dem 01.04.2023 soll sich dies allerdings ändern: Von da an ist eine Datenschutzzertifizierung nach Art. 42 DSGVO erforderlich, um auch weiterhin im DiGA-Verzeichnis gelistet zu bleiben.
Die wichtigsten Infos zum Fast-Track-Verfahren beim BfArM in Kürze
Um ins Verzeichnis erstattungsfähiger digitaler Gesundheitsanwendungen aufgenommen zu werden, muss ein Prüfverfahren beim BfArM durchlaufen werden. Nach Eingang des vollständigen Antrags dauert die Bewertungszeit in etwa drei Monate.
Folgende Nachweise sind zu erbringen bzw. sollten auf Verlangen vorgelegt werden können:
- Nachweis über die Erfüllung medizinprodukterechtlicher Anforderungen
- Erklärung nach Anlage 1 der DiGAV: Anforderungen an Datenschutz und Datensicherheit
- Erklärung nach Anlage 2 der DiGAV: Anforderungen an Interoperabilität, Robustheit, Verbraucherschutz, Nutzerfreundlichkeit, Unterstützung von Leistungserbringenden, Qualität medizinischer Inhalte und Patientensicherheit
- Nachweis positiver Versorgungseffekte*
- Nachweis über die Durchführung von Penetrationstests
- ISMS-Zertifikat gemäß ISO 27001 oder „ISO 27001 auf der Basis von IT-Grundschutz (BSI Standard 200-2: IT-Grundschutz-Methodik)“
- Bei sehr hohem Schutzbedarf: Beantwortung der Checkliste der Zusatzanforderungen bei DiGA mit sehr hohem Schutzbedarf
- Ab dem 01.04.2023: Zertifikat nach Artikel 42 der DSGVO
* Liegt eine vergleichende Studie zum Nachweis eines positiven Versorgungseffektes noch nicht vor, kann eine vorläufige Aufnahme ins Verzeichnis beantragt werden.
Weitere Informationen zum Antragsverfahren finden Sie im Leitfaden „Das Fast-Track-Verfahren für digitale Gesundheitsanwendungen (DiGA) nach § 139e SGB V“ des BfArM.
Über TÜVIT
Die TÜV Informationstechnik GmbH (TÜVIT) steht für Sicherheit in der Informationstechnik. Mit Auditierungen und Evaluierungen begleiten wir Kund:innen bis zur erfolgreichen Zertifizierung. Als unabhängiger Prüfdienstleister ist TÜVIT ein verlässlicher Wegbereiter für IT-Sicherheit in zahlreichen Unternehmen und Organisationen der Wirtschaft und öffentlichen Hand. Unser Fokus: Ganzheitliche Cyber-Resilienz und IT-Sicherheit in der Lieferkette. Dafür sind wir in technologisch führenden Regionen rund um den Globus akkreditiert. Zu unseren Kompetenzfeldern zählen branchenübergreifend Sicherheitsprüfungen von Hard- und Softwarekomponenten, Embedded Systems, ITK-Netzwerken und -komponenten sowie Applikationen, zudem Audits für ISMS und Datenschutzmanagement.
1995 gegründet, gehört TÜV Informationstechnik GmbH mit Hauptsitz in Essen zur Business Unit Digital & Semiconductor, einer der sechs weltweit aufgestellten Business Units innerhalb der TÜV NORD GROUP. TÜV NORD GROUP agiert mit über 14.000 Mitarbeitenden und Geschäftsaktivitäten in 100 Ländern als einer der weltweit größten Technologie-Dienstleister.