DiGAV: Zertifizierung und Pentests für DiGA-Hersteller ab sofort Pflicht

13.04.2022 | Essen: Seit dem 01.04.2022 wird von Herstellern digitaler Gesundheitsanwendungen (DiGA) eine ISMS-Zertifizierung nach ISO 27001 oder auf Basis von IT-Grundschutz gefordert. Auch Pentests sind nun verpflichtend.

Mit der 1. DiGAVÄndV (Erste Verordnung zur Änderung der Digitalen Gesundheitsanwendungen-Verordnung) kommen auf Hersteller und Betreiber digitaler Gesundheitsanwendungen neue Verpflichtungen zu. Diese betreffen in erster Linie den Aufbau sowie Nachweis eines Informationssicherheits-Managementsystems (ISMS) und die Durchführung von Penetrationstests. Ab April 2023 wird zudem eine Datenschutzzertifizierung nach Art. 42 DSGVO verbindlich.
 

Neue ISMS-Zertifizierungspflicht für DiGA-Hersteller

Ab sofort wird von DiGA-Herstellern eine ISMS-Zertifizierung gemäß ISO 27001 oder BSI IT-Grundschutz (ISO 27001 auf der Basis von IT-Grundschutz) gefordert. Nachzuweisen ist das eingeführte Informationssicherheits-Managementsystem (ISMS) über ein akkreditiertes Zertifikat. Diese Forderung gilt seit dem 01.04.2022 sowohl für neue Hersteller als auch für bereits gelistete oder sich im Antragsverfahren befindliche DiGA. Das Zertifikat muss dem Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) auf Verlangen vorgelegt werden.


Pentests als Basisanforderung für alle DiGA

Waren Pentests bisher nur bei digitalen Gesundheitsanwendungen mit erhöhtem Schutzbedarf gefordert, sind sie nun fester Bestandteil der Basisanforderungen, die für alle digitalen Gesundheitsanwendungen gleichermaßen gelten. Damit ist die Durchführung von Pentests eine der notwendigen Voraussetzungen für DiGA-Hersteller, um im DiGA-Verzeichnis erstattungsfähiger digitaler Gesundheitsanwendungen entsprechend gelistet zu werden.  
 

Ab 2023 auch Datenschutzzertifikat Pflicht

Noch muss der Datenschutz einer DiGA nur über die Herstellereigenerklärung nachgewiesen werden. Ab dem 01.04.2023 soll sich dies allerdings ändern: Von da an ist eine Datenschutzzertifizierung nach Art. 42 DSGVO erforderlich, um auch weiterhin im DiGA-Verzeichnis gelistet zu bleiben.
 

Die wichtigsten Infos zum Fast-Track-Verfahren beim BfArM in Kürze

Um ins Verzeichnis erstattungsfähiger digitaler Gesundheitsanwendungen aufgenommen zu werden, muss ein Prüfverfahren beim BfArM durchlaufen werden. Nach Eingang des vollständigen Antrags dauert die Bewertungszeit in etwa drei Monate.

Folgende Nachweise sind zu erbringen bzw. sollten auf Verlangen vorgelegt werden können:

  • Nachweis über die Erfüllung medizinprodukterechtlicher Anforderungen
  • Erklärung nach Anlage 1 der DiGAV: Anforderungen an Datenschutz und Datensicherheit
  • Erklärung nach Anlage 2 der DiGAV: Anforderungen an Interoperabilität, Robustheit, Verbraucherschutz, Nutzerfreundlichkeit, Unterstützung von Leistungserbringenden, Qualität medizinischer Inhalte und Patientensicherheit
  • Nachweis positiver Versorgungseffekte*
  • Nachweis über die Durchführung von Penetrationstests
  • ISMS-Zertifikat gemäß ISO 27001 oder „ISO 27001 auf der Basis von IT-Grundschutz (BSI Standard 200-2: IT-Grundschutz-Methodik)“
  • Bei sehr hohem Schutzbedarf: Beantwortung der Checkliste der Zusatzanforderungen bei DiGA mit sehr hohem Schutzbedarf
  • Ab dem 01.04.2023: Zertifikat nach Artikel 42 der DSGVO

* Liegt eine vergleichende Studie zum Nachweis eines positiven Versorgungseffektes noch nicht vor, kann eine vorläufige Aufnahme ins Verzeichnis beantragt werden.
 

Weitere Informationen zum Antragsverfahren finden Sie im Leitfaden „Das Fast-Track-Verfahren für digitale Gesundheitsanwendungen (DiGA) nach § 139e SGB V“ des BfArM.

  

 

Über TÜVIT
Die TÜV Informationstechnik GmbH ist auf die Prüfung und Zertifizierung der Sicherheit in der Informationstechnik ausgerichtet. Als unabhängiger Prüfdienstleister für IT-Sicherheit ist die TÜV Informationstechnik GmbH international führend. Zahlreiche Kunden profitieren bereits von der geprüften Sicherheit des Unternehmens. Zum Portfolio gehören Cyber Security, Evaluierung von Software und Hardware, IoT/Industrie 4.0, Datenschutz, ISMS, Smart Energy, Mobile Security, Automotive Security, eID und Vertrauensdienste sowie die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit und Hochverfügbarkeit.

Die 1995 gegründete TÜV Informationstechnik GmbH mit Sitz in Essen ist ein Unternehmen der TÜV NORD GROUP, die mit über 14.000 Mitarbeitenden und Geschäftsaktivitäten in weltweit 100 Ländern als einer der größten Technologie-Dienstleister agiert. TÜVIT ist die Dachmarke des Geschäftsbereiches IT, einem der sechs weltweit aufgestellten Geschäftsbereiche in der TÜV NORD GROUP. 

Presse-Kontakt

Diese Seite weiterempfehlen