Die meisten Hersteller nutzen harmonisierte Normen, um die Konformität ihrer Produkte mit den grundlegenden Sicherheits- und Leistungsanforderungen nachzuweisen. Das gilt beispielsweise auch für Medizinproduktehersteller.
1. Normen und harmonisierte Normen
a) Definitionen und mehr
Die EU-Verordnung 1025/2012 definiert den Begriff harmonisierte Norm.
„eine europäische Norm, die auf der Grundlage eines Auftrags der Kommission zur Durchführung von Harmonisierungsrechtsvorschriften der Union angenommen wurde„
Normen sind Dokumente, die von nationalen oder internationalen Standardisierungskommissionen geschrieben werden, um den Stand der Technik zu dokumentieren. Sie beschreiben meist keine Best Practices oder gar den Stand der Forschung, sondern den Minimalkonsens, auf den sich das Normenkomitee einigen konnte.
Der Stand der Technik beschreibt, wie die sehr guten Unternehmen vorgehen. Hingegen beschreibt der Stand der Forschung, was theoretisch möglich ist.
Bestimmte Verschlüsselungsverfahren mit einer definierten Schlüssellänge entsprechen dem Stand der Technik. Sie stellen ein Niveau dar, das als ein professionell handelndes Unternehmen nicht unterschreiten sollte. Der Stand der Forschung kennt hingegen quantenphysikalische Verfahren zur Verschlüsselung und Entschlüsselung.
Die harmonisierten Normen hat die EU in ihren Amtsblättern veröffentlicht. Wenn Hersteller diese harmonisierten Normen einhalten, gehen z. B. Auditoren und Gutachter davon aus, dass die gesetzlichen Forderungen erfüllt sind, konkret: Die grundlegenden Anforderungen sind erfüllt.
b) Beweisführungskette
Diese Beweisführungskette lässt sich an einem Beispiel aufzeigen:
Element der Beweisführungskette | Beispiel |
Gesetzliche Forderungen | Grundlegende Anforderung der MDR in Anhang I an die Software-Lebenszyklusprozesse |
Harmonisierte Norm | IEC 62304 |
QMS und dokumentierte Verfahren | Verfahrensanweisung Software-Entwicklung bzw. der Software-Entwicklungsplan; beide verlangen u. a. ein Code-Review |
Dokumente und Aufzeichnungen | Dokumentiertes Code-Review an Tag X, durchgeführt von Person Y mit dem Ergebnis Z |
Die Einhaltung der harmonisierten Normen ist nicht gesetzlich verpflichtend, weder in der EU noch bei der FDA. Allerdings werden sich Hersteller ohne die harmonisierten Normen schwer den Nachweis erbringen können, dass ihre Produkte dem Stand der Technik entsprechen und die gesetzlichen Anforderungen erfüllen. Das kann bei Audits und Gerichtsverfahren zum Problem werden.
c) Beispiele für harmonisierte Normen bei Medizinprodukteherstellern
Zu den harmonisierten Normen zählen oder zählten im Kontext der Medizinprodukte:
2. Normen im Kontext von MDR und IVDR: Die Theorie
Die MDR kennt weiterhin das Konzept der harmonisierten Normen, die der „Beweisführung“ dienen dürfen. Sie schreibt in Artikel 8:
„Devices which are in conformity with the relevant harmonised standards, or the relevant parts of those standards, the references of which have been published in the Official Journal of the European Union, shall be presumed to be in conformity with the requirements of this Regulation covered by those standards or parts thereof.“
MDR Artikel 8
Neben den harmonisierten Normen gibt es auch Common Specifications. In Artikel 9 der MDR steht:
„where no harmonised standards exist or where relevant harmonised standards are not sufficient, or where there is a need to address public health concerns, the Commission […] may […] adopt common specifications (CS) in respect of the general safety and performance requirements set out in Annex I […]“
MDR Artikel 9
Das heißt, dass die Hersteller mehrere Beweisführungsinstrumente nutzen müssen.
Die Anforderungen der IVDR sind analog.
3. Normen im Kontext von MDR und IVDR: Die Praxis
a) Die Probleme mit den Normen
Inzwischen türmen sich so viele Probleme auf, dass sich die Frage nach deren künftiger Relevanz stellt. Beispiele für die Probleme sind:
Problem 1: Heterogene Qualität
Während zentrale Normen wie die zum Qualitätsmanagement (ISO 9001 und ISO 13485) solide sind, leidet die Qualität vieler Normen:
- Sie bilden nicht den Stand der Technik ab, sondern die Meinung der Autoren.
- Den Normen fehlt eine innere Konsistenz. Anforderungen erscheinen beliebig ausgewählt zu sein. Prozess- und Produktanforderungen werden nicht präzise unterschieden.
- Die Anforderungen sind so unscharf, dass ihre Überprüfung schwierig ist.
- Definitionen fehlen.
- Eine Abstimmung mit den Konzepten anderer Normen fehlt, was den Herstellern unnötige Aufwände aufbürdet.
Problem 2: Mangelnde Aktualität
Zur Qualität der Normen trägt auch deren Aktualität bei. Die IEC 62304 beispielsweise stammt in wesentlichen Teilen aus dem Jahr 2005. Erst zwei Jahre später wurde das erste iPhone veröffentlicht. Smartphones, Cloud-Computing, KI hatten damals nicht annähernd die Bedeutung wie heute. Der NSA-Skandal lag noch acht Jahre in der Zukunft. Soll solch eine Norm den Stand der Technik abbilden?
Problem 3: Mangelnde Abdeckung der regulatorischen Anforderungen
Selbst aktuelle harmonisierten Normen adressieren meist nicht alle Forderungen der EU-Verordnungen.
Die „Z-Anhänge“ verschaffen einen Überblick darüber, welche regulatorischen Anforderungen Hersteller bei Einhaltung der jeweiligen harmonisierten Norm als erfüllt vermuten lassen können und welche nicht.
Problem 4: Hohe Kosten
Normen kosten teilweise mehrere Hundert Euro. Das Johner Institut überwacht im Auftrag der Hersteller und Benannten Stellen über 6000 regulatorische Dokumente. Ein nennenswerter Teil sind Normen. Auch wenn der typische Hersteller nur eine Teilmenge benötigt, ist die finanzielle Belastung nennenswert.
Die estnischen Standards (auch auf Englisch und mit harmonisierten Inhalten) kosten nur einen Bruchteil.
Problem 5: Zögerliche und unvollständige Harmonisierung
2017 trat die MDR in Kraft. Über sechs Jahre später ist nur ein Bruchteil der Normen harmonisiert, die unter der MDD und AIMD harmonisiert waren. Analog sieht es bei der IVDR aus.
b) Die Ursachen
Es gibt viele Ursachen, die zu diesen Problemen beitragen:
- Bürokratie
Manche Normengremien legen sich selbst mit Bürokratie still. Man ist mehr mit Regularien, internen Vorschriften, internationalen Abstimmungen und manchmal auch Streit beschäftigt als mit der eigentlichen Normenarbeit. - Mangelnde Ressourcen und Kompetenzen
Daher ist es nicht leicht, die Besten eines Fachs für die Normenarbeit zu begeistern. Dabei sind höchste Kompetenzen erforderlich: Domänenexpertise, wissenschaftliche Methodik sowie die Fähigkeit, abstrakte Modelle zu entwickeln und gleichzeitig die Praxisrelevanz und Umsetzbarkeit in der Praxis sicherzustellen. - Konkurrierende Präferenzen
Die EU-Kommission erweckt nicht den Eindruck, als würde sie den Normen noch die gleiche Bedeutung schenken wie in der Vergangenheit. Millionen gibt sie für HAS-Consultants aus, welche in meinen Augen das Prozedere eher verschleppen. Zudem hat sich die EU mit den Common Specifications eine Alternative zu den Normen geschaffen, die sie in den eigenen Händen hält.
c) Die Folgen für Hersteller und Benannte Stellen
Die Probleme mit den Normen führen dazu, dass sich Behörden und Benannte Stellen mal auf die Gesetze beziehen, mal auf die neusten Versionen der Normen, mal auf die harmonisierten Versionen der Normen, mal auf andere Best Practices und Leitlinien.
Für die Hersteller bedeutet dies:
- Rechtsunsicherheit in Audits und bei Zulassungen,
- mehr Aufwände für Nachbesserungen,
- damit verbunden höhere Kosten
- und somit eine längere Time to Market.
All dies geschieht in einem Wettbewerbsumfeld, das die Hersteller bis an oder über die Grenzen fordert.
d) Die Lösungsansätze
Um diese Probleme in Europa zu lösen, gibt es mehrere Ansätze. Wir sollten sie alle (!) verfolgen.
Zur ursprünglichen Idee zurückkehren
Sehr hilfreich wäre es, wieder voranzuschreiten und die Normen zu verbessern, zu aktualisieren, aufeinander abzustimmen und zu bezahlbaren Preisen anzubieten. Die Mitglieder der Normengremien arbeiten bereits unentgeltlich.
Die Wahrscheinlichkeit eines solchen Neustarts ist aber begrenzt, wenn der Wille fehlt und eine korrekt gelebte Bürokratie wichtiger erscheint als der Beitrag zum Wohl der Gesellschaft, z. B. der Patienten.
Dennoch oder gerade deshalb unsere Bitte: Engagieren Sie sich in den Normengremien!
Die Bedeutung von Normen für den Fortschritt erkennt und betont auch die EU.
Effizienz auf Herstellerseite optimieren
Die Aufgaben der Hersteller bestehen aus mehr als „nur“ dem Nachweis der Konformität ihrer Produkte und Prozesse. Hier gibt es Optimierungsmöglichkeiten:
- Das Rad muss nicht jedes Mal neu erfunden werden: Bei Software lassen sich nicht nur Komponenten und Frameworks wiederverwenden, sondern auch ganze Backend-Services. Mehr darüber erfahren Sie in dieser Podcast-Episode.
- Viele Aufgaben lassen sich durch Automatisierung komplett vermeiden. Die Gesetzeskonformität lässt sich automatisiert nachweisen, wie das Fit-for-Future-Programm eindrücklich nachweist.
De-facto-Standards schaffen
Die Entscheidung über die Konformität von Produkten und Prozessen ist eine binäre: konform oder nicht konform. Sie ergibt sich aus vielen Mikro-Entscheidungen, etwa: Liegt die geforderte Liste an SOUPs vor? Ja oder nein?
Diese Entscheidungen kann man in Algorithmen abzubilden – das tun wir. Wenn es eine Verständigung über diese Algorithmen gibt, ist ein de-facto-Standard geschaffen, damit Rechtssicherheit und schließlich die Basis für die Automatisierung.
4. Ist eine Zertifizierung notwendig?
Hersteller fragen sich, ob sie sich bzw. ihre Produkte nach einer Norm zertifizieren müssen. Die kurze Antwort lautet:
Wenn ein Konformitätsbewertungsverfahren (z. B. gemäß Anhang II der MDR bzw. Anhang IX der MDR) ein Qualitätsmanagementsystem verlangt, müssen Hersteller dieses QM-System von einer Benannten Stelle zertifizieren lassen. Im Erfolgsfall erhalten sie ein Zertifikat, das die Konformität mit dem entsprechenden Anhang (und meist auch der ISO 13485) bestätigt.
Bei der Überprüfung des QM-Systems prüfen die Benannten Stellen auch,
- ob die Hersteller konform mit den harmonisierten Normen wie der ISO 14971 oder IEC 62304 arbeiten bzw.
- ob die Vorgaben des QM-Systems ein Vorgehen verlangt, das mit diesen Normen konform ist.
Ein Zertifikat, das die Konformität mit den Anforderungen der ISO 14971, IEC 62304, IEC 62366-1 usw. bestätigt, ist weder verlangt noch üblich.
Zu den Ausnahmen gehören Normen wie die IEC 60601-1. Aber auch hier muss sich nicht der Hersteller zertifizieren lassen. Vielmehr ist es zielführend, ein Testlabor auszuwählen, dass die Prüfungen konform mit dieser Norm bzw. Normenfamilie durchführt.
5. Welche Norm nutzen?
a) DIN oder EN oder ISO/IEC
Eine häufig gestellte Frage lautet: Welche Varianten der Normen soll ich heranziehen? Die DIN, die EN oder die ISO bzw. die IEC?
Anhand harmonisierter Normen können Hersteller den Nachweis führen, dass ihre Produkte oder Systeme den Anforderungen der europäischen Richtlinien bzw. Verordnungen genügen. Daher sind die europäischen Normen zu nutzen, also die EN-Normen. Die nationalen Normen, d. h. die Normen mit einem Präfix wie „DIN EN“, sind inhaltlich identisch und daher ebenfalls nutzbar.
Die internationalen Normen (ISO, IEC) verfügen im Gegensatz zu den „EU-Varianten“ nicht über die Z-Anhänge. Diese Z-Anhänge enthalten das „Mapping“ der regulatorischen Anforderungen (EU-Richtlinien, EU-Verordnungen) auf die normativen Anforderungen. Das heißt: Die Z-Anhänge beschreiben, welche regulatorischen Anforderungen vollständig, teilweise oder gar nicht durch die Norm abgedeckt sind.
Die Harmonisierung hat nichts mit der Nummerierung zu tun. Beispielsweise ist die DIN EN 14971 nicht die Norm zum Risikomanagement bei Medizinprodukten, sondern eine zu „Textilien – Maschenwaren – Bestimmung der Maschenzahl je Längeneinheit und Flächeneinheit“.
b) Welche Version der Norm?
Diskussion gibt es immer wieder zu den Übergangsfristen. Leider gibt es keine eindeutigen Regeln. Die folgenden Daumenregeln können helfen:
- Falls eine Norm harmonisiert ist, dann nutzen Sie diese Version.
- Wenn die Norm selbst eine Übergangsfrist nennt, dann beachten Sie diese.
- Andernfalls gehen Sie von einer Übergangsfrist von drei Jahren aus.
- Arbeiten Sie bei neuen Produkten mit den neusten Versionen.
- Machen Sie bei Produkten, die sich bereits im Markt befinden, spätestens drei Jahre, nachdem eine neue Version veröffentlicht wurde, eine Gap-Analyse.
6. Was sind medizinische Normen?
Gelegentlich wird von „medizinischen Normen“ gesprochen. Doch es ist nicht definiert, welche Normen als „medizische Normen“ zählen. Meist versteht man darunter:
- Normen im Kontext von Medizinprodukten z.B. Normen in der Medizintechnik wie die IEC 60601-1 oder die ISO 7396-1 (Rohrleitungssysteme für Gase für pharmazeutische Anwendungen, für Medizinproduktgase, …)
- Normen zu medizinischer / persönlicher Schutzausrüstung (PSA)
- Seltener: Normen im Kontext des Betriebs von Gesundheitseinrichtungen wie die DIN EN 15224
Daher sollte nicht von „medizinischen Normen“ gesprochen werden, sondern der jeweilige Kontext klar gemacht werden.
7. Fazit und Zusammenfassung
Harmonisierte Normen sollten Herstellern und Benannten Stellen helfen, ein gemeinsames Verständnis zu entwickeln, wie die Anforderungen der MDR und IVDR erfüllt werden sollen.
Leider stockt die Harmonisierung der Normen, sodass dieses Ziel nur teilweise erfüllt wird. Dennoch sollten Hersteller einschlägige Normen nutzen. Diese beschreiben den Stand der Technik und helfen nachzuweisen, dass regulatorische Anforderungen erfüllt sind.
Änderungshistorie
- 2024-12-19: Kapitel 6 (Was sind „medizinische Normen“?) eingefügt
- 2024-05-08: Einleitung und Kapitel 1.a) neu geschrieben. Tabelle in Kapitel 1.b) eingefügt. Redaktionelle Änderungen, um die Bereiche besser zu trennen, welche alle Hersteller in Europa betreffen bzw. welche für Medizinprodukte spezifisch sind.
- 2023-09-06: Kapitel 2 zerlegt. Kapitel 3 neu eingefügt.
- 2023-04-03: Beitrag komplett überarbeitet und aktualisiert. Die Abschnitte „Aktuelles“ und „Probleme“ entfernt und, wo notwendig, in den Text integriert.
- 2022-06-09: In der Sektion „Aktuelles“ den Abschnitt „Juni 2022“ eingefügt.
- 2022-03-16: In der Sektion „Aktuelles“ den Abschnitt „Januar 2022“ eingefügt.
- 2021-07-27: In der Sektion „Aktuelles“ den Abschnitt „Juli 2021“ eingefügt.
- 2021-04-26: In der Sektion „Aktuelles“ den Abschnitt „April 2021“ eingefügt.
- 2020-11-08: Neuen Entwurf für einen Standardization Request ergänzt. Text diesbezüglich angepasst.