Digitale Gesundheitsanwendungen, die bereits offiziell gelistet sind, mussten bis Anfang 2025 entsprechende Nachweise zur Erfüllung der Sicherheitsanforderungen vorlegen. Für neue Anträge gilt eine Übergangsfrist, innerhalb derer die erforderlichen Zertifikate, wie die Technische Richtlinie BSI TR-03161 – Anforderungen an Gesundheitsanwendungen im Prüfprozess nachgereicht werden können. Diese Frist rückt mit dem 30. Juni 2025 nun immer näher. Wir empfehlen Herstellern, sich nun dringend mit Prüfstellen in Verbindung zu setzen, um eine fristgerechte Umsetzung sicherzustellen.
Was ist die TR-03161?
Die Technische Richtlinie TR-03161 des BSI ist ein zentraler Sicherheitsstandard für Anwendungen im Gesundheitswesen.
Ziel der Richtlinie ist es, die Vertraulichkeit, Integrität und Verfügbarkeit sensibler medizinischer Daten in einer Vielzahl von Anwendungen zu gewährleisten. Sie richtet sich insbesondere an Hersteller von:
- Mobilen Anwendungen: Mindestanforderungen an die Sicherheit von Apps.
- Webanwendungen: Schutz gegen Bedrohungen im Gesundheitsumfeld.
- Hintergrundsystemen: Sicherheit von Cloud-Systemen und Backend-Infrastrukturen.
TR-03161-Zertifizierung: Die Zeit läuft – jetzt handeln!
Die Übergangsfrist für bereits gelistete digitale Gesundheitsanwendungen, die ihre Sicherheitsnachweise noch nachreichen mussten, läuft am 30. Juni 2025 aus. Wer bis dahin kein TR-03161-Zertifikat vorlegen kann, riskiert den Verlust der Zulassung.
Doch auch neue Anbieter, die digitale Gesundheitsanwendungen auf den Markt bringen möchten, sollten sich frühzeitig mit den Sicherheitsanforderungen auseinandersetzen. Die TR-03161-Zertifizierung ist eine Voraussetzung für die Zulassung durch das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM). Da der Zertifizierungsprozess Zeit benötigt und umfassende Sicherheitsanforderungen – wie beispielsweise ISO 27001 – berücksichtigt werden müssen, ist eine frühzeitige Vorbereitung entscheidend.
Hersteller sollten bereits in der Entwicklungsphase an die Sicherheitszertifizierung denken und sich mit uns in Verbindung setzen, um einen effizienten Prüfprozess sicherzustellen.
Unsere Leistungen als anerkannte Prüfstelle
Als BSI-zertifizierte Prüfstelle bieten wir umfassende Unterstützung für Hersteller von digitalen Gesundheitsanwendungen:
- Quickcheck und Vorprüfung: Wir prüfen im Vorfeld, ob Ihre Anwendung die Anforderungen der TR-03161 erfüllt, und identifizieren potenzielle Schwachstellen.
- Prüfung: Evaluierung von Herstellerdokumenten und Sourcecode der Anwendung durch unsere Sicherheitsexperten
- Penetrationstest: Die Prüfung wird durch automatisierte und manuelle Tests ergänzt und wir bewerten Ihre Umsetzung der Richtlinien und geben Empfehlungen zur Optimierung.
- Zertifizierung: Nach erfolgreicher Evaluierung stellen wir einen umfassenden Prüfbericht aus, der den Zertifizierungsprozess beim BSI unterstützt.
Warum ist die Zertifizierung so wichtig?
Eine Zertifizierung nach TR-03161 bietet Ihnen und Ihren Nutzern zahlreiche Vorteile:
- Erfüllung gesetzlicher Anforderungen: Voraussetzung für die Aufnahme ins DiGA-Verzeichnis des BfArM.
- Vertrauensbildung: Stärkt das Vertrauen von Nutzern und Partnern in die Datensicherheit Ihrer Anwendung.
- Schutz vor Angriffen: Minimiert das Risiko von Datendiebstahl oder Manipulation.
- Reputationssicherung: Vorbeugung von potenziellen Imageschäden durch Sicherheitsvorfälle.
Vertrauen Sie auf unsere Expertise
Die SRC Security Research & Consulting GmbH ist vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als sachverständige Prüfstelle für die „Technische Richtlinie TR-03161 Anforderungen an Gesundheitsanwendungen“ anerkannt. Mit über 25 Jahren Erfahrung in der IT-Sicherheitsprüfung und Compliance ist SRC Ihr zuverlässiger Partner auf dem Weg zur TR-03161-Zertifizierung. Unsere Expertenteams arbeiten eng mit Ihnen zusammen, um sicherzustellen, dass Ihre Anwendung alle Anforderungen erfüllt – von der ersten Analyse bis hin zur erfolgreichen Zertifizierung.
Kontaktieren Sie uns
Sind Sie bereit, Ihre digitale Gesundheitsanwendung auf das nächste Sicherheitsniveau zu heben? Kontaktieren Sie uns über das Kontaktformular oder direkt unseren Kollegen Herrn Andreas Sitter per E-Mail für ein unverbindliches Beratungsgespräch.
