FDA aktualisiert Cybersecurity-Guidance – Fokus auf QMSR statt neuen Pflichten
- Datum
- Februar 3, 2026
- Kategorie
US-Vorschriften
- Beschreibung
Die FDA hat am 3. Februar 2026 eine aktualisierte Cybersecurity‑Guidance veröffentlicht, die die Fassung von 2025 ersetzt. Die Änderungen betreffen jedoch nicht die technischen Cybersecurity‑Anforderungen, sondern vor allem die Anpassung an die neue QMSR, welche die frühere QSR ablöst. Da die QMSR auf ISO 13485:2016 verweist, wurden alle früheren 21 CFR 820‑Zitate durch ISO13485‑Klauseln ersetzt.
Inhaltlich bleiben die Cybersecurity‑Elemente unverändert, darunter das Secure Product Development Framework (SPDF), Threat Modeling, Security Architecture, Security Testing sowie die Pflicht zur Bereitstellung einer SBOM für „Cyber Devices“. Es entstehen keine neuen Tests oder zusätzlichen Kontrollen.
Im Zuge der Umstrukturierung wurden QSR‑spezifische Passagen ohne ISO‑Äquivalent – etwa zu „Design Input“ oder „Design Output“ – entfernt. Gleichzeitig legt die Guidance nun stärker den Fokus auf einen durchgängigen Cybersecurity‑Lebenszyklus, einschließlich
- Risikoanalysen über den gesamten Produktlebenszyklus,
- Softwarevalidierung gemäß ISO 13485 7.3.7,
- sowie Integration von Cybersecurity in CAPA und Post‑Market‑Aktivitäten.
Für Medizinproduktehersteller bedeutet dies vor allem eine geänderte Prozessperspektive:
- Cybersecurity wird integrierter Bestandteil des QMS und muss klar ISO13485Prozessen zugeordnet werden.
- SBOMs, Threat Models, Architektur- und Risikodokumente müssen systematisch im ISO13485Framework verankert werden.
- Die regulatorische Rückverfolgbarkeit wird gestärkt, da Cybersecurity‑Nachweise klar den jeweiligen QMS‑Schritten zugeordnet sein müssen.
- Unternehmen mit bereits ISO13485‑basierten Strukturen profitieren von einer stärkeren Harmonisierung mit EU‑Anforderungen.
Die FDA setzt damit ein klares Signal: Die inhaltlichen Cybersecurity‑Anforderungen bleiben bestehen, aber ihre regulatorische Einbettung wird neu strukturiert und deutlich stärker an ISO13485 ausgerichtet. Cybersecurity wird damit tiefer im Qualitätsmanagement verankert – ohne zusätzliche technische Pflichten, aber mit erhöhtem Fokus auf Prozessintegration und Lebenszyklusdenken.