Am 16. Dezember 2025 hat die Europäische Kommission ihren Vereinfachungsvorschlag COM(2025) 1023 für MDR und IVDR vorgelegt. Im Schatten der vielbeachteten Maßnahmen zur Klassifizierung, zu Benannten Stellen und zu Konformitätsbewertungsverfahren findet sich ein cybersecurity-rechtlich bedeutsamer Block: zwei neue Artikel, die eine bisher offene Lücke zwischen den Medizinprodukteverordnungen und dem Cyber Resilience Act (CRA) schließen.
Das Wichtigste in Kürze
- Der Vorschlag COM(2025) 1023 führt mit Artikel 87a MDR und Artikel 82a IVDR neue Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle bei Medizinprodukten und In-vitro-Diagnostika ein.
- Empfänger sind die als Koordinatoren benannten Computer-Notfallteams (CSIRTs) der Mitgliedstaaten sowie die EU-Cybersicherheitsagentur ENISA – analog zum Meldewesen unter dem Cyber Resilience Act.
- Die Meldung erfolgt über Eudamed; CSIRTs und ENISA erhalten dafür einen direkten Zugang zur europäischen Datenbank für Medizinprodukte.
- Die Meldefrist beträgt einheitlich 30 Tage nach Kenntnisnahme. Damit weicht der Vorschlag deutlich von den gestaffelten CRA-Fristen (24 Stunden, 72 Stunden, 14 Tage) ab.
- Anhang I MDR und IVDR werden ergänzt: Cybersicherheit wird ausdrücklich als Bestandteil der grundlegenden Sicherheits- und Leistungsanforderungen genannt.
- Der Vorschlag ist noch nicht verabschiedet. Die öffentliche Konsultation endete Anfang Mai 2026; mit einem Inkrafttreten ist frühestens Ende 2026 oder Anfang 2027 zu rechnen.
Was ist passiert?
Mit dem Vorschlag COM(2025) 1023 reagiert die Kommission auf die seit 2024 anhaltende Kritik an MDR und IVDR: zu komplexe Verfahren, fehlende Vorhersehbarkeit, unverhältnismäßige Lasten für KMU, Engpässe bei Benannten Stellen. Der Vorschlag ist als gezielte Vereinfachung angelegt und greift acht Themenbereiche auf, von der Verschlankung der Konformitätsbewertung bis zur internationalen Zusammenarbeit.
Ein eigener Themenblock widmet sich dem „Zusammenspiel mit anderen Rechtsvorschriften der Union”. Genau hier sind die neuen Cybersecurity-Meldepflichten verankert. Erwägungsgrund 44 des Vorschlags benennt die zugrunde liegende Lücke direkt: Medizinprodukte sind vom Cyber Resilience Act ausgenommen; das Vigilanzsystem der MDR und der IVDR erfasst zwar Cybersecurity-Vorfälle, sofern diese als schwerwiegende Vorkommnisse einzustufen sind, lässt aber Vorfälle ohne unmittelbaren Patientensicherheitsbezug systematisch außen vor. Die Kommission stuft das als „erhebliche Lücke im Bereich der Cybersicherheit” ein und schließt sie über zwei neue Artikel.
Was ändert sich konkret?
Die zentrale Änderung besteht aus drei Elementen: einer präzisen Definition, was überhaupt zu melden ist, einer neuen Meldepflicht über Eudamed und einer ausdrücklichen Verankerung der Cybersicherheit in Anhang I. Die folgenden Abschnitte zeichnen die Mechanik nach.
Was ist eine aktiv ausgenutzte Schwachstelle?
Eine aktiv ausgenutzte Schwachstelle ist im Sinne des Artikels 3 Nummer 42 der Verordnung (EU) 2024/2847 (Cyber Resilience Act) eine Schwachstelle, für die hinreichende Belege dafür vorliegen, dass ein böswilliger Akteur sie in einem System ausgenutzt hat, ohne dass der Hersteller dies genehmigt hätte. Genau auf diese Definition verweist der neue Artikel 87a MDR.
Heute: Vigilanz nach Patientensicherheit, kein Cybersecurity-Reporting
Im aktuellen Rahmen melden Hersteller von Medizinprodukten nach Artikel 87 MDR ausschließlich schwerwiegende Vorkommnisse an die zuständigen Behörden. Schwerwiegend heißt: Tod oder schwerwiegende Verschlechterung des Gesundheitszustands, oder das Potenzial dazu. Cybersecurity-Vorfälle, die zwar die Integrität oder Verfügbarkeit eines Produkts betreffen, aber keine unmittelbare Auswirkung auf die Patientensicherheit haben, fallen nicht unter diese Pflicht. Da Medizinprodukte zugleich vom Cyber Resilience Act ausdrücklich ausgenommen sind, existiert für diese Konstellation aktuell kein verpflichtender Meldekanal.
Künftig: zusätzliche Cybersecurity-Pflicht über Eudamed
Der neue Artikel 87a MDR (parallel: Artikel 82a IVDR) verpflichtet Hersteller, jedes der folgenden Ereignisse zu melden:
- jede im Produkt vorliegende aktiv ausgenutzte Schwachstelle im Sinne des Artikels 3 Nummer 42 CRA,
- jeden schwerwiegenden Sicherheitsvorfall im Sinne des Artikels 14 Absatz 5 CRA mit Auswirkungen auf die Sicherheit des Produkts.
Die Meldung erfolgt über das in Artikel 92 MDR genannte elektronische System (also über Eudamed) und ist gleichzeitig den als Koordinatoren benannten CSIRTs der Mitgliedstaaten sowie der ENISA zugänglich zu machen. Auch eine Vigilanzmeldung nach Artikel 87 MDR, deren Gegenstand zusätzlich als aktiv ausgenutzte Schwachstelle oder schwerwiegender Sicherheitsvorfall einzustufen ist, wird parallel an CSIRTs und ENISA gespiegelt. Diese Stellen erhalten zu diesem Zweck Zugang zu Eudamed.
Vergleich der Fristen
| Regime | Frist für aktiv ausgenutzte Schwachstellen / schwerwiegende Sicherheitsvorfälle |
|---|---|
| Cyber Resilience Act, Artikel 14 | 24 Stunden Frühwarnung, 72 Stunden Aktualisierung, 14 Tage abschließender Bericht |
| MDR-Vorschlag, Artikel 87a | 30 Tage nach Kenntnisnahme |
Der Vorschlag übernimmt die Adressaten und die Definitionen aus dem CRA – aber nicht das gestaffelte Fristenregime. Die einheitliche 30-Tage-Frist ist deutlich länger als die CRA-Frühwarnung, was sich aus dem Charakter der Medizinprodukte und der parallelen Vigilanzlogik begründen lässt. Wer heute schon CRA-konforme Prozesse aufsetzt, wird die Frist sehr leicht einhalten; wer ausschließlich nach MDR-Vigilanz arbeitet, muss seine Schwachstellen-Triage erweitern.
Cybersicherheit in Anhang I
Parallel zur neuen Meldepflicht ergänzt der Vorschlag Anhang I MDR und Anhang I IVDR um eine ausdrückliche Nennung der Cybersicherheit in den grundlegenden Sicherheits- und Leistungsanforderungen. Bisher leitete die Branche entsprechende Anforderungen aus den allgemeinen Sicherheitsvorgaben und den MDCG-Leitlinien zur Cybersicherheit ab. Mit dem Vorschlag wird die Anforderung explizit verankert.
Einordnung für Hersteller
Für Hersteller mit Cybersecurity-relevanten Produkten (z.B. vernetzte Infusionspumpen mit drahtloser Anbindung, bildgebende Geräte mit Fernwartung, POC-Diagnostika mit Cloud-Komponente oder Patientenmonitore in OT-Netzen) verschiebt sich die regulatorische Logik an drei Stellen.
Erstens wird die Triage komplexer. Bisher musste ein Vorfall danach bewertet werden, ob er als schwerwiegendes Vorkommnis nach Artikel 87 MDR meldepflichtig ist. Künftig kommt eine zweite Bewertungsdimension hinzu: Liegt eine aktiv ausgenutzte Schwachstelle oder ein schwerwiegender Sicherheitsvorfall mit Produktbezug vor? Beide Bewertungen sind unabhängig voneinander, beide können (auch parallel) Meldepflichten auslösen.
Zweitens verändert sich die Stakeholder-Landschaft im Vorfallmanagement. Cybersecurity-Verantwortliche und Vigilanz-Verantwortliche müssen ihre Prozesse zusammenführen, damit ein Cybersecurity-Vorfall ohne Patientenbezug überhaupt im Meldepfad landet. Wer beide Rollen heute personell und organisatorisch trennt, sollte über die Schnittstellen nachdenken.
Drittens wird Eudamed zum gemeinsamen Übermittlungsweg für unterschiedliche Adressatengruppen. Die als Koordinatoren benannten CSIRTs und die ENISA sind im Cybersecurity-Kontext bereits aus dem CRA und aus der NIS2-Richtlinie bekannt. Mit dem Vorschlag erhalten sie nun erstmals einen formalen Kanal in das Medizinprodukteregime.
Die Mechanik ähnelt damit dem Meldewesen unter dem Cyber Resilience Act, bleibt aber sektoral verankert. Wer parallel CRA-pflichtige Produkte und Medizinprodukte herstellt (z.B. als Anbieter von Komponenten, die in beiden Welten verwendet werden) muss beide Meldepfade beherrschen, ohne sie zu vermischen.
Wann gilt das?
Der Vorschlag ist nicht in Kraft. Die öffentliche Konsultation endete am 6. Mai 2026; Trilogue-Verhandlungen sind für Mitte 2026 erwartet, eine Verabschiedung ist frühestens Ende 2026 oder Anfang 2027 realistisch. Anschließend ist mit Übergangsfristen zu rechnen, bevor die neuen Meldepflichten verbindlich werden. Bis dahin bleiben MDR und IVDR in ihrer aktuellen Fassung anwendbar – einschließlich der bestehenden Schwachstellenmanagement-Anforderungen.
Häufige Fragen
Werden Medizinprodukte künftig vom Cyber Resilience Act erfasst?
Nein. Der Cyber Resilience Act schließt Medizinprodukte und In-vitro-Diagnostika weiterhin aus. Der Vorschlag COM(2025) 1023 übernimmt lediglich die Definitionen und die Meldeadressaten aus dem CRA, integriert die Pflicht aber direkt in MDR und IVDR.
Worin unterscheidet sich Artikel 87a MDR vom CRA-Meldewesen?
Adressaten und Schwachstellendefinitionen sind identisch, das Fristenregime ist es nicht. Der CRA verlangt eine 24-Stunden-Frühwarnung, eine 72-Stunden-Aktualisierung und einen abschließenden Bericht innerhalb von 14 Tagen. Der MDR-Vorschlag sieht eine einheitliche 30-Tage-Frist nach Kenntnisnahme vor.
Welche Schwachstellen sind meldepflichtig?
Meldepflichtig sind ausschließlich Schwachstellen, für die hinreichende Belege einer aktiven Ausnutzung durch einen böswilligen Akteur vorliegen. Eine reine theoretische Schwachstelle, die etwa im Rahmen eines Penetrationstests entdeckt wurde, fällt nicht unter die Meldepflicht – wohl aber unter die regulären Schwachstellenmanagement-Pflichten.
Was passiert, wenn ein Vorfall sowohl Vigilanz- als auch Cybersecurity-relevant ist?
Der Vorfall wird einmal über Eudamed gemeldet, die Übermittlung erfolgt aber gleichzeitig an die Vigilanz-Behörden und an die CSIRTs sowie ENISA. Eine doppelte Meldung ist nicht erforderlich, die Empfängerlogik wird über Eudamed abgebildet.
Gelten die neuen Pflichten auch für Bestandsprodukte?
Der Vorschlag enthält Übergangsregelungen für laufende Konformitätsbewertungsverfahren und für bestehende Bescheinigungen. Wie die neuen Cybersecurity-Meldepflichten konkret auf Bestandsprodukte angewendet werden, wird sich erst im Verlauf des Gesetzgebungsverfahrens und in nachgelagerten Durchführungsrechtsakten klären.
Kommentar hinzufügen