DiGA-Leitfaden wurde aktualisiert

DiGA-Leitfaden wurde aktualisiert unknown

Digitale Gesundheitsanwendungen (DiGA) DiGA-Leitfaden wurde aktualisiert

08.11.2023 Quelle: Pressemitteilung TÜV IT Lesedauer: 2 min |

Bevor eine digitale Gesundheitsanwendung marktreif ist, muss sie bestimmte Prüfverfahren beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) durchlaufen. Das BfArM hat am 11. Oktober einen aktualisierten Leitfaden für DiGA veröffentlicht. Dieser bringt v. a. Änderungen in Bezug auf Penetrationstests mit sich.

Die Revision des DiGA-Leitfadens fordert, dass Penetrationstest künftig vorrangig von Teststellen durchgeführt werden, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert sind. Zudem sollen die Tests verpflichtend Code Reviews sowie Whitebox-Tests enthalten. Nach der Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) waren Pentests bisher nur für DiGA mit erhöhtem Schutzbedarf vorgeschrieben. Mit Inkrafttreten des Digitale-Versorgung-und-Pflege-Modernisierungs-Gesetz (DVPMG) sind die Tests nun für alle DiGA obligatorisch. Damit gehört die Durchführung von Penetrationstests ab sofort zu den „Basisanforderungen, die für alle digitalen Gesundheitsanwendungen gelten“ (Anlage 1). Daraus ergeben sich für DiGA-Hersteller – abhängig vom Stand des Antragsverfahrens – zwei relevante Fristen:

• Januar 2024: Der 31. Januar 2024 ist für DiGA-Hersteller relevant, die sich entweder vor dem 1. Februar 2024 bereits im Antragsverfahren befinden oder schon im DiGA-Verzeichnis gelistet sind. Diese müssen belegen, dass die durchgeführten Pentests die neuen Anforderungen bereits erfüllen. Dafür sind Nachweise des entsprechenden IT-Sicherheitsdienstleisters notwendig.
  Erfüllt der Penetrationstest die neuen Anforderungen nicht, muss der DiGA-Hersteller einen Zeitplan vorlegen, bis wann dieser gemäß den aktualisierten Forderungen abgeschlossen sein wird. Vorliegen muss der Nachweis über die Durchführung des Penetrationstests (inklusive der Behebung von möglicherweise gefundenen Schwachstellen) spätestens bis zum 31. Januar 2024.
• Februar 2024: Ab dem 1. Februar 2024 ist ein Pentest nach den neuen Anforderungen Voraussetzung für die formale Vollständigkeit des Antrages. Hierzu zählen u. a. manuelle Code Reviews, Whitebox-Tests sowie die vorrangige Durchführung des Pentests durch eine BSI-zertifizierte Teststelle.

Sicherheit erhält stärkere Bedeutung

Penetrationstests werden als essenzielles Mittel gesehen, um die Sicherheit der Daten über den Anwendungsprozess und alle Nutzungsszenarien hinweg zu gewährleisten. Denn mithilfe von Pentests können mögliche Angriffsmuster nachgebildet werden, mit dem Ziel, eventuell bestehende Sicherheitslücken aufzudecken.

Daher sind die Penetrationstests ab sofort für alle DiGA verpflichtend. Das bedeutet, dass für die Produktversion, deren Aufnahme in das DiGA-Verzeichnis beantragt wird, für alle Komponenten (einschließlich aller Backend-Komponenten) ein Penetrationstest durchgeführt worden sein muss. Grundlage für die Testkonzeption bilden das Durchführungskonzept für Penetrationstests des BSI sowie die jeweils aktuellen OWASP Top-10 Sicherheitsrisiken.

Sollten über die Zeit beispielsweise neue Schnittstellen in das Internet hinzukommen oder für externe Verbindungen relevante Bibliotheken aktualisiert werden, ist der Pentest anwendungsbezogen zu wiederholen.

Penetrationstest beim TÜV IT

Als nach ISO 17025 BSI-zertifizierte Teststelle unterstützt TÜV IT Hersteller dabei, mögliche Schwachstellen innerhalb einer DiGA frühzeitig zu identifizieren und den erforderlichen Nachweis gegenüber dem BfArM zu erbringen. Geprüft werden sowohl mobile Apps als auch Webanwendungen. Zum Einsatz kommt eine Kombination aus automatisierten und manuellen Whitebox-Tests. Als Prüfgrundlage dienen das Durchführungskonzept für Penetrationstests des BSI sowie die OWASP Top 10 Risiken für Webanwendungen bzw. mobile Apps.

Der Artikel erschien zuerst auf unserem Schwesterportal Devicemed.