Both standards only touch upon cybersecurity. IEC 81001-5-1 closes this gap. It describes the activities necessary to systematically integrate cybersecurity into the development, maintenance, and marketing of products.<\/p>\n Do you need a quick refresher on medical technology standards and processes?Standards and processes in medical technology for newcomers \u2013 MEDtech Ingenieur GmbH<\/a><\/p>\n Although the standard is not yet harmonized (originally planned for May 2024, currently postponed to May 2028), it is already considered state of the art. It is already being used as a benchmark by authorities, notified bodies, and testing organizations, partly because it is clearer and more specific than the previous MDCG guideline 2019-16 on cybersecurity.<\/p>\n Precisely because cybersecurity is indirectly mandatory in the MDR (\u201eMedical Device Regulation\u201c), for example via the topic of \u201erisk analysis\u201c or \u201eprotection against unauthorized access\u201c, IEC 81001-5-1 provides concrete process specifications and best practices with which manufacturers can meet the regulatory requirements in a structured manner.<\/p>\n Conclusion: Anyone developing health software should take this standard into account today.<\/p>\n The standard describes requirements for processes and activities throughout the entire lifecycle of health software. Among other things, it requires:<\/p>\n The structure is roughly based on IEC 62304. However, there is no classification into A, B, and C. Instead, IEC 81001-5-1 relies on a risk-based selection of measures. This means that the scope of activities is not determined by the safety class, but by:<\/p>\n IEC 81001-5-1 does not stand alone, but builds upon existing standards. It explicitly requires that all cybersecurity activities be implemented within the framework of an established quality management system. This is typically ISO 13485.<\/p>\n What changes will this bring?<\/p>\n IEC 81001-5-1 requires a specific risk management process for cybersecurity that goes beyond the traditional security approach of ISO 14971. Instead of only considering threats and their impact, it focuses on:<\/p>\n Anyone who wants to be on the safe side should, in addition to ISO 14971, also consider the following: AAMI TIR 57<\/strong> take into account.<\/p>\n More information about the AAMI TIR 57 can be found here. in this blog<\/a> from us: AAMI TIR57 \u2013 Cybersecurity Risk Management for Medical Devices \u2013 MEDtech Ingenieur GmbH<\/a><\/p>\n If you would like to learn how risk management according to IEC 62304 and ISO 14971 can be implemented in practice, then you should this article<\/a> look at: Software risk management according to IEC 62304 and ISO 14971 \u2013 SW FMEA \/ FMECA for medical device software? \u2013 MEDtech Ingenieur GmbH<\/a><\/p>\n Are you developing health software or a networked medical device and wondering how to implement cybersecurity in a standards-compliant and pragmatic way? We at MEDtech Ingenieur can support you. Whether it's gap analysis, threat modeling, secure software architecture, or the implementation of IEC 81001-5-1.<\/p>","protected":false},"excerpt":{"rendered":" Cybersecurity ist Pflicht. Die EU-Verordnung 2017\/745 (MDR) verlangt, dass Medizinprodukte gegen unbefugten Zugriff gesch\u00fctzt sind. F\u00fcr Hersteller von Medizinger\u00e4ten und Health-Software hei\u00dft das: Sie m\u00fcssen digitale Bedrohungen aktiv adressieren, sowohl technisch als auch regulatorisch. Die IEC 81001-5-1 liefert erstmals eine eigenst\u00e4ndige Norm speziell f\u00fcr die Cybersicherheit von Gesundheitssoftware und das \u00fcber den gesamten Software-Lebenszyklus hinweg. […]<\/p>\n","protected":false},"author":4,"featured_media":10671,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","tve_updated_post":" Cybersecurity ist Pflicht. Die EU-Verordnung 2017\/745 (MDR) verlangt, dass Medizinprodukte gegen unbefugten Zugriff gesch\u00fctzt sind. F\u00fcr Hersteller von Medizinger\u00e4ten und Health-Software hei\u00dft das: Sie m\u00fcssen digitale Bedrohungen aktiv adressieren, sowohl technisch als auch regulatorisch.<\/p> Die IEC 81001-5-1 liefert erstmals eine eigenst\u00e4ndige Norm speziell f\u00fcr die Cybersicherheit von Gesundheitssoftware und das \u00fcber den gesamten Software-Lebenszyklus hinweg.<\/p> Bisher mussten Hersteller auf allgemeine Normen zur\u00fcckgreifen:<\/p> Beide Normen behandeln Cybersecurity nur am Rande. Die IEC 81001-5-1 schlie\u00dft diese L\u00fccke. Sie beschreibt, welche Aktivit\u00e4ten notwendig sind, um Cybersecurity systematisch in die Entwicklung, Wartung und das Inverkehrbringen einzubinden.<\/p> Sie brauchen eine kurze Auffrischung zu Normen und Prozessen der Medizintechnik? Obwohl die Norm noch nicht harmonisiert ist (geplant war Mai 2024, aktuell verschoben auf Mai 2028), gilt sie bereits heute als Stand der Technik. Sie wird schon jetzt von Beh\u00f6rden, benannten Stellen und Pr\u00fcforganisationen als Ma\u00dfstab herangezogen, auch weil sie klarer und konkreter ist als die bisherige MDCG-Leitlinie 2019-16 zur Cybersecurity.<\/p> Gerade weil Cybersecurity in der MDR (\u201eMedical Device Regulation\u201c) indirekt verpflichtend ist, etwa \u00fcber das Thema \u201eRisikoanalyse\u201c oder \u201eSchutz vor unbefugtem Zugriff\u201c, liefert die IEC 81001-5-1 konkrete Prozessvorgaben und Best Practices, mit denen Hersteller die regulatorischen Anforderungen strukturiert erf\u00fcllen k\u00f6nnen.<\/p> Fazit: Wer Health-Software entwickelt, sollte diese Norm schon heute ber\u00fccksichtigen.<\/p> Die Norm beschreibt Anforderungen an Prozesse und Aktivit\u00e4ten \u00fcber den gesamten Lebenszyklus von Health-Software hinweg. Gefordert wird u.\u202fa.:<\/p> Dabei orientiert sich die Struktur grob an der IEC 62304. Aber: Es gibt keine Klassifizierung in A, B und C. Stattdessen setzt die IEC 81001-5-1 auf eine risikobasierte Auswahl von Ma\u00dfnahmen. Das bedeutet: Der Umfang der Aktivit\u00e4ten richtet sich nicht nach der Sicherheitsklasse, sondern nach:<\/p> Die IEC 81001-5-1 steht nicht isoliert im Raum, sondern setzt auf bestehenden Normen auf. Sie fordert explizit, dass alle Cybersecurity-Aktivit\u00e4ten im Rahmen eines etablierten Qualit\u00e4tsmanagementsystems umgesetzt werden. In der Regel ist das die ISO 13485.<\/p> Welche \u00c4nderungen haben wir dadurch?<\/p> Die IEC 81001-5-1 fordert einen spezifischen Risikomanagementprozess f\u00fcr Cybersecurity, der \u00fcber das klassische Sicherheitsdenken der ISO 14971 hinausgeht. Statt nur Gef\u00e4hrdungen und Schadensauswirkungen zu betrachten, geht es um:<\/p> Wer hier auf Nummer sicher gehen will, sollte zus\u00e4tzlich zur ISO 14971 auch die AAMI TIR 57<\/strong> ber\u00fccksichtigen.<\/p> Mehr Informationen zur AAMI TIR 57 finden Sie in diesem Blog<\/a> von uns: AAMI TIR57 - Cybersecurity-Risikomanagement f\u00fcr Medizinger\u00e4te - MEDtech Ingenieur GmbH<\/a><\/p> Wenn Sie erfahren m\u00f6chten, wie das Risikomanagement nach IEC 62304 und ISO 14971 praktisch umgesetzt werden kann, dann sollten Sie sich diesen Artikel<\/a> anschauen: Software Risikomanagement nach IEC 62304 und ISO 14971 - SW FMEA \/ FMECA bei Medizinprodukt-Software? - MEDtech Ingenieur GmbH<\/a><\/p> Sie entwickeln Health-Software oder ein vernetztes Medizinger\u00e4t und fragen sich, wie Sie Cybersecurity normkonform und pragmatisch umsetzen k\u00f6nnen? Wir bei MEDtech Ingenieur unterst\u00fctzen Sie dabei. Ob Gap-Analyse, Threat Modeling, sichere Softwarearchitektur oder die Umsetzung der IEC 81001-5-1.<\/p><\/div>![\"\"](\"https:\/\/medtech-ingenieur.de\/wp-content\/uploads\/2025\/06\/assets_task_01jxd1csr3fv9vr7j8c0x7fp12_1749563196_img_0.webp\" "\\"assets_task_01jxd1csr3fv9vr7j8c0x7fp12_1749563196_img_0\\"")
<\/span><\/p>\nNot yet harmonized, but still "state of the art"\u201e<\/h2>\n
What exactly does IEC 81001-5-1 require?<\/h2>\n
\n
\n
How does IEC 81001-5-1 integrate into the QMS?<\/h2>\n
\n
And what about risk management?<\/h2>\n
\n
Warum eine eigene Norm f\u00fcr Cybersecurity?<\/h2>
<\/span><\/div><\/div><\/div><\/div><\/div><\/div>
Normen und Prozesse in der Medizintechnik f\u00fcr Neulinge - MEDtech Ingenieur GmbH<\/a><\/p><\/div>Noch nicht harmonisiert, aber trotzdem \"Stand der Technik\"<\/h2>
Was fordert die IEC 81001-5-1 konkret?<\/h2>
Wie integriert sich die IEC 81001-5-1 ins QMS?<\/h2>
Und das Risikomanagement?<\/h2>