Contact
QR code for the current URL

Story Box-ID: 1177473

TÜV Informationstechnik GmbH Am TÜV 1 45307 Essen, Germany http://www.tuvit.de
Contact Ms Verena Lingemann +49 201 8999658

Aktualisierter DiGA-Leitfaden: Das sollten DiGA-Hersteller wissen

(PresseBox) (Essen, )
Seit Inkrafttreten des Digitale-Versorgung-Gesetzes (DVG) ist es Ärzt:innen und Psychotherapeut:innen möglich, sogenannte „Apps auf Rezept“ zu verschreiben. Vorher muss eine digitale Gesundheitsanwendung (DiGA) jedoch erfolgreich ein Prüfverfahren beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) durchlaufen haben. Der dazugehörige Leitfaden wurde am 11. Oktober aktualisiert und bringt in erster Linie Änderungen in Bezug auf Penetrationstests mit sich. 

Höhere Anforderungen an Penetrationstests & neue Fristen
Die Revision des DiGA-Leitfadens fordert, dass Penetrationstest künftig vorrangig von BSI-zertifizierten Teststellen durchgeführt werden. Zudem sollen sie verpflichtend Code Reviews sowie Whitebox-Tests enthalten. Waren Pentests nach der Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) bisher nur für DiGA mit erhöhtem Schutzbedarf vorgeschrieben, sind diese mit Inkrafttreten des Digitale-Versorgung-und-Pflege-Modernisierungs-Gesetz (DVPMG) für alle DiGA obligatorisch. Damit gehört die Durchführung von Penetrationstests ab sofort zu den „Basisanforderungen, die für alle digitalen Gesundheitsanwendungen gelten“ (Anlage 1). Daraus ergeben sich für DiGA-Hersteller – abhängig vom Stand des Antragsverfahrens – zwei relevante Fristen:
  • 01.2024: Der 31.01.2024 ist für DiGA-Hersteller relevant, die sich entweder vor dem 01.02.2024 bereits im Antragsverfahren befinden oder schon im DiGA-Verzeichnis gelistet sind. Diese müssen belegen, dass die durchgeführten Pentests die neuen Anforderungen bereits erfüllen. Dafür sind Nachweise des entsprechenden IT-Sicherheitsdienstleisters notwendig. Erfüllt der Penetrationstest die neuen Anforderungen nicht, muss der DiGA-Hersteller einen Zeitplan vorlegen, bis wann dieser gemäß den aktualisierten Forderungen abgeschlossen sein wird. Vorliegen muss der Nachweis über die Durchführung des Penetrationstests (inklusive der Behebung von möglicherweis gefundenen Schwachstellen) spätestens bis zum 31.01.2024.

  • 02.2024: Ab dem 01.02.2024 ist ein Pentest nach den neuen Anforderungen Voraussetzung für die formale Vollständigkeit des Antrages. Hierzu zählen unter anderem manuelle Code Reviews, Whitebox-Tests sowie die vorrangige Durchführung des Pentests durch eine BSI-zertifizierte Teststelle.
Durch das Inkrafttreten des DVPMG erfährt Sicherheit als Prozess eine noch stärkere Bedeutung als zuvor. Penetrationstests werden in diesem Kontext als ein essenzielles Mittel gesehen, um die Sicherheit der Daten über den gesamten Anwendungsprozess und alle erdenklichen Nutzungsszenarien hinweg zu gewährleisten. Denn mithilfe von Pentests können mögliche Angriffsmuster nachgebildet werden, mit dem Ziel, eventuell bestehende Sicherheitslücken aufzudecken.

Daher sind diese ab sofort für alle DiGA verpflichtend. Das bedeutet, dass für die Produktversion, deren Aufnahme in das DiGA-Verzeichnis beantragt wird, für alle Komponenten (einschließlich aller Backend-Komponenten) ein Penetrationstest durchgeführt worden sein muss. Grundlage für die Testkonzeption bilden einerseits das Durchführungskonzept für Penetrationstests des BSI sowie andererseits die jeweils aktuellen OWASP Top-10 Sicherheitsrisiken.

Sollten über die Zeit beispielsweise neue Schnittstellen in das Internet hinzukommen oder für externe Verbindungen relevante Bibliotheken aktualisiert werden, ist der Pentest anwendungsbezogen zu wiederholen.

Mit TÜVIT zum anforderungskonformen Pentest
Personenbezogene Daten sind besonders schützenswert. Das gilt allgemein, aber vor allem dann, wenn Gesundheitsdaten, wie beispielsweise Diagnosen über körperliche und psychische Erkrankungen oder Medikation, im Spiel sind. Mithilfe von Pentests unterstützen wir Sie dabei, zum einen mögliche Schwachstellen innerhalb Ihrer DiGA frühzeitig zu identifizieren und zum anderen den erforderlichen Nachweis gegenüber dem BfArM zu erbringen.
Als nach ISO 17025 BSI-zertifizierte Teststelle blicken wir auf jahrzehntelange Erfahrung bei der Durchführung von Penetrationstest zurück und haben bereits viele Gesundheitsanwendungen erfolgreich geprüft. Dabei nehmen wir sowohl mobile Apps als auch Webanwendungen unter die Lupe. Zum Einsatz kommt eine Kombination aus automatisierten und manuellen Whitebox-Tests, um aussagekräftige und qualitativ hochwertige Ergebnisse zu erzielen. Als Prüfgrundlage dienen das Durchführungskonzept für Penetrationstests des BSI sowie die OWASP Top 10 Risiken für Webanwendungen bzw. mobile Apps.

Möchten auch Sie für Ihre Digitale Gesundheitsanwendung einen Antrag auf Zulassung beim BfArM stellen oder müssen Sie Ihre DiGA anforderungsbezogen neu testen lassen? Dann nehmen Sie gerne Kontakt zu uns auf!

Website Promotion

Website Promotion
Mehr über unsere DiGA-Leistungen erfahren

TÜV Informationstechnik GmbH

Die TÜV Informationstechnik GmbH ist auf die Prüfung und Zertifizierung der Sicherheit in der Informationstechnik ausgerichtet. Als unabhängiger Prüfdienstleister für IT-Sicherheit ist die TÜV Informationstechnik GmbH international führend. Zahlreiche Kunden profitieren bereits von der geprüften Sicherheit des Unternehmens. Zum Portfolio gehören Cyber Security, Evaluierung von Software und Hardware, IoT/Industrie 4.0, Datenschutz, ISMS, Smart Energy, Mobile Security, Automotive Security, eID und Vertrauensdienste sowie die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit und Hochverfügbarkeit.

Die 1995 gegründete TÜV Informationstechnik GmbH mit Sitz in Essen ist ein Unternehmen der TÜV NORD GROUP, die mit über 14.000 Mitarbeitenden und Geschäftsaktivitäten in weltweit 100 Ländern als einer der größten Technologie-Dienstleister agiert. TÜViT ist die Dachmarke des Geschäftsbereiches IT, einem der sechs weltweit aufgestellten Geschäftsbereiche in der TÜV NORD GROUP. Der Geschäftsbereich IT wird vertreten durch die TÜV Informationstechnik GmbH und die im Januar 2018 neu gegründete Beratungsgesellschaft TÜV NORD IT Secure Communications GmbH & Co. KG mit Sitz in Berlin.

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.