"Sind Sie GxP-erfahren (Good Manufacturing Practice)?"

"Indirekt — wir bauen Validierungs-fähige IT, nicht die GxP-Prozesse selbst. Unsere Partner für GxP-Validierung kennen wir gut. Zusammen liefern wir IT-Compliance, die GxP-Standards erfüllt."

"Wie behandeln Sie Patientendaten praktisch?"

"Art. 9 ist unsere Default-Annahme. Wir verarbeiten so wenig wie möglich. Pseudonymisierung, wo praktikabel. Audit-Logs sind segregiert und GDPR-konform. Sub-Processor-Verträge (ADV) sind in Kraft und öffentlich."

"Kann Healthcare-Daten in die Cloud — oder nur On-Prem?"

"EU-Cloud (dynexo) ist DSGVO-Art-32-konform und reicht für die meisten Fälle. BYOK (Bring-Your-Own-Key) ist möglich. Falls Sie strengere Anforderungen haben: On-Prem ist auch eine Option. Notified Body sieht beides als Stand-der-Technik."

"Wie bereitet ihr uns auf Notified-Body-Audits vor?"

"Wir bauen ein Evidence-Pack: IT-Risk-Analysis nach MDR Art. 15, Cybersecurity-Maßnahmen-Liste, Change-Logs, Incident-History (mit Remediation). Das ist die Basis für den Notified-Body-Fragebogen. Meist reicht das zu 80% — die restliche 20% sind Produkt-Design-Fragen."

Zurück zu Branchen

BRANCHEN · HEALTHCARE SUPPLY CHAIN

GDPR, MDR, Lieferketten-Druck — operativ tragbar gemacht.

TL;DR. Healthcare-Supplier — Medizinprodukte, IVD, Logistik, Pharma-Zulieferer. Wir kennen den Spagat zwischen Compliance-Last (MDR, GDPR, ISO 13485) und operativer Wirklichkeit. KI-native Operations, die regulatorische Spuren produzieren.

MDR-/IVDR-erfahren ISO 13485-Kontext Lieferketten-resilient

Branchen-Briefing anfragen Zurück zur Branchen-Übersicht

Was diese Branche typischerweise belastet

Die MDR-Übergangsfrist ist Mai 2024 vorbei. Notified Bodies prüfen jetzt hart — Cybersecurity ist nicht länger eine „nette Zutat" der Medizinprodukte, sondern Teil von Art. 15 MDR (Risk Analysis). Parallel: IEC 62304 und IEC 81001-5-1 konkretisieren was Cybersecurity für Software in Medizinprodukten bedeutet. Ein Medizinprodukte-Hersteller, der seine IT-Sicherheit nicht dokumentieren kann, bekommt seine CE-Kennzeichnung nicht verlängert.

Gleichzeitig sind Patientendaten besondere Kategorien (Art. 9 DSGVO) — Ransomware auf einem Healthcare-Supplier ist ein Doppel-Druck: Notified-Body-Audit fraigt, BfArM fragt, Patienten-Ombudsmann fragt. TISAX für Pharma-Zulieferer verschärft es weiter — viele große Pharma-Kunden verlangen TISAX-Reifegrad von ihren Lieferanten.

Die ERP-Stacks sind spezialisiert und Validierungs-intensiv: SAP S/4HANA mit MDR-Modul, Aras Innovator für ECM, PTC Windchill für PLM. Jeder System-Change ist eine Validierungs-Aktivität — das kostet Zeit und Geld. Cyber-Versicherer verlangen zudem Medizinprodukte-spezifische Cybersecurity-Policies. Und der Druck aus Lieferketten-Seite ist akut: ein Ransomware-Vorfall bei einem Healthcare-Supplier wird zu Breaking News.

Wie wir typischerweise helfen

Wir bauen Validierungs-fähige IT-Sicherheit: jede Aktion ist auditierbar, jedes Log ist im Validierungs-Format dokumentierbar. Das bedeutet: Endpoint Agents sammeln nicht wild Daten, sondern strukturiert und DSGVO-Art-32-konform. Patientendaten werden minimiert — soweit möglich pseudonymisiert. Das LLM Gateway nutzt keine Patientendaten ohne explizite Freigabe (und auch dann mit DLP-Filtern).

Business Agents automatisieren Validierungs-Anforderungen: Patch-Management mit Change-Logs, Security-Updates mit Traceability, Incident-Response mit vollständiger Dokumentation (für Notified-Body oder regulatorische Anfragen). Knowledge Base speichert MDR/IVDR-Anforderungen und DSGVO-Art-9-Mappings — sodass technische Teams und Regulatory-Teams auf demselben Stand sind.

Cloud-Mandate sind Standard (EU-Cloud bei dynexo), aber mit Validierungs-Vorbereitung: Sub-Processor-Liste, ADV (Auftragsverarbeiter-Vertrag), Audit-Logs in standardisierter Form. Für Hochrisiko-Anwendungen oder sehr sensible Patientendaten: On-Prem ist auch eine Option.

Was sich in dieser Branche oft als erstes lohnt

Healthcare-Supplier sollten mit drei Dingen starten: Datenschutz-Mapping, Validierungs-Readiness, Notified-Body-Evidence.

DSGVO Art. 9-Compliance-Mapping: Welche Systeme verarbeiten Patientendaten? Minimierung und Pseudonymisierung durchführbar? Audit-Trail lückenlos?
MDR-Cybersecurity-Anforderungen (IEC 81001-5-1): Wie sind Ihre ERP-, PLM- und ECM-Systeme gegen die IEC-81001-Anforderungen gehärtet?
Validierungs-IT-Hardening: Patch-Management, Backup, Incident-Response mit Change-Logs und Rollback-Planung — alles Validierungs-tauglich.
Lieferketten-Risk-Register: Wo sind Ihrer Supplier gefährdet? TISAX, NIS2, Ransomware-Exposures auflisten und mitigieren.
ERP-Sicherheits-Review: SAP S/4HANA, Aras, Windchill — Authentication, Authorization, Audit-Logging nach MDR-Standard überprüfen.
Notified-Body-Vorbereitung: Evidence-Pack für nächste Audit: IT-Risk-Analysis, Cybersecurity-Maßnahmen, Change-Logs, Incident-History.

Konkrete Angebote

Was Sie übernehmen lassen können

DSGVO Art-9-Compliance-Mapping

Patientendaten-Verarbeitung katalogisieren, Minimierungspunkte identifizieren, pseudonymisieren wo möglich.
MDR-Cybersecurity-Anforderungen (IEC 81001-5-1)

Software-Sicherheitsanforderungen nach Standard bewerten und Härtungsplan aufstellen.
Validierungs-IT-Hardening

Patch-Management, Backup, Incident-Response mit vollständigen Change-Logs und Rollback-Planung.
Lieferketten-Risk-Register

Supplier-Risiken (TISAX, NIS2, Ransomware) katalogisieren und Mitigations-Roadmap erstellen.
ERP-Sicherheits-Review

SAP/Aras/Windchill auf Authentication, Authorization, Audit-Logging und MDR-Konformität überprüfen.
Notified-Body-Vorbereitung

Evidence-Pack mit IT-Risk-Analysis, Cybersecurity-Maßnahmen, Change-Logs für nächsten Audit aufbauen.

Regulatorischer Rahmen

Pflichten, die wir adressieren

Healthcare-Supplier stehen 2026 in einem mehrschichtigen Regulatory-Stack: MDR und IVDR für Produkte, GDPR Art. 9 für Patientendaten, ISO 13485 für Qualitäts-Prozesse, dazu IEC-Normen für Cybersecurity von Medizingeräten und der EU AI Act für KI-gestützte Diagnostik.

MDR Art.15

EU 2017/745 MDR · Art. 15 Cybersecurity in Risikoanalyse

Medizinprodukte müssen Cybersecurity-Risiken systematisch dokumentieren und nachweisen. Notified Bodies prüfen die Evidence vor CE-Kennzeichnung und im laufenden Surveillance. Wir bauen den Evidence-Trail, dokumentieren Threat-Modelling und integrieren Cybersecurity in die Produkt-Validierungs-Prozesse.
MDR Anhang I

MDR · Anhang I, Abschn. 17 Software-Anforderungen

Medizinprodukte-Software muss nach Stand der Technik entwickelt werden — sichere Architektur, IT-Sicherheits-Maßnahmen, Schutz gegen unautorisierte Zugriffe. Wir liefern die technische Dokumentation und betreiben die laufende Pflege von Vulnerability-Management und Update-Strategie.
IVDR

EU 2017/746 IVDR · In-Vitro-Diagnostika-Verordnung

Analog zur MDR, aber für In-Vitro-Diagnostika und Labor-Diagnostik. Strengere Risikoklassifizierung — Class C und D Geräte mit Notified-Body-Pflicht. Wir bereiten die IT-Sicherheits-Dokumentation und die Vulnerability-Disclosure-Policy nach IVDR-Anforderungen vor.
IEC 81001-5-1

IEC 81001-5-1 · Sicherheit von Health-Software

Konkretisiert die Cybersecurity-Anforderungen aus MDR/IVDR auf Software-Ebene — Secure-Development-Lifecycle, Threat-Modelling, Penetration-Testing. Wir integrieren diesen Lifecycle in Ihre Entwicklungs-Prozesse, dokumentieren Threats und liefern den Audit-fähigen Compliance-Stack.
IEC 62304

IEC 62304 · Medizinprodukte-Software-Lifecycle

Klassifiziert Medizinprodukte-Software nach Sicherheits-Klasse A/B/C und definiert den Software-Lifecycle pro Klasse. Wir bauen den Lifecycle-Prozess, dokumentieren Software-Items und integrieren Cybersecurity-Maßnahmen in jeden Lifecycle-Schritt.
GDPR Art. 9

DSGVO · Art. 9 Besondere Kategorien personenbezogener Daten

Gesundheitsdaten sind besondere Kategorien mit Verarbeitungs-Verbot — nur mit expliziter Einwilligung, Rechtsgrundlage oder weiteren Ausnahmen verarbeitbar. Wir bauen Privacy-by-Design (Minimierung, Pseudonymisierung, Verschlüsselung) und liefern Audit-Trails für jede Verarbeitungs-Aktion.
ISO 13485

ISO 13485:2016 · Qualitätsmanagementsystem für Medizinprodukte

Branchen-Standard-QMS — IT-Validierung, Change-Management, dokumentierte Prozesse, Audit-Trails sind Pflicht. Wir bauen das QMS-Tooling auf Nova9, integrieren Validation-Trails und liefern Notified-Body-konforme Reports zum Audit-Termin.
MDCG 2019-16

MDCG 2019-16 · Cybersecurity für Medizinprodukte (Guidance)

EU-Guidance dokumentiert konkrete Erwartungen an MDR-Cybersecurity-Evidence. Erforderlich für Notified-Body-Konformität. Wir mappen unsere Evidence-Pakete auf die MDCG-Anforderungs-Liste und liefern den Compliance-Bericht im Notified-Body-akzeptierten Format.
AI Act

EU AI Act · Art. 6 Hochrisiko-KI in Medizinprodukten

KI-Komponenten in Medizinprodukten (CDSS, Diagnose-Unterstützung, Triage-Algorithmen) fallen unter Hochrisiko-KI. Pflicht zu Governance, Transparenz, Bias-Testing, Audit-Trail. Wir bauen den AI-Act-Stack auf Basis des LLM Gateway mit Output-Validierung und Bias-Metrik.
NIS2

NIS2-Umsetzungsgesetz · Sektor Gesundheit (Anhang II)

Krankenhäuser und Healthcare-Supplier ab Schwellenwert sind important entity — mit Detection-, Continuity- und Reporting-Pflichten. Wir liefern den NIS2-Stack: Detection-Engineering, BCM-Pläne, 24h-BSI-Meldungs-Workflow.

Branchen-Fakten

Stand: 2026-05-27 · Quelle: dynexo Operations + MDR/IVDR-Dokumentation
Typische Mandats-Größe	100–1.500 MA (typisch: Entwicklung + Produktion + Supply-Chain-Support)
Häufigste Trigger	MDR-Notified-Body-Audit, Ransomware-Vorfall, Cyber-Versicherer-Anforderung, TISAX für große Pharma-Kunden
Typisches Betriebsmodell	EU-Cloud bei dynexo (mit ADV und Sub-Processor-Liste) oder On-Prem für Hochrisiko-Patientendaten · Grund: Validierungs-Anforderungen und DSGVO-Art-9-Sensibilität
Kernregulierung	MDR, IVDR, DSGVO Art. 9, ISO 13485, IEC 62304, IEC 81001-5-1, optional TISAX
Nova9-Module im Einsatz	Knowledge Base (MDR/IVDR-Mapping), Business Agents (Validierungs-Automatisierung), Endpoint Agents (ERP/PLM-Überwachung), Observability
Typisches Onboarding	30–60 Tage (Daten-Mapping, Validierungs-Setup, ERP-Härtung, Notified-Body-Evidence-Pack)
Audit-Mirror	Vollständig in EU · Retention: 10 Jahre (MDR-Anforderung)
Klon-Übergabe	Verfügbar · Validierungs-Dokumentation geht mit

Oft gefragt

Was vor dem Briefing oft gefragt wird

Sind Sie GxP-erfahren (Good Manufacturing Practice)?

Indirekt — wir bauen Validierungs-fähige IT, nicht die GxP-Prozesse selbst. Unsere Partner für GxP-Validierung kennen wir gut. Zusammen liefern wir IT-Compliance, die GxP-Standards erfüllt.
Wie behandeln Sie Patientendaten praktisch?

Art. 9 ist unsere Default-Annahme. Wir verarbeiten so wenig wie möglich. Pseudonymisierung, wo praktikabel. Audit-Logs sind segregiert und GDPR-konform. Sub-Processor-Verträge (ADV) sind in Kraft und öffentlich.
Kann Healthcare-Daten in die Cloud — oder nur On-Prem?

EU-Cloud (dynexo) ist DSGVO-Art-32-konform und reicht für die meisten Fälle. BYOK (Bring-Your-Own-Key) ist möglich. Falls Sie strengere Anforderungen haben: On-Prem ist auch eine Option. Notified Body sieht beides als Stand-der-Technik.
Wie bereitet ihr uns auf Notified-Body-Audits vor?

Wir bauen ein Evidence-Pack: IT-Risk-Analysis nach MDR Art. 15, Cybersecurity-Maßnahmen-Liste, Change-Logs, Incident-History (mit Remediation). Das ist die Basis für den Notified-Body-Fragebogen. Meist reicht das zu 80% — die restliche 20% sind Produkt-Design-Fragen.

Nächster Schritt

Wie machen wir Ihre Healthcare-IT MDR/IVDR-konform?

Das Branchen-Briefing analysiert Ihre Daten-Verarbeitung (DSGVO Art. 9), zeigt Validierungs-Lücken und skizziert einen Notified-Body-Readiness-Plan — mit realistischen Timelines für Audit-Vorbereitung.

Branchen-Briefing anfragen Sicherheits-Briefing buchen