Künstliche Intelligenz (KI), AI Act und Cybersecurity für Medizinprodukte: Optimal vorbereitet in die Zukunft

Künstliche Intelligenz beansprucht ihren Platz in der Medizintechnik – mit enormem Potenzial, aber auch neuen regulatorischen Anforderungen. Der AI Act der EU (Verordnung (EU) 2024/1689) schafft erstmals einen einheitlichen Rechtsrahmen für KI-Systeme. Gleichzeitig steigen die Anforderungen an die Cybersecurity.

Hersteller, die jetzt strategisch handeln, sichern sich nicht nur die Konformität ihrer Produkte, sondern auch einen klaren Marktvorteil.

Erfahren Sie mehr: Kommen Sie ins Gespräch mit uns, unverbindlich und kostenfrei.

Unsere Leistungen


Künstliche Intelligenz (KI) und Maschinelles Lernen (ML) eröffnen vielfältige Einsatzmöglichkeiten in Medizinprodukten. Häufig handelt es sich dabei um Health Software (MDSW (Medical Device Software) bzw. SaMD (Software as Medical Device)), doch zunehmend finden KI/ML-Technologien auch Anwendung in Geräten und Systemen mit Embedded Software.

Wir begleiten Sie auf dem Weg zur regulatorisch sicheren und marktfähigen KI-/ML-Anwendung – ganzheitlich, praxisnah und zukunftsorientiert, egal ob es sich um ein Medizinprodukt mit KI inside handelt oder um den Einsatz von KI im regulatorischen oder QM-Umfeld.

Regulatorische Strategie & Einordnung
Gemeinsame Bewertung der regulatorischen Rahmenbedingungen für Ihre KI-/ML-Anwendung. Ziel ist eine tragfähige und effiziente Zulassungsstrategie – abgestimmt auf europäische und internationale Anforderungen (AI Act, MDR/IVDR, FDA u. a.).

Analyse & Interpretation der Anforderungen
Identifizierung der für Ihr Produkt relevanten Vorgaben aus Gesetzen, Verordnungen, Normen und Leitlinien und ihre Übersetzung in umsetzbare Maßnahmen für Ihr Projekt. Mögliche Vorgaben: AI Act, ISO 13485, ISO/IEC 42001, ISO/IEC 23894, ISO 14971, IEC 62304, IEC 81001-5-1, IEC 82304-1, IEC 60601-1, ISO IEC 27001, ISO/IEC 27701, IEC TR 80002-1, ISO/IEC 24029, ISO/IEC 23894 oder FDA-Guidances.

GAP-Analyse Ihrer Technischen Dokumentation
Prüfung bestehender Unterlagen auf Lücken im Hinblick auf AI Act, MDR/IVDR und relevante Normen inkl. Handlungsempfehlungen.

Erstellung & Optimierung der Technischen Dokumentation
Vom Risikomanagement über die Klinische Bewertung bis zur Post-Market Surveillance: Wir erstellen oder ergänzen Ihre Unterlagen zielgerichtet und auditfest.

Anpassung Ihrer Prozesse an KI/ML
Wir unterstützen bei der Erweiterung Ihres Qualitätsmanagementsystems sowie der Anpassung Ihrer Entwicklungs-, Software- und Datenprozesse an die Anforderungen KI-basierter Systeme.

Datenmanagement für KI
Aufbau eines belastbaren, nachvollziehbaren Datenmanagements für Training, Validierung und Tuning – normgerecht dokumentiert und regulatorisch verwertbar.

360°-Zulassungsbegleitung
Anpassung von Produkt- und Software-Lebenszyklusprozessen an KI-/ML-basierte Systeme.
Vorbereitung und Coaching in Zulassungs- und Zertifizierungsprozessen oder Audits

AI Act Mapping & Use-Case-Analyse
Welcher Teil des AI Acts ist auf Ihr Produkt anwendbar? Welche Anhänge, Kapitel und Anforderungen sind relevant? Einordnung Ihres Use Case in die Anforderungen des AI Acts.

Absicherung & Überwachbarkeit von KI-Systemen
Unterstützung bei der Sicherstellung von Genauigkeit, Robustheit menschlicher Aufsicht und Transparenz, wie es der AI Act verlangt.

Bewertung von Trainings- & Testdaten
Auslegung und Dokumentation der verwendeten Datenquellen, nachvollziehbar für Benannte Stellen und Behörden.

Kommunikation mit Benannten Stellen
Begleitung im Austausch mit Benannten Stellen oder Zulassungsbehörden in Europa (z. B. Notified Bodies) und international (z. B. FDA).

Workshops & Inhouse-Schulungen für Ihr Team
Schulungen zu regulatorischen Anforderungen und Workshops zu strategischen Umsetzungsfragen im Umgang mit KI-Systemen für Ihre Entwicklungs-, QM- oder Regulatory-Teams.

Lassen Sie uns gemeinsam herausfinden, was genau Sie brauchen: Kontaktieren Sie uns.

Der AI Act: Neue Spielregeln für KI-Systeme


Mit dem AI Act schafft die EU erstmals einen verpflichtenden Rechtsrahmen für KI, vergleichbar mit der MDR/IVDR. Besonders betroffen: Medizinprodukte mit KI-Komponenten, die meist als Hochrisiko-KI-Systeme gelten.

Die Risikoklassen nach der Verordnung (EU) 2024/1689 – AI Act
Die Risikoklassen nach der Verordnung (EU) 2024/1689 – AI Act

AI Act: Was muss ich als Hersteller oder Anbieter von Medizinprodukten u. a. beachten?


  • Durchführung einer spezifischen Risikoanalyse für die KI-Funktion und Klassifizierung nach AI Act
  • Nachweis von Robustheit, Genauigkeit im Nutzungskontext sowie Informationssicherheit
  • Umsetzung von Maßnahmen der menschlichen Aufsicht auf Basis der Erklärbarkeit der KI-Ergebnisse
  • Dokumentation und Bewertung der Trainings-, Tuning- und Testdaten
  • Transparenzpflichten, Gebrauchsanweisungen und Nachvollziehbarkeit von KI-Ergebnissen
  • Technische Dokumentation, Konformitätsbewertung sowie Registrierung nach AI Act
  • Protokollierung und Aufbewahrung von Logs zur Einhaltung der Rückverfolgbarkeit

AI Act: Was muss ich als Betreiber von Hochrisiko-KI-Tools u.a. beachten?


  • Verwendung gemäß der Gebrauchsanweisung des KI-Tool-Providers
  • Umsetzung von Maßnahmen der menschlichen Aufsicht auf Basis der Erklärbarkeit der KI-Ergebnisse
  • Sicherstellung von Qualität, Relevanz und Repräsentativität bei den Eingabedaten
  • Einhaltung der Überwachungs- und Informationspflichten
  • Einhaltung der Informationspflicht gegenüber Betroffenen
  • Protokollierung und Aufbewahrung von Logs zur Einhaltung der Rückverfolgbarkeit


Es gibt viel zu beachten. Auf uns können Sie zählen!

Welche Übergangsfristen gelten für den AI Act?

Der Startschuss für die Übergangsfristen des AI Acts ist im Februar 2025 gefallen. Um 2027 mit allem bereit zu sein, müssen Sie jetzt planvoll ins Handeln kommen.

Wir zeigen Ihnen gern, wie das gelingt!

Übergangsfristen AI Act: Der Countdown läuft

AI Act: Vorsprung sichern statt später hinterherlaufen


Der AI Act ist keine ferne Zukunft: Die Übergangsfristen laufen bereits, und viele Anforderungen überschneiden sich mit bestehenden Regularien wie MDR/IVDR und ISO-Normen. Wer heute noch abwartet, riskiert morgen hohe Aufwände, fehlende Ressourcen und Verzögerungen bei der Marktzulassung.

Jetzt ist der Zeitpunkt, um zu handeln – aus drei zentralen Gründen:

1. Vermeidung teurer Nachbesserungen
Eine späte Reaktion auf den AI Act führt oft zu kritischen Rückmeldungen durch Benannte Stellen, zeitintensiven Nacharbeiten und im schlimmsten Fall zum Stopp im Zulassungsprozess. Frühzeitige GAP-Analysen helfen, Risiken zu erkennen und gezielt zu schließen.

2. Sichere Planung für Produktentwicklungen
KI-Funktionalitäten werden oft schon konzipiert, bevor klar ist, ob sie unter den AI Act fallen. Wer früh regulatorische Anforderungen integriert, spart Zeit, Kosten und Frustration im Entwicklungsteam.

3. Starkes Signal an Markt und Behörden
Ein Unternehmen, das den AI Act proaktiv adressiert, zeigt Verantwortung, Zukunftsorientierung und Professionalität. Das schafft Vertrauen bei Kunden, Benannten Stellen und ggf. Investoren.

Wir freuen uns, Sie dabei zu unterstützen!

Strategisch vorbereitet statt überrascht: Sichern Sie sich jetzt Klarheit über Ihre nächsten Schritte: Kontaktieren Sie uns für Ihre persönliche Beratung.

Cybersecurity und AI Act: Pflicht statt Kür, gerade bei KI

Cybersecurity (oder Cybersicherheit) ist beim AI Act kein Nebenthema: Sie ist integraler Bestandteil der regulatorischen Anforderungen. Hochrisiko-KI-Systeme müssen nachweislich so entwickelt und betrieben werden, dass sie robust, sicher und resilient gegenüber Angriffen, Fehlfunktionen und Manipulationen sind. Gerade bei Medizinprodukten, deren Ergebnisse direkt die Therapie oder Diagnose beeinflussen, ist das aus Patientensicht, aber auch aus Sicht der Behörden essenziell.

Cybersecurity-Pflichten für Hersteller oder Anbieter umfassen bei KI u.  a.:


Cybersicherheitsstrategie: Diese muss integraler Bestandteil des Qualitätsmanagementsystems sein, auch mit Blick auf die MDR/IVDR, insbesondere die informationstechnische Absicherung aller in die KI eingebundenen und für die Erstellung der KI verwendeten Fremdsoftware (Tool Chain).

Sicherstellung der Datenintegrität: Trainingsdaten und Eingabedaten müssen vor Manipulation, Verlust und unbefugtem Zugriff geschützt werden.

Absicherung von Entscheidungsprozessen: Entscheidungen von KI-Systemen dürfen nicht durch externe Eingriffe oder Systemfehler kompromittiert werden.

Monitoring und Protokollierung: Alle Systemaktivitäten müssen lückenlos protokolliert und nachträglich überprüfbar sein.

Frühwarnsysteme und Korrekturmechanismen: Hersteller müssen in der Lage sein, unerwünschte Effekte schnell zu erkennen und zu korrigieren.

Das Positionspapier von Team-NB (Stand April 2025) betont, dass Cybersecurity im KI-Kontext über klassische IT-Sicherheit hinausgeht: Die Sicherheitsarchitektur muss regulatorisch nachvollziehbar und technisch belastbar sein, und das von Anfang an.

Wir helfen Ihnen, Cybersecurity als integralen Bestandteil Ihrer Zulassungsstrategie zu verankern. Damit es keine spätere Reparaturmaßnahme wird.

Lassen Sie uns gemeinsam prüfen, wie Ihre Sicherheitsarchitektur regulatorisch überzeugt.

IT in der Produktion

IT in der Produktion - Metecon GmbH
Software in der Produktion ist aus komplexeren Produktionsprozessen nicht mehr wegzudenken. Allerdings muss auch hier ein Nachweis geführt werden, um den risikominimierten Betrieb innerhalb der QM-relevanten Prozesse zu gewährleisten (ISO 13485).

Wir unterstützen Sie bei der korrekten Identifikation und Bewertung der Software sowie bei der richtigen Prozessabbildung innerhalb Ihres Qualitätsmanagementsystems.

Gerne stehen Ihnen unsere Experten bei allen Validierungsaktivitäten mit Rat und Tat zur Seite.

Kontaktieren Sie uns jetzt unverbindlich!

Je komplexer die Produkte, umso höher die Anforderungen an eine moderne Produktion; je vernetzter die Produktion, desto größer der Software-Anteil. Behalten Sie die zunehmende Komplexität mit der Validierung Ihrer Software im Griff.

Kennen Sie alle? Wir auch!


ISO 13485:2016 legt die Anforderungen für ein Qualitätsmanagementsystem fest, in dem ein Unternehmen nachweisen muss, dass es in der Lage ist, medizinische Geräte und damit verbundene Dienstleistungen bereitzustellen, die den Anforderungen der Kunden und den geltenden Vorschriften entsprechen.

Mit dem Leitfaden GAMP 5 wurde von der ISPE (Internation Society for Pharmaceutical Engineering) im Jahr 2008 der risikobasierte Ansatz in die Validierung computergestützter Systeme eingeführt. Im Jahr 2022 wurde die 2nd Edition des GAMP 5 veröffentlicht.

GAMP 5 gilt für Computersysteme, die im Bereich der Medizintechnik als auch der Pharmaindustrie eingesetzt werden. Der GAMP 5 erläutert sehr umfangreich, wie die Validierung risikobasiert durchgeführt werden kann.

ISO/TR 80002:2017 gilt für jede Software, die bei der Entwicklung, Prüfung, Bauteilannahme, Herstellung, Etikettierung, Verpackung, Verteilung und Bearbeitung von Reklamationen verwendet wird oder alle anderen Aspekte eines Qualitätsmanagementsystems für Medizinprodukte gemäß ISO 13485 automatisiert.

Der AAMI TIR36:2007 ist ein Best-Practice-Guide, der Hilfestellung bei der "Validation of software for regulated processes" gibt. Er ist anwendbar auf die gleiche Software wie der ISO/TR 80002-2:2017. Zusätzlich kann er angewendet werden für Software, die elektronische Aufzeichnen erstellt, anpasst oder speichert, und für Software, die elektronische Signaturen verwaltet, sofern diese Validierungsanforderungen unterliegen.
Der Anwendungsbereich des AAMI TIR36:2007 sind die regulatorischen Anforderungen von 21 CFR 820 (Quality System Regulation) und 21 CFR 11 (Electronic Records; Electronic Signatures).