Regulatory Update: Wie Sie bei den regulatorischen Anforderungen auf dem Laufenden bleiben

Medizinproduktehersteller sind zu einem regelmäßigen „Regulatory Update“ verpflichtet. Denn so eigenartig es klingt: Regulatorische Anforderungen verpflichten Hersteller dazu, fortlaufend die Änderungen der regulatorischen Anforderungen zu überwachen, zu bewerten und notwendige Maßnahmen zu treffen.

Bei Tausenden dieser regulatorischen Anforderungen den Überblick zu behalten, ist eine Herausforderung. Hersteller sollten genau verstehen, welche typischen Fehler es zu vermeiden gilt, um einerseits Sicherheit bei Audits zu erlangen und anderseits unnötige Aufwände für ihr „Regulatory Update“ zu ersparen.

1. Regularien, die ein „Regulatory Update“ verfolgen muss

Die Landkarte der Regularien ist ebenso komplex wie umfangreich:

• Nationale Gesetze wie MPG, MPDG, Heilmittelgesetz, Food, Drug & Cosmetic Act
• Nationale Verordnungen wie MPSV, MPBetreibV
• Weitere Publikationen der Nationalstaaten wie des NAKI
• EU-Verordnungen wie MDR und IVDR
• EU-Richtlinien wie MDD, IVDD und AIMDD
• EU-Leitlinien wie die MDCG-Dokumente
• Hunderte nationale und internationale Normen wie ISO 13485 und ISO 14971
• Common Specifications
• Weit über 600 FDA Guidance Documents, z.B. zur Cybersecurity und zur Vigilanz
• Implementierungsleitfäden, z.B. zur IT-Security und zum Machine Learning
• Veröffentlichungen von Organisationen wie IMDRF und NB-Med

2. Regulatorische Anforderungen an die Recherche regulatorischer Anforderungen

a) EU-Verordnungen (MDR, IVDR)

Hersteller müssen aktuelle Normen und Common Specifications kennen und berücksichtigen

Die EU-Verordnungen fordern, dass Medizinprodukte den grundlegenden Sicherheits- und Leistungsanforderungen des Anhangs I entsprechen (MDR Artikel 5 (2)). Diese grundlegenden Sicherheits- und Leistungsanforderungen müssen dem „allgemein anerkannten Stand der Technik“ entsprechen (MDR, Anhang I, Absätze 1 und 4).

Beim Nachweis der Konformität sind die Hersteller verpflichtet, die angewendeten harmonisierten Normen, Common Specifications oder „sonstigen Lösungen“ anzugeben (MDR, Anhang II, Abschnitt 4 (c)).

Denn gemäß Artikel 8 dürfen Hersteller harmonisierte Normen nutzen, um nachzuweisen, dass die Produkte dem Stand der Technik entsprechen. Daher müssen die Hersteller diese Normen auch nachverfolgen. Die MDR schreibt sogar explizit:

Änderungen der harmonisierten Normen oder der GS, auf die bei Erklärung der Konformität eines Produkts verwiesen wird, werden zeitgerecht angemessen berücksichtigt.

MDR, Artikel 10

Fazit: Medizinproduktehersteller müssen Normen und grundlegende Spezifikationen (GS, Common Specifications) aktiv nachverfolgen, um zu gewährleisten, dass sie den Stand der Technik kennen und bei ihren Produkten nachweisen.

Hersteller müssen im QM-System festlegen, wie sie rechtliche Anforderungen nachverfolgen.

MDR und IVDR haben die Anforderungen an QM-Systeme deutlich erhöht. So fordert die MDR:

Diese Verfahren und Techniken haben speziell Folgendes zum Gegenstand:

— das Konzept zur Einhaltung der Regulierungsvorschriften, einschließlich der Prozesse zur Feststellung der einschlägigen rechtlichen Anforderungen, Qualifizierung, Klassifizierung, Handhabung von Gleichartigkeit, Wahl und Einhaltung der Konformitätsbewertungsverfahren

MDR. Anhang IX, Abschnitt 2.2

b) ISO 13485

„Regulatory Update“ als explizit geforderte Tätigkeit innerhalb des QM-Systems

Auch die ISO 13485 adressiert explizit das Thema. Sie schreibt:

„Die oberste Leitung muss sicherstellen, dass die Kundenanforderungen und anwendbare regulatorische Anforderungen ermittelt und erfüllt werden.“

DIN EN ISO 13485:2016, Kapitel 5.2

Wie wichtig der Norm diese Überwachung ist, macht Kapitel 5.6 (Managementbewertung) klar. Die Managementbewertung muss „anwendbare neue oder überarbeitete regulatorische Anforderungen“ als Input bewerten.

Als Ergebnis dieser Bewertung muss das Management „Änderungen [festlegen], die erforderlich sind, um auf anwendbare neue oder überarbeitete regulatorische Anforderungen zu reagieren“.

Produktspezifische regulatorische Anforderungen

Zusätzlich fordert die ISO 13485, dass die Hersteller pro Produkt die Stakeholder-Anforderungen ermitteln. Damit sind die Anforderungen der Kunden gemeint, aber auch die regulatorischen:

„Die Organisation muss Folgendes ermitteln: […] anwendbare regulatorische Anforderungen bezüglich des Produkts;“

ISO 13485 Abschnitt 7.2.1

Doch mit der Ermittlung dieser Anforderungen ist es nicht getan:

„Die Organisation muss die Anforderungen bezüglich des Produkts bewerten. Diese Bewertung muss […] sicherstellen […], dass die anwendbaren regulatorischen Anforderungen erfüllt sind; [und], dass die Organisation in der Lage ist, die festgelegten Anforderungen zu erfüllen.“

ISO 13485 Abschnitt 7.2.2

c) ISO 20416 „Medical devices – Post-market surveillance for manufacturers“

Die ISO 20416 betrachtet das „Regulatory Update“ als Teil der Post-Market Surveillance. Die Norm fordert explizit:

„Medical device organizations should monitor applicable regulatory requirements for any change to evaluate upcoming gaps, and plan for continued compliance. Standards, guidances and best practices are typically not mandatory requirements (see regulatory requirements) but describe the state of the art.

Changes in regulatory requirements, standards, guidances and best practices can suggest a change in the state of the art, impacting design and development inputs and potentially requiring design and development changes.”

ISO 20416 (Draft)

d) 21 CFR part 820

Die FDA formuliert nicht explizit, dass die Hersteller die regulatorischen Anforderungen und Normen zu ermitteln haben. Allerdings fordert sie:

“Where process controls are needed they shall include:
[…]
Compliance with specified reference standards or codes;“

21 CFR §820.70

Dass FDA-Inspektoren davon ausgehen, dass die Hersteller alle Regularien kennen und befolgen, dürfte jedoch selbstverständlich sein.

3. Hürden und Herausforderungen

Die Erkenntnis, dass Hersteller die regulatorischen Anforderungen kennen und befolgen müssen, ist banal. Weniger banal sind die Herausforderungen, die sie dabei zu bewältigen haben:

1. Anwendbare regulatorische Anforderungen tatsächlich finden
   Die erste Hürde, die Hersteller bewältigen müssen, besteht darin, die relevanten regulatorischen Anforderungen zu ermitteln. Je größer die Anzahl der Länder, in denen ein Produkt vermarktet werden soll, desto länger wird die Liste dieser Regularien sein.
2. Aufwand für die Überwachung und Bewertung
   Wenn die Hersteller alle anwendbaren Regularien gefunden haben, wird sie deren schiere Menge erschlagen: Mehrere Hundert anwendbare Regularien sind nicht ungewöhnlich für einen Hersteller.
   Jedes Dokument bedeutet einen zusätzlichen Aufwand für das
   • Überwachen,
   • Lesen und Verstehen,
   • Erkennen der Unterschiede,
   • Ableiten der notwendigen Konsequenzen. Diese können bis zur Produktänderung oder im unwahrscheinlichen Extremfall gar einem „Recall“ reichen.
3. Heterogenität der Informationsquellen
   Doch wie bleibt man auf dem Laufenden? Jede Quelle nutzt andere Medien, um Änderungen zu kommunizieren: Newsletter, RSS-Feeds und Twitter-Nachrichten sind Beispiele. Leider fehlen oft Informationen, d.h man ist gezwungen, aktiv nach Änderungen zu suchen.
4. Anforderungen nur in der Landessprache
   Doch selbst, wenn man erfährt, dass es neue Regularien gibt, ist das Problem nicht gelöst: Viele Länder und Behörden wie z.B. die chinesische NMPA publizieren einen Teil der Regularien nicht oder nur verzögert auf Englisch bzw. Deutsch.
5. Verständlichkeit
   Dass ein Regularium auf Deutsch oder Englisch vorliegt, gewährleistet noch nicht, dass man die darin formulierten Anforderungen auch versteht. Der Artikel 120(3) der MDR ist ein unrühmliches Beispiel für mangelnde Verständlichkeit.
6. Kosten
   Eine weitere Hürde – insbesondere für Startups – bilden die Kosten. Beispielsweise verlangen Organisationen wie DIN, ISO oder IEC häufig mehrere Hundert Euro pro Norm. In Summe sind mehrere Tausend Euro pro Jahr keine Ausnahme.

4. Typische Fehler beim „Regulatory Update“

Das Johner Institut beobachtet regelmäßig die folgenden Fehler, die bei Audits oder bei der Zulassung zu unliebsamen Überraschungen führen:

1. Die Hersteller haben nicht alle Anforderungen ermittelt. Insbesondere fehlen häufig nationale Vorgaben und Leitlinien, die zwar nicht verbindlich sind, aber dennoch gefordert werden.
   Sogar die oben geschilderten regulatorischen Anforderungen an das Ermitteln der regulatorischen Anforderungen selbst sind nicht immer in Gänze bekannt.
   Manchmal sind die Regularien zwar im Unternehmen bekannt, allerdings pflegt jede Abteilung eigene Listen. Diese stehen dann beim Audit und beim Management-Review nicht in konsolidierter Version zur Verfügung.
2. Die Ermittlung der Änderungen erfolgt zu spät bzw. zu selten. Es ist peinlich, wenn man im Audit feststellt, dass die Änderung einer Leitlinie, die vor einem halben Jahr publiziert wurde, nicht bekannt ist.
3. Meist ist der Grund dafür darin zu finden, dass es keinen Prozess gibt oder Verantwortlichkeiten nicht klar geregelt sind. Der Regulatory Affairs Manager hat sich auf die Ländergesellschaft verlassen, der Produktmanager auf Regulatory Affairs.
4. Doch die Kenntnis der Änderungen reicht nicht aus. Regelmäßig fehlt eine angemessene Analyse, worin die Änderungen bestehen, sowie eine Bewertung, was diese bedeuten. Solch eine Bewertung bedarf meist des Risikomanagements, das aber nicht einbezogen wurde.
5. Unvollständiges Management-Review: Die Führung prüft nur, ob nach neuen Regularien gesucht wurde. Sie bewertet aber weder die Güte der Überwachung noch die Güte der Maßnahmen, die sich aus neuen oder geänderten Regularien ergibt.

5. „Regulatory Update“: Best Practices

a) Prozess festlegen

Unabhängig davon, ob ein Prozess bzw. ein Verfahren für das „Regulatory Update“ gefordert wird: Legen Sie solch einen Prozess bzw. solch ein Verfahren fest. Eine entsprechende Verfahrensanweisung könnte die folgenden Schritte umfassen:

1. Schritt: Verantwortliche Rollen bestimmen
   Legen Sie die Rollen fest, die verantwortlich sind, die Liste der regulatorischen Anforderungen initial zu erstellen und fortlaufend zu überwachen. Zu den typischen Rollen zählen Produktmanager, Entwickler, Regulatory Affairs- und Qualitätsmanager, die Rechtsabteilung sowie Landesgesellschaften.
2. Schritt: Liste der regulatorischen Anforderungen initial erstellen
   Weisen Sie nun (pro Produkt) den Rollen konkrete Personen zu, welche produktspezifische und unternehmensspezifische Listen der anwendbaren Regularien erstellen und überwachen. Üblicherweise entstehen mehrere Listen, die es dann zu konsolidieren gilt.
3. Schritt: Ansprechpartner pro Regularium festlegen
   Legen Sie nun die Personen fest, die Änderungen an den Regularien bewerten und als kompetente Ansprechpartner dienen. Treffen Sie diese Festlegung für jedes Regularium. Die festgelegte Person sollte auch den Ausgabestand in der o.g. Liste dokumentieren.
4. Schritt: Überprüfungszeitpunkte bestimmen
   Nun gilt es den Zeitpunkt zu bestimmen, an dem die Regularien überwacht werden.
   1. Das kann im Turnus erfolgen und beispielsweise einen Monat vor dem Management-Review stattfinden. Ein jährlicher Turnus ist nicht ausreichend.
   2. Die Überwachung kann auch an Lebenszyklusphasen gekoppelt sein (z.B. bei Beginn und Ende der Entwicklung oder bei Design Reviews).
   3. Schließlich kann die Überprüfung ereignisbasiert erfolgen. Beispielsweise führt der Umstieg von der MDD auf die MDR dazu, dass alle damit verbundenen Leitlinien neu ermittelt und bewertet werden müssen.
5. Schritt: Überwachung durchführen
   Gemäß diesen Vorgaben überwachen die gewählten Rollen bzw. Personen die identifizierten Regularien in der festgelegten Frequenz und dokumentieren, ob es Änderungen gab.
6. Schritt: Änderungen bewerten und mögliche Maßnahmen initiieren
   Falls es Änderungen gibt, informieren die Rollen aus dem 5. Schritt die Ansprechpartner und bitten,
   1. diese Änderungen zu analysieren,
   2. die Relevanz der Änderung zu bewerten (hierfür Template verwenden und ggf. Risikomanager einbeziehen),
   3. notwendige Maßnahmen anzustoßen (Abzweigung in andere Prozesse) und
   4. all dies zu dokumentieren.
7. Schritt: Ergebnisse weiterleiten
   In jedem Fall, d.h. unabhängig davon, ob Änderungen gefunden wurden, müssen die Ergebnisse als Input für andere Prozesse dienen und an diese weitergeleitet werden. Dazu zählen insbesondere Prozesse wie das Management-Review und die Post-Market Surveillance.

Die im sechsten Schritt genannte „Abzweigung in andere Prozesse“ kann sich z.B. beziehen auf:

• Entwicklungsprozess
• Wartungsprozess
• Problemlösungsprozess
• Prozesse für Korrekturmaßnahmen und Vorbeugemaßnahmen
• Vigilanzprozess

b) Prozess automatisieren oder automatisierten Prozess nutzen

Wie herausfordernd die Tätigkeit des „Regulatory Update“ ist und welche typischen Fehler den Herstellern dabei unterlaufen, haben die Abschnitte 3 und 4 bereits beleuchtet.

Um diese Fehler sowie Aufwände für repetitive Tätigkeiten zu vermeiden, sollten Hersteller in Betracht ziehen, diese Tätigkeiten zu automatisieren. Computer erledigen dies schnell, fehlerfrei und kostengünstig.

Das Johner Institut hat beispielsweise Crawler implementiert, die kontinuierlich Webseiten und Datenbanken überwachen und die gefundenen Änderungen einem Überwachungsteam zur Bewertung vorlegen.

Übrigens: Dieses Team übernimmt die Überwachung der Regularien für viele Hersteller. Dadurch ergeben sich weitere Skalierungseffekte, von denen die Hersteller ebenfalls profitieren.

Hersteller, die nicht einen automatisierten Service wie das „Regulatory Radar“ des Johner Instituts nutzen, sondern die Überwachung selbst automatisieren wollen, sollten auf Folgendes achten:

1. Die Investition rechnet sich umso mehr, je mehr Regularien zu überwachen sind und je häufiger diese Überprüfung stattfindet.
2. Es bedarf einer komplexen Geschäftslogik, mit der „false positives“ und „false negatives“ bestmöglich vermieden werden. Manche Webseiten ändern beispielsweise täglich die IDs im HTML-Code, um Crawler abzuschrecken. Die technische Qualität mancher Seiten ist bedenklich.
3. Fortlaufende Anpassungen der Software sind notwendig, weil sich die Struktur der verfügbaren Informationen insbesondere auf Webseiten regelmäßig ändert.
4. Die Software unterliegt den Anforderungen der ISO 13485 und ist zu validieren bzw. bei Anpassungen zu revalidieren (siehe Computerized Systems Validation).

6. Zusammenfassung

Die Hersteller müssen die Änderungen der regulatorischen Anforderungen proaktiv überwachen und bewerten. Das ist selbst eine regulatorische Anforderung.

Zwar sind die Hersteller nicht explizit verpflichtet, ein Verfahren dafür festzulegen; dies zu tun, ist aber sehr zu empfehlen. Die MDR fordert zumindest ein „Konzept“.

Die wachsende Anzahl der Regularien und die Frequenz der Änderungen bedeuten für die Hersteller hohe Aufwände für die Überwachung und Bewertung. Daher empfiehlt es sich, diese Tätigkeiten bestmöglich zu automatisieren oder outzusourcen, wie das beispielsweise die Pharmabranche längst tut.

Wer den Überwachungsprozess automatisiert, muss die Systeme validieren.

Hersteller dürfen sich bei der Überwachung keineswegs auf regulatorische Anforderungen speziell für Medizinprodukte beschränken. Vielmehr müssen sie auch Regularien z.B. zum Datenschutz, zur Produktsicherheit, zum Abfallmanagement oder aus dem Sozialrecht recherchieren und befolgen.

Zudem sollten die Hersteller das „Regulatory Update“ nicht als isolierten Prozess sehen, sondern als Teil der Post-Market Surveillance. Diese verpflichtet die Hersteller dazu, eine noch viel größere Menge an Informationen zu sammeln, zu bewerten und darauf zu reagieren.

---