Die alte Frage "BSI 200-2 oder ISO 27001?" ist seit der Einführung der DiGAs nach dem Digitale-Versorgung-Gesetz und der Digitalen Gesundheits-Anwendungen-Verordnung komplexer geworden.
Für DiGA-Hersteller geht es längst nicht mehr nur darum, ob ein ISMS eher nach ISO 27001 oder auf Basis von IT-Grundschutz aufgebaut wird. Heute zählen vor allem drei Dinge: ein belastbares ISMS, das passende Zertifikat dazu und zusätzlich der Nachweis der Datensicherheit über die aktuellen technischen Richtlinien.
Die kurze Antwort
Wer heute eine DiGA ins Verzeichnis bringen will, muss einige Hausaufgaben erledigen. Praktisch relevant sind aktuell diese Bausteine: ein ISMS-Zertifikat gemäß ISO 27001 oder ISO 27001 auf Basis von IT-Grundschutz, ein Datensicherheitszertifikat auf Basis der Technische Richtlinien BSI TR-03161 und anlassbezogen wiederholte Sicherheitstests, wenn sich die Angriffsfläche relevant ändert. Diese mittlerweile recht hohen regulatorischen Hürden sind nicht ohne.
1. Das ISMS ist längst keine Option mehr
Für DiGA-Hersteller ist ein zertifiziertes ISMS seit dem 01.04.2022 fester Bestandteil der Anforderungen. Akzeptiert werden dabei zwei Wege: entweder ein ISMS gemäß ISO 27001 oder ein ISMS gemäß ISO 27001 auf Basis von IT-Grundschutz nach BSI-Standard 200-2. Diese Entscheidung ist ein formaler Nachweis, der im Verfahren erwartet wird.
2. Seit 2025 reicht das ISMS-Zertifikat allein nicht mehr
Seit dem 01.01.2025 muss zusätzlich die Erfüllung der Anforderungen an die Datensicherheit durch ein Zertifikat nachgewiesen werden. Für bereits gelistete DiGA galt dieser Stichtag ebenfalls. Für neue und laufende Antragsverfahren ist das Zertifikat inzwischen der maßgebliche Nachweis, um in das Verzeichnis aufgenommen zu werden. Die frühere Übergangslogik bis 30.06.2025 ist damit für neue Artikel nur noch historisch interessant.
3. Die technische Messlatte läuft über die TR 03161-Familie
Für den Datensicherheitsnachweis sind die technischen Richtlinien der TR 03161-Familie der relevante Rahmen. Diese Familie richtet sich an Hersteller von Anwendungen im Gesundheitswesen und umfasst Anforderungen für mobile Anwendungen, Web-Anwendungen und Hintergrundsysteme. Genau damit ist auch klar: Das Thema ist deutlich breiter als nur "App absichern". Es geht um die gesamte technische Lösung.
4. Penetrationstests sind kein Einmaltermin
Für DiGA endet das Thema nicht mit einem einmaligen Test vor Antragstellung. Sicherheitstests sind anlassbezogen zu wiederholen, etwa wenn neue Schnittstellen ins Internet hinzukommen oder wenn für externe Verbindungen relevante Bibliotheken aktualisiert werden. Das ist ein wichtiger Punkt, weil genau hier viele Hersteller noch zu sehr in der Logik "einmal prüfen, dann abhaken" denken.
5. Die alte Entweder-oder-Frage ist heute zu klein
Die eigentliche Frage lautet nicht mehr: "Ist ISO 27001 besser als BSI 200-2?" Die bessere Frage ist: "Welcher ISMS-Weg passt zu uns, wenn wir am Ende ohnehin zusätzlich den Datensicherheitsnachweis und die technischen Prüfungen sauber erbringen müssen?" Denn selbst wenn Sie sich für den pragmatischeren Weg entscheiden, verschwindet der zusätzliche regulatorische Aufbau darüber nicht.
Wann ISO 27001 meist der pragmatischere Weg ist
Für viele DiGA-Hersteller ist ISO 27001 weiterhin der pragmatischere Ausgangspunkt. Nicht, weil IT-Grundschutz "falsch" wäre, sondern weil ISO 27001 oft besser zu kleineren, internationalen oder stark produktorientierten Organisationen passt und sich meist leichter mit bestehenden Qualitätsmanagementsystemen zusammen denken lässt. Der zulässige regulatorische Rahmen bleibt dabei trotzdem derselbe: Das BfArM akzeptiert beide Wege, solange das geforderte Zertifikat sauber vorliegt.
Wann der Grundschutz-Weg sinnvoll sein kann
Wenn ein Hersteller ohnehin schon tief in Grundschutz-Logik arbeitet, sehr stark in behördlichen oder stark regulierten Kontexten unterwegs ist oder intern bereits mit Grundschutz-Kompendium und entsprechender Methodik vertraut ist, kann ISO 27001 auf Basis von IT-Grundschutz trotzdem sinnvoll sein. Der Punkt ist also nicht, dass der eine Weg "richtig" und der andere "falsch" wäre. Der Punkt ist, dass die Entscheidung heute nur einen Teil des Gesamtbilds betrifft.
Was Hersteller praktisch wirklich bauen müssen
In der Praxis braucht ein DiGA-Hersteller heute keinen Normenaufsatz, sondern eine belastbare Nachweisarchitektur. Dazu gehören ein sauber abgegrenzter Scope, klare technische und organisatorische Verantwortlichkeiten, dokumentierte Sicherheitsentscheidungen, eine nachvollziehbare Entwicklungs- und Änderungslogik, wirksame Schwachstellen- und Vorfallprozesse sowie ein belastbarer Umgang mit ausgelagerten Leistungen und Schnittstellen. Das ist keine Zusatzästhetik, sondern die Grundlage dafür, dass ISMS-Zertifikat, Datensicherheitszertifikat und Prüfungen am Ende zusammenpassen. Diese Schlussfolgerung ergibt sich aus der Kombination der formalen Nachweise und technischen Richtlinien.
Was heute gern unterschätzt wird
Zwei Punkte werden besonders oft unterschätzt.
Erstens: Der Aufwand sitzt nicht nur in der Zertifizierung, sondern in der konsistenten technischen Umsetzung über App, Web, Backend und externe Anbindungen hinweg.
Zweitens: Viele Hersteller denken bei Datensicherheit nur an "das BSI-Thema", obwohl parallel auch die Datenschutzseite weiterentwickelt wird. Beim Datenschutz existieren bereits Prüfkriterien, das zugehörige Zertifikat befindet sich laut aktuellem Stand aber weiterhin in Entwicklung (Q2/2026).
FAQ
Ja. Für DiGA-Hersteller wird ein ISMS gemäß ISO 27001 oder gemäß ISO 27001 auf Basis von IT-Grundschutz erwartet, und das entsprechende Zertifikat muss im Verfahren vorgelegt werden.
Nein. Seit dem 01.01.2025 muss zusätzlich ein Zertifikat zum Nachweis der Datensicherheit vorgelegt werden.
Sie ist nicht falsch, aber heute zu klein. Beide Wege sind weiterhin zulässig. Entscheidend ist nur, dass darüber hinaus auch die zusätzlichen Datensicherheitsanforderungen und Prüfungen sauber erfüllt werden.
Maßgeblich ist die TR 03161-Familie mit Anforderungen für mobile Anwendungen, Web-Anwendungen und Hintergrundsysteme.
Ja, anlassbezogen. Relevante Änderungen wie neue Internet-Schnittstellen oder aktualisierte Bibliotheken für externe Verbindungen lösen erneute Tests aus.
Nein. Es gibt bereits Prüfkriterien, aber das Datenschutzzertifikat befindet sich laut aktuellem Stand weiterhin in Entwicklung.
Unser Tipp
Für DiGA-Hersteller ist Informationssicherheit kein Nebenschauplatz und auch keine reine Methodenfrage. Der saubere Blick lautet: passendes ISMS aufbauen, das richtige Zertifikat vorlegen, die Datensicherheitsanforderungen über die technischen Richtlinien sauber abdecken und Änderungen nicht ohne neue Sicherheitsprüfung durchwinken.
Haben Sie Fragen? Sprechen Sie mit uns oder Sie schreiben und Ihre Frage direkt hier rechts unten in den Chat.