Wie sich die aktualisierten GMP-Vorschriften und der EU-Cyber Resilience Act auf Laboratorien auswirken werden
23.03.2026
Artikel
de
Erfahren Sie, wie sich die aktualisierten GMP-Vorschriften und der EU-Cyber Resilience Act (CRA) auf Labore auswirken werden. Erfahren Sie, welche Änderungen bevorstehen, wie Sie Ihre Geräte und Software darauf vorbereiten können und wie Metrohm Labore dabei unterstützt, die Vorschriften einzuhalten.
Artikel teilen
In den letzten Jahren hat die Zahl der Cyberangriffe auf kritische Infrastrukturen und Unternehmen stark zugenommen. Diese Entwicklung hat das Thema Cybersicherheit in den Fokus gerückt. Infolgedessen führen Regierungen weltweit Gesetze ein, die darauf abzielen, die Cybersicherheit zu stärken. Das bekannteste Gesetz ist der Cyber Resilience Act (CRA) der Europäischen Union [1]. Weitere Beispiele sind das US-amerikanische „Cyber Trust Mark“ oder das chinesische Cybersicherheitsgesetz [2,3].
Diese Gesetze führten zu einer Aktualisierung der GMP-Vorschriften, die sich auf Laboratorien im regulierten Umfeld weltweit auswirken wird. Dieser Blogartikel basiert auf einem Interview mit Stefan Gohr, Head of Enterprise Services beim Metrohm International Headquarter. Er stellt die wichtigsten Änderungen vor, erläutert deren Auswirkungen auf Laboratorien, gibt Laborleitern Hinweise für die ersten Schritte und informiert darüber, wie sich Metrohm auf die Anforderungen des CRA vorbereitet.
Klicken Sie, um direkt zum Thema zu gelangen:
- Cyber Resilience Act (CRA) zusammengefasst
- CRA führt zu Änderungen der GMP-Regularien
- Wie sich CRA- und GMP-Updates auf Labore auswirken
- Wie sich Labore vorbereiten und die Einhaltung sicherstellen können
- Wie stellt Metrohm die Einhaltung des Cyber Resilience Acts sicher?
- So unterstützt Metrohm Kunden beim Ersatz nicht konformer Systeme
Cyber Resilience Act (CRA) zusammengefasst
Der Cyber Resilience Act (CRA) wurde 2024 von der Europäischen Union vorgelegt und im Herbst desselben Jahres verabschiedet. Ziel ist es, die Cybersicherheit zu verbessern, indem die Sicherheitsstandards für Produkte, die auf dem europäischen Markt verkauft werden, angehoben werden.
Der CRA gilt für Produkte, die digitale Elemente enthalten. Dazu gehören nicht nur Software, sondern auch Geräte, die Daten mit anderen Systemen austauschen können.
Dieses neue Gesetz wird in zwei Schritten umgesetzt:
- September 2026: Lieferanten müssen damit beginnen, Schwachstellen in der Cybersicherheit an die Enisa, die Agentur der Europäischen Union für Cybersicherheit, zu melden.
- Dezember 2027: Produkte, die nicht dem CRA entsprechen, dürfen innerhalb der EU nicht mehr verkauft werden.
Insbesondere dieser zweite Schritt wird tiefgreifende Folgen für die Labore haben, da sie möglicherweise keine Ersatzgeräte oder -teile beschaffen können.
CRA führt zu Änderungen der GMP-Regularien
Gemäß dem Cyber Resilience Act (CRA) sind Hersteller verpflichtet, strukturierte Prozesse zum Schwachstellenmanagement zu etablieren. Dazu zählen regelmäßige Sicherheitsupdates sowie die unverzügliche Behebung identifizierter Sicherheitslücken.
Dieses Vorgehen steht im Widerspruch zur bisherigen Praxis im regulierten Umfeld, validierte Systeme nur bei zwingendem Bedarf zu aktualisieren. Gleichzeitig ist ein hohes Maß an Cybersicherheit gerade hier unerlässlich, da Unternehmen in diesem Bereich kritische Güter herstellen.
Aus diesen Gründen hat der GMP-Ausschuss Kapitel 4 „Dokumentation“ und Anhang 11 „Computergestützte Systeme“ [4] aktualisiert. Die Konsultation zu diesen Aktualisierungen fand von Juli bis Oktober 2025 statt, und die überarbeiteten Leitlinien sollen bereits 2026 in Kraft treten.
Wie sich CRA- und GMP-Updates auf Labore auswirken
Die CRA-Vorschriften und die aktualisierten GMP-Richtlinien werden sich auf Validierungsprozesse auswirken und könnten den Austausch der derzeitigen Ausstattung erforderlich machen.
Erstens können häufigere Software- und Sicherheitsupdates zu einer höheren Anzahl von Systemvalidierungen führen. Laboratorien müssen Strategien für die Implementierung von Sicherheitspatches und Systemupdates entwickeln, die nicht nur das Betriebssystem (z. B. Windows), sondern auch kritische Laborsoftware umfassen. Gemäß den überarbeiteten GMP-Richtlinien sollten regulierte Laboratorien den Empfehlungen der Hersteller folgen. Zu den empfohlenen Maßnahmen zählen separate Sicherheitsupdates und eine dedizierte Testumgebung.
Zweitens wird der CRA den Verkauf von nicht konformen Analysengeräten und -software untersagen. Zwar sind Geräte und Software, die vor Dezember 2027 verkauft wurden, von dieser Regelung ausgenommen, doch müssen alle Aktualisierungen dieser Produkte den Vorschriften entsprechen. Für einige Anbieter könnte die Anpassung älterer Produkte an die neuen Vorschriften zu komplex und zu kostspielig sein. Infolgedessen könnten sie diese Produkte aus dem Sortiment nehmen und bis 2027 das Ende des Supports erklären.
Regulierte Labore, die nicht konforme Geräte weiter nutzen möchten, müssen eine Notfall-IT-Umgebung einrichten, in der diese Geräte vollständig von ihrem Netzwerk und dem Internet isoliert sind. Bei Analysegeräten, die in LIMS- und ERP-Systeme integriert sind, ist dieser Ansatz nicht praktikabel und kann die Datenintegrität gefährden.
Nicht regulierte Labore können ihre eigene Risikobewertung durchführen und entscheiden, ob sie nicht konforme Geräte weiterhin nutzen, um eine Lücke zu überbrücken, bis neue Investitionen möglich sind. Sie sollten sich jedoch bewusst sein, dass eine Verzögerung des Austauschs die Sicherheitsrisiken erhöht, da Sicherheitslücken mit der Zeit größer werden.
Wie sich Labore vorbereiten und die Einhaltung sicherstellen können
Laboratorien können verschiedene Maßnahmen ergreifen, um sich auf die aktualisierten GMP-Richtlinien und den Cyber Resilience Act vorzubereiten (siehe Abbildung 1).
- Bewerten Sie die derzeitige Hardware und Software, um mögliche Lücken zu identifizieren.
- Entwickeln Sie eine Strategie für die Implementierung von Sicherheitsupdates, um den Aufwand für die erneute Validierung zu minimieren.
- Richten Sie eine eigene Testumgebung ein, um sicherzustellen, dass Updates den Betrieb nicht beeinträchtigen.
Die aktualisierten GMP-Richtlinien und der CRA werden zu einem höheren Arbeitsaufwand und höheren Kosten in regulierten Laboren führen. Wenn Laboren jetzt mit der Planung beginnen und einen Fahrplan aufstellen, können sie sich besser auf diese Änderungen vorbereiten.
Bewerten Sie Ihr aktuelles Equipment
Der erste Schritt besteht darin, alle derzeit verwendeten Geräte und Softwareprogramme zu überprüfen. Laboratorien sollten sich zudem an Anbieter wie Metrohm wenden, um sich über deren Pläne zur Einhaltung der Vorschriften für bestimmte Produkte zu informieren.
Wichtige Fragen, die geklärt werden müssen, sind:
- Werden die Geräte und die Software vom Anbieter noch unterstützt?
- Beachten die Anbieter den CRA und die aktualisierten GMP-Richtlinien? Wie sieht ihr Verfahren zum Umgang mit Produktschwachstellen aus? Wie beabsichtigen sie, Sicherheitsupdates bereitzustellen?
- Wird der Anbieter Geräte oder Software nach Dezember 2027 weiterhin unterstützen?
Wenn die Antwort auf eine dieser Fragen negativ ist, sollten Labore Budgets für Ersatzanschaffungen bereitstellen oder in Zusammenarbeit mit ihrer IT-Abteilung Strategien zur Isolierung des Systems entwickeln. Wenn mehrere Systeme betroffen sind, sollte eine Fahrplan für den Austausch oder die Isolierung basierend auf der Kritikalität des Systems für den Betrieb erstellt werden.
SBOM und HBOM – praktische Indikatoren für die Bereitschaft
Bei der Bewertung aktueller Softwarelösungen sollten Laboratorien prüfen, ob ein Softwareverzeichnis (SBOM) verfügbar ist. Die vom CRA vorgeschriebene SBOM enthält wesentliche Informationen zu allen Komponenten, die zur Erstellung der Software verwendet wurden, einschließlich Komponenten von Drittanbietern. Sie hilft dabei festzustellen, ob Software Komponenten bekannte Schwachstellen enthalten.
In der Regel wird die SBOM als Textdatei im Installationsverzeichnis bereitgestellt oder in der Produktdokumentation aufgeführt. Ist keine SBOM verfügbar, sollten Labore dies als Warnsignal betrachten, dass das Produkt möglicherweise noch nicht für den Cyber Resilience Act bereit ist. In solchen Fällen wird empfohlen, den Anbieter zu kontaktieren und zu klären, ob eine SBOM bereitgestellt wird, bevor die Durchsetzung beginnt.
Bei Hardware entspricht die SBOM der HBOM (Hardware Bill of Materials). Eine HBOM-Datei ist für jedes Gerät erforderlich, das Firmware enthält. Lieferanten müssen die HBOM-Datei in digitaler Form bereitstellen. Es wird empfohlen, die Lieferanten zu kontaktieren und nach der Datei oder nach dem Datum zu fragen, an dem diese verfügbar sein wird.
Entwickeln Sie eine Strategie zur Implementierung von Sicherheitsupdates
Die aktualisierten GMP-Vorschriften und die CRA schreiben regelmäßige Sicherheitsupdates vor. Um den Validierungsaufwand und das Risiko von Produktionsausfällen zu minimieren, sollten Labore eine Implementierungsstrategie entwickeln.
Separate Sicherheitsupdates sind entscheidend, um den Aufwand für Revalidierungen zu reduzieren. Regelmäßige Software-Updates bieten eine Mischung aus neuen Funktionen und Sicherheitsupdates. Dies würde aber eine vollständige Validierung erfordern. Im Gegensatz dazu beheben separate Sicherheitsupdates nur Sicherheitsprobleme, ohne neue Funktionen hinzuzufügen. Da ihr Umfang geringer ist, wird die Validierung schneller und weniger komplex.
Eine schnelle Validierung ist wünschenswert, da kritische Sicherheitsprobleme so schnell wie möglich behoben werden sollten. Sechs bis neun Monate auf eine vollständige Revalidierung zu warten, ist im Falle eines kritischen Sicherheitsproblems nicht akzeptabel.
Eine Testumgebung einrichten
Die Installation von Sicherheitsupdates birgt stets das Risiko eines Systemausfalls, der zu einem Produktionsstillstand führen kann. Um dieses Risiko zu minimieren, sollten Labore die Einrichtung einer Testumgebung in Betracht ziehen.
In diesem Szenario werden Sicherheitspakete zunächst auf dem Testsystem installiert und die für den täglichen Betrieb erforderlichen Schlüsselfunktionen gründlich getestet. Erst nachdem die vom Sicherheitsupdate betroffenen Funktionen in der Testumgebung erfolgreich getestet wurden, wird das Sicherheitsupdate in der Produktionsumgebung bereitgestellt. Abbildung 2 zeigt den Unterschied zwischen einem Labor mit Testumgebung und einem ohne Testumgebung.
Größere Organisationen ziehen möglicherweise die Einrichtung von drei Umgebungen in Betracht: Entwicklung/Qualifizierung, Test und Produktion. Die Entwicklungs-/Qualifizierungsumgebung dient der Methodenentwicklung und -validierung. Die Testumgebung spiegelt die Produktionsumgebung wider, beispielsweise durch die Verwendung desselben Netzwerks und derselben Firewalls. Schließlich werden alltägliche Abläufe, wie die Qualitätskontrolle für Produktfreigaben, in der Produktionsumgebung ausgeführt.
Die Einrichtung einer zusätzlichen Testumgebung ist mit zusätzlichen Kosten verbunden und erfordert mehr IT-Ressourcen, insbesondere bei Client-Server-Systemen. Erfahren Sie mehr über die Bedeutung eines skalierbaren, kosteneffizienten Systems in unserem kostenlosen Whitepaper:
Wie stellt Metrohm die Einhaltung des Cyber Resilience Acts sicher?
Metrohm hat bereits vor einiger Zeit mit den Vorbereitungen für diese Vorschriften begonnen, um sicherzustellen, dass wir die CRA- und GMP-Anforderungen für Lieferanten erfüllen, sobald die Vorschriften in Kraft treten. Wir können garantieren, dass unsere Plattformsoftware OMNIS die Anforderungen erfüllen wird. Die SBOM-Datei ist bereits im Installationsverzeichnis verfügbar, und wir veröffentlichen mit jedem Release eine Erklärung zur Cybersicherheit. Diese Erklärung finden Sie in der Metrohm Knowledge Base. Die HBOM-Dateien befinden sich derzeit in Vorbereitung.
Kunden können mit regelmäßigen OMNIS-Updates und Sicherheitspatches rechnen. Kunden mit einem OMNIS-Wartungsvertrag werden von uns direkt kontaktiert. Für die übrigen Kunden prüfen wir derzeit verschiedene Informationsmöglichkeiten.
Verschiedene OMNIS-Versionen für unterschiedliche Anforderungen
Die Anforderungen der Industrie an Software-Updates sind unterschiedlich. In einigen Branchen sind regelmäßige automatische Updates, ähnlich wie bei mobilen Apps, akzeptabel. Im regulierten Umfeld sind solche automatischen Updates jedoch unerwünscht. Zudem sind Labornetzwerke unter Umständen nicht mit dem Internet verbunden.
Daher bietet Metrohm zwei Versionen von OMNIS an. Sie unterscheiden sich hinsichtlich Support und Servicegarantien; die Unterschiede sind in Tabelle 1 aufgeführt.
| Funktion | Standard-Version | Long-Term Support (LTS)-Version |
|---|---|---|
| Garantie für den Software-Support | Die Support-Garantie läuft nach Veröffentlichung der nächsten Version aus | Support garantiert für 5 Jahre ab Veröffentlichung |
| Service-Garantie | Die Funktionsfähigkeit aller Teile ist bis zur Veröffentlichung der nächsten Version garantiert | Auf alle Teile wird eine Funktionsgarantie von 5 Jahren ab Veröffentlichung gewährt |
| IQ/OQ-Support | IQ/OQ nicht verfügbar | Vollständig dokumentierte Qualifizierung des Computersystems mit vollständiger Dokumentation gemäß FDA 21 CFR Part 11 und EudraLex, Band 4, Anhang 11 verfügbar |
| Requalifizierung | Requalifizierung nicht verfügbar | Requalifizierung verfügbar |
| Sicherheitsupdates | In regelmäßigen Abständen | Manuelle Bereitstellung gemäß der vom Kunden festgelegten Strategie |
So unterstützt Metrohm Kunden beim Ersatz nicht konformer Systeme
Hardware und Software, die von den Anbietern nicht mehr unterstützt werden, müssen ersetzt werden, da ihre Isolierung vom Unternehmensnetzwerk nur eine vorübergehende Lösung darstellt. Der Wechsel zu einem neuen Produkt, insbesondere zu einer neuen Softwarelösung, bringt verschiedene Herausforderungen mit sich. Um Kunden beim Übergang zu OMNIS zu unterstützen, hat Metrohm das Team „Metrohm Enterprise Services“ ins Leben gerufen. Dieses Team bietet spezialisierte Beratungs- und Implementierungsdienstleistungen an, die auf die spezifischen Bedürfnisse und Situation des Kunden zugeschnitten sind.
Metrohm Enterprise Services bietet zudem Wartungsverträge für OMNIS an, die das Management von Schwachstellen und Sicherheitspatches gewährleisten. Gemeinsam mit den IT- und Sicherheitsexperten des Kunden wird eine Strategie für die Bereitstellung von Sicherheitspatches entwickelt. Ein Servicemanager überwacht die Umsetzung und Aufrechterhaltung dieser Strategie während der gesamten Lebensdauer von OMNIS auf Kundenseite.
Fazit
Die aktualisierten GMP-Richtlinien und der CRA werden die Arbeitsweise regulierter Labore verändern. Labore können sich auf diese Änderungen vorbereiten, indem sie ihre derzeitige Ausrüstung und Software überprüfen. Einige Systeme müssen möglicherweise ersetzt werden, da sie nach Inkrafttreten des CRA und des überarbeiteten GMP-Anhangs 11 nicht mehr unterstützt werden.
Regelmäßige Sicherheitsupdates werden zum Standard werden, da Cybersicherheit ein fortlaufender Prozess ist. Diese Umstellung erfordert Änderungen in den Abläufen, wie Labore ihre Analysesysteme aktualisieren, neu validieren und warten. Möglicherweise müssen zusätzliche Testumgebungen eingerichtet werden, um einen unterbrechungsfreien Betrieb zu gewährleisten.
Nur Lösungen, die die aktualisierten GMP-Vorschriften und den CRA erfüllen, wie beispielsweise OMNIS, stellen sicher, dass Labore die Vorschriften einhalten. Um den Übergang zu OMNIS zu unterstützen, hat Metrohm die Abteilung Metrohm Enterprise Services ins Leben gerufen, die eng mit den Kunden zusammenarbeitet und ihnen dabei hilft, eine sichere OMNIS-Umgebung, die auf ihre spezifische Sicherheitsstrategie zugeschnitten ist, einzurichten und zu warten.
Weitere Informationen
Broschüre: OMNIS Client/Server
White Paper: Warum zu OMNIS Client/Server (C/S) wechseln?
Blog: Einführung in die Qualifizierung analytischer Messgeräte
Referenzen
[1] European Commission. Cyber Resilience Act. Shaping Europe’s digital future. https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act (accessed 2025-12-18).
[2] Federal Communications Commission. U.S. Cyber Trust Mark. Federal Communications Commission (FCC). https://www.fcc.gov/CyberTrustMark (accessed 2025-12-18).
[3] Creemers, R.; Webster, G.; Triolo, P. Translation: Cybersecurity Law of the People’s Republic of China (Effective June 1, 2017). DigiChina, 2018.
[4] European Commission. Stakeholders’ Consultation on EudraLex Volume 4 - Good Manufacturing Practice Guidelines: Chapter 4, Annex 11 and New Annex 22 - Public Health. Public Health. https://health.ec.europa.eu/consultations/stakeholders-consultation-eudralex-volume-4-good-manufacturing-practice-guidelines-chapter-4-annex_en (accessed 2025-12-18).
