CRA vs MDR: Guida alla Conformità per Prodotti Adiacenti al Medicale e Salute Digitale

Il confine tra prodotti consumer wellness e dispositivi medici regolamentati non è sempre chiaro. Alcuni prodotti sanitari connessi rientrano nel CRA, alcuni nel MDR/IVDR, e alcuni in entrambi. Comprendere quali normative si applicano è fondamentale per evitare sia l'eccesso di conformità che la non conformità.

Questa guida chiarisce il confine CRA-MDR per i produttori di prodotti sanitari connessi.

L'Esenzione CRA per i Dispositivi Medici

Cosa Dice il CRA

L'Articolo 2(2) del CRA esenta esplicitamente i prodotti già coperti da determinate normative:

"Il presente regolamento non si applica ai prodotti con elementi digitali che sono [...] dispositivi medici come definiti nel Regolamento (UE) 2017/745 [MDR] o nel Regolamento (UE) 2017/746 [IVDR]..."

L'esenzione è chiara: Se un prodotto è classificato come dispositivo medico o IVD sotto MDR/IVDR, il CRA non si applica.

Perché Esiste l'Esenzione

MDR e IVDR contengono già requisiti di cybersecurity:

• Allegato I Sezione 17.2 (MDR): Ciclo di vita del software e sicurezza IT
• Allegato I Sezione 17.4 (MDR): Sicurezza dei dispositivi connessi in rete
• Linee guida MDCG sulla cybersecurity (MDCG 2019-16)

L'UE ha evitato la doppia regolamentazione esentando i prodotti MDR/IVDR dal CRA.

Classificazione del Prodotto: La Domanda Chiave

È un Dispositivo Medico?

La domanda critica per qualsiasi prodotto sanitario:

Dispositivo medico (Articolo 2(1) MDR):

"qualsiasi strumento, apparecchio, apparecchiatura, software, impianto, reagente, materiale o altro articolo destinato dal fabbricante ad essere utilizzato [...] per una o più delle seguenti finalità mediche specifiche:

• diagnosi, prevenzione, monitoraggio, previsione, prognosi, trattamento o attenuazione di malattie
• diagnosi, monitoraggio, trattamento, attenuazione o compensazione di una lesione o disabilità
• [...] "

Fattori chiave:

• Destinazione d'uso (ciò che il produttore dichiara)
• Claim medico (diagnosi, trattamento, monitoraggio di malattia/condizione)
• Popolazione target (pazienti vs. wellness generale)

Esempi di Classificazione

ESEMPI DI CLASSIFICAZIONE PRODOTTI

DISPOSITIVO MEDICO (si applica MDR, esente CRA):
✓ Monitor continuo del glucosio (gestione diabete)
✓ Pompa per insulina intelligente
✓ App per monitoraggio del ritmo cardiaco
✓ Terapia digitale per la depressione
✓ Software diagnostico con IA
✓ Misuratore di pressione connesso (uso clinico)
✓ Pulsossimetro (grado medico)

PRODOTTO WELLNESS (si applica CRA, non si applica MDR):
✓ Fitness tracker (contapassi, attività generale)
✓ Monitor della qualità del sonno (lifestyle, non diagnostico)
✓ App di meditazione/rilassamento
✓ Wearable wellness generale
✓ Bilancia intelligente (nessun claim medico)
✓ Cardiofrequenzimetro sportivo

BORDERLINE (la classificazione determina):
? Misuratore di pressione (dipende dai claim)
? Dispositivo di misurazione SpO2 (dipende dall'uso previsto)
? Dispositivo di monitoraggio dello stress
? Screening apnea del sonno (screening vs. diagnosi)
? App di tracciamento del ciclo (wellness vs. trattamento fertilità)

Comprendere il Confine

La Destinazione d'Uso Guida la Classificazione

Lo stesso hardware può essere sia un dispositivo medico che un prodotto wellness basato sulla destinazione d'uso:

STESSA TECNOLOGIA, DIVERSA CLASSIFICAZIONE

ESEMPIO: Cardiofrequenzimetro

COME PRODOTTO WELLNESS (CRA):
"Traccia i tuoi obiettivi fitness e monitora
la frequenza cardiaca durante gli allenamenti"
→ Nessun claim medico
→ Wellness generale
→ Si applica CRA

COME DISPOSITIVO MEDICO (MDR):
"Monitora il ritmo cardiaco e rileva aritmie
per pazienti con patologie cardiache"
→ Claim medico (diagnosi, monitoraggio)
→ Popolazione di pazienti
→ Si applica MDR

Attenzione ai Claim

Avvertenza: Non si può evitare il MDR semplicemente non facendo claim medici se il prodotto è ovviamente di natura medica.

MDCG 2019-11 fornisce linee guida sui prodotti borderline e la classificazione. Se il tuo prodotto:

• Ha una finalità medica ovvia
• È commercializzato insieme a dispositivi medici
• È acquistato da operatori sanitari per la cura dei pazienti
• Ha caratteristiche rilevanti solo per uso medico

...potrebbe essere classificato come dispositivo medico indipendentemente dai claim di marketing.

Situazioni Ibride

Dispositivo Medico + Componenti Non Medici

Alcuni sistemi includono sia componenti medici che non medici:

ESEMPIO DI SISTEMA IBRIDO

PIATTAFORMA DI TELEMEDICINA:
┌─────────────────────────────────────────┐
│ Software di Monitoraggio Paziente (MDR) │
│ - Algoritmo di analisi ECG              │
│ - Supporto decisionale diagnostico      │
└─────────────────────────────────────────┘
            │
            ▼
┌─────────────────────────────────────────┐
│ Infrastruttura di Comunicazione (CRA?)  │
│ - Videoconferenza                       │
│ - Trasmissione dati                     │
│ - Portale paziente                      │
└─────────────────────────────────────────┘
            │
            ▼
┌─────────────────────────────────────────┐
│ Wearable Consumer (CRA)                 │
│ - Tracciamento fitness                  │
│ - Metriche wellness                     │
└─────────────────────────────────────────┘

Approccio:

• Separare chiaramente i componenti del dispositivo medico
• Applicare la normativa appropriata a ciascuno
• Documentare confini e interfacce
• Considerare la sicurezza a livello di sistema

Software come Dispositivo Medico (SaMD)

Il software può essere un dispositivo medico indipendentemente dall'hardware:

CLASSIFICAZIONE SaMD

CLASSE I (Rischio basso):
- Software amministrativo
- Monitoraggio semplice

CLASSE IIa (Medio-basso):
- Suggerimenti di trattamento
- Monitoraggio funzioni non vitali

CLASSE IIb (Medio-alto):
- Supporto alla diagnosi
- Monitoraggio funzioni vitali

CLASSE III (Alto):
- Decisioni diagnostiche
- Funzioni critiche per la vita

Se il software è SaMD: Si applica MDR, non CRA Se il software è wellness: Si applica CRA

Confronto dei Requisiti

Requisiti di Cybersecurity: MDR vs. CRA

Entrambe le normative richiedono cybersecurity, con significative sovrapposizioni:

Differenze Chiave

CYBERSECURITY MDR vs. CRA

SPECIFICO MDR:
- Parte di requisiti più ampi di sicurezza/prestazioni
- Valutazione dell'Organismo Notificato (Classe IIa+)
- Sorveglianza post-market per la sicurezza
- Requisiti di valutazione clinica
- UDI (Identificazione Unica del Dispositivo)

SPECIFICO CRA:
- Regolamento dedicato alla cybersecurity
- SBOM esplicitamente richiesto
- Segnalazione vulnerabilità a ENISA
- Percorso standard armonizzati
- Classificazione Important/Critical

SOVRAPPOSIZIONE:
- Security-by-design
- Gestione vulnerabilità
- Meccanismi di aggiornamento
- Valutazione del rischio
- Requisiti di documentazione

Guida per Categorie di Prodotti

Fitness Tracker e Wearable

WEARABLE FITNESS

CARATTERISTICHE TIPICHE:
- Contapassi
- Frequenza cardiaca (zone di esercizio)
- Tracciamento sonno (durata, fasi)
- Classificazione attività
- Stima calorie

CLASSIFICAZIONE: Wellness (si applica CRA)

EVITARE DI ENTRARE NEL MDR:
✗ "Rileva pattern irregolari del battito cardiaco"
✗ "Monitora sintomi di disturbi del sonno"
✗ "Traccia parametri vitali per condizioni di salute"
✗ "Diagnostica" qualsiasi cosa

Bilance Intelligenti

BILANCE INTELLIGENTI

WELLNESS (CRA):
- Tracciamento del peso
- Calcolo BMI
- Stima composizione corporea
- Tracciamento obiettivi

MEDICO (MDR):
- Destinato al monitoraggio del paziente
- Gestione clinica del peso
- Collegato a decisioni di trattamento
- Integrazione con operatori sanitari

Misuratori di Pressione

MISURATORI DI PRESSIONE

Questa categoria è tipicamente medica:

LA MAGGIOR PARTE SONO MDR:
- Misurare la pressione sanguigna è intrinsecamente clinico
- Anche i misuratori consumer sono solitamente Classe IIa
- Molto difficile dichiarare "solo wellness"

ECCEZIONE POSSIBILE:
- Puro tracciamento di tendenza senza misurazioni
- Nessuna lettura numerica della pressione
- Chiaramente posizionato come wellness

RACCOMANDAZIONE:
- Assumere che si applichi MDR per i misuratori di pressione
- Consultare l'Organismo Notificato in caso di dubbi

Dispositivi di Monitoraggio del Sonno

MONITORAGGIO DEL SONNO

WELLNESS (CRA):
"Comprendi i tuoi pattern di sonno per
scelte di lifestyle migliori"
- Tracciamento durata del sonno
- Stima delle fasi del sonno
- Monitoraggio ambiente (temperatura, rumore)
- Punteggio generale qualità del sonno

MEDICO (MDR):
"Screening o monitoraggio apnea del sonno"
- Monitoraggio SpO2 durante il sonno
- Rilevamento apnea/ipopnea
- Screening disturbi del sonno
- Monitoraggio del sonno prescritto

App per la Salute

APP PER LA SALUTE

WELLNESS (CRA):
- Meditazione e rilassamento
- Tracciamento fitness generale
- Diario alimentare
- Benessere mentale (non terapeutico)
- Diari dei sintomi (informativi)

MEDICO (MDR):
- Terapeutiche digitali
- Supporto alla diagnosi
- Gestione del trattamento
- Supporto decisionale clinico
- App prescritte

Apparecchiature per Telemedicina

APPARECCHIATURE TELEMEDICINA

VIDEOCONFERENZA (Solitamente CRA):
- Comunicazione generale
- Video non diagnostico
- Pianificazione amministrativa

APPARECCHIATURE DIAGNOSTICHE (Solitamente MDR):
- Strumenti per esame remoto
- Acquisizione immagini diagnostiche
- Dispositivi di monitoraggio paziente
- Dispositivi di misurazione clinica

Framework Decisionale

Classificazione Passo per Passo

ALBERO DECISIONALE DI CLASSIFICAZIONE

INIZIO: Il prodotto ha elementi digitali?
│
├─ NO → Né CRA né MDR
│
└─ SÌ → Il produttore prevede una finalità medica?
    │
    ├─ SÌ → È regolamentato sotto MDR/IVDR?
    │   │
    │   ├─ SÌ → Si applica MDR/IVDR, ESENTE CRA
    │   │
    │   └─ INCERTO → Consultare autorità competente/ON
    │
    └─ NO → C'è un uso medico ovvio?
        │
        ├─ SÌ → Rischio di riclassificazione
        │        Considerare comunque MDR
        │
        └─ NO → Si applica CRA
                Prodotto wellness

Quando Chiedere Consulenza Esperta

Cercare consulenza di esperti regolatori quando:

• La funzione del prodotto è simile ai dispositivi medici
• Incertezza sul posizionamento della destinazione d'uso
• Le caratteristiche potrebbero supportare claim medici
• Gli operatori sanitari potrebbero usare il prodotto
• Borderline tra wellness e diagnosi
• Prodotti concorrenti sono regolamentati MDR

Strategie di Conformità

Per Prodotti Pure Wellness

Se il tuo prodotto è chiaramente wellness/lifestyle:

STRATEGIA CRA PER PRODOTTI WELLNESS

1. DOCUMENTARE LA DESTINAZIONE D'USO:
   - Chiaro posizionamento wellness
   - Nessun claim medico nel marketing
   - Documentazione utente evita termini medici

2. IMPLEMENTARE REQUISITI CRA:
   - Sicurezza fin dalla progettazione
   - Generazione SBOM
   - Gestione vulnerabilità
   - Supporto 5 anni
   - Marcatura CE (sotto CRA)

3. MANTENERE I CONFINI:
   - Monitorare marketing per claim creep
   - Formare il team vendite sui limiti
   - Feedback utenti su uso medico → affrontare

4. ALLINEAMENTO STANDARD:
   - EN 303 645 per IoT consumer
   - Standard armonizzati CRA pertinenti

Per Dispositivi Medici

Se il tuo prodotto è un dispositivo medico:

STRATEGIA DISPOSITIVO MEDICO (ESENTE CRA)

1. SEGUIRE MDR/IVDR:
   - Classificare correttamente (Regola 11 per software)
   - Valutazione di conformità per classe
   - Coinvolgimento Organismo Notificato (se richiesto)
   - Cybersecurity MDCG 2019-16

2. CYBERSECURITY SOTTO MDR:
   - Requisiti Allegato I Sezione 17
   - IEC 62443 o equivalente
   - Guida MDCG 2019-16
   - Monitoraggio cybersecurity post-market

3. DOCUMENTARE L'ESENZIONE:
   - Chiara classificazione MDR
   - Evidenza di conformità MDR
   - Cybersecurity affrontata sotto MDR

4. NOTA PER FASCICOLO TECNICO:
   "Questo prodotto è classificato come dispositivo
   medico sotto MDR 2017/745 ed è pertanto
   esente dal CRA ai sensi dell'Articolo 2(2)."

Per Prodotti Borderline

Se la classificazione è incerta:

STRATEGIA PRODOTTI BORDERLINE

1. VALUTARE ATTENTAMENTE:
   - Rivedere guida MDCG 2019-11
   - Considerare precisamente l'uso previsto
   - Valutare tutte le caratteristiche

2. CONSULTARE SE NECESSARIO:
   - Autorità competente nazionale
   - Organismo Notificato (parere preliminare)
   - Consulente regolatorio

3. DOCUMENTARE LA MOTIVAZIONE:
   - Perché il prodotto è/non è dispositivo medico
   - Dichiarazione di destinazione d'uso
   - Giustificazione basata sul rischio

4. PREPARARSI PER ENTRAMBI:
   - Avere percorso MDR pronto se riclassificato
   - Avere conformità CRA pronta se wellness
   - Essere pronti ad adattarsi

Considerazioni Future

Convergenza dei Requisiti

I requisiti di cybersecurity MDR e CRA potrebbero convergere:

• Sviluppo di standard comuni
• Gestione vulnerabilità allineata
• Terminologia condivisa
• Potenziali linee guida sull'interazione

IA e Machine Learning

I prodotti sanitari basati su IA aggiungono complessità:

• Potrebbe applicarsi anche l'AI Act
• L'IA medica è tipicamente regolamentata MDR
• L'IA wellness è tipicamente regolamentata CRA
• Sfide di classificazione per sistemi adattivi

Checklist per Prodotti Sanitari

CHECKLIST REGOLATORIA PRODOTTI SANITARI

CLASSIFICAZIONE:
[ ] Destinazione d'uso documentata
[ ] Claim medici rivisti (marketing, documenti)
[ ] MDCG 2019-11 considerato
[ ] Decisione di classificazione documentata

SE DISPOSITIVO MEDICO:
[ ] Classificazione MDR determinata
[ ] Organismo Notificato selezionato (se richiesto)
[ ] Cybersecurity per Allegato I Sezione 17
[ ] Esenzione CRA documentata

SE PRODOTTO WELLNESS:
[ ] Classificazione CRA determinata
[ ] Security-by-design implementata
[ ] Capacità SBOM
[ ] Gestione vulnerabilità
[ ] Piano di supporto 5 anni
[ ] Marcatura CE (CRA)

DOCUMENTAZIONE:
[ ] Fascicolo tecnico preparato (normativa appropriata)
[ ] Dichiarazione destinazione d'uso
[ ] Documentazione utente (nessun claim medico se wellness)
[ ] Valutazione del rischio

Risorse Chiave

RISORSE REGOLATORIE

MDR/IVDR:
Regolamento (UE) 2017/745 (MDR)
Regolamento (UE) 2017/746 (IVDR)
https://health.ec.europa.eu/medical-devices-sector_en

Guida MDCG:
MDCG 2019-11 (Classificazione borderline)
MDCG 2019-16 (Guida cybersecurity)
MDCG 2021-5 (Qualificazione software)
https://health.ec.europa.eu/medical-devices-sector/new-regulations/guidance-mdcg-endorsed-documents-and-other-guidance_en

CRA:
Regolamento (UE) 2024/2847
https://eur-lex.europa.eu

STANDARD:
IEC 62443 (Cybersecurity)
IEC 82304-1 (Software sanitario)
ISO 14971 (Gestione rischi dispositivi medici)

Guide correlate:

• Classificazione Prodotti CRA: Il Vostro Prodotto e Default, Important o Critical?
• Il Fascicolo Tecnico CRA: Cosa va in ogni sezione (Analisi dell'Allegato VII)

Come CRA Evidence Aiuta

Per i prodotti wellness sotto CRA, CRA Evidence fornisce:

• Documentazione chiara dei confini: Documenta perché si applica CRA (non MDR)
• Template per prodotti wellness: Strutture fascicolo tecnico per prodotti adiacenti alla salute
• Gestione SBOM: Richiesta per CRA, benefica per MDR
• Tracciamento vulnerabilità: Allineato con entrambi i framework normativi
• Gestione multi-prodotto: Gestisci portfolio con diverse normative

Inizia la tua conformità CRA su app.craevidence.com.

Questo articolo è solo a scopo informativo e non costituisce consulenza legale. Per indicazioni specifiche sulla conformità, in particolare riguardo alla classificazione dei dispositivi medici, consultare un consulente legale qualificato.