CRA kontra MDR: Efterlevnadsguide för medicinsk-angränsande produkter och digital hälsa

Gränsen mellan konsument-wellnessprodukter och reglerade medicintekniska produkter är inte alltid tydlig. Vissa uppkopplade hälsoprodukter faller under CRA, andra under MDR/IVDR, och en del under båda. Att förstå vilket regelverk som gäller är avgörande för att undvika både övercompliance och bristande efterlevnad.

Den här guiden klargör CRA-MDR-gränsen för tillverkare av hälsorelaterade uppkopplade produkter.

Sammanfattning

• Medicintekniska produkter under MDR/IVDR är uttryckligen undantagna från CRA
• Wellness/livsstilsprodukter (fitnesstrackers, sömnmonitorer) faller under enbart CRA
• Vissa produkter kan vara gränsfall: klassificeringen som medicinteknisk produkt avgör vilka regler som gäller
• CRA:s cybersäkerhetskrav liknar i stor utsträckning MDR:s cybersäkerhetskrav
• Om MDR gäller, fokusera på MDR; om inte, gäller CRA fullt ut

CRA:s undantag för medicintekniska produkter

Vad CRA säger

CRA artikel 2(2) undantar uttryckligen produkter som redan täcks av vissa förordningar:

"Denna förordning ska inte tillämpas på produkter med digitala element som är [...] medicintekniska produkter enligt definitionen i förordning (EU) 2017/745 [MDR] eller förordning (EU) 2017/746 [IVDR]..."

Undantaget är tydligt: Om en produkt klassificeras som medicinteknisk produkt eller IVD under MDR/IVDR gäller CRA inte för den.

Varför undantaget finns

MDR och IVDR innehåller redan cybersäkerhetskrav:

• Bilaga I avsnitt 17.2 (MDR): Mjukvarulivscykel och IT-säkerhet
• Bilaga I avsnitt 17.4 (MDR): Säkerhet för nätverksanslutna enheter
• MDCG-vägledning om cybersäkerhet (MDCG 2019-16)

EU undvek dubbelreglering genom att undanta MDR/IVDR-produkter från CRA.

Produktklassificering: Den avgörande frågan

Är det en medicinteknisk produkt?

Den kritiska frågan för varje hälsorelaterad produkt:

Medicinteknisk produkt (MDR artikel 2(1)):

"varje instrument, apparat, anordning, programvara, implantat, reagens, material eller annan artikel som av tillverkaren är avsedd att användas [...] för ett eller flera av följande specifika medicinska ändamål:

• diagnos, förebyggande, övervakning, prediktion, prognos, behandling eller lindring av sjukdom
• diagnos, övervakning, behandling, lindring av eller kompensation för en skada eller ett funktionshinder
• [...]"

Avgörande faktorer:

• Avsett ändamål (vad tillverkaren påstår)
• Medicinskt påstående (diagnos, behandling, övervakning av sjukdom/tillstånd)
• Målgrupp (patienter kontra allmänt välmående)

Klassificeringsexempel

PRODUKTKLASSIFICERINGSEXEMPEL

MEDICINTEKNISK PRODUKT (MDR gäller, CRA undantaget):
✓ Kontinuerlig glukosmätare (diabeteshantering)
✓ Smart insulinpump
✓ App för hjärtrytmsövervakning
✓ Digital terapi för depression
✓ AI-diagnostisk programvara
✓ Uppkopplad blodtrycksmätare (kliniskt bruk)
✓ Pulsoximeter (medicinsk klass)

WELLNESSPRODUKT (CRA gäller, MDR gäller inte):
✓ Fitnesstracker (stegräkning, allmän aktivitet)
✓ Sömnkvalitetsmonitor (livsstil, icke-diagnostisk)
✓ Meditationsapp/avslappningsapp
✓ Allmänt wellness-wearable
✓ Smart våg (inga medicinska påståenden)
✓ Pulsmätare för sport

GRÄNSFALL (Klassificeringen avgör):
? Blodtrycksmätare (beror på påståendena)
? SpO2-mätare (beror på avsett användningsområde)
? Stressövervakningsmätare
? Sömnapnéscreening (screening kontra diagnos)
? App för mensperiodsspårning (wellness kontra fertilitetsvård)

Förstå gränsen

Avsett ändamål styr klassificeringen

Samma hårdvara kan vara antingen medicinteknisk produkt eller wellnessprodukt beroende på avsett ändamål:

SAMMA TEKNIK, OLIKA KLASSIFICERING

EXEMPEL: Pulsmätare

SOM WELLNESSPRODUKT (CRA):
"Spåra dina träningsmål och övervaka
puls under träning"
→ Inget medicinskt påstående
→ Allmänt välmående
→ CRA gäller

SOM MEDICINTEKNISK PRODUKT (MDR):
"Övervaka hjärtrytm och detektera arytmier
för patienter med hjärtsjukdomar"
→ Medicinskt påstående (diagnos, övervakning)
→ Patientgrupp
→ MDR gäller

Var försiktig med påståenden

Varning: Du kan inte undvika MDR bara genom att inte göra medicinska påståenden om produkten uppenbarligen är medicinsk till sin natur.

MDCG 2019-11 ger vägledning om gränsfall och klassificering. Om din produkt:

• Har uppenbart medicinskt syfte
• Marknadsförs tillsammans med medicintekniska produkter
• Köps in av sjukvårdspersonal för patientvård
• Har funktioner som bara är relevanta för medicinsk användning

...kan den klassificeras som medicinteknisk produkt oavsett marknadsföringspåståenden.

Hybridsituationer

Medicinteknisk produkt + icke-medicinska komponenter

Vissa system innehåller både medicinska och icke-medicinska komponenter:

HYBRIDSYSTEMEXEMPEL

TELEMEDICINPLATTFORM:
┌─────────────────────────────────────────┐
│ Patientövervakningsprogram (MDR)        │
│ - EKG-analysalgoritm                    │
│ - Diagnostiskt beslutsstöd              │
└─────────────────────────────────────────┘
            │
            ▼
┌─────────────────────────────────────────┐
│ Kommunikationsinfrastruktur (CRA?)      │
│ - Videokonferens                        │
│ - Dataöverföring                        │
│ - Patientportal                         │
└─────────────────────────────────────────┘
            │
            ▼
┌─────────────────────────────────────────┐
│ Konsument-wearable (CRA)                │
│ - Fitnessspårning                       │
│ - Wellnessmätvärden                     │
└─────────────────────────────────────────┘

Tillvägagångssätt:

• Separera tydligt de medicintekniska komponenterna
• Tillämpa lämpligt regelverk på varje del
• Dokumentera gränser och gränssnitt
• Beakta säkerhet på systemnivå

Programvara som medicinteknisk produkt (SaMD)

Programvara kan vara en medicinteknisk produkt oberoende av hårdvara:

SaMD-KLASSIFICERING

KLASS I (Låg risk):
- Administrativ programvara
- Enkel övervakning

KLASS IIa (Medellåg):
- Behandlingsförslag
- Övervakning av icke-vitala funktioner

KLASS IIb (Medelhög):
- Diagnosstöd
- Övervakning av vitala funktioner

KLASS III (Hög):
- Diagnostiska beslut
- Livskritiska funktioner

Om programvaran är SaMD: MDR gäller, CRA gäller inte Om programvaran är wellness: CRA gäller

Kravjämförelse

Cybersäkerhetskrav: MDR kontra CRA

Båda regelverken kräver cybersäkerhet, med betydande överlapp:

Viktiga skillnader

MDR CYBERSÄKERHET kontra CRA

MDR-SPECIFIKT:
- Del av bredare säkerhets-/prestandakrav
- Anmält organs bedömning (Klass IIa+)
- Marknadskontroll efter utsläppande för säkerhet
- Kliniska utvärderingskrav
- UDI (unik enhetsbeteckning)

CRA-SPECIFIKT:
- Dedikerad cybersäkerhetsreglering
- SBOM uttryckligen krävs
- ENISA sårbarhetrapportering
- Harmoniserade standardspår
- Viktig/kritisk klassificering

ÖVERLAPP:
- Säkerhet genom design
- Sårbarhethantering
- Uppdateringsmekanismer
- Riskbedömning
- Dokumentationskrav

Vägledning för produktkategorier

Fitnesstrackers och wearables

FITNESS-WEARABLES

TYPISKA FUNKTIONER:
- Stegräkning
- Puls (träningszoner)
- Sömnspårning (duration, faser)
- Aktivitetsklassificering
- Kaloriuppskattning

KLASSIFICERING: Wellness (CRA gäller)

UNDVIK ATT ÖVERGÅ TILL MDR:
✗ "Detektera oregelbundna hjärtrytmmönster"
✗ "Övervaka symptom på sömnstörningar"
✗ "Spåra vitala tecken för hälsotillstånd"
✗ "Diagnostisera" något

Smarta vågar

SMARTA VÅGAR

WELLNESS (CRA):
- Viktspårning
- BMI-beräkning
- Kroppskompositonsuppskattning
- Målspårning

MEDICINSK (MDR):
- Avsedd för patientövervakning
- Klinisk vikthantering
- Kopplad till behandlingsbeslut
- Integration med sjukvård

Blodtrycksmätare

BLODTRYCKSMÄTARE

Denna kategori är typiskt medicinsk:

DE FLESTA ÄR MDR:
- Att mäta blodtryck är i grunden kliniskt
- Till och med konsumentblodtryckmätare är vanligtvis Klass IIa
- Mycket svårt att hävda "enbart wellness"

UNDANTAG KAN VARA:
- Ren trendspårning utan mätningar
- Inga numeriska blodtrycksavläsningar
- Tydligt wellnesspositionerad

REKOMMENDATION:
- Utgå från att MDR gäller för blodtryckmätare
- Konsultera anmält organ vid osäkerhet

Sömnövervakningsenheter

SÖMNÖVERVAKNING

WELLNESS (CRA):
"Förstå dina sömnmönster för
bättre livsstilsval"
- Spårning av sömnlängd
- Sömnfasuppskattning
- Miljöövervakning (temp, ljud)
- Allmänt sömnkvalitetspoäng

MEDICINSK (MDR):
"Screena för eller övervaka sömnapné"
- SpO2-övervakning under sömn
- Apné/hypopnédetektering
- Screening för sömnstörningar
- Förskriven sömnövervakning

Hälsoappar

HÄLSOAPPAR

WELLNESS (CRA):
- Meditation och avslappning
- Allmän fitnessspårning
- Nutritionsloggning
- Mental hälsa (icke-terapeutisk)
- Symptomdagböcker (informativa)

MEDICINSK (MDR):
- Digitala terapier
- Diagnosstöd
- Behandlingshantering
- Kliniskt beslutsstöd
- Förskrivna appar

Telemedicinsk utrustning

TELEMEDICINSK UTRUSTNING

VIDEOKONFERENS (Vanligtvis CRA):
- Allmän kommunikation
- Icke-diagnostisk video
- Administrativ schemaläggning

DIAGNOSTISK UTRUSTNING (Vanligtvis MDR):
- Verktyg för fjärransökning
- Diagnostisk bildinsamling
- Patientövervakningsenheter
- Kliniska mätenheter

Beslutsramverk

Steg-för-steg-klassificering

KLASSIFICERINGSBESLUTSTRÄD

START: Har produkten digitala element?
│
├─ NEJ → Varken CRA eller MDR
│
└─ JA → Avser tillverkaren medicinskt ändamål?
    │
    ├─ JA → Regleras den under MDR/IVDR?
    │   │
    │   ├─ JA → MDR/IVDR gäller, CRA UNDANTAGET
    │   │
    │   └─ OKLART → Konsultera behörig myndighet/anmält organ
    │
    └─ NEJ → Finns uppenbar medicinsk användning?
        │
        ├─ JA → Risk för omklassificering
        │        Överväg MDR ändå
        │
        └─ NEJ → CRA gäller
                Wellnessprodukt

När du bör söka expertråd

Sök rådgivning från regulatorisk expert när:

• Produktfunktionen liknar medicintekniska produkters
• Osäkert hur avsett ändamål ska positioneras
• Funktioner kan stödja medicinska påståenden
• Sjukvårdspersonal kan använda produkten
• Gränsfall mellan wellness och diagnos
• Konkurrerande produkter är MDR-reglerade

Efterlevnadsstrategier

För rena wellnessprodukter

Om din produkt tydligt är wellness/livsstil:

WELLNESSPRODUKT CRA-STRATEGI

1. DOKUMENTERA AVSETT ÄNDAMÅL:
   - Tydlig wellnesspositionering
   - Inga medicinska påståenden i marknadsföring
   - Användardokumentation undviker medicinska termer

2. IMPLEMENTERA CRA-KRAV:
   - Säkerhet genom design
   - SBOM-generering
   - Sårbarhethantering
   - 5-årig support
   - CE-märkning (under CRA)

3. UPPRÄTTHÅLL GRÄNSER:
   - Övervaka marknadsföring för påståendeglidning
   - Utbilda säljteam om begränsningar
   - Hantera användaråterkoppling om medicinsk användning

4. STANDARDANPASSNING:
   - EN 303 645 för konsument-IoT
   - Relevanta CRA-harmoniserade standarder

För medicintekniska produkter

Om din produkt är en medicinteknisk produkt:

MEDICINTEKNISK PRODUKTSTRATEGI (CRA UNDANTAGET)

1. FÖLJ MDR/IVDR:
   - Klassificera korrekt (Regel 11 för programvara)
   - Konformitetsbedömning per klass
   - Involvera anmält organ (om krävs)
   - MDCG 2019-16 cybersäkerhet

2. CYBERSÄKERHET UNDER MDR:
   - Bilaga I avsnitt 17-krav
   - IEC 62443 eller motsvarighet
   - MDCG 2019-16-vägledning
   - Marknadskontroll av cybersäkerhet efter utsläppande

3. DOKUMENTERA UNDANTAGET:
   - Tydlig MDR-klassificering
   - Bevis på MDR-efterlevnad
   - Cybersäkerhet hanterad under MDR

4. ANT. I TEKNISK FIL:
   "Denna produkt klassificeras som medicinteknisk
   produkt under MDR 2017/745 och är därför
   undantagen från CRA per artikel 2(2)."

För gränsfall

Om klassificeringen är osäker:

GRÄNSFALLSSTRATEGI

1. BEDÖM NOGGRANT:
   - Granska MDCG 2019-11-vägledning
   - Överväg avsett ändamål exakt
   - Utvärdera alla funktioner

2. KONSULTERA VID BEHOV:
   - Nationell behörig myndighet
   - Anmält organ (preliminär åsikt)
   - Regulatorisk konsult

3. DOKUMENTERA MOTIVERINGEN:
   - Varför produkten är/inte är medicinteknisk
   - Uttalande om avsett ändamål
   - Riskbaserad motivering

4. FÖRBERED FÖR BÅDA:
   - Ha MDR-väg redo om omklassificering sker
   - Ha CRA-efterlevnad redo om wellness
   - Var beredd att anpassa

Framtida överväganden

Konvergens av krav

MDR:s och CRA:s cybersäkerhetskrav kan konvergera:

• Gemensam standardutveckling
• Anpassad sårbarhethantering
• Gemensam terminologi
• Potentiell vägledning om interaktion

AI och maskininlärning

AI-baserade hälsoprodukter tillför komplexitet:

• AI-lagen kan också gälla
• Medicinsk AI regleras typiskt under MDR
• Wellness-AI regleras typiskt under CRA
• Klassificeringsutmaningar för adaptiva system

Checklista för hälsorelaterade produkter

REGULATORISK CHECKLISTA FÖR HÄLSOPRODUKTER

KLASSIFICERING:
[ ] Avsett ändamål dokumenterat
[ ] Medicinska påståenden granskade (marknadsföring, dokument)
[ ] MDCG 2019-11 beaktad
[ ] Klassificeringsbeslut dokumenterat

OM MEDICINTEKNISK PRODUKT:
[ ] MDR-klassificering fastställd
[ ] Anmält organ valt (om krävs)
[ ] Cybersäkerhet per Bilaga I avsnitt 17
[ ] CRA-undantag dokumenterat

OM WELLNESSPRODUKT:
[ ] CRA-klassificering fastställd
[ ] Säkerhet-genom-design implementerat
[ ] SBOM-förmåga
[ ] Sårbarhethantering
[ ] 5-årig supportplan
[ ] CE-märkning (CRA)

DOKUMENTATION:
[ ] Teknisk fil förberedd (lämpligt regelverk)
[ ] Uttalande om avsett ändamål
[ ] Användardokumentation (inga medicinska påståenden om wellness)
[ ] Riskbedömning

Nyckelresurser

REGULATORISKA RESURSER

MDR/IVDR:
Förordning (EU) 2017/745 (MDR)
Förordning (EU) 2017/746 (IVDR)
https://health.ec.europa.eu/medical-devices-sector_en

MDCG-vägledning:
MDCG 2019-11 (Gränsfallsklassificering)
MDCG 2019-16 (Cybersäkerhetsvägledning)
MDCG 2021-5 (Programvarukvalificering)
https://health.ec.europa.eu/medical-devices-sector/new-regulations/guidance-mdcg-endorsed-documents-and-other-guidance_en

CRA:
Förordning (EU) 2024/2847
https://eur-lex.europa.eu

STANDARDER:
IEC 62443 (Cybersäkerhet)
IEC 82304-1 (Hälsoprogramvara)
ISO 14971 (Riskhantering för medicintekniska produkter)

Viktigt: Medicintekniska produkter under MDR/IVDR är UNDANTAGNA från CRA:s tillämpningsområde. Dock kan tillhörande programvara, wellness-appar och icke-medicinska funktioner fortfarande falla under CRA.

Tips: Om din produkt befinner sig i MDR/CRA-gränsländet, dokumentera din klassificeringsmotivering grundligt. Myndigheter kan ifrågasätta gränsfall.

Hur CRA Evidence hjälper

För wellnessprodukter under CRA erbjuder CRA Evidence:

• Tydlig gränsdokumentation: Dokumentera varför CRA (inte MDR) gäller
• Wellnessproduktmallar: Teknisk filstruktur för hälsoangränsande produkter
• SBOM-hantering: Krävs under CRA, fördelaktigt för MDR
• Sårbarhetsspårning: Anpassad till båda regelverken
• Flerproduktshantering: Hantera portfölj med olika regelverk

Starta din CRA-efterlevnad på app.craevidence.com.

Den här artikeln är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. För specifik efterlevnadsvägledning, särskilt gällande klassificering av medicintekniska produkter, konsultera kvalificerade regulatoriska rådgivare.