SaMD pod lupą: jak skoordynować EN 62304, MDR/IVDR i AI Act w jednym produkcie?

SaMD pod lupą: jak skoordynować EN 62304, MDR/IVDR i AI Act w jednym produkcie?

Oprogramowanie jako wyrób medyczny (SaMD) to dziś jeden z najbardziej regulacyjnie ważnych tematów w MedTech. Produkt może być jednocześnie wyrobem medycznym lub IVD (MDR/IVDR), systemem wykorzystującym AI (AI Act), usługą udostępnianą w ekosystemie platform cyfrowych (DSA), a do tego przetwarzać dane zdrowotne w środowisku EHDS. W 2025 r. pojawiły się dokumenty, które realnie porządkują te zależności – i zmieniają sposób, w jaki projektujemy, walidujemy i badamy oprogramowanie.

EN 62304: walidacja cyklu życia oprogramowania – fundament „state of the art”

EN IEC 62304 opisuje wymagania dla procesu wytwarzania i utrzymania software’u medycznego (w tym, gdy software jest wyrobem sam w sobie albo jest częścią wyrobu). Standard porządkuje m.in. klasy bezpieczeństwa (A/B/C), wymagania, architekturę, weryfikację, zarządzanie konfiguracją i obsługę problemów.

W praktyce „walidacja cyklu życia” to nie jeden raport, ale dowód, że:

• ryzyka (w tym związane z SOUP i cyberbezpieczeństwem) są zidentyfikowane i kontrolowane,

• wymagania są testowalne i identyfikowalne,

• testy (unit/integration/system) pokrywają funkcje krytyczne,

• zmiany i wersje są zarządzane tak, aby utrzymać zgodność i bezpieczeństwo.

Co bierzemy pod uwagę poza MDR/IVDR i MDCG?

Dla większości producentów SaMD „compliance” nie kończy się na MDR/IVDR. Coraz częściej należy zwrócić uwagę

AI Act

Harmonogram wdrażania jest stopniowy; zakazane praktyki i obowiązki dot. AI literacy zaczęły obowiązywać od 2 lutego 2025, a wymagania dla high-risk AI w wyrobach regulowanych (w tym medycznych) mają wydłużony okres przejściowy do 2 sierpnia 2027.

EHDS

Regulacja weszła w życie 26 marca 2025 r., co wpływa na interoperacyjność, udostępnianie i wtórne wykorzystanie danych zdrowotnych.

Cyber Resilience Act / NIS2

Rosną oczekiwania w zakresie cyberbezpieczeństwa produktów cyfrowych i łańcucha dostaw.

Dystrybucja przez platformy

Gdy software trafia do użytkownika przez sklep z aplikacjami, pojawiają się pytania o role i obowiązki platform.

Newsy 2025: najważniejsze dokumenty dla software’owego MedTech

MDCG 2019-11 rev.1 (czerwiec 2025)

Aktualizacja wytycznych dot. kwalifikacji i klasyfikacji software’u. Rev.1 podkreśla kluczową rolę jasno opisanego „intended purpose”, rozwija temat modułów oraz aktualizuje przykłady i interpretacje (w tym wątek EHR/EHDS).

MDCG 2025-4 (czerwiec 2025)

Pierwsze tak konkretne podejście do udostępniania MDSW w sklepach z aplikacjami i na platformach online. Dokument rozróżnia, kiedy platforma jest „pośrednikiem” (DSA), a kiedy może wejść w rolę dystrybutora/importera, oraz wskazuje minimalny zestaw informacji, które powinny być dostępne dla pacjenta/użytkownika.

MDCG 2025-6 (czerwiec 2025)

FAQ o relacji MDR/IVDR i AI Act. Z perspektywy SaMD/AI szczególnie ważne są wątki: human oversight, traceability, cyberbezpieczeństwo, post-market monitoring oraz konsekwencje zmian po wprowadzeniu wyrobu na rynek.

Jak rozpoznać: SaMD czy „tylko” software?

Najprostsza, praktyczna ścieżka decyzyjna:

• Intended purpose, czyli sprawdzenie czy producent deklaruje cel medyczny (diagnoza, monitorowanie, leczenie, zapobieganie itd.)?

• Rola w decyzji klinicznej – czy software dostarcza informację używaną do decyzji diagnostycznej/terapeutycznej (Rule 11), czy tylko przechowuje/transferuje dane?

• MDR czy IVDR? Jeśli informacja dotyczy analizy próbek/specyficznej diagnostyki in vitro – wchodzimy w IVDR (i jego reguły klasyfikacji).

• Klasyfikacja i granice zweryfikowane MDCG 2019-11 rev.1 jako „mapy” (definicje, figury kwalifikacyjne, przykłady).

Co to oznacza dla badań klinicznych i rozwoju produktu?

Dowody, weryfikacja oraz walidacja, im bardziej software wpływa na decyzje kliniczne, tym większe wymagania wobec dowodów (klinicznych, analitycznych, użytkowych) oraz kontroli zmian.

AI w wyrobie, gdzie dochodzi warstwa wymagań dot. zarządzania cyklem życia modelu (monitoring wydajności, podatności, drift, nadzór człowieka).

Dystrybucja aplikacji – sposób „udostępniania” wpływa na role podmiotów w łańcuchu i na to, jakie informacje muszą być dostępne użytkownikowi.

Najważniejsze wiadomości

• 2025 uporządkował temat SaMD na platformach (MDCG 2025-4) i relację MDR/IVDR z AI Act (MDCG 2025-6).

• Rev.1 MDCG 2019-11 wzmacnia nacisk na intended purpose i daje aktualne przykłady kwalifikacji/klasyfikacji.

• EN IEC 62304 pozostaje kluczowym szkieletem dla dowodów „software lifecycle compliance”.

Dokumenty źródłowe

Warto zapoznać się z dokumentami źródłowymi w całości – zwłaszcza jeśli produkt jest aplikacją przeznaczoną dla pacjenta albo wspiera decyzje kliniczne.

MDCG 2019-11 rev.1 (June 2025):
https://health.ec.europa.eu/document/download/b45335c5-1679-4c71-a91c-fc7a4d37f12b_en?filename=mdcg_2019_11_en.pdf

MDCG 2025-4 (June 2025):
https://health.ec.europa.eu/document/download/ec9b0f40-7f82-43a7-b833-ebd45b772eae_en?filename=mdcg_2025-4_en.pdf

MDCG 2025-6 (June 2025):
https://health.ec.europa.eu/document/download/b78a17d7-e3cd-4943-851d-e02a2f22bbb4_en?filename=mdcg_2025-6_en.pdf

AI Act timeline (EC):
https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai

EC guidelines (AI prohibited):
https://digital-strategy.ec.europa.eu/en/library/commission-publishes-guidelines-prohibited-artificial-intelligence-ai-practices-defined-ai-act

EHDS info (EC):
https://health.ec.europa.eu/ehealth-digital-health-and-care/european-health-data-space-regulation-ehds_en

IEC 62304 (IEC Webstore):
https://webstore.iec.ch/en/publication/22794

CRA (EC):
https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act

NIS2 (EC):
https://digital-strategy.ec.europa.eu/en/policies/nis2-directive