ISO 13485 — Medizinprodukte-QMS — Norm-Icon

Medizinprodukte

ISO 13485
Regulatorischer Rahmen für Medizinprodukte

IQI berät Medizinproduktehersteller, IVD-Unternehmen und Medizintechnik-Zulieferer bei der Einführung, Weiterentwicklung und Auditierung von Qualitätsmanagementsystemen nach ISO 13485 — vom Standort Sundern im Sauerland (NRW) aus, deutschlandweit und vor Ort. IQI ist selbst seit über 25 Jahren durchgehend nach ISO 9001 zertifiziert. ISO 13485 ist kein gewöhnlicher Qualitätsstandard: Sie ist die normative Grundlage für den Marktzugang von Medizinprodukten in der EU — und steht damit im direkten Zusammenhang mit der MDR (EU) 2017/745 und der IVDR (EU) 2017/746. IQI baut das Qualitätsmanagementsystem, das die Basis für die MDR-Konformität Ihres Unternehmens bildet — ohne dabei die Grenzen unserer Leistung zu verwischen. Denn das QMS nach ISO 13485 ist der Rahmen; die regulatorische Zulassung Ihres Produktes ist ein eigenständiger Prozess.

Managementberatung seit 2000
IMS-Kompetenz: ISO 13485 + ISO/IEC 27001 aus einer Hand
7 aktive Rechtskataster im Medizinprodukte-Scope
Vor Ort und online

Was ist ISO 13485?

Die DIN EN ISO 13485 ist die international anerkannte Norm für Qualitätsmanagementsysteme (QMS) im Bereich der Medizinprodukte. Die aktuelle Ausgabe DIN EN ISO 13485:2021 entspricht der EN ISO 13485:2016 + Amendment A11:2021 und enthält die informativen Anhänge ZA und ZB — erarbeitet unter Mandat der EU-Kommission. Diese Anhänge zeigen auf, welche Abschnitte der Norm den QMS-Anforderungen von MDR (EU) 2017/745 bzw. IVDR (EU) 2017/746 entsprechen. Wer die DIN EN ISO 13485:2021 anwendet, kann damit für die QMS-seitigen Anforderungen von MDR und IVDR eine Konformitätsvermutung in Anspruch nehmen. ISO 13485 folgt nicht der Harmonized Structure (HS) der modernen ISO-Normen — sie orientiert sich strukturell an ISO 9001:2008. Die Kapitelstruktur ist anders, und einige HS-Konzepte fehlen bewusst: ISO 13485 fordert die wirksame Aufrechterhaltung des QMS — nicht kontinuierliche Verbesserung als Selbstzweck.

Kapitel 4.2.3 verlangt für jeden Produkttyp eine eigene Medizinproduktakte mit Produktbezeichnung, technischen Spezifikationen, Herstellungsverfahren, Prüf- und Messverfahren. Kapitel 4.2.5 schreibt Aufbewahrung für mindestens die Lebensdauer des Produkts vor — bei Implantaten 10–15 Jahre Planungshorizont. Die Managementbewertung (Kapitel 5.6) muss vier regulatorische Inputs einschließen, die ISO 9001 nicht kennt: Reklamationsbearbeitung, Behördenberichterstattung, Post-Market Surveillance und neue regulatorische Anforderungen. Für das Risikomanagement setzt ISO 13485 auf ISO 14971:2019 als Pflichtbestandteil. Kapitel 7.3 (Design & Development) ist mit zehn Unterklauseln der aufwendigste Teil der Normeinführung für Hersteller. Die Zertifizierung erfolgt durch Benannte Stellen (Notified Bodies) — nicht durch beliebige akkreditierte Stellen. Kein Climate Amendment: Das ISO Amendment 2024 betrifft ISO 13485 nicht.

Warum ISO 13485? Vorteile und Marktchancen

Der entscheidende Vorteil der ISO 13485-Zertifizierung ist der EU-Marktzugang: Ohne ein nach ISO 13485 aufgebautes QMS ist die CE-Kennzeichnung von Medizinprodukten der Klasse IIa, IIb und III faktisch nicht erreichbar — denn die Benannte Stelle prüft das QMS als zentralen Bestandteil des Konformitätsbewertungsverfahrens. Auch für viele Klasse-I-Produkte ist die Zertifizierung inzwischen Marktstandard.

Über die EU hinaus öffnet ISO 13485 internationale Märkte: Kanada (Health Canada), Japan (PMDA), Australien (TGA) und weitere Länder akzeptieren ISO 13485-Zertifikate direkt oder als Grundlage für nationale Zulassungsverfahren. Das Medical Device Single Audit Program (MDSAP) baut auf ISO 13485 auf und erlaubt einen kombinierten Audit für bis zu fünf Regulierungsbehörden gleichzeitig. Für Zulieferer und Auftragsfertiger ist ISO 13485 mittlerweile eine faktische Marktzugangsvoraussetzung: OEM-Hersteller verlangen von kritischen Lieferanten eigene QMS-Zertifizierungen.

AusgangssituationRisikoklasse ProduktRichtwert Einführung
Kein QMS vorhandenI / IIa9–14 Monate
Kein QMS vorhandenIIb / III12–18 Monate
ISO 9001 bereits zertifiziertI / IIa6–10 Monate
ISO 9001 bereits zertifiziertIIb / III9–14 Monate
Rezertifizierung (bestehendes System)alle2–4 Monate Vorbereitung

Erfahrungswerte aus IQI-Projekten. Tatsächlicher Aufwand abhängig von Unternehmensgröße, Produktkomplexität und vorhandener Dokumentationsstruktur.

ISO 13485 in der Praxis: Fallstricke, die wir kennen

IQI begleitet Unternehmen bei der ISO 13485-Einführung und bei der Vorbereitung auf Audits durch Benannte Stellen. Diese fünf Fallstricke begegnen uns dabei immer wieder.

1. ISO 13485-Zertifikat ≠ MDR-Konformität — die gefährlichste Verwechslung. Das ISO 13485-Zertifikat bescheinigt ein wirksames QMS. Die MDR-Konformität des Produktes — technische Dokumentation nach Anhang II und III, klinische Bewertung, UDI-Registrierung in EUDAMED, Post-Market Surveillance — liegt vollständig außerhalb dieses Zertifikats. IQI sieht in der Praxis Unternehmen, die nach erfolgreicher ISO 13485-Zertifizierung davon ausgehen, „MDR-konform" zu sein — und im Konformitätsbewertungsverfahren dann feststellen müssen, dass die technische Dokumentation lückenhaft ist. Das QMS ist die Voraussetzung. Das Produkt-Dossier ist eine andere Baustelle.
2. Design & Development (Kapitel 7.3) systematisch unterschätzt. ISO 13485 Kapitel 7.3 umfasst zehn Unterklauseln (7.3.1 bis 7.3.10) mit eigenen Nachweispflichten. Zwei Lücken begegnet IQI besonders häufig: Erstens fehlen in den Entwicklungseingaben (Kapitel 7.3.3) die Ergebnisse aus dem Risikomanagement nach ISO 14971:2019 — die Norm verlangt das in 7.3.3 c) explizit. Zweitens fehlt beim Übergang von Entwicklung in die Fertigung (Kapitel 7.3.8) der Nachweis, dass Entwicklungsergebnisse für die Herstellung verifiziert wurden. Jede dieser Lücken ist im Audit durch die Benannte Stelle eine sichere Nichtkonformität.
3. Reklamationsprozess unterschätzt — Meldepflichten und ISO 14971-Verknüpfung vergessen. ISO 13485 verlangt in Kapitel 8.2.2 und 8.2.3, dass der Reklamationsprozess explizit bewertet, ob ein schwerwiegender Vorfall vorliegt, der eine Behördenmeldung erfordert — und dass diese Entscheidung mit Begründung dokumentiert wird. In der Praxis findet IQI Prozesse, die Beschwerden sauber dokumentieren, aber die Meldepflicht-Entscheidungslogik nicht schriftlich hinterlegen. Dazu: Reklamationen werden isoliert behandelt, ohne Bewertung im Risikomanagement-Prozess nach ISO 14971:2019. Dabei verlangt ISO 13485 in Kapitel 8.5.1 explizit, dass Rückmeldungen aus dem Markt in die Risikoanalyse einfließen.
4. ISO 14971:2019 als Formalität: die Risikoanalyse, die nur so aussieht. Der Unterschied zwischen einer normkonformen Umsetzung und einer, die nur so aussieht, liegt in vier Elementen: definierte Risikoakzeptanzkriterien vor der Analyse, nachgewiesene Restrisikobewertung nach jeder Maßnahme, eine Risiko-Nutzen-Abwägung bei nicht akzeptablen Restrisiken und der Nachweis der Maßnahmenwirksamkeit. Wer stattdessen eine Excel-Tabelle ohne vorab genehmigte Akzeptanzkriterien vorlegt, bekommt vom Auditor die Frage: „Zeigen Sie mir, wie Sie entschieden haben, dass dieses Risiko akzeptabel ist." Kapitel 9 der ISO 14971:2019 verlangt zudem, dass die Risikoanalyse mit Post-Market-Daten aktualisiert wird.
5. Kapitel-Mapping von ISO 9001:2015 auf ISO 13485: die stille Falle. Unternehmen, die ein bestehendes ISO 9001:2015-System auf ISO 13485 erweitern, gehen oft davon aus, dass die Kapitelstruktur ähnlich ist. Das ist sie nicht: ISO 13485:2016 folgt der Struktur von ISO 9001:2008 — nicht der Harmonized Structure. Ein regelmäßig übersehener Punkt: Kapitel 7.4.1 der ISO 13485 verlangt nicht nur die Erstbewertung von Lieferanten, sondern auch deren periodische Wiederbewertung und laufende Leistungsüberwachung — bei langjährigen Lieferanten fehlen genau diese Dokumente am häufigsten. IQI führt bei solchen Projekten immer eine explizite Gap-Analyse mit Kapitel-Mapping durch.

ISO 13485 im Systemverbund: Welche Normen passen dazu?

ISO 13485 steht im regulatorischen Zusammenhang mit einer Reihe von Begleitnormen. Je nach Unternehmenskontext und Produktportfolio ergeben sich sinnvolle Kombinationen.

ISO 9001 Qualitätsmanagement (Basis)
Nicht direkt kompatibel in der Struktur — Gap-Analyse-basiertes Kapitel-Mapping zwingend notwendig
ISO 14001 Umweltmanagement
Häufige Kombination bei Herstellern mit eigenem Fertigungsbetrieb; Auditzyklen synchronisierbar
ISO/IEC 27001 Informationssicherheit
NIS-2 (Dez. 2025) + EU AI Act (Aug. 2026) machen ISO/IEC 27001 für viele Medtech-Unternehmen relevant
ISO 14971:2019 Risikomanagement
Kein „nice to have" — operativer Pflichtbestandteil jedes ISO 13485-konformen Systems
IEC 62304 Software-Lebenszyklus
Pflicht für Software als Medizinprodukt (SaMD) oder Geräte mit eingebetteter Software

→ Alle Norm-Kombinationen im Detail

ISO 13485: IQI-Erfahrung in der Medizintechnik

IQI begleitet Unternehmen aus unterschiedlichen Segmenten der Medizintechnik — vom Dentalbereich über Diagnostik und Healthcare bis zu Herstellern von Präzisionskomponenten für die Medizintechnik-Lieferkette. Die Anforderungen unterscheiden sich je nach Produktklasse, regulatorischem Scope und Ausgangssituation erheblich: Ein Dentalproduktehersteller, der sein erstes QMS nach ISO 13485 einführt, steht vor anderen Herausforderungen als ein Diagnostikunternehmen, das sein bestehendes System nach IVDR-Inkrafttreten überarbeiten muss. IQI kennt diese Unterschiede aus der Praxis — und berät entsprechend differenziert, vom Standort Sundern im Sauerland (NRW) aus, deutschlandweit und vor Ort.

→ IQI-Referenzen ansehen

So unterstützt IQI bei Medizinprodukte

ISO 13485-Beratung

ISO 13485-Beratung

Gap-Analyse bis Zertifizierung

IQI begleitet bei der Ersteinführung, der MDR-konformen Weiterentwicklung und der Rezertifizierung — mit kapitelgenauem Mapping, ISO 14971-konformer Risikoanalysemethodik und besonderem Fokus auf Kapitel 7.3 (Design & Development). IQI berät zum QMS nach ISO 13485, nicht zur regulatorischen Zulassung oder CE-Kennzeichnung.

 Internes Audit

Internes Audit

Mit Benannte-Stelle-Fokus

IQI-Auditoren simulieren die Prüfschwerpunkte einer Benannten Stelle: Design & Development-Dokumentation, Risikomanagement-Nachweise nach ISO 14971:2019, Lieferantenqualifizierung, Rückverfolgbarkeit und Post-Market-Überwachungsprozesse.

 Rechtskataster

Rechtskataster

MDR, IVDR, MPDG, NIS-2

7 aktive Rechtskataster im Medizinprodukte-Scope: MDR (EU) 2017/745, IVDR (EU) 2017/746, MPDG, MPBetreibV, MPSV — ergänzt um DiGA-Verordnung und DSGVO bei vernetzten Produkten. Mit laufender Aktualisierung bei Gesetzesänderungen.
Norminator

Norminator — KI-basierter Berater

IQI hat mit Norminator einen KI-basierten Berater entwickelt, der fundiertes Normenwissen zur ISO 13485 bündelt — für alle, die nicht bei jeder Klauselfrage einen Berater anrufen wollen. Was Norminator für ISO 13485 leistet: Er beantwortet normspezifische Fragen zum gesamten QMS-Aufbau nach DIN EN ISO 13485:2021 — von der Medizinproduktakte (Kapitel 4.2.3) bis zur Rückverfolgbarkeit (Kapitel 7.5.9). Er erstellt Gap-Analyse-Matrizen, die ISO 13485-Anforderungen gegen ISO 9001:2015 abgleichen — inklusive der konkreten Kapitel-Mapping-Unterschiede. Er entwickelt Entscheidungsbäume für Reklamationsprozesse, die den Meldepflicht-Schritt nach MDR/IVDR systematisch abbilden. Und er prüft, ob eine vorliegende Risikoanalyse tatsächlich ISO 14971-konform ist — oder nur so aussieht. MDR-Anforderungen, ISO 14971-Risikoanalysen, Kapitel 7.3 Design Controls — Medizinprodukte-QMS wirft Fragen auf, die nicht bis zum nächsten Beratungstermin warten können. Preise unter norminator.de/preise.

Norminator entdecken →

Häufige Fragen

Grundlagen

Was ist ISO 13485 und wer braucht sie?
Die ISO 13485:2016 (in Deutschland als DIN EN ISO 13485:2021 verfügbar, die die EN ISO 13485:2016 + Amendment A11:2021 enthält) ist die internationale Norm für Qualitätsmanagementsysteme im Bereich der Medizinprodukte. Sie richtet sich an Hersteller von Medizinprodukten aller Risikoklassen, IVD-Hersteller, Entwicklungsdienstleister, Auftragsfertiger und Lieferanten kritischer Komponenten. Für Hersteller, die ihre Produkte in der EU vermarkten, ist ein ISO 13485-konformes QMS faktisch verpflichtend, da die Norm als harmonisierte Norm unter MDR (EU) 2017/745 und IVDR (EU) 2017/746 anerkannt ist.
Was ist der Unterschied zwischen ISO 13485 und ISO 9001?
ISO 13485:2016 folgt der Kapitelstruktur von ISO 9001:2008 — nicht der Harmonized Structure der aktuellen ISO 9001:2015. Kapitelreferenzen sind anders, und ein direktes Upgrade ist ohne Gap-Analyse nicht möglich. Inhaltlich fokussiert ISO 13485 auf Produktsicherheit und regulatorische Konformität statt auf Kundenzufriedenheit und kontinuierliche Verbesserung. Design & Development (Kapitel 7.3), Risikomanagement nach ISO 14971:2019 und Lieferantenqualifizierung sind in ISO 13485 erheblich detaillierter.
Wie hängen ISO 13485 und die EU-Medizinprodukteverordnung (MDR) zusammen?
ISO 13485 ist die harmonisierte Norm für die QMS-Anforderungen von MDR und IVDR. Die ISO 13485-Zertifizierung begründet eine Konformitätsvermutung für die QMS-Teile dieser Verordnungen — sie ist aber nicht gleichbedeutend mit MDR-Konformität des Produktes. Die MDR enthält weitreichende Anforderungen, die über das QMS hinausgehen: technische Dokumentation, klinische Bewertung, UDI-Registrierung, Post-Market Surveillance. IQI berät zum QMS nach ISO 13485 als regulatorischer Grundlage — die produktbezogene MDR-Konformität ist ein eigenständiger Prozess.
Was ist ISO 14971:2019 und warum ist sie für ISO 13485 unverzichtbar?
ISO 14971:2019 ist die internationale Norm für das Risikomanagement bei Medizinprodukten. ISO 13485 verankert das Risikomanagement nach ISO 14971:2019 direkt in den Normforderungen — es ist Pflichtbestandteil des QMS, kein optionales Element. Eine vollständige Risikoanalyse nach ISO 14971:2019 muss Risikobewertungskriterien, Maßnahmen zur Risikominderung, eine Restrisikobewertung und den Nachweis der Maßnahmeneffizienz enthalten. Ohne vollständige ISO 14971:2019-Dokumentation sind kritische Teile des ISO 13485-Systems nicht nachgewiesen.
Wie läuft die Zertifizierung durch eine Benannte Stelle ab?
ISO 13485-Zertifizierungen erfolgen durch Benannte Stellen (Notified Bodies) — von der EU-Kommission speziell anerkannte Organisationen wie TÜV SÜD, TÜV Rheinland, DEKRA, BSI Group oder mdc. Die Benannte Stelle führt eine Dokumentenprüfung (Stage 1) und ein Vor-Ort-Audit (Stage 2) durch, gefolgt von jährlichen Überwachungsaudits im dreijährigen Zertifizierungszyklus. Die Prüftiefe geht erheblich über ein Standard-ISO-Audit hinaus: Die Benannte Stelle bewertet das QMS im Kontext der regulatorischen Anforderungen für das konkrete Produktportfolio.

Ablauf bei IQI

Wie läuft eine ISO 13485-Beratung bei IQI ab?
Eine ISO 13485-Beratung bei IQI beginnt mit einer strukturierten Gap-Analyse: kapitelgenaue Bewertung des Ist-Zustandes gegen die Normforderungen, inklusive Kapitel-Mapping für Unternehmen mit bestehendem ISO 9001-System. Auf dieser Basis erstellen wir einen priorisierten Maßnahmenplan und begleiten die Umsetzung: Dokumentation, Prozessgestaltung, ISO 14971-konforme Risikoanalysemethodik und Vorbereitung auf das Kapitel 7.3-Audit. IQI berät ausschließlich zum QMS — nicht zur regulatorischen Zulassung oder CE-Kennzeichnung.
Wie führt IQI interne Audits nach ISO 13485 durch?
IQI-Auditoren prüfen die spezifischen Schwerpunkte einer Benannten Stelle: Design & Development-Dokumentation, Risikomanagement-Nachweise nach ISO 14971:2019, Lieferantenqualifizierung und Post-Market-Überwachungsprozesse. Das Ergebnis ist ein vollständiger Auditbericht mit Befunden und konkreten Maßnahmenempfehlungen. IQI führt interne Audits vor der Erstzertifizierung, vor Überwachungsaudits und vor der Re-Zertifizierung durch. Auch bei langjährig zertifizierten Systemen decken unsere Audits regelmäßig stille Drift auf.

Rechtskataster

Was beinhaltet ein Rechtskataster für Medizinproduktehersteller?
Auf EU-Ebene bilden MDR (EU) 2017/745 und IVDR (EU) 2017/746 den Kern — ergänzt durch Durchführungsverordnungen und MDCG-Leitlinien der Medical Device Coordination Group. Auf Bundesebene: MPDG, MPBetreibV, MPSV sowie produktspezifische Vorschriften wie DSGVO bei vernetzten Produkten oder die DiGA-Verordnung bei digitalen Gesundheitsanwendungen. IQI erstellt Rechtskataster mit Angabe von Anwendungsbereich, Pflichten und Aktualisierungsrhythmus — als Nachweisdokument für die regulatorischen Anforderungen, die ISO 13485 direkt verlangt.

Positionierung

Warum IQI und nicht direkt die Benannte Stelle für die Vorbereitung?
Benannte Stellen (TÜV, DEKRA, BSI) führen das Zertifizierungsaudit durch und bewerten die QMS-Konformität im Rahmen der MDR/IVDR — sie sind der Bewertende, nicht der Berater. IQI ist unabhängig von der Benannten Stelle: Sie wählen Ihren Zertifizierer frei, IQI bereitet Sie neutral vor. Zusätzlich bietet IQI zwei Werkzeuge, die keine Benannte Stelle hat: Norminator als KI-basierten Berater für ISO 13485 und ein spezialisiertes Rechtskataster, das MDR, IVDR und angrenzende Rechtsgebiete systematisch abdeckt.

Verwandte Normen & Leistungen

ISO 9001 Qualitätsmanagement (Basis) ISO/IEC 27001 Informationssicherheit IMS Integrierte Systeme

ISO 13485-Beratung anfragen

Sie führen ein Qualitätsmanagementsystem nach ISO 13485 ein, bereiten sich auf die Re-Zertifizierung vor oder möchten Ihr bestehendes System MDR-konform weiterentwickeln? IQI berät Sie unverbindlich — vom Standort Sundern im Sauerland (NRW) aus, deutschlandweit und vor Ort.

Anfrage sendenAnrufenE-Mail senden