BSI TR-03161 · DiGA · DiPA

BSI TR-03161 Sicherheitsprüfung

Wir bereiten Ihre digitale Gesundheitsanwendung optimal auf die offizielle TR-03161-Zertifizierung vor. Gap-Analyse, Schwachstellentests und technische Beratung – aus einer Hand.

Kostenlose Erstberatung anfragenPentest für Gesundheitsanwendungen

Was ist die BSI TR-03161?

Die Technische Richtlinie TR-03161 des Bundesamts für Sicherheit in der Informationstechnik (BSI) definiert verbindliche Sicherheitsanforderungen für digitale Gesundheitsanwendungen. Seit 2025 ist der Nachweis der Konformität gesetzlich vorgeschrieben für die Aufnahme ins DiGA-Verzeichnis des BfArM (§ 139e SGB V).

Teil 1: Mobile Anwendungen

Sicherheitsanforderungen für native und hybride Mobile Apps (iOS & Android) im Gesundheitswesen – basierend auf OWASP MASVS und dem OWASP Mobile Security Testing Guide.

Teil 2: Web-Anwendungen

Prüfaspekte für Web-Frontends und browserbasierte Gesundheitsanwendungen – basierend auf OWASP ASVS und etablierten Web-Sicherheitsstandards.

Teil 3: Hintergrundsysteme

Sicherheitsanforderungen an Backend-Systeme, APIs und Datenbanken – Authentifizierung, Datenhaltung, Kryptographie und Kommunikationssicherheit.

Warum ist das ab 2025 gesetzliche Pflicht?

Digitale Gesundheitsanwendungen (DiGA) können gemäß § 33a SGB V von Ärzten verschrieben und von gesetzlichen Krankenkassen erstattet werden – aber nur, wenn sie im DiGA-Verzeichnis des BfArM gelistet sind. Voraussetzung dafür ist seit 2025 der Nachweis der Datensicherheit nach BSI TR-03161.

Ohne TR-03161-Konformität keine Aufnahme ins DiGA-Verzeichnis
Keine Erstattungsfähigkeit durch gesetzliche Krankenkassen
Regulatorische Grundlage: DiGAV, § 139e SGB V
Nachweis durch Zertifikat einer BSI-anerkannten Prüfstelle
Der Weg ins DiGA-Verzeichnis
1

Entwicklung

DiGA/DiPA nach Sicherheitsstandards entwickeln

2

Sicherheitsprüfung

Technische Prüfung nach TR-03161 (wir bereiten Sie vor)

3

Zertifizierung

Offizielle Prüfung durch BSI-anerkannte Stelle

4

BfArM-Antrag

Aufnahme ins DiGA-Verzeichnis beantragen

5

Erstattung

Verordnungs- und Erstattungsfähigkeit

Was wir konkret anbieten

Vorbereitende Sicherheitsprüfungen nach den Prüfaspekten der BSI TR-03161 – von der Gap-Analyse bis zur Zertifizierungsbegleitung.

Gap-Analyse

Systematische Überprüfung Ihrer Anwendung gegen alle Prüfaspekte der TR-03161. Wir identifizieren konkret, wo Handlungsbedarf besteht.

Schwachstellenanalyse & Pentest

Technische Sicherheitsprüfung nach den Bedrohungsszenarien der TR-03161, orientiert an OWASP MASVS, ASVS und dem Mobile Security Testing Guide.

Beratung zur Umsetzung

Konkrete Empfehlungen und Unterstützung bei der technischen Umsetzung der Sicherheitsanforderungen – priorisiert nach Kritikalität.

Vorbereitung auf die Zertifizierung

Wir bereiten Sie optimal auf die offizielle Prüfung durch eine BSI-anerkannte Prüfstelle vor, damit Sie beim Zertifizierungsaudit bestmöglich aufgestellt sind.

Für wen ist das?

Unsere TR-03161-Sicherheitsprüfung richtet sich an alle Unternehmen, die digitale Anwendungen im Gesundheitswesen entwickeln oder betreiben.

DiGA-Hersteller

Hersteller digitaler Gesundheitsanwendungen, die ins DiGA-Verzeichnis aufgenommen werden wollen oder bereits gelistet sind.

DiPA-Hersteller

Anbieter digitaler Pflegeanwendungen mit Sicherheitsnachweis-Pflicht gegenüber dem BfArM.

Healthtech-Startups

Junge Unternehmen im Gesundheitswesen, die von Anfang an auf sichere Entwicklung setzen wollen.

App-Entwickler im Gesundheitswesen

Entwicklungsdienstleister, die Gesundheitsanwendungen für Dritte entwickeln und Sicherheit nachweisen müssen.

Unser Vorgehen

Ein klar strukturierter Prozess – von der ersten Beratung bis zur Begleitung in die offizielle Zertifizierung.

01

Erstgespräch

Kostenlose Erstberatung: Wir verstehen Ihre Anwendung, den Entwicklungsstand und die regulatorischen Anforderungen.

02

Gap-Analyse

Systematische Überprüfung gegen die Prüfaspekte der TR-03161. Sie erhalten einen klaren Überblick über Ihren aktuellen Stand.

03

Technische Prüfung

Durchführung der Sicherheitstests – Penetrationstest, Code-Analyse und Konfigurationsprüfung nach TR-03161-Maßstäben.

04

Bericht & Empfehlungen

Detaillierter Prüfbericht mit allen Findings, CVSS-Bewertungen und konkreten Handlungsempfehlungen – priorisiert nach Dringlichkeit.

05

Begleitung zur Zertifizierung

Unterstützung bei der Behebung der Findings und Vorbereitung der Dokumentation für die offizielle Zertifizierungsprüfung.

Auch interessant: Penetrationstest für Gesundheitsanwendungen

Sie suchen einen technisch tiefgehenden Pentest speziell für Ihre Gesundheitsanwendung? Unsere spezialisierte Pentest-Seite zeigt Ihnen, welche Bereiche wir prüfen.

Mehr zum Pentest für Gesundheitsanwendungen

Häufige Fragen zur BSI TR-03161

Jetzt Erstberatung anfragen

Kostenlos und unverbindlich – wir melden uns innerhalb von 1–2 Werktagen bei Ihnen.

Anfrage senden

Füllen Sie das Formular aus – wir melden uns innerhalb von 1–2 Werktagen.

BSI TR-03161 Sicherheitsprüfung – DiGA & DiPA Vorbereitung | SODU Secure | SODU Secure