FDA-Inspektionen 2026: Der QMSR-Reset und die neue Ära der risikobasierten Durchsetzung

Die US-amerikanische Zulassungsbehörde FDA hat das Jahr 2026 mit einer der bedeutendsten regulatorischen Veränderungen begonnen, die die Medizinproduktebranche seit Jahren erlebt hat. Mit der Veröffentlichung des Compliance-Programms (CP) 7382.850 hat die Behörde die Art und Weise, wie Inspektionen durchgeführt, Risiken bewertet und Nachweise ausgewertet werden, grundlegend umgeschrieben.

FDA-Inspektionen sind keine verfahrenstechnischen QSIT-Audits mehr. Es handelt sich jetzt um risikoorientierte, lebenszyklusorientierte, an der ISO orientierte behördliche Prüfungen, die mit erweiterten rechtlichen Befugnissen ausgestattet sind. Das bedeutet, dass die Inspektoren nun die Risikokontrollen für den gesamten Produktlebenszyklus, die Cybersicherheit, den Entwurf und die Entwicklung sowie die regulatorischen Nachweise ganzheitlich bewerten und nicht nur die Einhaltung der Verfahren.

Nettoeffekt: Die Inspektionen werden tiefgreifender, technischer, dokumentenintensiver und risikoorientierter, mit erweiterten FDA-Befugnissen zur Anforderung von Aufzeichnungen aus der Ferne und während der Vorinspektion sowie mit einer stärkeren rechtlichen Grundlage zur Durchsetzung.

Willkommen in der neuen QMSR-Ära.

Die neue regulatorische Realität

Im Mittelpunkt dieses Wandels steht die Verabschiedung der Qualitätsmanagementsystem-Verordnung (QMSR) durch die FDA, mit der die ISO 13485:2016 formell in das US-Bundesrecht aufgenommen wurde. In der Praxis bedeutet dies, dass die FDA-Inspektionen nun den Audits der benannten Stellen ähneln, jedoch mit der Durchsetzungsstärke einer Bundesbehörde.

Gemäß CP 7382.850 bewerten die Inspektoren nicht mehr isolierte Qualitäts-Teilsysteme. Stattdessen untersuchen sie, wie das Risiko über den gesamten Produktlebenszyklus (TPLC) hinweg kontrolliert wird - Risikomanagement, Cybersicherheit, Überwachung des PMA-Lebenszyklus und Nachweise in Echtzeit - und nicht mehr nur Stichproben von Teilsystemen.

Dadurch wird die Inspektionslogik von der Überprüfung der Einhaltung der Vorschriften auf den Nachweis einer kontinuierlichen Qualitätskontrolle umgestellt.

Was hat sich geändert?

1. Von QSIT zu QMSR: Eine Überarbeitung des regulatorischen Rahmens

Das bisherige Konformitätsprogramm (7382.845) konzentrierte sich auf 21 CFR Teil 820 und QSIT-Subsysteme, einschließlich Konstruktionskontrollen, CAPA und Material-, Produktions- und Prozesskontrollen.

Der neue Rahmen 7382.850 ist direkt in der ISO 13485:2016 verankert und legt den Schwerpunkt auf:

• Integriertes TPLC-Risikomanagement
• Kontrollen im Design- und Entwicklungslebenszyklus
• Cybersicherheitsverpflichtungen
• Rückverfolgbarkeit, UDI
• Prozessvalidierung in Verbindung mit dem Risiko
• Überwachung nach der Markteinführung als behördlicher Beweisstrom

Das Ergebnis? Die FDA-Inspektoren nehmen nicht mehr nur "Teilsysteme" unter die Lupe, sondern beurteilen nun, wie Ihr gesamtes Qualitätssystem das Risiko von der Entwicklung bis zur Markteinführung steuert. Dadurch werden die FDA-Inspektionen mit der Audit-Logik der Benannten Stelle/MDSAP in Einklang gebracht, wodurch die Inspektionen evidenzbasierter, technischer und ISO-kompatibler werden.

2. Eine neue Inspektionsstruktur und Typisierung

Das alte Modell verwendete eine abgestufte Struktur (abgekürzt, umfassend, nach Anlass). Jetzt setzt die FDA Inspektionstypen ein, die explizit an das Risiko, die Produktklassifizierung und das Lebenszyklusstadium gebunden sind, darunter:

• Baseline & Non-Baseline-Überwachung
• Nachkontrolle der Einhaltung der Vorschriften
• Nachforschungen nach Ursachen
• PMA Pre-Approval & PMA Post-Market Inspektionen

Hersteller von Produkten der Klasse III, softwarefähigen, vernetzten und PMA-Produkten sollten mit mehr "Deep Dives" rechnen. PMA-Hersteller werden mit routinemäßigen FDA-Inspektionen nach der Markteinführung konfrontiert, nicht nur mit Besuchen vor der Zulassung, sondern mit häufigeren und intensiveren FDA-Inspektionen.

3. Erweiterte rechtliche Befugnisse: Fernaufzeichnungen und virtuelle Inspektionen

Die vielleicht folgenreichste Änderung besteht darin, dass die FDA nun Unterlagen aus der Ferne anfordern kann, entweder vor einer Inspektion oder anstelle einer Inspektion vor Ort, wodurch die Anforderungen an die Einhaltung der Vorschriften drastisch erhöht werden. Eine Verweigerung, Verzögerung oder unzureichende Antwort kann nach dem Gesetz eine Verfälschung darstellen. Dies bedeutet:

• Die Inspektionsbereitschaft ist jetzt kontinuierlich
• Die Dokumentation muss sofort abrufbar sein
• Virtuelle Inspektionen können die Durchsetzung der Vorschriften eskalieren, ohne dass die Behörde jemals vor Ort ist.
  
  

  4. Cybersecurity: Jetzt ein vollständiger Inspektionsbereich

  Die Cybersicherheit, auf die früher kaum Bezug genommen wurde, ist jetzt ein eigener Bewertungsbereich unter CP 7382.850. FD&C Act §524B wird durchgesetzt, der Cybersicherheitsanforderungen für Medizinprodukte vorschreibt und sicherstellt, dass sie während ihres gesamten Lebenszyklus eine "angemessene Gewährleistung der Cybersicherheit" aufweisen. Er gilt für "Cyber Devices", d. h. Software, vernetzte Geräte, mit der Cloud verbundene IVDs und KI-gestützte Systeme.
  

• Die FDA wird nun alles genau unter die Lupe nehmen:

• Sicherer Entwicklungslebenszyklus (SDLC)
• Modellierung von Bedrohungen
• Schwachstellen- und Patch-Management
• SBOM-Bereitschaft
• Prozesse zur Reaktion auf Vorfälle
• Sicherheit von Cloud, Netzwerk, Software und KI-Algorithmen

Diese Änderung zieht IT, DevOps und Software-Engineering direkt in die Inspektionsarena, nicht nur QA/RA.

5. ISO 13485:2016 ist nicht länger "Best Practice" der Industrie - es ist Gesetz

FDA-Prüfer zitieren nun ISO-Klauseln als gesetzliche Anforderungen. Beispiele:

• Reklamationsbearbeitung (ISO 8.2.3), die direkt mit den MDR-Verpflichtungen der FDA verknüpft ist
• Rückverfolgbarkeit (ISO 7.5.9) in Verbindung mit 21 CFR 821
• Beratungshinweise (ISO 8.3) in Verbindung mit 21 CFR 806

Eine "ISO-Lücke" ist jetzt ein FDA-Verstoß. Wenn Ihr ISO-System unzureichend ist, kann die FDA unter Anwendung der ISO-Logik 483er ausstellen. Dies vereinheitlicht die globalen regulatorischen Erwartungen und beseitigt jede Trennung zwischen ISO-Qualitätssystemen und FDA-Konformität.

6. Vollständige Integration von PMA-Inspektionen

Die Aufsicht über die Zulassung vor dem Inverkehrbringen (Premarket Approval, PMA) ist jetzt vollständig in das gleiche Programm wie alle anderen Inspektionen eingebettet. Sie wird nicht mehr unter einem separaten Programm (7383001) behandelt. Es umfasst PMA-Inspektionen vor der Zulassung und PMA-Inspektionen nach dem Inverkehrbringen. Die FDA überwacht nun die Designkontrollen, die Konsistenz der Herstellung und die Leistung nach dem Inverkehrbringen als ein Kontinuum. Dies kann Inspektionen nach der Markteinführung auslösen, die auf folgenden Faktoren basieren:

• Beschwerde- und MDR-Trends
• Aktionen vor Ort
• Cybersecurity-Ereignisse
• Leistung von Studien nach der Markteinführung

Dies schafft ein geschlossenes Durchsetzungsmodell, bei dem Signale nach dem Inverkehrbringen automatisch eine neue Inspektion auslösen können.

7. Eine ausgereifte risikobasierte Inspektionsstrategie

Die FDA verwendet nun ausdrücklich Risikosignale - einschließlich Rückrufe, MDR-Trends, neue Technologien, Komplexität der Lieferkette und Schwachstellen in der Cybersicherheit - um zu bestimmen:

• wann zu inspizieren ist
• wie tief die Inspektion gehen soll
• welche Funktionsteams zu befragen sind

Erwarten Sie weniger Routine-Audits und mehr gezielte, produkt- oder risikospezifische Inspektionen.

8. Die Anforderungen an Dokumentation und Nachweise steigen drastisch

Die Inspektoren erwarten nun Folgendes:

• TPLC-integrierte Risikomanagement-Akten
• Ein ISO-konformes Qualitätshandbuch
• Dokumentation zur Cybersicherheit,
• Rückverfolgbarkeitsmatrizen, die Risiko → Konstruktion → Verifizierung → Validierung → Produktion → PMS verbinden
• Dokumentation des PMA-Lebenszyklus, wo anwendbar
• Kontrolle der Integrität digitaler Aufzeichnungen

Dies erhöht die Vorbereitungszeit, belastet die funktionsübergreifenden Teams stärker und erfordert einen ganzheitlicheren Ansatz für die Dokumentation der Vorschriften, der über die bloße Einrichtung der Verfahren hinausgeht. Unternehmen mit unzureichender Risikointegration, Cybersicherheits-Governance oder Überwachung nach dem Inverkehrbringen sehen sich einem deutlich höheren Durchsetzungsrisiko ausgesetzt, einschließlich Ferninspektionen und beschleunigten Eskalationspfaden.

Wie sich Inspektionen ändern werden

Nach dem alten System waren die Inspektionen verfahrenstechnisch, Checklisten-gesteuert, basierten auf Teilsystem-Stichproben und waren QS-zentriert. Unter 7382.850 werden sie anders:

• Technisch: Die Inspektoren folgen der technischen Logik, nicht den verfahrenstechnischen Checklisten
• Funktionsübergreifend: Technik, IT, RA, Klinik und Cybersicherheit sind aktiv beteiligt
• Kontinuierlich: Aufzeichnungen können vor dem Eintreffen der Inspektoren überprüft werden
• ISO-erzwungen: ISO-Klauseln sind jetzt gesetzliches Recht

• Risikobasiert: Verfolgen Sie die Produktrisikofäden über den gesamten TPLC

Die Inspektoren werden Risikosignale über den gesamten Lebenszyklus hinweg verfolgen, einschließlich Konstruktion, Herstellung, Beschwerden, MDRs, Cybersicherheitsvorfälle und behördliche Einreichungen, um Ausfälle und Cybersicherheitswarnungen zu erkennen und zu beurteilen, ob ein Unternehmen eine kontinuierliche Qualitätskontrolle aufrechterhält.

Wer ist am meisten davon betroffen?

Führungskräfte, IT-, Technik- und Aufsichtsbehördenteams sind jetzt an vorderster Front an FDA-Inspektionen beteiligt. Qualität ist nicht mehr auf die Qualitätssicherung beschränkt, sondern liegt in der Verantwortung des gesamten Unternehmens.

7382.850 verwandelt FDA-Inspektionen in etwas, das einem EU-Audit einer benannten Stelle sehr viel näher kommt, allerdings mit der rechtlichen Durchsetzungsbefugnis der FDA. Es geht nicht mehr darum, "eine Inspektion zu bestehen". Es geht um den Nachweis einer kontinuierlichen, dokumentierten, risikobasierten Qualitätskontrolle.

Unternehmen, die am meisten betroffen sein werden:

• Hersteller von Software, SaMD, KI und verbundenen Geräten
• IVD- und Begleitdiagnostik-Unternehmen
• PMA-Inhaber
• MDSAP-abhängige Unternehmen, die MDSAP als Ersatz für FDA-Inspektionen betrachten
• Jedes Unternehmen mit unausgereiftem Risikomanagement oder Cybersicherheitsmanagement
  
  

  Das endgültige Urteil: Ein regulatorischer Neustart

CP 7382.850 ist keine schrittweise Aktualisierung, sondern ein kompletter regulatorischer Reset. FDA-Inspektionen sind jetzt:

• Lebenszyklus-basiert
• ISO-konform
• Cyber-bewusst
• Rechtlich ermächtigt, aus der Ferne zu erfolgen
• für eine schnellere Eskalation ausgelegt

Hersteller, die ihre Qualitätssysteme modernisieren, Risiken über den gesamten Lebenszyklus hinweg berücksichtigen und strenge Cybersicherheits- und Dokumentationsverfahren anwenden, werden sich problemlos anpassen. Diejenigen, die dies nicht tun, werden mit intensiveren Inspektionen, einer schnelleren Durchsetzung und einem deutlich höheren regulatorischen Risiko konfrontiert.

Zusammenfassende Tabelle: Alte vs. neue Inspektionsmodelle