Die MedTech-Momentaufnahme: Warum „Assurance“ 2025 zur Wachstumsstrategie wurde

Die letzten zwölf Monate haben nicht nur neue Regeln und Checklisten hinzugefügt, sie haben neu verdrahtet, wie MedTech eingekauft wird. In ganz Europa und den USA sind Beschaffung, Regulierung, Cybersicherheit, Data Governance und (zunehmend) KI-Governance zu einer einzigen kommerziellen Gatekeeping-Funktion zusammengewachsen. Die Organisationen, die an Dynamik gewinnen, liefern nicht nur Produkte aus, sie liefern Sicherheit: prüfbare Sicherheit, gesteuerten Wandel, widerstandsfähige Lieferketten und einkäuferreife Evidenz, die Sicherheitsprüfungen, Ausschreibungsprüfungen und Vertragsprozesse übersteht.

Für Hersteller und Lieferanten ist dies die neue Wettbewerbsfläche: die Fähigkeit, Vertrauen in großem Maßstab zu operationalisieren — ohne Innovation zu verlangsamen.

1) Europas Compliance-Maschinerie wechselte vom „Ereignis“ zum Betriebsmodell

Die am meisten unterschätzte Veränderung im MedTech-Bereich ist, dass Compliance heute ein kontinuierliches Durchsatzproblem ist. Im Jahr 2025 hat die EU dies mit den EUDAMED-Zeitplänen greifbar gemacht: Die Europäische Kommission bestätigte, dass ab dem 28. Mai 2026 vier Module verpflichtend werden (Akteursregistrierung, UDI-/Produktregistrierung, Benannte Stellen & Zertifikate sowie Marktüberwachung).

Das klingt administrativ, ist kommerziell jedoch tiefgreifend. Es erzwingt eine Abkehr von periodischen „Dokumentationsschüben“ hin zu dauerhaften Fähigkeiten: saubere Stammdaten, stringente Rückverfolgbarkeit, Transparenz über Zertifikate und eine dauerhaft aktive Marktüberwachungs-Haltung. Hersteller erleben dies als interne operative Transformation; Lieferanten spüren es als neue Erwartung, strukturierte und versionskontrollierte Inputs bereitzustellen, die Prüfungen und die kritische Bewertung durch Einkäufer standhalten.

2) Cybersicherheit hörte auf, ein technischer Arbeitsstrang zu sein, und wurde zu einem Beschaffungsqualifikator

Sicherheit ist heute ein primärer Treiber der Abschlussgeschwindigkeit, insbesondere bei vernetzten Geräten, softwarelastigen Plattformen und allem, was Unternehmensnetzwerke oder sensible Arbeitsabläufe berührt.

In den USA macht die Leitlinie der FDA zur Cybersicherheit in Medizinprodukten (Mitte 2025 aktualisiert) die Erwartungen ausdrücklich klar: Cybersicherheit muss in das Produkt hineinentwickelt sein, sich in der Kennzeichnung widerspiegeln und durch Dokumentation in den Premarket-Einreichungen unterstützt werden.

In der EU hat sich ebenfalls der Compliance-„Ton“ verschoben. Der NIS2-Rahmen wurde für viele Organisationen zum aktiven Referenzpunkt; die Mitgliedstaaten waren verpflichtet, ihn bis zum 17. Oktober 2024 umzusetzen, wobei NIS2 NIS1 ab dem 18. Oktober 2024 aufhob. Das ist für MedTech relevant, weil Unternehmenskäufer Cybersicherheitsverpflichtungen zunehmend als Teil der Lieferantenqualifikation behandeln — selbst dann, wenn das rechtliche Ziel eigentlich ein Betreiber oder eine wesentliche Einrichtung ist. Vereinfacht gesagt: Wenn Ihr Kunde Resilienz nachweisen muss, wird er sie von Ihnen einfordern.

Kommerzielle Realität: Die Sicherheitsprüfung ist oft der versteckte kritische Pfad. Wenn Sie nicht schnell und konsistent zu SBOM-Status, SLAs für das Vulnerability-Handling, Patch-Governance, Logging/Auditierbarkeit und den Grenzen der Incident-Response Auskunft geben können, wird die Beschaffung verzögern, durch die Wahl etablierter Anbieter de-risikieren oder Preisdruck ausüben, um wahrgenommene Risiken auszugleichen.

3) KI reifte von einer „Innovations­erzählung“ zu „gesteuertem Wandel“

Die KI-Debatte drehte sich 2025 weniger darum, ob KI eingesetzt wird, sondern darum, ob sie beherrscht und gesteuert werden kann. In Europa ging der Zeitplan des EU-KI-Gesetzes in die praktische Umsetzung über: Verbotene Praktiken sowie Pflichten zur KI-Kompetenz galten ab dem 2. Februar 2025, und Governance-Regeln bzw. -Pflichten für KI-Modelle mit allgemeinem Verwendungszweck ab dem 2. August 2025.

In den USA schärfte die FDA-Leitlinie zum PCCP (veröffentlicht am 18. August 2025) ein zentrales Prinzip für KI-gestützte Softwarefunktionen von Medizinprodukten: im Voraus festlegen, was sich ändern wird, wie es validiert wird und wie die Auswirkungen bewertet werden — damit Verbesserungen ausgerollt werden können, ohne für jede Iteration eine Neuzulassung einreichen zu müssen.

Für Hersteller ist das eine Anforderung an Engineering und Qualitätsmanagement-Systeme. Für Zulieferer ist es eine Partnerschaftsanforderung: OEMs benötigen zunehmend vorgelagerte Partner, die die Governance-Story des OEMs mit belastbarer Evidenz, Kontrollen und vorhersehbaren Änderungsmechanismen unterstützen können.

4) Datenrechte wurden zu einem vordergründigen kommerziellen Vertragsbestandteil für vernetzte MedTech

Der EU Data Act wurde am 12. September 2025 anwendbar. Für vernetzte Geräte und zugehörige Services ist das keine theoretische Entwicklung – er definiert neu, wie der Zugang zu gerätegenerierten Daten, Datenportabilität und Datenteilung geregelt werden. Gleichzeitig hebt er Interoperabilität und Exportierbarkeit von einem „nice-to-have“ für Integrationen zu einem kommerziellen Druckpunkt.

Kommerzielle Konsequenz: Daten-Governance wird heute wie Preis verhandelt. Käufer wollen Optionalität (Vermeidung von Lock-in), Nachweis von Kontrolle (Auditierbarkeit) und Klarheit darüber, wer auf welche Daten zugreifen darf – wo, unter welchen Sicherheitsvorgaben und vertraglichen Rahmenbedingungen. Gewinner werden diejenigen sein, die Datenflüsse, Zugriffskontrollen, Aufbewahrungs- und Löschkonzepte, Sub-Prozessor-Transparenz und Exportformate in ausschreibungsreifer Form darstellen können – mit minimalem Hin und Her.

5) Beschaffung verhärtete sich: Wert, Resilienz und Geopolitik prägen nun die Teilnahmeberechtigung

Beschaffung wird strategischer, stärker auf Ergebnisse ausgerichtet und deutlich expliziter in Bezug auf Risiken. Im Vereinigten Königreich hat NHS Supply Chain am 17. Oktober 2025 neue Leitlinien zur Value Based Procurement (VBP) veröffentlicht, die den Wandel vom reinen Stückpreis hin zu messbarem Mehrwert und erweiterten Entscheidungskriterien weiter verstärken.

Parallel dazu erreichte die Geopolitik das Ausschreibungstor. Am 19. Juni 2025 verabschiedete die Europäische Kommission eine Maßnahme im Rahmen des International Procurement Instrument, die die Beteiligung chinesischer Anbieter an der öffentlichen Beschaffung von Medizinprodukten in der EU über 5 Mio. € einschränkt (inklusive Leitplanken zu Unterauftragsvergabe und Ursprungsanteilen). Solche Teilnahmebeschränkungen betreffen nicht nur China-bezogene Bieter — sie zwingen jeden Anbieter dazu, Herkunft der Lieferkette und Zusammensetzung von Subunternehmern deutlich präziser zu verstehen und nachzuweisen.

6) Die Kostenträger-/Nutzungsebene zog sich an – und die MedTech-Nachfrage wird dies zunehmend spüren

In den USA kündigte CMS eine fünfjährige Prior-Authorisation-Demonstration für bestimmte Leistungen in ambulanten OP-Zentren (ASC) an, beginnend am 15. Dezember 2025 in zehn Bundesstaaten, bevor die Starttermine später verschoben und schrittweise in das Jahr 2026 verlegt wurden (ohne die grundsätzliche Richtung zu ändern).

Für MedTech ist dies eine Erinnerung daran, dass Adoptionskurven nicht nur klinisch und operativ sind, sondern auch administrativ. Selbst wenn ein Gerät wertvoll ist, können die begleitenden politischen und regulatorischen Mechanismen Reibung erzeugen, die Beschaffungsteams antizipieren und aktiv steuern müssen.

Was ist also das verbindende Muster?

Über all diese Punkte hinweg dominiert ein zentrales Thema: Käufer institutionalisieren Risikokontrolle. Sie tun dies über Beschaffungsrahmen, Sicherheitsprüfungen, Vertragsklauseln und Erwartungen an Evidenz über den gesamten Lebenszyklus hinweg. Genau deshalb bauen die Organisationen, die 2025 überproportional erfolgreich sind, das auf, was man als beschaffungsorientierten Assurance-Stack bezeichnen kann: ein einheitliches, für Käufer direkt nutzbares Nachweissystem, das sich unmittelbar an den Entscheidungspunkten der Beschaffung ausrichtet (Lieferanten-Onboarding → Ausschreibungsbewertung → Sicherheitsprüfung → Vertragsabschluss → Governance nach Zuschlag).

Für Hersteller ist dieser Stack der Weg, Vertrauen über Märkte und Kunden hinweg zu skalieren, ohne den Vertrieb zu verlangsamen. Für Zulieferer ist er der Schlüssel, um in OEM-Ausschreibungen zum „Pull-through“-Faktor zu werden, indem sie die Belastung und Unsicherheit auf Seiten des OEM reduzieren.

Fazit: Die Gewinner 2026 werden diejenigen sein, die Vertrauen operationalisieren

Wenn 2024 von GenAI-Begeisterung und Diskussionen über regulatorische Übergänge geprägt war, war 2025 das Jahr, in dem MedTech-Käufer begannen, Steuerbarkeit durchzusetzen. 2026 wird der Vorteil für Organisationen steigen, die Assurance als produktbezogene Disziplin behandeln: versionskontrollierte Evidenzbibliotheken, klare Änderungs-Governance (insbesondere für Software und KI), schnelle Antworten bei Sicherheitsprüfungen und beschaffungsorientierte Narrative, die Wert quantifizieren und gleichzeitig die Adoption absichern.

Die unmittelbare Chance ist einfach: funktionsübergreifende Stakeholder (RA/QA, Sicherheit, Produkt, Klinik, Recht, Vertrieb) um eine gemeinsame „Assurance-Achse“ herum ausrichten und wiederverwendbar machen. Die Organisationen, die dies umsetzen, werden Zykluszeiten verkürzen, Preise schützen und schneller wachsen – nicht, weil sie Komplexität vermeiden, sondern weil sie gelernt haben, sie in eine für die Beschaffung schnell genehmigungsfähige Sicherheit zu verpacken.