Die folgenden Fußnoten werden doppelt genutzt:
C2a-02
C2a-04
C2a-05
C2b-01
C3-01

Sowohl in DE als auch in EN.
Die Zuodnung lässt sich erkennen, birgt jedoch die Möglichkeit der Verwirrung.

Die referenzierte Fußnote D2-02 fehlt im IT-Security Leitfaden.

Die Anforderung C.2.a.4 "Der Hersteller hat Verfahren etabliert, die gewährleisten, dass er mit den Betreibern und Anwendern seiner Produkte zeitnah kommunizieren kann" enthält die Bewertung "Stufe 1".
Innerhalb des Kommentars steht "Bei unkritischen Produkten ist die Stufe 2 vertretbar". Dies erscheint nicht sinnvoll, da Stufe 2 höhere / mehr / umfangreichere Forderungen stellt als die initiale Stufe 1. Da es unkritische Produkte sind wäre Stufe 0 im Kommentar sinnvoller.

I would suggest to adopt the current NIST Digital Identity Guidelines (June 2017) regarding choice of password (D.2.a.3). They reflect current expert opinion.

5.1.1.1 Memorized Secret Authenticators
Memorized secrets SHALL be at least 8 characters in length if chosen by the subscriber. Memorized secrets chosen randomly by the CSP or verifier SHALL be at least 6 characters in length and MAY be entirely numeric. If the CSP or verifier disallows a chosen memorized secret based on its appearance on a blacklist of compromised values, the subscriber SHALL be required to choose a different memorized secret. No other complexity requirements for memorized secrets SHOULD be imposed.

https://pages.nist.gov/800-63-3/sp800-63b.html#sec5

Is it possible to have the README translated in English to better understand what this project is about?

D.2.b.6 is level 2 in EN and level 1 in DE

In C.1.a.6 steht

Der Hersteller hat die Risiken (Gefährdung) analysiert, die folgen, wenn die nicht die spezifizierten Benutzer in der spezifizierten Benutzungsumgebung mit dem System arbeiten

Das Beispiel dazu ist:

Der Satz ist grammatikalisch komplett falsch (".. die nicht die .."), aber es ist sehr unklar, was die Intention ist, da die Beispiele nicht passen. Ist gemeint:

1. Ein nicht-spezifierter Nutzer (also z.B. einer ohne eine Schulung, oder ein Gelegenheitstäter) arbeitet mit der Medizinproduktsoftware.
2. Ein spezifierter Nutzer arbeitet in einer nicht zur Spezifikation konformen Umgebung, also z.B. er arbeitet mit dem System in einer Umgebung ohne Virenscanner, obwohl der Betreiber spezifiert hat, dass ein Virenschutz genutzt werden soll. Ein anderes Beispiel wäre ein Benutzer arbeitet mit einem Web-Browser Z mit der Software, obwohl nur Web-Browser des Typs X und Y als Nutzungsumgebung vorgesehen sind. Hier passt also das Beispiel 1, aber das Beispiel 2 passt nicht, denn das Teilen von Passwörtern hat nichts mit der Benutzungsumgebung zu tun. Maximal mit mangelnder Schulung, aber mangelnde Schulung von Anwendern ist kein spezielles IT-Security-Problem.

Bitte klarstellen und korrigieren.

Mandated to be harmonized under the EU-MDR:
IEC 81001-5-1

Important for product related security considerations:
IEC 60601-4-5

New FDA guidance:
https://www.fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-medical-devices-quality-system-considerations-and-content-premarket-submissions

Hello,

In C) Process requirements, Footnote C1-02 (Examples can be found in the section on Labeling), refers to a 'Labeling' section but this section is not part of the document.

The link for the video trainings in the German version is broken and show a GitHub 404.

E) 2. c) Fachliteratur, Lehrbücher

• Johner Institut: Videotrainings zur IT-Sicherheit bei Medizinprodukten

Hallo,
in der englischen md-Version zeigen die Verlinkungen zu Fussnoten weieterhin auf die deutsche Version.
Beispiel:
| B.2.1 | The manufacturer has created ...[1]../../C:%5CUsers%5Cchristianjohner%5CDocuments%5C99_Temp%5Crepo%5Cit-security-guideline%5CGuideline-IT-Security-DE.md#fn1| 1 | |

DIes führt zu Problemen nach der Konvertierung in pdf oder HTML

In annex E, 2b)
The link to "BSI-CS 132 Cyber Security Requirements for Network-Connected Medical Devices" is broken now.
Today working is:
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS/BSI-CS_132E.pdf?__blob=publicationFile&v=7
(applies for EN and DE version)

Folgende Line-Items habe derzeit keine Stufenauswahl, hier ist unklar, wie damit umgegangen werden soll. Wenn die Stufe unklar ist oder vom Hersteller selbst definiert werden sollte würde es helfen, wenn es dementsprechend vermerkt wäre (anstatt leer):
C.1.b.iv.2
C.1.c.11
C.1.c.12
C.1.f.2
C.1.f.5
C.1.f.8 
D.2.b.11

Der Punkt C.1.e.3 "Der Hersteller hat konkrete Prüfkriterien in seinen Vorgabedokumenten für die Code-Reviews." hat die Stufe 1. Code-Reviews selbst sind in C.1.e.2 aber als Stufe 2 klassifiziert.

Entweder müssen es 4 Punkte getrennt nach

• Es gib automatische Prüfungen der Einhaltung der Coding-Guidelines
• Es gibt Code-Reviews durch Personen
  und
• Es gibt eine Dokumentation der Kriterien der automatische Prüfungen
• Es gibt eine Dokumentation der Kriterien der manuellen Code-Reviews
  sein oder der Punkt C.1.e.3 bezieht sich auf beides, also Code-Reviews und automatische Prüfungen, dann wäre die Stufe 1 korrekt (sollte dann im Text aber genannt werden), sonst nicht.

Bei C.2.a.4 ist Stufe 1 ausgewählt, aber im Kommentar „Bei unkritischen Produkten ist die Stufe 2 vertretbar“ angegeben. Hier ist unklar, was das Kommentar meint, da ja schon eine niedrigere Stufe ausgewählt ist.

Die Kommentare mit "Ditto" sollten durch damit gemeinten Kommentare ersetzt werden.
Damit kann auf bei gefilterter Liste der Originalkommentar angezeigt werden.