Life Science – teknikfokuserade regelverk som påverkar 2025 och framåt

Life science-sektorn står inför stora förändringar när nya teknikfokuserade regelverk träder i kraft från 2025. På Lindahl förbereder vi våra klienter för dessa förändringar. Våra experter har analyserat kommande krav inom cybersäkerhet, AI-system och e-hälsodata, som påverkar allt från forskningsbolag till tillverkare av medicintekniska produkter. Här ger vi en översikt över de viktigaste regelverken och deras implikationer för branschen.

Cybersäkerhet för forskning- och läkemedelsbolag (NIS 2-direktivet). Bolag som är medelstora eller större (dvs. som antingen har fler än 50 anställda eller har mer än 10 miljoner euro i årsomsättning och balansomslutning) kommer att omfattas av nya krav på cybersäkerhet, inkl. ökat ansvar för styrelsen, när den svenska cybersäkerhetslagen kommer på plats. Ännu finns inget lagförslag och vi förväntar oss ingen svensk lag förrän tidigast under det tredje kvartalet 2025. Omfattades man av NIS-I gäller dock delar av de nya kraven redan idag.

Krav på uppkopplade produkter m.m. (Data Act). Regelverket innebär bl.a. omfattande krav på uppkopplade produkter och tillhörande tjänster, exempelvis avseende utformning och tillverkning av produkterna samt tillgängliggörande av produktdata. Till skillnad från Cyber Resilience Act (nedan) träffas även medicintekniska produkter så länge som de omfattas av lagens tillämpningsområde. Börjar gälla 2025-09-12, dock att vissa krav endast gäller produkter som släpps ut på marknaden efter 2026-09-12.

Krav på AI-system som är, eller ingår i, medicintekniska produkter inkl. in-vitro produkter (AI-förordningen). Förordningen innebär omfattande krav på AI-system, särskilt de som klassificeras som ”hög risk” där regelverket ställer krav på både leverantörer och användare av sådana AI-system. Dessa krav ska tillämpas parallellt med de medicintekniska regelverken för AI-system som används som en säkerhetskomponent i en produkt, eller i sig är en produkt, som omfattas av det medicintekniska regelverkets krav på tredjepartsbedömning. Huvuddelen av regelverket börjar gälla successivt från 2025-02-01 fram till 2027-08-01.

Cybersäkerhet i programvaru- eller hårdvaruprodukter med digitala element (Cyber Resilience Act, CRA). Det ska noteras att det här regelverket undantar medicintekniska produkter. Det betyder att uppkopplade vård- och hälsoprodukter, som visserligen faller utanför den strikta definitionen av medicintekniska produkter, likväl kommer att träffas av CRA. Alla hälsoprodukter som faller inom tillämpningsområdet kommer således behöva tillämpa detaljerade regelverk i någon form framöver, oavsett om de klassas som medicintekniska produkter eller ej. Regelverket börjar gälla 2027-12-11, men rapporteringsskyldighet börjar gälla redan 2026-09-11.

Nya regler för e-hälsodata (Hälsodataförordningen). Europaparlamentet och Rådet är överens om regelverket och den slutliga lagtexten förväntas bli publicerad inom kort. Förordningen innebär nya regler för primär och sekundär användning av e-hälsodata. Inom hälso- och sjukvården innebär regelverket bl.a. nya krav på tillgång och kontroll över e-hälsodata. För industrin kommer det bl.a. att skapa förutsättningar för sekundär användning av hälsodata för forskning, hälsoappar och elektroniska journalsystem. Regelverket börjar gälla successivt fr.o.m. två år efter publicering i EUT. Med publicering i år innebär det ikraftträdande under perioden 2027 - 2037.

Vill du veta mer om hur detta påverkar din verksamhet? Välkommen att kontakta oss.