Seit dem 1. Januar 2025 ist Schluss mit der Selbsterklärung: DiGA-Hersteller müssen die Einhaltung der Datensicherheits-Anforderungen über ein offizielles Zertifikat nach der BSI TR-03161 nachweisen, um ins DiGA-Verzeichnis aufgenommen zu werden. Damit ist aus einer Empfehlung eine harte Zulassungsvoraussetzung geworden – und für viele Teams der kritische Pfad auf dem Weg in die Erstattung.

Dieser Artikel erklärt, was die BSI TR-03161 ist, welche Anforderungen sie stellt, wie die Zertifizierung abläuft und worauf es speziell beim Thema Authentisierung und Identitätsmanagement ankommt.