Was die neue EU GMP Annex 11-Revision und der neue Annex 22 für die CSV wirklich bedeuten

Die IT-Welt hat sich rasant weiterentwickelt: Entwicklungen wie Cloud-Dienste und Künstliche Intelligenz (KI) gehören längst zum Standard. Mit ihnen steigt jedoch auch das Risiko von Cyber-Angriffen, das wiederum die Anforderungen an IT-Sicherheit und Datenintegrität erhöht. Gleichzeitig wächst der Wunsch nach der digitalen Validierung, weg vom papierbasierten System.

Diese Entwicklungen haben direkte Auswirkungen auf die Compliance von computergestützten Systemen im GMP-Umfeld. Es war daher nur konsequent, die bisherige Fassung des Annex 11 aus dem Jahr 2011 einer umfassenden Überarbeitung zu unterziehen. Die neue Version reagiert auf die technische Realität, die vor über einem Jahrzehnt noch nicht im Fokus stand. Viele der früheren Formulierungen waren bewusst allgemein gehalten, doch heute reicht das nicht mehr aus, um den sicheren Betrieb moderner Systeme zuverlässig zu regeln. Daher bringt der Annex 11 deutlich konkreter, praxisnähere und aktuelle Anforderungen mit. Ergänzt wird er durch den neuen Annex 22, der speziell den Einsatz von KI-Systemen im GMP-Umfeld adressiert.

Aber keine Sorge: Wer sich bislang an den Best Practices des GAMP5-Leitfadens orientiert hat, ist grundsätzlich auf dem richtigen Weg. Der neue Annex 11 formalisiert vieles, was im GAMP5-Umfeld ohnehin als etablierter Standard gilt – nur jetzt mit mehr regulatorischer Verbindlichkeit.

Keine Angst vor dem neuen Annex 11. Die wichtigsten Änderungen im Überblick

Vier Handlungsfelder, auf die Sie jetzt besonders achten sollten

Wenn ihr euch bisher an den Best Practices des GAMP5-Leitfadens orientiert habt, seid ihr grundsätzlich auf dem richtigen Weg. Der neue Annex 11 rückt bestimmte Themen stärker in den Fokus und formalisiert sie. Besonders relevant sind:

Pharmaceutical Quality System (PQS)

Die Validierung computergestützter Systeme ist keine isolierte IT- und QM-Aufgabe mehr, sondern fester Bestandteil des übergreifenden PQS. Sie betrifft Fachbereiche, Qualitätssicherung und das Management gleichermaßen und muss strategisch im Unternehmen verankert sein. Ein wirksames Risikomanagement ist dabei essenziell: Risiken müssen systematisch identifiziert, bewertet und durch geeignete Maßnahmen minimiert werden. Der Fokus liegt darauf, die Produktqualität, Patientensicherheit und Datenintegrität über den gesamten Lebenszyklus zu gewährleisten.

Audit-Trail-Management

Audit-Trails müssen nicht nur vorhanden sein, sondern auch regelmäßig geprüft und aktiv bewertet werden, insbesondere vor qualitätsrelevanten Entscheidungen wie der Chargenfreigabe.

Datenintegrität (ALCOA+)

Die Anforderungen an Datenintegrität werden konkreter: Daten müssen über den gesamten Lebenszyklus hinweg nachvollziehbar, unverändert, korrekt und verfügbar sein. ALCOA+-Prinzipien stellen hierbei eine verbindliche Grundlage dar.

Zugangskontrollen und Cybersecurity

Technische Schutzmaßnahmen sind Pflicht: Multi-Faktor-Authentifizierung, definierte Rollen- und Rechtekonzepte, Patch-Management, Firewalls und ein funktionierendes Alarmmanagement müssen nachweislich zum Schutz umgesetzt sein.

Und was ist mit KI? Annex 22 bringt zusätzliche Anforderungen

Ein weiterer Aspekt, der zunehmend an Bedeutung gewinnt: KI in computergestützten Systemen. Mit dem Entwurf von Annex 22, als Ergänzung zum Annex 11, gibt es erstmals einen eigenständigen regulatorischen Rahmen für KI-Modelle im GMP-Umfeld. Der Annex 22 übersetzt somit den Branchen übergreifenden EU AI Act (von 2024) in praxisnahe Anforderungen für den pharmazeutischen GMP-Kontext.

Der Entwurf macht klar: Die Vorgaben gelten immer dann, wenn KI-Modelle zur Vorhersage, Klassifikation oder Entscheidungsunterstützung in GMP-kritischen Anwendungen eingesetzt werden, insbesondere, wenn es um Patientensicherheit, Produktqualität oder Datenintegrität geht. Annex 22 greift, sobald KI-Modelle in GMP-relevante Prozesse eingebunden sind, etwa bei der Bewertung von Abweichungen, der Klassifikation von Rohdaten oder der Unterstützung bei Freigabeentscheidungen.

Der Annex 11 regelt zudem ganz klar, dass KI-Systeme in regulierten Umgebungen transparent, reproduzierbar und validierbar sein müssen. Sogenannte „Black Box“-Ansätze oder selbstlernende Modelle im produktiven Einsatz sind nicht zulässig. Zudem wird ein kontrolliertes Änderungsmanagement gefordert: Jede Veränderung am Modell, am System oder an den Eingabedaten muss dokumentiert und bewertet werden.

Fazit

Mit der Revision des Annex 11 und der Einführung des Annex 22 wird deutlich: Die Anforderungen an computergestützte Systeme im GMP-Umfeld werden klarer, konkreter und verbindlicher. Validierung ist keine reine Pflichtübung mehr, sondern ein strategischer Bestandteil des Pharmaceutical Quality Systems.

Wer sich bislang am GAMP5-Leitfaden orientiert hat, ist nach wie vor gut aufgestellt – viele der nun verpflichtenden Anforderungen waren dort bereits als Best Practice beschrieben. Dennoch: Die neuen Vorgaben legen die Messlatte höher und schließen bisherige Interpretationsspielräume.

Daher ist jetzt der richtige Zeitpunkt, bestehende Systeme, Validierungsdokumentationen und Prozesse einer systematischen GAP-Analyse zu unterziehen. Dabei sollten insbesondere folgende Punkte kritisch überprüft werden:

• Ist die Einbindung der Validierung ins PQS nachvollziehbar dokumentiert?
• Werden Audit Trails regelmäßig überprüft – zum Beispiel vor der Chargenfreigabe?
• Entspricht das Datenmanagement vollständig den ALCOA+-Prinzipien?
• Sind Cybersecurity, Alarmmanagement und Zugriffskontrollen nach dem aktuellen Stand der Technik umgesetzt?
• Bestehen KI-Anwendungen, die unter Annex 22 fallen – und wenn ja, sind deren Risiken, Entscheidungslogik und Validierung ausreichend beschrieben?

Nur wer diese Fragen klar beantworten kann, wird auch künftigen Inspektionen und steigenden regulatorischen Anforderungen souverän begegnen können.