Annex 11 Entwurf - Erste Analyse

Seit dem 07. Juli 2025 finden sich auf der Webseite der EMA drei neue Guidance Dokumente im Entwurfsstadium, die bis zum 07. Oktober 2025 von der Industrie kommentiert werden können - EU GMP Leitfaden Annex 11 'Computerised Systems', Annex 22 'Artificial Intelligence' und Kapitel 4 'Documentation'. Die Dokumente wurden von der EMA GMP/GDP Arbeitsgruppe der Inspektoren zusammen mit der PIC/S entworfen und sollen ab 2026 als endgültige Versionen publiziert werden (siehe unserer GMP News).

Entwurf Annex 11 'Computerised Systems'

Nach Publikation des Annex 11 Concept Papers im Jahr 2022, welches schon einen ersten Einblick in den zu erwartenden Umfang der neuen Regelung für computergestützte Systeme ermöglicht hat, konnte man schon mit erheblichen Neuerungen rechnen. Die internationale Arbeitsgruppe unter der Leitung des dänischen Inspektors Ib Alstrup hat der Entwicklung moderner Technologien im IT-Bereich Rechnung getragen und viele unklare Punkte präzisiert.
Schon beim ersten Lesen fällt auf, dass die Einteilung in Kapitel geblieben ist, die einzelnen Subkapitel aber in übersichtlicher Form mit einem Titel in Kursivschrift versehen sind, was die Übersichtlichkeit deutlich verbessert.

• Das unter Abschnitt 3. erwähnte pharmazeutische Qualitätsmanagementsystem macht außer den üblichen Themen (Abweichungen, Änderungen, Selbst-Inspektionen) auch die Verantwortung des oberen Managements deutlich:  Alle Elemente, die den ordnungsgemäßen Systembetrieb beeinflussen, sollen regelmäßig überprüft werden.
• Die in 4. erwähnten Elemente des Risikomanagements referenzieren ICH Q9; hier findet sich auch ein erster Hinweis auf die im Dokument später erwähnten Anforderungen an die IT- Sicherheit.
• Den in der Praxis häufig sehr stiefmütterlich behandelten Anforderungsspezifikationen (6. User Requirements) wird fast eine Seite gewidmet und dort - wie auch an vielen anderen Stellen des Dokuments - auf die Möglichkeit hingewiesen, für deren Erarbeitung moderne elektronische Werkzeuge (Tools) einzusetzen.
• In Abschnitt 7. wird ausführlich auf die heute weit verbreiteten Dienstleistungen externer IT-Unternehmen und auf die verschiedenen Anforderungen an deren Kontrolle (Audit, Vertrag, Dokumentation) eingegangen, wobei die erwarteten vertraglichen Regelungen mit neun Unterpunkten erwähnt sind.
• Ein neues Thema sind die unter 8. sehr detailliert aufgeführten Anforderungen an Alarme und deren Überprüfung mit zugehöriger Dokumentation, zum Beispiel im Chargenprotokoll. Hier wird eine nicht löschbare/deaktivierbare Aufzeichnung (Log) mit entsprechendem Kommentar, ähnlich einem Audit Trail, erwartet.
• Qualifizierung und Validierung des computergestützten Systems (Abschnitt 9.) entsprechen den Regelungen im alten Annex 11, jedoch wird auf die Möglichkeit hingewiesen, eine Applikation auch bei nicht vollständig abgeschlossener Validierung in limitierter Weise einzusetzen, sofern hierauf im Validierungsbericht ausdrücklich hingewiesen wird.
• Auf das Risiko manueller Dateneingaben anstelle von elektronischen Interfaces zwischen Systemen wird in Abschnitt 10. hingewiesen. Hier findet sich auch ein erster Hinweis auf die Verschlüsselung von kritischen Daten.
• Das korrekte Management des Zugriffs auf computergestützte Systeme (11.) wird ausführlich in zahlreichen Unterpunkten besprochen. In 11.3 wird klargestellt, dass ein Systemzugang mittels Smart Card, die zum Beispiel durch eine andere Person benutzt werden könnte, nicht ausreichend ist. Anforderungen an sichere Passwörter finden sich in 11.5. Dabei beschränkt sich die Arbeitsgruppe auf die generellen Anforderungen, legt aber keine Mindestlänge oder einen maximalen Gültigkeitszeitraum von Passwörtern fest, ebenso wenig wie für die regelmäßige Überprüfung der User Accounts (11.11). Auf die Notwendigkeit, Administratorrechte von Userrechten zu trennen (Segregation of Duties, SoD) wird in 11.10 kurz eingegangen.
• Der Tatsache, dass im alten Annex 11 keine Details zum Management von Audit Trails zu finden waren, hat man in Abschnitt 12. Rechnung getragen: In zehn klar strukturierten Unterpunkten werden die Anforderungen an das technische Setup und den zeitgerechten Review klargestellt.
• Elektronische Unterschriften werden in Abschnitt 13. behandelt; dabei werden auch einige im 21 CFR Part 11 aufgeführte Definitionen verwendet (z.B. Open Systems) und auch Hybridlösungen besprochen.
• Einen breiten Raum nehmen die periodischen Überprüfungen der Systeme ein (Abschnitt 14), die im alten Annex 11 nicht zu finden waren. Die Erwartungen an den regelmäßigen Review sind in zwölf Unterpunkten aufgelistet.
• Es ist sehr positiv, dass das aktuelle Thema IT-Sicherheit (15.) ausführlich behandelt wird, mit klar definierten Anforderungen an die IT-Infrastruktur (Firewalls, Disaster Recovery - RTO/RPO, Patches, Virenschutz, etc.). In diesem Zusammenhang wird auch die Notwendigkeit eines regelmäßigen Penetrationstests für kritische Systeme herausgestellt, der leider kostenmäßig erheblich zu Buche schlagen wird.
• Das Thema Backup findet sich in Abschnitt 16. mit einer Definition der Anforderungen an physische und logische Trennung sowie regelmäßigen Restore Tests.
• Es ist sehr zu begrüßen, dass - ebenso wie in den OECD GLP Richtlinien - der neue Annex 11 die Archivierung von Daten (17.) aufgreift, da bisher in den GMP Regularien sehr kurz behandelt wurde.
• Am Schluss des Dokuments findet sich das Glossary, in dem eine Vielzahl von Begriffen erläutert wird.
  

Zusammenfassung

Die GMP/GDP Arbeitsgruppe der Inspektoren hat mit dem neuen Annex 11 Entwurf einen sehr guten Einstieg gefunden, die fehlenden Aspekte der bisherigen Regelung zu ergänzen. Die Nutzer von aktuellen IT-Technologien erhalten dabei gute, nicht zu stark ins Detail gehende Denkansätze, die einen ausreichenden Handlungsspielraum für deren pragmatische Umsetzung im Unternehmen lassen. Dazu zählen auch die Hinweise auf die leider existenten zahlreichen Bedrohungen der Sicherheit, mit denen die regulierte Industrie vermehrt zu kämpfen hat.