MDR vagy AI Act? Mikor kell mindkettő egy klinikai döntéstámogató szoftvernek
Egy magyar AI-startup három éve fejleszti a radiológiai képértékelő szoftverét. Tavalyelőtt elkezdte az MDR-tanúsítást. Idén megijed: az AI Act ráadásul kötelező lesz augusztustól. Akkor most kétszer kell megfizetni ugyanazt? A válasz: nem, de a követelmények listája megnő, és a folyamatot most kell strukturálni.
Az orvostechnikai szoftverek (Software as Medical Device, SaMD) az EU egyik legkomplikáltabb compliance-területén dolgoznak. Az MDR (2017/745) tíz éves szabályrendszer, az AI Act új. A kettő egymásra épül, és sok cég azt hiszi, vagy az egyiket, vagy a másikat kell teljesíteni. A valóság: az AI-alapú SaMD-knél mindkettő alkalmazandó, párhuzamosan.
A kulcsszabály: AI Act Art. 6(1)
Az AI Act így határozza meg a magas kockázatú besorolás egyik útját:
Egy AI-rendszer akkor minősül magas kockázatúnak, ha (a) egy termék, amelyre az Annex I uniós harmonizációs jogszabály vonatkozik, vagy egy ilyen termék biztonsági komponense, ÉS (b) az adott termékre harmadik fél által végzett konformitás-értékelés kötelező.
Az Annex I tartalmazza az MDR-t és az IVDR-t. Tehát:
- Class I MDR-szoftver: nincs harmadik fél értékelés, nem automatikusan magas kockázatú AI
- Class IIa, IIb, III MDR-szoftver: harmadik fél értékelés van, automatikusan magas kockázatú AI
Egy AI-alapú klinikai döntéstámogató szoftver az MDCG 2019-11 iránymutatás szerint ritkán Class I — jellemzően IIa vagy magasabb. Tehát aki AI-szoftverrel az orvosi piacra megy, gyakorlatilag biztosan a magas kockázatú AI-kategóriába esik.
A jó hír: integrált konformitás-értékelés
Az AI Act Art. 43(3) explicit lehetővé teszi a két rendszer összevonását:
Az Annex I, B. szakasz alá tartozó magas kockázatú AI-rendszerek esetén... a notified body, amely az alkalmazandó uniós harmonizációs jogszabály alapján értékel, az AI Act vonatkozó követelményeit is ellenőrzi.
Gyakorlatban: az MDR-tanúsító notified body egyetlen integrált auditban értékel mind az MDR-, mind az AI Act-követelményeket. Külön AI Act-konformitás-értékelő testület nem kell. Nincs duplán fizetés, egyetlen audit-folyamat van.
A piaci gyakorlatban ez két konkrét dolgot jelent:
A notified body szakértelmét bővíteni kell. A hagyományos MDR-tanúsítók (Magyarországon a TÜV Rheinland InterCert) most kell AI-szakértelmet beemeljenek a teameikbe. 2026 májusi állapot szerint ez éppen folyamatban van, és kapacitási szűkösség várható 2026 második félévében.
A műszaki dokumentáció összetettsége nő. Egy MDR-dokumentáció (Annex II) és egy AI Act-dokumentáció (Annex IV) együtt egy gyakorlott regulatory affairs-szakembernek is 60-80 oldalt jelent. Ezt egy egységes Technical File-ban érdemes építeni.
A követelmény-mátrix gyakorlatban
Konkrét összevetés, mi az, ami egyformán szerepel, és mi az, ami új az AI Act-tel:
| Terület | MDR (már megvan) | AI Act (új követelmény) |
|---|---|---|
| Kockázatkezelés | ISO 14971 alapú | + Art. 9 AI-specifikus kockázatok (bias, drift) |
| Adatkezelés | Klinikai adatok dokumentációja | + Art. 10 tréning-, validációs-, teszt-adatok minősége, bias-tesztelés |
| Műszaki dokumentáció | MDR Annex II | + AI Act Annex IV elemek |
| Klinikai értékelés | Art. 61 — folyamatos | + Art. 15 — pontosság, robusztusság monitoring |
| Post-market surveillance | Art. 83-86 | + Art. 72 utópiaci felügyelet, Art. 73 incidens-jelentés |
| Emberi felügyelet | Indirekt (használati utasítás) | + Art. 14 explicit human-in-the-loop modell |
| Átláthatóság | Címkézés, használati utasítás | + Art. 13 deployer-specifikus tartalom |
A jó hír: ha valaki MDR-megfelelt, az AI Act-felkészülés 30-40%-os pluszmunkát jelent, nem kétszerest. A rossz: ez a pluszmunka ott van, ahol egy hagyományos eszközgyártónak nincs tapasztalata — AI-specifikus kockázatkezelés és tréning-adat-minőség.
A lényeges módosítás csapdája
Egy területen az AI Act új kockázatot teremt: a lényeges módosítás (substantial modification) kérdése.
Az AI Act Art. 3(23) szerint lényeges módosítás az olyan változás, amelyet a fejlesztő nem irányoz elő az eredeti konformitás-értékeléskor. Az AI-rendszerek természeténél fogva tanulnak, frissülnek, re-trainelnek. Minden ilyen frissítés potenciálisan lényeges módosítás — és új konformitás-értékelést igényelhet.
Egy radiológiai AI-rendszer havi modell-frissítése kétszer-háromszor évente új notified body auditot jelent? Az iparág nem így működik, és a szabályozó is tudja ezt.
A megoldás: a Predetermined Change Control Plan (PCCP). Ez egy előre rögzített dokumentum a műszaki anyagban, amely meghatározza, milyen tanulási és frissítési műveleteket végez majd a rendszer az élete során. Ha a tanulás a PCCP-n belül marad, nem lényeges módosítás. Ha túllép → új konformitás-értékelés.
💡 Tipp: a PCCP az új SaMD-fejlesztés egyik legfontosabb stratégiai dokumentuma. Aki most fejleszt, már a tervezési fázisban gondoljon végig, milyen modell-frissítéseket fog végezni a következő 3-5 évben, és ezt formalizálja a PCCP-ben. Egy szűkre szabott PCCP évente új audit-ot, egy bő PCCP rugalmas működést jelent.
A magyar piac sajátos kérdései
Két magyar specifikus kérdés van.
Notified body kapacitás. A magyar TÜV Rheinland InterCert (NB 2409) az egyetlen hazai MDR-tanúsító notified body. Kapacitása a teljes közép-európai régiót szolgálja. Az AI Act ráépülésével a várakozási idő 2026 második felében drasztikusan nőhet. Aki most nem kezdi el a folyamatot, 2027 első félévében nem fog notified body időpontot kapni.
OGYÉI mint piacfelügyelet. A magyar Országos Gyógyszerészeti és Élelmezés-egészségügyi Intézet hagyományosan az MDR-piacfelügyeleti hatóság. Az AI Act piacfelügyeleti szerepkört Magyarországon még nem osztották ki formálisan, de logikus, hogy az egészségügyi AI-rendszereknél az OGYÉI lesz az illetékes. Egy magyar SaMD-gyártó számára ez előny — egy hatóság, integrált hozzáállás.
Az időzítés stratégiája
A 2026 májusi állapot szerint az AI Act egészségügyi vonatkozású dátumai:
- 2026.08.02: általános alkalmazási dátum, az önállóan magas kockázatú AI-rendszerekre (Annex III)
- 2027.08.02: a beágyazott magas kockázatú rendszerek (Annex I, ide tartozik a SaMD)
Tehát egy AI-SaMD-gyártónak 2027 augusztusáig kell a teljes AI Act-megfelelést produkálnia, ha a terméke ma kerül piacra. A Digital Omnibus VII csomag 2026 májusi megállapodása ezt a dátumot csúsztathatja, ha a támogató szabványok nem készülnek el — de erre nem érdemes építeni.
A reális ütemterv:
| Időszak | Mit |
|---|---|
| 2026 II. félév | AI Act gap-analízis a meglévő MDR-dokumentáción |
| 2027 I. félév | Műszaki dokumentáció kiterjesztése, PCCP megírása |
| 2027 II. félév | Notified body audit, integrált értékelés |
| 2028 — | Post-market surveillance integrált csatornán |
Ördög ügyvédje: nem fog ez tisztulni magától?
Egy érv: az EU folyamatosan finomítja az AI Act-implementáció gyakorlatát. A Bizottság 2026-ban iránymutatásokat ad ki, harmonizált szabványok készülnek, az MDCG-iránymutatások frissülnek. Egy kis SaMD-gyártó számára vonzó a „várjunk, lesz tisztább" megközelítés.
A valóság: a tisztulás folyamatos, de a határidők nem mozdulnak nagyot. Ami most felkészülésnek tűnik, az hat hónap múlva sürgősségi tűzoltás. A magyar piaci kapacitások (regulatory tanácsadó, notified body, AI-szakértelem) korlátosak, és az EU-szintű erős kereslet a magyar piaci szereplőket háttérbe szorítja.
Mit tegyen az olvasó
Egy konkrét lépés ezen a héten: nyissa meg az MDR-műszaki dokumentációját, és kérdezze meg magától: hol van benne tréning-adat-leírás, bias-tesztelési protokoll, és emberi felügyeleti modell-leírás? Ha ezek hiányoznak (jellemzően hiányoznak), ott van a gap, amit 2027-re ki kell tölteni.
Az AI-SaMD-piac kettéválik 2027 közepére. Lesznek olyan cégek, amelyek integrált MDR-AI Act-megfeleléssel állnak elő — ezek versenyelőnyben lesznek a kórházi és nemzetközi beszerzéseknél. És lesznek olyanok, amelyek 2027 augusztusában még futnak. A kettő közötti különbséget a következő 12 hónap dönti el.
A folyamatok integrálhatók. A követelmények teljesíthetők. Csak el kell kezdeni.
A szerző Boros Réka, a Loop Magazin senior szerkesztője. A cikk az AI Act, MDR és a kapcsolódó MDCG-iránymutatások hivatalos szövegére épít.# A kérdés ami minden klinikai szoftvergyártó íróasztalán ott van
Egy magyar AI-startup három éve fejleszt egy radiológiai döntéstámogató szoftvert: a rendszer mellőfelételeket szűr CT-felvételeken, és valószínűségi pontszámmal megjelöli a gyanús eseteket. 2024-ben elindították az MDR-tanúsítást (Medical Device Regulation, EU 2017/745). Most, 2026 májusában szembesülnek vele, hogy 2026 augusztus 2-ától az AI Act is kötelezően alkalmazódik a magas kockázatú rendszerekre — és az ő szoftverük pont olyan.
A kérdés, amit előbb-utóbb minden klinikai szoftvergyártó felteszi: két külön compliance-projektet kell fölhúzni, vagy a két rendelet jelentősen átfed? A válasz röviden: átfednek, de nem ugyanazt szabályozzák. Érdemes részletesen megnézni, hol.
Mit szabályoz az MDR?
Az MDR a klinikai biztonságot és a klínikai teljesítményt szabályozza. A szoftver, amelyik orvosi célt szolgál — diagnózist, monitorozott kezelést, vagy fizikai funkció helyettesítését — az SaMD (Software as a Medical Device) kategóriába esik. Az MDR mindössze egy alapkérdést tesz fel: biztonságos-e a beteg számára, és teljesíti-e amit ígér?
Ehhez a gyártónak biztosítania kell egy minőségirányítási rendszert (ISO 13485), klínikai értékelést (Clinical Evaluation), kockázatkezelést (ISO 14971), és a magasabb kockázati osztályú eszközöknél notified body általi auditot. Egy radiológiai döntéstámogató jellemzően IIa vagy IIb osztályú — vagyis notified body bevonása kötelező.
Az MDR tehát a termék klinikai biztonságára koncentrál. Nem kérdez rá, hogy a szoftver belsőleg AI-modell vagy klasszikus algoritmus — csak az érdekli, működik-e és nem károsít-e.
Mit szabályoz az AI Act?
Az AI Act (EU 2024/1689) egy másik dimenzióban gondolkodik. Nem orvosi szempontú, hanem AI-specifikus: az algoritmus magának a működésének a minőségét, átláthatóságát, robusztusságát és emberi felügyeletét szabályozza. Az AI Act szerint az MDR-hatály alá eső SaMD-k automatikusan high-risk AI rendszernek minősülnek, ha az adott szoftver AI-komponenseket használ a klinikai döntéstamogatáshoz.
A követelmények itt mások: adatminőség és adatkormányzás (működik-e a modell a célpopuláción, vagy csak azön német férfi pácienseken, akiken tanították), technikai dokumentáció a modellről, automatikus naplózás, emberi felügyelet (a klinikus felelõsége megmarad, nem a gépé), pontosság és robosztusság (mérési követelmények), és kiberbiztonság.
Az AI Act tehát a modell viselkedésére és annak átláthatóságára koncentrál. Egy MDR-kompatibilis szoftver lehet hibás AI szempontból (pl. elõítéletes tanítóadat), és fordítva: egy jó AI lehet klinikailag nem megfelelő.
Hol fed át a két rendelet?
A jó hír: a két rendelet összehangolva íródott. Az AI Act 8. cikke kifejezetten kimondja, hogy ha egy AI-rendszer már MDR szerinti megfelelőségi értékelésen átment, akkor a notified body mindkét rendelet szerinti megfelelőséget egyetlen eljárásban vizsgálhatja. Vagyis nem kell két külön auditra felkészülni.
A műszaki dokumentáció és a minőségirányítási rendszer is egyetlen, integrált szervezeti dokumentumcsomag lehet — amennyiben az MDR-szerinti QMS-be beépül az AI Act által előírt adat- és modellgovernance.
A gyakorlatban ez azért nem azt jelenti, hogy az MDR-tanúsítás automatikusan AI Act-megfelelőséget is ad. A két szabályrendszer követelményei egymás mellé tölthetők, de még így is külön munka az AI-specifikus követelmények dokumentálása: tanítóadat-leírás, modellkártyák, dríft-monitorozsá, magyarázhatósági mechanizmusok.
Egy konkrét példa: a radiológiai szoftver
Vegyük a bevezetőben említett startup példáját. A szoftverük:
- MDR szerint: IIa osztályú SaMD (mellõfelétel-szűrési funkció, nem ad végleges diagnózist, csak figyelmeztet)
- AI Act szerint: high-risk AI rendszer (egészségügyi felhasználás, békés emberi felügyeletet igényel)
A két megfelelőség közös munkája: egy QMS-be összevont folyamatok, integrált kockázatkezelés (klinikai + AI-rizikó), összevont technikai dokumentáció, és egyetlen notified body-audit. Külön munka: a tanítóadatok dokumentálása, a modell pontosságának és biaszainak mérése különböző alpopulációkon, dríft-monitorozsá, valamint a klinikus számára biztosított magyarázhatósági réteg.
A büdzsé szempontjából: ha az MDR-projekt 100 egység volt, az AI Act-rész tipikusan 30-50 egység pluszt jelent — nem dupla munkát.
Mikor nem kötelező az AI Act?
Fontos tisztázni: ha a szoftver nem használ AI/ML komponenst — csak determinisztikus algoritmust, például rule-based logikát, klasszikus képfeldolgozást —, akkor az AI Act nem alkalmazandó, csak az MDR. A vonalat itt az húzza meg, hogy a szoftver "tanult" valamilyen adatból, vagy minden működési lépése explicit programozással lett leírva.
Mit érdemes most elkezdeni?
Aki MDR-folyamat közepén tart és AI-komponenst használ, annak három dolga van. Először ellenőrizze, hogy az AI Act szerinti high-risk minősítés valóban érinti-e a terméket (a legtöbb klinikai SaMD esetében igen). Másodszor egyeztessen a notified body-val arról, hogy az adott szervezet képes-e az integrált AI Act + MDR auditra (nem mindenki van még rá felépülve 2026 elején). Harmadszor azonosítsa a még hiányzó AI Act-specifikus dokumentációkat, és építse be őket a meglévő QMS-folyamatokba.
Záró gondolat
Az MDR és az AI Act nem két versengo szabályrendszer, hanem két kompláner perspektíva ugyanarra a termékre: az MDR azt nézi, biztonságos-e a betegnek, az AI Act azt, hogy működik-e az algoritmus tisztességesen. Aki integráltan kezeli õket, az kevésbé fizet duplan; aki külön compliance-projekteket fut, az lehet, hogy igen.