ISO 13485 è lo standard internazionale per il sistema di gestione per la qualità (QMS) dei dispositivi medici. Se stai puntando alla marcatura CE secondo MDR/IVDR o lavori come subfornitore nel settore sanitario, un QMS conforme a ISO 13485 rende più prevedibili gli audit, migliora la tracciabilità e accelera l’accesso al mercato UE.

Che cos’è ISO 13485

ISO 13485 specifica i requisiti di un sistema qualità focalizzato sui dispositivi medici e sugli IVD, lungo tutto il ciclo di vita: progettazione e sviluppo, produzione, confezionamento e sterilizzazione, distribuzione, installazione, assistenza post-vendita e sorveglianza post-market. Rispetto a schemi generali come ISO 9001, è più prescrittiva su aspetti tipici del medtech: gestione del rischio lungo il ciclo di vita, validazione dei processi speciali (ad es. sterilizzazione, software e sistemi informatici), tracciabilità e gestione di reclami e vigilanza.

La norma è strettamente allineata ai requisiti regolatori europei: non sostituisce MDR/IVDR, ma ne supporta l’applicazione pratica perché struttura processi e registrazioni che i notified body esaminano durante la valutazione di conformità. Lavora in sinergia con ISO 14971 (gestione del rischio per dispositivi medici) e con gli standard di prodotto/processo pertinenti (ad es. sterilizzazione, usabilità, software, ambienti controllati).

A chi serve in concreto

  • Fabbricanti di dispositivi medici e IVD, inclusi software come dispositivo medico e sistemi combinati.
  • Subfornitori critici (contract manufacturer, sterilizzazione, stampaggio, elettronica, packaging sterile, servizi di test): spesso richiesto dai clienti OEM.
  • Mandatari e private label/OEM virtuali, per dimostrare controllo sui processi esternalizzati e sulla supply chain.
  • Importatori/distributori che desiderano strutturare controlli qualità coerenti con MDR/IVDR e qualificarsi presso grandi clienti healthcare.

A cosa serve: obiettivi e risultati attesi

  • Controllo di progettazione e sviluppo (design control): piani, riesami, verifiche/validazioni, trasferimento in produzione.
  • Gestione del rischio integrata ai processi decisionali e alle evidenze cliniche/di performance.
  • Tracciabilità di materiali, componenti, lotti e configurazioni software, compresi i record di fabbricazione (DHR) e il DMR.
  • Validazione dei processi che non possono essere completamente verificati a posteriori (es. sterilizzazione, pulizia, saldature speciali, software e IT con impatto sulla qualità).
  • Vigilanza e PMS: gestione reclami, indagini di non conformità, CAPA, aggiornamenti post-market.
  • Controllo dei fornitori: qualifica, audit, quality agreement e monitoraggio delle prestazioni dei subfornitori critici.

Vantaggi concreti per chi si certifica ISO 13485

  • Tempi di marcatura più prevedibili: un QMS allineato riduce rilavorazioni documentali durante la revisione del notified body.
  • Maggiore credibilità verso cliniche, distributori e partner internazionali; più semplice soddisfare requisiti nei capitolati e nelle gare.
  • Riduzione dei rischi operativi: meno deviazioni di processo, richiami e reclami; gestione strutturata delle modifiche.
  • Governance della supply chain: fornitori qualificati, accordi qualità chiari, audit mirati su processi critici.
  • Base comune multi-mercato: facilita l’integrazione con altri schemi (es. audit regolatori o programmi multi-paese) e con standard tecnici verticali.

Nota di contesto IVDR: la capacità dei notified body e i requisiti più stringenti per gli IVD hanno reso il QMS un fattore critico di successo. Un recente caso pubblico evidenzia come la pianificazione e la digitalizzazione degli iter di valutazione supportino transizioni regolari verso l’IVDR (fonte).

Requisiti chiave e documenti tipici

  • Manuale qualità e mappa dei processi, politica e obiettivi per la qualità, ruoli e responsabilità.
  • Design History File (DHF): piani, riesami, verifiche/validazioni, gestione requisiti e tracciabilità.
  • Device Master Record (DMR) e Device History Record (DHR): specifiche di produzione e record di lotto/serie.
  • Fascicolo di gestione del rischio in linea con ISO 14971, collegato a usabilità, software e evidenze cliniche/di performance.
  • Procedure di controllo documenti e registrazioni, change control e gestione configurazioni (incluso software e cybersecurity quando pertinente).
  • Validazioni di processi e sistemi: sterilizzazione, pulizia, packaging sterile, attrezzature, sistemi informatici che impattano su qualità e tracciabilità.
  • Qualifica e controllo fornitori: criteri, audit, piani di monitoraggio, quality agreement, gestione dei fornitori critici.
  • Requisiti per ambienti controllati (ove applicabile): qualifiche, monitoraggi, manutenzione e tarature.
  • Gestione reclami, PMS/Vigilanza, indagini, azioni correttive/preventive (CAPA) e feedback al design.
  • Formazione e competenze: piani, evidenze di addestramento, qualifica operatori/processi speciali.
  • Audit interni e riesami di direzione con indicatori e piani di miglioramento.

Iter di certificazione e rapporto con MDR/IVDR

  1. Scoping e gap analysis: definisci campo di applicazione (dispositivi, siti, processi), valuta differenze rispetto allo stato attuale.
  2. Progettazione del QMS: processi chiari, responsabilità, interfacce con i requisiti MDR/IVDR e con la documentazione tecnica.
  3. Implementazione e raccolta evidenze: registrazioni, validazioni, qualifica fornitori, audit interni, PMS.
  4. Riesame di direzione e correzione delle non conformità emerse dagli audit interni.
  5. Audit di certificazione (Stage 1 documentale e Stage 2 in campo). A valle, sorveglianze periodiche.

Nel percorso di marcatura CE, il notified body esamina il QMS e la documentazione tecnica di MDR/IVDR. Avere un QMS conforme a ISO 13485 non sostituisce la valutazione regolatoria, ma fornisce una base organizzata e riconoscibile che ne facilita lo svolgimento.

Tempi: da cosa dipendono

  • Prontezza iniziale e complessità dei processi/prodotti (design vs. sola produzione, numero di siti).
  • Classi di rischio e processi speciali che richiedono validazioni più articolate.
  • Capacità di audit dell’organismo e del notified body in caso di iter combinati.

In genere si parla di alcuni mesi tra progettazione del QMS, implementazione, audit interni e certificazione, ma la durata effettiva varia in base al contesto.

Costi: fattori che li influenzano

  • Dimensione aziendale e numero di siti da includere nel campo di applicazione.
  • Ambito di progettazione (design & development) rispetto alla sola produzione/servizi.
  • Processi da validare, infrastrutture, attrezzature, sistemi IT e software a impatto qualità.
  • Criticità della supply chain e necessità di audit ai fornitori.
  • Formazione e supporto esterno, ove necessario, per colmare gap specifici.

Per un preventivo credibile è utile definire con precisione campo di applicazione, elenco di dispositivi/processi, siti coinvolti e stato di avanzamento documentale.

Documenti utili da preparare subito

  • Elenco prodotti/IVD, classi di rischio, indicazioni d’uso e stato della documentazione tecnica.
  • Mappa processi QMS, ruoli e responsabilità, politica e obiettivi qualità.
  • Inventario fornitori con criticità, contratti e bozza di quality agreement.
  • Piani di validazione (processi, software/IT, attrezzature) e tarature/manutenzioni.
  • Procedure chiave: change control, gestione configurazioni, CAPA, reclami, PMS/vigilanza, controllo documenti e registrazioni.
  • Template DHF/DMR/DHR e modello per fascicolo rischio.
  • Programma audit interni e piano formazione competenze.

Errori da evitare

  • Limitarsi a ISO 9001: ISO 13485 richiede controlli aggiuntivi specifici del medtech.
  • Gestione del rischio scollegata dal design e dalla post-market surveillance.
  • Validazioni superficiali di processi e sistemi informatici che impattano la qualità.
  • Outsourcing non governato: fornitori critici senza qualifica, audit o accordi qualità chiari.
  • Allineamento incompleto con MDR/IVDR: QMS e documentazione tecnica devono “parlare la stessa lingua”.
  • Tracciabilità e controllo modifiche deboli, soprattutto per software, configurazioni e varianti.

Domande pratiche più frequenti

È obbligatoria o facoltativa?

La ISO 13485 non è di per sé una legge. Tuttavia, per MDR/IVDR i notified body verificano che il fabbricante abbia un QMS efficace: adottare ISO 13485 è spesso il modo più diretto per dimostrarlo e può essere richiesto da clienti e partner.

Serve per partecipare a gare o lavorare con grandi clienti?

Molti ospedali, gruppi sanitari e OEM richiedono la certificazione ISO 13485 ai fornitori critici. Avere la certificazione facilita la qualificazione e la partecipazione a gare che includono requisiti qualità.

Quanto tempo serve?

Dipende da complessità, stato del QMS, numero di siti e processi da validare. In molte realtà, il percorso richiede alcuni mesi tra progettazione, implementazione, audit interni e certificazione, ma la stima va personalizzata.

Quanto costa?

I costi variano in funzione di dimensione, ambito (incluso design), siti, validazioni e supporto necessario. I costi di audit dell’organismo sono solo una parte: considera anche formazione, prove/validazioni, audit ai fornitori e risorse interne.

Che differenza c’è tra ISO 13485 e ISO 9001?

ISO 13485 è specifica per dispositivi medici, più prescrittiva su risk management, tracciabilità, validazioni, vigilanza, ambienti controllati e documentazione tecnica collegata ai requisiti regolatori. ISO 9001 è più generale.

Che relazione ha con ISO 14971?

ISO 13485 richiede che la gestione del rischio sia integrata nei processi. ISO 14971 definisce il metodo per identificare, valutare, controllare e monitorare i rischi dei dispositivi: i due standard sono complementari.

È utile anche per software come dispositivo medico?

Sì. Aiuta a governare ciclo di vita del software, gestione configurazioni, cybersecurity in ottica qualità, convalidhe software/IT e tracciabilità requisiti-test.

Siamo una piccola azienda: è fattibile?

Sì. La norma è scalabile: processi e registrazioni possono essere proporzionati a rischi, complessità e risorse, mantenendo però i requisiti fondamentali.

Chi fa gli audit?

La certificazione ISO 13485 è rilasciata da organismi di certificazione. Per la marcatura CE, i notified body eseguono anche le valutazioni previste da MDR/IVDR. Talvolta le attività sono coordinate, ma dipende dal percorso scelto.

Come gestire i subfornitori critici?

Identifica i fornitori critici, definisci criteri di qualifica, pianifica audit di secondo parte, stabilisci quality agreement, monitora prestazioni e non conformità. Documenta le evidenze e integra i rischi della supply chain nel fascicolo rischio.

Quali registrazioni controlla più spesso il notified body?

Dipende dal dispositivo, ma tipicamente: design control e risk management, validazioni, DMR/DHR, gestione reclami/PMS, change control, qualifiche fornitori e audit interni. La coerenza tra QMS e dossier regolatorio è cruciale.

Se produco solo per conto terzi (contract manufacturer), serve?

Spesso sì: gli OEM richiedono ISO 13485 ai loro subfornitori critici per dimostrare controllo dei processi, tracciabilità e conformità dei prodotti/servizi forniti.

La certificazione copre anche i requisiti clinici/di performance?

ISO 13485 non sostituisce le valutazioni cliniche o di performance richieste da MDR/IVDR. Aiuta però a strutturare processi e registrazioni che supportano tali evidenze e il loro aggiornamento post-market.

Conclusione: come procedere con decisione

Un QMS ISO 13485 ben progettato è il modo più solido per dimostrare controllo progettuale e produttivo, governare la supply chain e presentarsi al notified body con un impianto documentale coerente con MDR/IVDR. Definisci ambito e priorità, pianifica le validazioni critiche e prepara design control, risk management e PMS in chiave integrata: così riduci incertezza e accorci i tempi verso il mercato.

Vuoi una stima puntuale? Parlando con la chatbox di Evidy, l’utente può ottenere un preventivo preciso per il tipo di servizio di cui ha bisogno, con la possibilità di ricevere un range indicativo di importi e anche un preventivo dell’ente.