Die Norm richtet sich an Betreiber von IT-Netzwerken, in die vernetzbare Medizinprodukte eingebunden sind, sowie an Hersteller von (vernetzbaren) Medizinprodukten. Den Kern der Norm bildet ein auf die Integration von Medizinprodukten in IT-Netzwerke ausgerichtetes Risikomanagement (RM). Hierfür definiert die Norm Rollen und Verantwortlichkeiten zur Umsetzung des RM-Prozesses, z. B. den „Risikomanager für medizinische IT-Netzwerke“, der für diesen RM-Prozess verantwortlich zeichnet. Weiterhin werden Verantwortlichkeiten für die Geschäftsleitung sowie für die Hersteller von Medizinprodukten und Nicht-Medizinprodukten (z. B. IT-Infrastruktur) definiert.

Die Norm kann nur adäquat umgesetzt werden, wenn die in der Norm vorausgesetzten, notwendigen Informationen für die Betreiber im erforderlichen Umfang tatsächlich von den Herstellern bereitgestellt werden. Hierauf muss mit der Veröffentlichung der Norm durch das DIN in einem Vorwort hingewiesen werden. Weiterhin muss ein angemessener Vorbereitungszeitraum für alle Beteiligten vorgesehen werden, weil die allgemeine Umsetzung der Norm durch Anpassung bestehender Risikomanagementprozesse infolge des zusätzlichen Organisations- und Dokumentationsaufwandes nicht unmittelbar nach ihrer Veröffentlichung realisierbar sein wird.

Der Fachausschuss „Daten-Information und –Kommunikation“ hat zu diesem Thema eine Arbeitsgruppe eingerichtet, die zurzeit Umsetzungshinweise für die Krankenhäuser erarbeitet. Diese Umsetzungshinweise werden mit der Veröffentlichung der deutschen Übersetzung der Norm im zweiten Quartal 2011 zur Verfügung stehen.