CSA vs CSV: Was die FDA Final Guidance für Ihre Validierungsstrategie bedeutet

Computer Software Assurance (CSA) ist die neue FDA-Methodik für die Validierung GxP-relevanter Software in Produktion und Qualitätssystem. Mit der Final Guidance vom September 2022 stellt die FDA der klassischen Computer System Validation (CSV) eine schlankere, risikobasierte Alternative an die Seite. Der Unterschied liegt nicht in den regulatorischen Anforderungen, sondern in der Denkweise: CSA priorisiert kritisches Denken über dokumentationsschwere Volltestung. Praktisch bedeutet das für Pharma-, Biotech- und MedTech-Unternehmen: weniger Test-Skripte, mehr fachliche Beurteilung, klarere Audit-Trails — bei gleicher oder höherer Compliance-Sicherheit.

Seit September 2022 ist die FDA-Guidance „Computer Software Assurance for Production and Quality System Software” final. Was nüchtern klingt, ist eine methodische Neuausrichtung: nach jahrzehntelanger CSV-Praxis erkennt die FDA an, dass Test-Volumen kein Synonym für Validierungs-Qualität ist. Für IT-Leiter, QA-Verantwortliche und Business Process Owner in regulierten Unternehmen heißt das: bestehende Validierungs-Strategien gehören auf den Prüfstand. Nicht weil CSV plötzlich falsch wäre — sondern weil die neue Methodik schlanker, schneller und audit-stabiler funktioniert. Dieser Beitrag zeigt, was CSA von CSV unterscheidet, wann welche Methodik greift und wie der Übergang gelingt.

Was CSA wirklich ist — die Definition der FDA

Computer Software Assurance ist die methodische Antwort der FDA auf eine seit Jahren wachsende Diskrepanz. Auf der einen Seite stand die etablierte CSV-Praxis: dokumentationsschwer, testintensiv, in der Tendenz formalistisch. Auf der anderen Seite stand die Realität moderner Software-Entwicklung: agil, iterativ, cloud-basiert, mit immer kürzeren Release-Zyklen. CSA schließt diese Lücke.

Die FDA-Definition ist klar umrissen. CSA gilt für Software, die in der Produktion oder im Qualitätssystem regulierter Hersteller eingesetzt wird — also LIMS, MES, ERP-Module mit GxP-Relevanz, Quality-Management-Systeme, Trainings-Management-Plattformen, Document-Management-Systeme. Sie gilt nicht für Software als Medizinprodukt (Software as a Medical Device, SaMD) — dafür existieren eigene Guidance-Dokumente.

Im Kern verschiebt CSA die Logik der Validierung: weg von „testen Sie alles, was technisch testbar ist”, hin zu „bewerten Sie risikobasiert, was die Patientensicherheit und Produktqualität schützt”. Diese Verschiebung ist keine Aufweichung der Anforderungen. Sie ist eine Präzisierung dessen, was Validierung leisten soll: Sicherheit für Patient und Produkt — nicht Vollständigkeit von Test-Skripten.

Wichtig für die Einordnung: CSA existiert parallel zu 21 CFR Part 11 und 21 CFR Part 820. Die regulatorischen Pflichten — Audit-Trails, elektronische Signaturen, Datenintegrität, Quality-System-Anforderungen — bleiben unverändert. CSA ändert nicht, was Sie nachweisen müssen. CSA ändert, wie Sie es nachweisen.

CSV vs CSA im direkten Vergleich

Die folgende Tabelle zeigt die zentralen Verschiebungen zwischen klassischer CSV-Praxis und der FDA-CSA-Methodik:

Aspekt	CSV (klassisch)	CSA (FDA Final Guidance 2022)
Grundansatz	Compliance-First	Assurance-First (Patient + Produkt)
Test-Philosophie	Volltestung, scripted	Risikobasiert, fokussiert
Dokumentations-Tiefe	Umfangreich, prozedural	Schlank, nutzenorientiert
Denkmodus	Beweise alles	Critical Thinking
Validierungs-Effort	Hoch, oft proportional zur Funktionszahl	Proportional zum Risiko
Patient-Safety-Fokus	Implizit	Explizit, primär
Audit-Trail	Test-Volumen-orientiert	Beurteilungs-Begründung-orientiert
Modernisierungs-Anschluss	Schwer kompatibel mit Agile/DevOps	Nativ unterstützt

Die Vergleichstabelle zeigt: CSA ist nicht weniger als CSV — CSA ist anders strukturiert. Wer die zweite Spalte gegen die dritte liest und denkt „weniger Aufwand = weniger Sicherheit”, hat den Punkt verfehlt. CSA reduziert Redundanz, nicht Substanz. Die Audit-Belastbarkeit bleibt — sie entsteht nur durch dokumentierte Bewertung statt durch dokumentiertes Test-Volumen.

„CSA ist nicht weniger CSV. CSA ist klüger CSV.”

Die vier Kernprinzipien der FDA-Methodik

Die FDA-Final-Guidance lässt sich auf vier methodische Kernprinzipien verdichten. Sie bilden den Rahmen, in dem CSA-konforme Validierung stattfindet — und sie sind das, was Auditoren ab 2026 erwarten werden.

Erstes Prinzip: Intended Use definieren. Bevor validiert wird, muss klar sein, wofür die Software eingesetzt wird. Eine LIMS-Funktion, die Probenidentifikationen erzeugt, hat einen anderen Intended Use als eine LIMS-Funktion, die Sample-Labels druckt. Die FDA verlangt diese Differenzierung explizit — und nicht erst im Test-Skript, sondern bereits in der Validierungsplanung.

Zweites Prinzip: Risiko bewerten. Welche Funktionen können bei Fehlverhalten die Patientensicherheit oder Produktqualität beeinträchtigen? Diese Frage steuert den gesamten Validierungs-Aufwand. Hochrisiko-Funktionen werden ausführlich getestet. Niedrigrisiko-Funktionen werden — mit dokumentierter Begründung — reduziert oder über Lieferanten-Erklärungen abgedeckt. Die Risikobewertung ist kein Anhang; sie ist das Steuerungs-Instrument.

Drittes Prinzip: Assurance Activities planen. Risikobasiert wird entschieden, welche Aktivitäten den nötigen Vertrauensnachweis liefern: scripted Testing, ad-hoc Testing, Lieferanten-Bewertung, statistische Stichproben, kontinuierliche Überwachung. Die FDA listet diese Optionen explizit als gleichwertige Wege. Wer 2022 noch glaubt, scripted Testing sei alternativlos, hat den Wandel verpasst.

Viertes Prinzip: Records angemessen führen. Die Dokumentation orientiert sich am Aufwand der Assurance Activities. Eine ausführlich getestete Hochrisiko-Funktion erhält vollständige Test-Records. Eine über Lieferanten-Bewertung abgedeckte Niedrigrisiko-Funktion erhält eine knappe Begründungs-Dokumentation. Die Idee: jede Seite Dokumentation hat einen Zweck. Was keinen Zweck hat, wird auch nicht produziert.

Diese vier Prinzipien wirken zusammen. Wer das erste vernachlässigt, kann das zweite nicht sauber bewerten. Wer das dritte falsch wählt, produziert beim vierten entweder zu wenig oder zu viel. CSA ist methodisch — und genau dadurch entsteht der Effizienzgewinn.

Wann CSA gilt — und wann weiterhin CSV

Die Frage „CSA oder CSV” ist nicht binär. Beide Methodiken bestehen 2026 parallel — mit klarem Anwendungsbereich:

CSA gilt für: Software in Produktion und Qualitätssystem regulierter Hersteller. Konkret: LIMS, MES, ERP-Module mit GxP-Funktion, Document-Management-Systeme, Training-Management, Quality-Management-Plattformen, Lab-Equipment-Software. Der gemeinsame Nenner: die Software unterstützt regulierte Prozesse, ist aber nicht selbst Medizinprodukt.

CSV bleibt relevant für: Anwendungen, bei denen FDA-CSA-Logik nicht explizit greift — beispielsweise Forschungs-IT ohne unmittelbaren GxP-Bezug, klinische Studien-Systeme mit eigener regulatorischer Rahmung (ICH-GCP), oder Systeme in Märkten, die CSA nicht übernommen haben. Auch hier ist die Bewegung Richtung risikobasierter Methodik klar — aber CSA-Wortlaut greift nicht eins zu eins.

Software als Medizinprodukt (SaMD) folgt einer eigenen regulatorischen Logik. 21 CFR Part 820, IEC 62304 und die jeweiligen FDA-Guidances zu AI/ML-SaMD bilden hier den Rahmen. CSA-Prinzipien sind methodisch verwandt, aber nicht direkt anwendbar.

Praktisch bedeutet das für Ihre IT-Landschaft: prüfen Sie, welche Ihrer GxP-Systeme unter den CSA-Anwendungsbereich fallen — vermutlich die meisten produktions- und qualitäts-nahen Plattformen. Für diese können Sie ab sofort CSA-Logik anwenden. Für Systeme außerhalb des Anwendungsbereichs bleibt die methodische Verschiebung empfohlen, aber nicht zwingend.

Was sich praktisch in Ihrer Validierungs-Strategie ändert

Wer die CSA-Methodik konsequent anwendet, sieht in drei Bereichen messbare Veränderungen.

Test-Volumen sinkt deutlich. In über 60 Validierungsprojekten haben wir den Effekt beobachtet: der Anteil der scripted Tests reduziert sich typischerweise um 40 bis 60 Prozent. An ihre Stelle treten dokumentierte Risikobewertungen, Lieferanten-Bewertungen und ad-hoc Tests für Hochrisiko-Funktionen. Das Ergebnis: weniger Aufwand, mehr Substanz.

Dokumentations-Struktur verändert sich. CSV-Dokumentation ist klassischerweise vorlagengetrieben — jede Funktion wird nach demselben Schema beschrieben. CSA-Dokumentation ist begründungsgetrieben — jede Funktion wird nach ihrem Risiko-Profil dokumentiert. Vorlagen bleiben hilfreich, aber sie werden zu Werkzeugen, nicht zu Pflicht-Strukturen.

Audits verlaufen anders. Auditoren, die auf CSA-Logik geschult sind, fragen weniger nach Test-Volumen und mehr nach Begründungs-Qualität. „Warum haben Sie diese Funktion als niedrigrisiko eingestuft?” wird zur Standard-Frage. Wer die Bewertung sauber dokumentiert hat, antwortet in zwei Sätzen. Wer nicht, verbringt Stunden mit nachträglichen Erklärungen. Audit-Vorbereitung verlagert sich entsprechend: weniger Test-Mappen-Pflege, mehr Bewertungs-Trail-Pflege.

Konkret heißt das für Ihre Validierungs-Strategie: Risk-Assessment-Vorlagen überarbeiten, Test-Strategien neu aufsetzen, Reviewer-Kompetenzen schärfen, SOPs anpassen. Das ist kein Wochen-Projekt — aber auch kein Mehrjahres-Programm. Sechs bis neun Monate sind ein realistischer Modernisierungs-Horizont für eine mittelgroße IT-Organisation.

Der Weg zur Implementierung — wo Sie anfangen

CSA-Einführung ist kein Big-Bang-Projekt. Sie ist ein strukturierter Übergang in vier Schritten:

1. System-Bestand klassifizieren. Welche Ihrer GxP-Systeme fallen unter CSA-Anwendungsbereich? Welche nicht? Eine einfache Klassifikations-Tabelle reicht als Startpunkt.

2. CSA-Pilotsystem auswählen. Beginnen Sie mit einem System mittlerer Komplexität und überschaubarem Risiko — typischerweise eine LIMS-Erweiterung, ein neues Quality-System-Modul oder ein Training-Management-Tool. Lernen Sie an einem konkreten Fall.

3. Methodik im Pilot anwenden. Risikobewertung, Assurance Activities, angemessene Records — die vier Prinzipien im Pilot durchziehen. Dokumentieren Sie, was funktioniert und was anzupassen ist.

4. Framework skalieren. Auf Basis des Piloten passen Sie Ihr SOP-Set, Ihre Vorlagen und Ihre Reviewer-Schulung an. Dann rollen Sie die Methodik auf das gesamte System-Portfolio aus.

Realistisch sind sechs bis neun Monate für den vollständigen Übergang einer mittelgroßen Pharma- oder Biotech-IT. Wer 2026 startet, hat sein Validierungs-Framework Anfang 2027 modernisiert — bei dann bereits gewohnter Auditoren-Erwartung.

Häufige Fragen

Ersetzt CSA das CSV-Framework vollständig?

Nein. CSA und CSV bestehen parallel. Innerhalb des CSA-Anwendungsbereichs — Produktion und Qualitätssystem — ist CSA die zeitgemäße Methodik. Außerhalb dieses Bereichs bleibt CSV-Logik relevant. Wichtig: die regulatorischen Pflichten aus 21 CFR Part 11 und Part 820 gelten unverändert. CSA ändert die Methodik, nicht die Anforderung.

Gilt CSA auch außerhalb der USA, etwa für EU-Pharma?

Formell ist CSA eine FDA-Guidance und damit US-bezogen. Praktisch ist die Methodik international anschlussfähig — EMA, EU-GMP Annex 11 und PIC/S bewegen sich in dieselbe Richtung. Wer EU-Standorte mit FDA-relevanten Produkten betreibt, validiert ohnehin nach FDA-Anforderungen. Für rein EU-fokussierte Organisationen ist CSA nicht verpflichtend, aber methodisch empfehlenswert.

Wie verhalten sich CSA und GAMP 5 2nd Edition zueinander?

Komplementär. Beide Standards lösen sich vom Test-Volumen-Denken und setzen auf Critical Thinking, Risikobewertung und schlanke Dokumentation. CSA ist FDA-spezifisch und auf Produktion und Qualitätssystem fokussiert. GAMP 5 Second Edition ist international und breiter angelegt. Wer beide Standards parallel nutzt, validiert konsistent — die methodischen Prinzipien sind nahezu identisch.

Quellen

• FDA „Computer Software Assurance for Production and Quality System Software” — Final Guidance (September 2022)
• ISPE GAMP 5: A Risk-Based Approach to Compliant GxP Computerized Systems, Second Edition (Juli 2022)
• 21 CFR Part 820: Quality System Regulation
• 21 CFR Part 11: Electronic Records; Electronic Signatures
• ICH Q9(R1) Quality Risk Management (Step 4, Januar 2023)
• FDA Case for Quality Initiative (Hintergrund-Initiative der CSA-Methodik)

---

Autor

Daniel Herrmann Consulting — Boutique-Beratung für GxP-Compliance und Computer System Validation in Pharma, Biotech und MedTech. 15+ Jahre Hands-on-Expertise. 60+ validierte Systeme. 100 % Audit-Bestehensquote. 0 kritische Findings.