Schwachstellen in der Software von Medizinprodukten stellen ein erhebliches Risiko für die Patientensicherheit und die Stabilität klinischer Abläufe dar. Moderne Medizingeräte bestehen aus zahlreichen Software-Komponenten, die in einer Software-Stückliste (SBOM) dokumentiert werden und so Transparenz über potenzielle Schwachstellen schaffen. Die daraus resultierenden umfangreichen Schwachstellenlisten werden mithilfe von Bewertungssystemen wie CVSS, EPSS oder der KEV-Liste klassifiziert. Allerdings ist nicht jede Schwachstelle mit hohem Score im klinischen Alltag gleichermaßen relevant, weshalb eine risikobasierte Priorisierung angesichts begrenzter Ressourcen unerlässlich ist. Der Beitrag zeigt, wie aktuelle SBOM-Formate nach BSI-Empfehlung und etablierte Bewertungssysteme für ein effektives Schwachstellenmanagement genutzt werden können. Er erläutert Methoden zur risikobasierten Auswahl patientenrelevanter Schwachstellen, auch bei unvollständigen Informationen, und betont die Notwendigkeit einer kontinuierlichen Neubewertung angesichts sich wandelnder IT- und Bedrohungslagen. Zudem wird die Bedeutung der Zusammenarbeit zwischen Herstellern und Gesundheitseinrichtungen für ein transparentes und regulatorisch konformes Risikomanagement hervorgehoben.