Diese Seite richtet sich speziell an Primärsystemhersteller und bietet eine ergänzende Hilfestellung, um den Umstieg auf ECC erfolgreich zu gestalten.

Der Fokus liegt hier auf den Usecases rund um NFDM.

Alle hier bereitgestellten Inhalte basieren auf den offiziellen Spezifikationen, Implementierungsleitfäden und Dokumentationen der gematik. Diese Seite dient als zusätzliche Orientierungshilfe: Sie stellt konkrete Umstellungen dar, zeigt technische Zusammenhänge auf, bündelt relevante Informationen und erleichtert so die Implementierung im Primärsystem.

Relevante Anwendungsfälle mit Hinweisen zur Umstellung sind zusätzlich hier zu finden: "Test Scope zum Nachweis der ECC-Fähigkeit"

Inhalt:

NFDM

Zusammenfassung

Der Konnektor bietet für das Signieren des Notfalldatensatzes die Außenoperation SignDocument an. Diese muss mit der Angabe der Referenz des HBAs aufgerufen werden. Darüber hinaus spezifizieren die NFDM-Vorgaben weitere Parametrierung der Operation. Die Primärsysteme müssen diese Vorgaben berücksichtigen.

Die Erläuterungen für diese Zusammenfassung finden Sie in den folgenden Abschnitten dieser Seite.

Dringlichkeit der Umstellung auf ECC bei NFDM

Ausgangslage

Signieren:

Für das Signieren von NFD wird vom PVS die Konnektor-Außenoperation SignDocument verwendet.

Beim Signieren der NFD (QES) müssen sich PVSe nach der Signaturrichtlinie QES Notfalldaten-Management (NFDM) richten (siehe auch gemILF_PS_NFDM#A_18019), in der kein Crypt-Parameter im Request erlaubt ist. Die PTV5-Konnektoren signieren dann NFD immer mit RSA.

Hintergrund

Ab dem 01.01.2026 darf das Verfahren RSA-2048 nicht mehr verwendet werden (eine Vorgabe der Bundesnetzagentur und des BSI).

Sollte der Umstieg beim NFDM auf ECC-Signierung bis dahin nicht vollständig abgeschlossen sein, bedeutet das in der Praxis, dass kein Notfalldatensatz auf die eGK geschrieben werden kann.

Technische Voraussetzungen im Feld

Nach aktuellen Informationen aus dem Feld ist festzustellen:

PTV5-Konnektoren sind bereits flächendeckend im Feld ausgerollt. Auch wenn sie ECC-Signaturen ausstellen könnten, signieren sie NFD über RSA, wenn im Aufruf kein Crypt-Parameter angegeben ist.
Alle G2.0 HBAs werden bis Jahresende im Feld durch G2.1 ersetzt oder außer Betrieb genommen.
Anfang 2026 kommen die ersten ECC-only-HBAs ins Feld (HBAs, die kein RSA-Schlüsselmaterial mehr enthalten)
Der Rollout der PTV6-Konnektoren wird Ende 2025 noch nicht beendet sein.

Achtung: PTV6-Konnektoren sind eine Voraussetzung für die ECC-Migration bei NFD. Die PTV6-Konnektoren benutzen automatisch ECC, wenn das passende Schlüsselmaterial vorliegt.

Handlungsbedarf für Primärsysteme beim Signieren von NFD

Die Umstellung auf ECC bei NFDM besteht im Update von PTV5- auf PTV6-Konnektor.

Die Primärsysteme müssen keine Anpassungen durchführen, um im NFDM-Kontext die ECC-Migration zu vollziehen.

Zusammenfassung & Empfehlung

Um einen reibungslosen Betrieb der Anwendung NFDM über den 01.01.2026 hinaus zu gewährleisten, muss im Vorfeld die Nutzung eines PTV6-Konnektors sichergestellt werden (Update forcieren).

Bis Ende 2025 werden alle G2.0 HBA im Feld durch G2.1 Karten ersetzt werden.

Ab Anfang 2026 erscheinen auf dem Markt die ersten ECC-only HBAs.

G2.0 Karten sind nicht ECC fähig und müssen bis spätestens 31.12.2025 ausgetauscht und die neuen G2.1-Karten vor dem 01.01.2026 aktiv (in Gebrauch) sein.

LEI bzw. deren DVOs müssen sich nicht um den Austausch aktiv bemühen. Der Austausch wird durch die Kartenherausgeber veranlasst.

Nach Erhalt der Karten müssen diese aktiviert (Transportpin) werden. Darin sind LEI durchaus involviert.

Wir freuen uns jederzeit über Hinweise und Feedback, um diesen Leitfaden aktuell und so zielführend wie möglich zu halten!

eMP und NFDM Anfrageportal - Serviceprojekt

Allgemeines Anfrageportal - Serviceprojekt