Diese Seite richtet sich speziell an Primärsystemhersteller und bietet eine ergänzende Hilfestellung, um den Umstieg auf ECC erfolgreich zu gestalten.

Der Fokus liegt hier auf den Usecases rund um NFDM. 

Alle hier bereitgestellten Inhalte basieren auf den offiziellen Spezifikationen, Implementierungsleitfäden und Dokumentationen der gematik. Diese Seite dient als zusätzliche Orientierungshilfe: Sie stellt konkrete Umstellungen dar, zeigt technische Zusammenhänge auf, bündelt relevante Informationen und erleichtert so die Implementierung im Primärsystem.

Relevante Anwendungsfälle mit Hinweisen zur Umstellung sind zusätzlich hier zu finden: "Test Scope zum Nachweis der ECC-Fähigkeit"

Inhalt:

NFDM

Zusammenfassung

Der Konnektor bietet für das Signieren des Notfalldatensatzes die Außenoperation SignDocument an. Diese muss mit der Angabe der Referenz des HBAs aufgerufen werden. Darüber hinaus spezifizieren die NFDM-Vorgaben weitere Parametrierung der Operation. Die Primärsysteme müssen diese Vorgaben berücksichtigen.

Die Erläuterungen für diese Zusammenfassung finden Sie in den folgenden Abschnitten dieser Seite.

Dringlichkeit der Umstellung auf ECC bei NFDM


Ausgangslage

Signieren:

Für das Signieren von Notfalldaten (NFD) wird vom Primärsystem die Konnektor-Außenoperation SignDocument verwendet. 

Beim Signieren der NFD (QES) müssen sich Primärsysteme und Konnektoren nach der Signaturrichtlinie QES Notfalldaten-Management (NFDM) richten (siehe auch gemILF_PS_NFDM#A_18019), in der kein Crypt-Parameter im Request erlaubt ist. Die PTV5-Konnektoren signierten als Konsequenz NFD immer mit RSA. 

Die PTV6-Konnektoren wählen automatisch die NFDM-Signatur anhand der Kartengeneration. Sofern ECC-Schlüsselmaterial vorhanden ist (>=G2.1 gesteckt und in SignDocument referenziert), wird damit auch signiert. 

Die Signaturrichtlinie wird von den KoCo und Secunet PTV5-Konnektoren aktuell nicht durchgesetzt. Der Crypt-Parameter im Signatur-Request für diese Konnektoren wird somit ausgewertet. 

Hintergrund

Ab dem 01.01.2026 darf das Signaturalgorithmus-Verfahren RSA-2048 nicht mehr für qualifizierte elektronische Signaturen (QES) verwendet werden. 

Die Verantwortung und Aufsicht über die qualifizierte elektronische Signatur liegt bei der Bundesnetzagentur, die die Abschaltung von RSA durch regulatorische Maßnahmen verbindlich vorgibt. Weitere Informationen finden Sie auf FAQ zum RSA2ECC - Migrationsvorgehen in 2026. 

Im Feld befinden sich bereits seit dem 01.01.2026 ca. 40.000 HBAs (G2.1), die keine zeitlich gültigen RSA-Zertifikate mehr enthalten, auch wenn das ECC-Schlüsselmaterial auf diesen Karten noch gültig ist. Darüber hinaus sind alle HBAs, die ab dem 01.01.2026 ausgestellt wurden nur noch als ECC-only Karten verfügbar, d.h. auf diesen Karten befindet sich überhaupt kein RSA-Schlüsselmaterial mehr. 

Sollten Primärsysteme den Crypt-Parameter bei Nutzung von PTV5 Konnektoren (also bis zum vollständigen Rollout der PTV6-Konnektoren) nicht setzen, so entspräche dies zwar der NFDM Signaturrichtlinie, würde in der Praxis jedoch bedeuten, dass sehr oft kein Notfalldatensatz mit dem PTV5-Konnektor auf die eGK geschrieben werden kann, wenn dazu ein o.g. HBA mit abgelaufenen oder nicht vorhandenem RSA QES Schlüsselmaterial verwendet wird. 

Technische Voraussetzungen im Feld

Nach aktuellen Informationen aus dem Feld ist festzustellen: 

  • PTV5-Konnektoren sind bereits flächendeckend im Feld ausgerollt. Auch wenn sie ECC-Signaturen ausstellen könnten, signieren sie NFD über RSA, wenn im Aufruf kein Crypt-Parameter angegeben ist.
  • Bis Ende Q2 2026 muss damit gerechnet werden, dass vereinzelt noch G2.0 HBA im Feld genutzt werden. Erst danach werden diese im Feld durch G2.1 ersetzt oder außer Betrieb genommen sein.
  • Anfang 2026 kommen die ersten ECC-only-HBAs ins Feld (HBAs, die kein RSA-Schlüsselmaterial mehr enthalten)
  • Der Rollout der PTV6-Konnektoren dauert mindestens bis Mitte 2026 noch an. 

Achtung: PTV6-Konnektoren sind ausreichend für die ECC-Migration bei NFD. Die PTV6-Konnektoren benutzen automatisch ECC, wenn das passende Schlüsselmaterial vorliegt. 

Handlungsbedarf für Primärsysteme beim Signieren von NFD

Die Umstellung auf ECC bei NFDM besteht einerseits im Update von PTV5- auf PTV6-Konnektor. 

Bis zum vollständigen Rollout von PTV6-Konnektoren muss vom Primärsystem im NFDM-Kontext die ECC-Migration durch Setzen des Crypt-Parameters auf RSA_ECC vollzogen werden. 

Zusammenfassung & Empfehlung

Um einen reibungslosen Betrieb der Anwendung NFDM über den 01.01.2026 hinaus zu gewährleisten, muss: 

  • die NFDM Signatur mit dem Parameter Crypt=RSA_ECC aufgerufen werden. Diese Einstellung wird auch mit PTV6 funktionieren, weil dieser Parameter dann von den Konnektoren nicht mehr ausgewertet wird.
  • die Nutzung eines PTV6-Konnektors sichergestellt werden, sobald dieser für den jeweiligen Hersteller zugelassen und verfügbar ist (Update forcieren). Alternativ kann auch auf TI-Gateway mit einem HSK umgestellt werden, sobald dieses mit PTV6 verhalten ausgestattet ist (HSK PTV >= 2.0.0 hat PTV6 Verhalten). 


Bis Ende Q2 2026 werden alle G2.0 HBA im Feld durch G2.1 Karten ersetzt. 

Ab Anfang 2026 erscheinen auf dem Markt die ersten ECC-only HBAs.

Seit dem 01.01.2026 befinden sich ca. 40.000 HBAs (G2.1) im Feld, die keine zeitlich gültigen RSA-Zertifikate mehr enthalten, auch wenn das ECC-Schlüsselmaterial auf diesen Karten noch gültig ist. 



Wir freuen uns jederzeit über Hinweise und Feedback, um diesen Leitfaden aktuell und so zielführend wie möglich zu halten!

backhand index pointing right eMP und NFDM Anfrageportal - Serviceprojekt

backhand index pointing right Allgemeines Anfrageportal - Serviceprojekt

  • No labels

© gematik GmbH 2025