MsbG

1. die zuverlässige Verarbeitung, insbesondere Erhebung, Übermittlung, Protokollierung, Speicherung und Löschung, von aus Messeinrichtungen stammenden Messwerten gewährleisten, um

a) eine Messwertverarbeitung zu Abrechnungszwecken durchführen zu können,

b) eine Zählerstandsgangmessung bei Letztverbrauchern, von Anlagen im Sinne von § 14a des Energiewirtschaftsgesetzes und von Erzeugungsanlagen nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz durchführen zu können,

c) die zuverlässige Administration und Fernsteuerbarkeit dieser Anlagen zu gewährleisten,

d) die jeweilige Ist-Einspeisung von Erzeugungsanlagen nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz abrufen zu können und

e) Netzzustandsdaten messen, zeitnah übertragen und Protokolle über Spannungsausfälle mit Datum und Zeit erstellen zu können,

2. eine Visualisierung des Verbrauchsverhaltens des Letztverbrauchers ermöglichen, um diesem

a) den tatsächlichen Energieverbrauch sowie Informationen über die tatsächliche Nutzungszeit bereitzustellen,

b) abrechnungsrelevante Tarifinformationen und zugehörige abrechnungsrelevante Messwerte zur Überprüfung der Abrechnung bereitzustellen,

c) historische Energieverbrauchswerte entsprechend den Zeiträumen der Abrechnung und Verbrauchsinformationen nach § 40b des Energiewirtschaftsgesetzes für die drei vorangegangenen Jahre zur Verfügung stellen zu können,

d) historische tages-, wochen-, monats- und jahresbezogene Energieverbrauchswerte sowie die Zählerstandsgänge für die letzten 24 Monate zur Verfügung stellen zu können und

e) die Informationen aus § 53 zur Verfügung zu stellen,

3. sichere Verbindungen in Kommunikationsnetzen durchsetzen, um

a) über eine sichere und leistungsfähige Fernkommunikationstechnik die sichere Administration und Übermittlung von Daten unter Beachtung der mess- und eichrechtlichen und der datenschutzrechtlichen Vorgaben zu ermöglichen, wobei das Smart-Meter-Gateway neben der verwendeten für eine weitere vom Smart-Meter-Gateway-Administrator vermittelte und überwachte zusätzliche, zuverlässige und leistungsfähige Art der Fernkommunikation offen sein muss,

b) eine interne und externe Tarifierung sowie eine Parametrierung der Tarifierung im Smart-Meter-Gateway durch dessen Administrator unter Beachtung der eich- und datenschutzrechtlichen Vorgaben zu ermöglichen,

c) einen gesicherten Empfang von Messwerten von Strom-, Gas-, Wasser- und Wärmezählern sowie von Heizwärmemessgeräten zu ermöglichen und

d) eine gesicherte Anbindung von Erzeugungsanlagen, Anzeigeeinheiten und weiteren lokalen Systemen zu ermöglichen,

4. ein Smart-Meter-Gateway beinhalten, das

a) offen für weitere Anwendungen und Dienste ist und dabei über die Möglichkeit zur Priorisierung von bestimmten Anwendungen verfügt, wobei nach Anforderung der Netzbetreiber ausgewählte energiewirtschaftliche und in der Zuständigkeit der Netzbetreiber liegende Messungen und Schaltungen stets, vorrangig und ausschließlich durch den Smart-Meter-Gateway-Administrator über das Smart-Meter-Gateway ermöglicht werden müssen,

b) ausschließlich durch den Smart-Meter-Gateway-Administrator konfigurierbar ist und

c) Software-Aktualisierungen empfangen und verarbeiten kann,

5. die Grenzen für den maximalen Eigenstromverbrauch für das Smart-Meter-Gateway und andere typischerweise an das intelligente Messsystem angebundene Komponenten einhalten, die von der Bundesnetzagentur nach § 47 Absatz 1 Nummer 4 festgelegt werden und

6. die Stammdaten angeschlossener Anlagen nach § 14a des Energiewirtschaftsgesetzes sowie nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz übermitteln können.

(2) Die in Absatz 1 genannten Mindestanforderungen müssen mit Ausnahme von Nummer 5 nicht von Messsystemen erfüllt werden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können, dabei ist § 19 Absatz 6 zu beachten.

(3) ¹ Für mehrere Zählpunkte können die Anforderungen nach Absatz 1 auch mit nur einem Smart-Meter-Gateway leitungsgebunden oder drahtlos in räumlicher Nähe einer Liegenschaft realisiert werden, soweit die Einsichts- und Informationsrechte nach den §§ 53 und 61 sowie die gleichen Funktions- und Sicherheitsanforderungen wie bei der Bündelung der Zählpunkte an einem Netzanschluss gewährleistet sind. ² Als räumlicher Nahbereich einer Liegenschaft gelten auch Zählpunkte an mehreren Netzanschlüssen im Bereich desselben Netzknotens gleicher Spannungsebene. ³ Erfordert die Umsetzung von Satz 1 wesentliche Änderungen und Ergänzungen im Sinne von § 27 Absatz 1 Satz 1 zweiter Halbsatz, so haben diese bis zum Ablauf des 31. Dezember 2024 zu erfolgen.

§ 22

Mindestanforderungen an das Smart-Meter-Gateway durch Schutzprofile und Technische Richtlinien

(1) Das Smart-Meter-Gateway eines intelligenten Messsystems hat zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität nach dem Stand der Technik folgende Anforderungen zu erfüllen an

1. die Verarbeitung, insbesondere Erhebung, Zeitstempelung, Übermittlung, Speicherung und Löschung, von Messwerten, damit zusammenhängenden Daten und weiteren über ein intelligentes Messsystem oder Teile davon geleiteten Daten,

2. den Zugriffsschutz auf die im elektronischen Speicher- und Verarbeitungsmedium abgelegten Messdaten,

3. die sichere Zeitsynchronisation des Smart-Meter-Gateways mit einer vertrauenswürdigen Zeitquelle im Weitverkehrsnetz und

4. die Interoperabilität der intelligenten Messsysteme und Teile davon.

(2) ¹ Die Einhaltung des Standes der Technik im Sinne von Absatz 1 wird vermutet, wenn die in der Anlage aufgeführten Schutzprofile und Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik oder deren Weiterentwicklungen jeweils in der geltenden Fassung eingehalten werden. ² Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik bekannt gemacht.

(3) ¹ Schutzprofile haben eine gültige Beschreibung von Bedrohungsmodellen und technische Vorgaben zur Gewährleistung von Datenschutz, Datensicherheit und Manipulationsresistenz zu enthalten und dazu Anforderungen an die Funktionalitäten eines Smart-Meter-Gateway zu beschreiben, die insbesondere folgende Mindestanforderungen enthalten

1. an die Einsatzumgebung, die für die korrekte Funktionsweise der Sicherheitsfunktionen notwendig ist,

2. an die organisatorischen Sicherheitspolitiken,

3. zur Gewährleistung der Sicherheitsziele für das Smart-Meter-Gateway und seine Umgebung,

4. an die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway.

² Soweit sich hieraus Anforderungen an den Transport und an die Lagerung von Smart-Meter-Gateways ergeben, haben diese Anforderungen spätestens zum 31. Dezember 2023 massengeschäftstaugliche und für Messstellenbetreiber praktisch umsetzbare Prozesse für Hersteller, Messstellenbetreiber insbesondere auch den Transport zum Installationsort per Kurier-, Express- oder Paketversand, zu ermöglichen. ³ Erfordert die Umsetzung von Satz 1 wesentliche Änderungen und Ergänzungen im Sinne von § 27 Absatz 1 Satz 1 zweiter Halbsatz, so sind diese mit der nächsten Version der Schutzprofile oder der Technischen Richtlinien umzusetzen.

(4) ¹ Technische Richtlinien haben technische Anforderungen an die Interoperabilität von intelligenten Messsystemen und einzelnen Teilen oder Komponenten zu beschreiben. ² Sie müssen für jedermann zugänglich sein und insbesondere folgende Mindestanforderungen enthalten an

1. die Funktionalitäten des Smart-Meter-Gateway,

2. die Kommunikationsverbindungen, Datenstrukturen, Prozesse und Protokolle an den Schnittstellen des Smart-Meter-Gateway, einschließlich bis spätestens 31. Dezember 2024 einheitlicher und ausreichend beschriebener Spezifikationen für Anwendungsprogrammierschnittstellen,

3. die Messwertverarbeitung für die Tarifierung und die Netzzustandsdatenerhebung durch das Smart-Meter-Gateway,

4. die Inhaltsdatenverschlüsselung, Signierung, Absicherung der Kommunikation und Authentifizierung der Datennutzer,

5. die einzusetzenden kryptographischen Verfahren und

6. die Architektur der Smart-Metering-Public-Key-Infrastruktur.

³ Die Technischen Richtlinien haben darüber hinaus die Betriebsprozesse vorzugeben, deren zuverlässige Durchführung vom Smart-Meter-Gateway-Administrator gewährleistet werden muss. ⁴ Auch haben sie organisatorische Mindestanforderungen an den Smart-Meter-Gateway-Administrator sowie ein entsprechendes Zertifizierungsverfahren zu bestimmen.

(5) Absatz 1 ist nicht für Messsysteme anzuwenden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können, dabei ist § 19 Absatz 6 zu beachten.

§ 23

Sichere Anbindung an das Smart-Meter-Gateway

(1) Das Smart-Meter-Gateway eines intelligenten Messsystems muss zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität nach dem Stand der Technik folgende Komponenten und Anlagen sicher in ein Kommunikationsnetz einbinden können:

1. moderne Messeinrichtungen,

2. Erzeugungsanlagen nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz,

3. Anlagen im Sinne von § 14a des Energiewirtschaftsgesetzes und sonstige technische Einrichtungen und

4. Messeinrichtungen für Gas im Sinne von § 20 Absatz 1.

(2) Die Einhaltung des Standes der Technik im Sinne von Absatz 1 wird vermutet, wenn die Schutzprofile und Technischen Richtlinien nach § 22 Absatz 2 in der jeweils geltenden Fassung eingehalten werden.

(3) Absatz 1 ist nicht für Messsysteme anzuwenden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können, dabei ist § 19 Absatz 6 zu beachten.

§ 24

Zertifizierung des Smart-Meter-Gateway

(1) ¹ Zum Nachweis der Erfüllung der sicherheitstechnischen Anforderungen nach § 22 Absatz 1 und 2 müssen Smart-Meter-Gateways im Rahmen des Zertifizierungsverfahrens nach den Common Criteria durch das Bundesamt für Sicherheit in der Informationstechnik zertifiziert werden. ² Hersteller von Smart-Meter-Gateways haben die Zertifikate dem Smart-Meter-Gateway-Administrator vorzulegen. ³ Der Zeitpunkt der Nachweispflicht zur Interoperabilität wird durch das Bundesamt für Sicherheit in der Informationstechnik festgelegt und nach § 27 im Ausschuss Gateway-Standardisierung bekannt gemacht. ⁴ Hersteller von Smart-Meter-Gateways haben zu diesem Zeitpunkt die Zertifikate zur Konformität nach den Technischen Richtlinien dem Smart-Meter-Gateway-Administrator vorzulegen.

(2) Für die Zertifizierung sind § 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821) sowie die BSI-Zertifizierungs- und Anerkennungsverordnung vom 17. Dezember 2014 (BGBl. I S. 2231) in der jeweils geltenden Fassung anzuwenden.

(3) ¹ Das Bundesamt für Sicherheit in der Informationstechnik hat die Möglichkeit, Zertifikate nach Absatz 1 zeitlich zu befristen, zu beschränken und mit Auflagen zu versehen. ² Zertifikate ohne technologisch begründete zeitliche Befristung unterliegen einer kontinuierlichen Überwachung der Gültigkeit durch die ausstellende Stelle. ³ Weitergehende Befugnisse nach Absatz 2 bleiben unberührt.

(4) ¹ Ohne ein oder mehrere gültige und gegenüber dem Smart-Meter-Gateway-Administrator nachgewiesene Zertifikate nach Absatz 1 darf ein Smart-Meter-Gateway nicht als Bestandteil eines intelligenten Messsystems verwendet werden. ² Dies ist nicht anzuwenden für Messsysteme, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können, dabei ist § 19 Absatz 6 zu beachten.

§ 25

Smart-Meter-Gateway-Administrator; Zertifizierung

(1) ¹ Der Smart-Meter-Gateway-Administrator muss einen zuverlässigen technischen Betrieb des intelligenten Messsystems und die Konfiguration der an das Smart-Meter-Gateway angeschlossenen technischen Einrichtungen einschließlich Steuerungseinrichtungen sowie diesbezügliche Zusatzleistungen nach § 34 Absatz 2 und 3 gewährleisten und organisatorisch sicherstellen und ist zu diesem Zweck für die Installation, Inbetriebnahme, Konfiguration, Administration, Überwachung und Wartung des Smart-Meter-Gateways und der informationstechnischen Anbindung von Messgeräten und von anderen an das Smart-Meter-Gateway angebundenen technischen Einrichtungen verantwortlich. ² Soweit es technisch möglich und wirtschaftlich zumutbar ist, ermöglicht der Smart-Meter-Gateway-Administrator auch die Durchführung von weiteren Anwendungen und Diensten im Sinne von § 21 Absatz 1 Nummer 4 Buchstabe a. ³ Der Smart-Meter-Gateway-Administrator darf ausschließlich Smart-Meter-Gateways mit gültigen Zertifikaten nach § 24 Absatz 1 verwenden. ⁴ Er hat Sicherheitsmängel und Änderungen von Tatsachen, die für die Erteilung des Zertifikats nach § 24 Absatz 1 wesentlich sind, dem Bundesamt für Sicherheit in der Informationstechnik unverzüglich mitzuteilen.

(2) ¹ Für den Betrieb eines intelligenten Messsystems muss vorbehaltlich einer anderweitigen Vereinbarung mit einem entscheidungsbefugten Anschlussnutzer die Stromentnahme im ungemessenen Bereich erfolgen und es muss eine zuverlässige und leistungsfähige Fernkommunikationstechnik verwendet werden, die Folgendes gewährleistet:

1. die sichere Administration und Übermittlung von Daten unter Beachtung mess-, eich- und datenschutzrechtlicher Vorgaben und,

2. soweit erforderlich, die sichere Administration von Erzeugungsanlagen nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz, von Anlagen im Sinne des § 14a des Energiewirtschaftsgesetzes und von lokalen Systemen.

² Erfordert die Umsetzung von Satz 1 wesentliche Änderungen und Ergänzungen im Sinne von § 27 Absatz 1 zweiter Halbsatz, so haben diese bis zum Ablauf des 31. Dezember 2024 zu erfolgen.

(3) ¹ Zur Gewährleistung des technischen Betriebs haben Netzbetreiber, Energielieferanten und Dritte, deren Verträge mit dem Letztverbraucher oder Anlagenbetreiber nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz über das oder mit Hilfe des Smart-Meter-Gateways abgewickelt werden sollen, dem Smart-Meter-Gateway-Administrator alle für den Betrieb des Smart-Meter-Gateways notwendigen Informationen bereitzustellen; dies umfasst insbesondere

1. alle Berechtigungsinformationen aus Rahmenverträgen, die im intelligenten Messsystem niederzulegen sind,

2. alle Berechtigungsinformationen zur Anbindung, Administration und Steuerung von Anlagen nach Absatz 2 Nummer 2.

² Netzbetreiber, Energielieferanten und Dritte nach Satz 1 haben ebenfalls die Administration der Messwertverarbeitung gemäß den Anforderungen der in § 22 Absatz 2 benannten Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik zu ermöglichen. ³ Zur Absicherung der Bereitstellung von Informationen kann der Smart-Meter-Gateway-Administrator Rahmenverträge mit Netzbetreibern, Messstellenbetreibern, Energielieferanten und berechtigten Dritten schließen.

(4) Der Smart-Meter-Gateway-Administrator ist verpflichtet,

1. ein Informationssicherheitsmanagementsystem einzurichten, zu betreiben und zu dokumentieren,

2. für seinen Aufgabenbereich, der sich aus den Technischen Richtlinien nach § 22 Absatz 2 ergibt, im Rahmen einer durchgängigen IT-Sicherheitskonzeption die notwendigen und angemessenen Maßnahmen zur Informationssicherheit zu erarbeiten und umzusetzen,

3. die weiteren organisatorischen und technischen Anforderungen zu erfüllen, die sich aus den Technischen Richtlinien nach § 22 Absatz 2 ergeben,

4. die nach den Nummern 1 bis 3 in seinem Bereich etablierten Maßnahmen und die IT-Sicherheitskonzeption durch vom Bundesamt für Sicherheit in der Informationstechnik hierfür zertifizierte Auditoren regelmäßig auditieren zu lassen und

5. den im Rahmen des Mess- und Eichrechts zuständigen Behörden die Ausübung ihrer Markt- und Verwendungsüberwachungsverpflichtungen kostenfrei zu ermöglichen und zur Sicherstellung einer ordnungsgemäßen Zeitführung und Messung das Logbuch des Smart-Meter-Gateways in angemessenen Abständen auf Einhaltung mess- und eichrechtlicher Vorgaben zu überprüfen.

(5) ¹ Die Erfüllung der in Absatz 4 Nummer 1 bis 3 genannten Anforderungen ist nachzuweisen durch ein Zertifikat des Bundesamtes für Sicherheit in der Informationstechnik oder durch die erfolgreiche Zertifizierung durch eine Zertifizierungsstelle, die gemäß ISO/IEC 27006 bei einer nach dem Akkreditierungsstellengesetz zuständigen Stelle akkreditiert ist. ² Der Auditbericht mit dem Nachweis, dass die in Absatz 4 Nummer 1 bis 3 genannten Anforderungen auditiert wurden, ist dem Bundesamt für Sicherheit in der Informationstechnik zur Kenntnis vorzulegen. ³ § 24 Absatz 2 und 3 ist für die Zertifizierung des Smart-Meter-Gateway-Administrators entsprechend anzuwenden.

§ 26

Aufrechterhaltung eines einheitlichen Sicherheitsniveaus

(1) ¹ Zur Sicherstellung und Aufrechterhaltung eines bundesweit einheitlichen Sicherheitsniveaus für den Betrieb von zertifizierten Smart-Meter-Gateways führt das Bundesamt für Sicherheit in der Informationstechnik im Einvernehmen mit der Physikalisch-Technischen Bundesanstalt und der Bundesnetzagentur soweit erforderlich folgende Maßnahmen durch:

1. die Analyse, Priorisierung und eine in Abhängigkeit von Lebenszyklus und Bedrohungslage differenzierte Bewertung von Schwachstellen von Smart-Meter-Gateways sowie die Entscheidung über Software-Updates zu deren Behebung und über sonstige Maßnahmen des Smart-Meter-Gateway-Administrators,

2. die Planung und Erarbeitung von neuen Versionen der Schutzprofile und Technischen Richtlinien nach § 22 Absatz 2,

3. die Einbringung von neuen Versionen der Schutzprofile und Technischen Richtlinien nach § 22 Absatz 2 in das Verfahren nach § 27 und deren anschließende Freigabe.

² Bei Gefahr im Verzug tritt an die Stelle des Einvernehmens nach Satz 1 eine nachträgliche Informationspflicht des Bundesamtes für Sicherheit in der Informationstechnik gegenüber den in Satz 1 genannten Behörden.

(2) ¹ Geeignete Informationen stellt das Bundesamt für Sicherheit in der Informationstechnik auf seinen Internetseiten bereit. ² Das Bundesministerium für Wirtschaft und Klimaschutz ist von sämtlichen ergriffenen Maßnahmen vorab oder bei Gefahr im Verzug nachträglich zu informieren.