MsbG

(1) ¹ Zum Nachweis der Erfüllung der sicherheitstechnischen Anforderungen nach § 22 Absatz 1 und 2 müssen Smart-Meter-Gateways im Rahmen des Zertifizierungsverfahrens nach den Common Criteria durch das Bundesamt für Sicherheit in der Informationstechnik zertifiziert werden. ² Hersteller von Smart-Meter-Gateways haben die Zertifikate dem Smart-Meter-Gateway-Administrator vorzulegen. ³ Der Zeitpunkt der Nachweispflicht zur Interoperabilität wird durch das Bundesamt für Sicherheit in der Informationstechnik festgelegt und nach § 27 im Ausschuss Gateway-Standardisierung bekannt gemacht. ⁴ Hersteller von Smart-Meter-Gateways haben zu diesem Zeitpunkt die Zertifikate zur Konformität nach den Technischen Richtlinien dem Smart-Meter-Gateway-Administrator vorzulegen.

(2) Für die Zertifizierung sind § 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821) sowie die BSI-Zertifizierungs- und Anerkennungsverordnung vom 17. Dezember 2014 (BGBl. I S. 2231) in der jeweils geltenden Fassung anzuwenden.

(3) ¹ Das Bundesamt für Sicherheit in der Informationstechnik hat die Möglichkeit, Zertifikate nach Absatz 1 zeitlich zu befristen, zu beschränken und mit Auflagen zu versehen. ² Zertifikate ohne technologisch begründete zeitliche Befristung unterliegen einer kontinuierlichen Überwachung der Gültigkeit durch die ausstellende Stelle. ³ Weitergehende Befugnisse nach Absatz 2 bleiben unberührt.

(4) ¹ Ohne ein oder mehrere gültige und gegenüber dem Smart-Meter-Gateway-Administrator nachgewiesene Zertifikate nach Absatz 1 darf ein Smart-Meter-Gateway nicht als Bestandteil eines intelligenten Messsystems verwendet werden. ² Dies ist nicht anzuwenden für Messsysteme, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können, dabei ist § 19 Absatz 6 zu beachten.

§ 25

Smart-Meter-Gateway-Administrator; Zertifizierung

(1) ¹ Der Smart-Meter-Gateway-Administrator muss einen zuverlässigen technischen Betrieb des intelligenten Messsystems und die Konfiguration der an das Smart-Meter-Gateway angeschlossenen technischen Einrichtungen einschließlich Steuerungseinrichtungen sowie diesbezügliche Zusatzleistungen nach § 34 Absatz 2 und 3 gewährleisten und organisatorisch sicherstellen und ist zu diesem Zweck für die Installation, Inbetriebnahme, Konfiguration, Administration, Überwachung und Wartung des Smart-Meter-Gateways und der informationstechnischen Anbindung von Messgeräten und von anderen an das Smart-Meter-Gateway angebundenen technischen Einrichtungen verantwortlich. ² Soweit es technisch möglich und wirtschaftlich zumutbar ist, ermöglicht der Smart-Meter-Gateway-Administrator auch die Durchführung von weiteren Anwendungen und Diensten im Sinne von § 21 Absatz 1 Nummer 4 Buchstabe a. ³ Der Smart-Meter-Gateway-Administrator darf ausschließlich Smart-Meter-Gateways mit gültigen Zertifikaten nach § 24 Absatz 1 verwenden. ⁴ Er hat Sicherheitsmängel und Änderungen von Tatsachen, die für die Erteilung des Zertifikats nach § 24 Absatz 1 wesentlich sind, dem Bundesamt für Sicherheit in der Informationstechnik unverzüglich mitzuteilen.

(2) ¹ Für den Betrieb eines intelligenten Messsystems muss vorbehaltlich einer anderweitigen Vereinbarung mit einem entscheidungsbefugten Anschlussnutzer die Stromentnahme im ungemessenen Bereich erfolgen und es muss eine zuverlässige und leistungsfähige Fernkommunikationstechnik verwendet werden, die Folgendes gewährleistet:

1. die sichere Administration und Übermittlung von Daten unter Beachtung mess-, eich- und datenschutzrechtlicher Vorgaben und,

2. soweit erforderlich, die sichere Administration von Erzeugungsanlagen nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz, von Anlagen im Sinne des § 14a des Energiewirtschaftsgesetzes und von lokalen Systemen.

² Erfordert die Umsetzung von Satz 1 wesentliche Änderungen und Ergänzungen im Sinne von § 27 Absatz 1 zweiter Halbsatz, so haben diese bis zum Ablauf des 31. Dezember 2024 zu erfolgen.

(3) ¹ Zur Gewährleistung des technischen Betriebs haben Netzbetreiber, Energielieferanten und Dritte, deren Verträge mit dem Letztverbraucher oder Anlagenbetreiber nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz über das oder mit Hilfe des Smart-Meter-Gateways abgewickelt werden sollen, dem Smart-Meter-Gateway-Administrator alle für den Betrieb des Smart-Meter-Gateways notwendigen Informationen bereitzustellen; dies umfasst insbesondere

1. alle Berechtigungsinformationen aus Rahmenverträgen, die im intelligenten Messsystem niederzulegen sind,

2. alle Berechtigungsinformationen zur Anbindung, Administration und Steuerung von Anlagen nach Absatz 2 Nummer 2.

² Netzbetreiber, Energielieferanten und Dritte nach Satz 1 haben ebenfalls die Administration der Messwertverarbeitung gemäß den Anforderungen der in § 22 Absatz 2 benannten Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik zu ermöglichen. ³ Zur Absicherung der Bereitstellung von Informationen kann der Smart-Meter-Gateway-Administrator Rahmenverträge mit Netzbetreibern, Messstellenbetreibern, Energielieferanten und berechtigten Dritten schließen.

(4) Der Smart-Meter-Gateway-Administrator ist verpflichtet,

1. ein Informationssicherheitsmanagementsystem einzurichten, zu betreiben und zu dokumentieren,

2. für seinen Aufgabenbereich, der sich aus den Technischen Richtlinien nach § 22 Absatz 2 ergibt, im Rahmen einer durchgängigen IT-Sicherheitskonzeption die notwendigen und angemessenen Maßnahmen zur Informationssicherheit zu erarbeiten und umzusetzen,

3. die weiteren organisatorischen und technischen Anforderungen zu erfüllen, die sich aus den Technischen Richtlinien nach § 22 Absatz 2 ergeben,

4. die nach den Nummern 1 bis 3 in seinem Bereich etablierten Maßnahmen und die IT-Sicherheitskonzeption durch vom Bundesamt für Sicherheit in der Informationstechnik hierfür zertifizierte Auditoren regelmäßig auditieren zu lassen und

5. den im Rahmen des Mess- und Eichrechts zuständigen Behörden die Ausübung ihrer Markt- und Verwendungsüberwachungsverpflichtungen kostenfrei zu ermöglichen und zur Sicherstellung einer ordnungsgemäßen Zeitführung und Messung das Logbuch des Smart-Meter-Gateways in angemessenen Abständen auf Einhaltung mess- und eichrechtlicher Vorgaben zu überprüfen.

(5) ¹ Die Erfüllung der in Absatz 4 Nummer 1 bis 3 genannten Anforderungen ist nachzuweisen durch ein Zertifikat des Bundesamtes für Sicherheit in der Informationstechnik oder durch die erfolgreiche Zertifizierung durch eine Zertifizierungsstelle, die gemäß ISO/IEC 27006 bei einer nach dem Akkreditierungsstellengesetz zuständigen Stelle akkreditiert ist. ² Der Auditbericht mit dem Nachweis, dass die in Absatz 4 Nummer 1 bis 3 genannten Anforderungen auditiert wurden, ist dem Bundesamt für Sicherheit in der Informationstechnik zur Kenntnis vorzulegen. ³ § 24 Absatz 2 und 3 ist für die Zertifizierung des Smart-Meter-Gateway-Administrators entsprechend anzuwenden.

§ 26

Aufrechterhaltung eines einheitlichen Sicherheitsniveaus

(1) ¹ Zur Sicherstellung und Aufrechterhaltung eines bundesweit einheitlichen Sicherheitsniveaus für den Betrieb von zertifizierten Smart-Meter-Gateways führt das Bundesamt für Sicherheit in der Informationstechnik im Einvernehmen mit der Physikalisch-Technischen Bundesanstalt und der Bundesnetzagentur soweit erforderlich folgende Maßnahmen durch:

1. die Analyse, Priorisierung und eine in Abhängigkeit von Lebenszyklus und Bedrohungslage differenzierte Bewertung von Schwachstellen von Smart-Meter-Gateways sowie die Entscheidung über Software-Updates zu deren Behebung und über sonstige Maßnahmen des Smart-Meter-Gateway-Administrators,

2. die Planung und Erarbeitung von neuen Versionen der Schutzprofile und Technischen Richtlinien nach § 22 Absatz 2,

3. die Einbringung von neuen Versionen der Schutzprofile und Technischen Richtlinien nach § 22 Absatz 2 in das Verfahren nach § 27 und deren anschließende Freigabe.

² Bei Gefahr im Verzug tritt an die Stelle des Einvernehmens nach Satz 1 eine nachträgliche Informationspflicht des Bundesamtes für Sicherheit in der Informationstechnik gegenüber den in Satz 1 genannten Behörden.

(2) ¹ Geeignete Informationen stellt das Bundesamt für Sicherheit in der Informationstechnik auf seinen Internetseiten bereit. ² Das Bundesministerium für Wirtschaft und Klimaschutz ist von sämtlichen ergriffenen Maßnahmen vorab oder bei Gefahr im Verzug nachträglich zu informieren.

§ 27

Weiterentwicklung von Schutzprofilen und Technischen Richtlinien; Ausschuss Gateway-Standardisierung

(1) ¹ Weitere Schutzprofile und Technische Richtlinien sowie neuere Versionen Technischer Richtlinien und von Schutzprofilen nach § 22 Absatz 2 werden im Auftrag des Bundesministeriums für Wirtschaft und Klimaschutz erarbeitet unter Beachtung der Festlegungskompetenz der Bundesnetzagentur nach § 47 und von Nachhaltigkeitsaspekten für Hardwarekomponenten durch das Bundesamt für Sicherheit in der Informationstechnik im Einvernehmen mit der Physikalisch-Technischen Bundesanstalt und der Bundesnetzagentur unter Anhörung der oder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit; der Ausschuss Gateway-Standardisierung ist bei wesentlichen Änderungen unter Vorsitz des Bundesministeriums für Wirtschaft und Klimaschutz im Anschluss anzuhören. ² Das Bundesministerium für Wirtschaft und Klimaschutz gibt im Rahmen seiner Beauftragung nach Satz 1 dem Bundesamt für Sicherheit in der Informationstechnik die inhaltliche, zeitliche und prozessuale Umsetzung seiner Aufgaben nach diesem Gesetz vor. ³ Die Zuständigkeit und Verantwortlichkeit des Bundesamtes für Sicherheit in der Informationstechnik zur Einschätzung des aktuellen Stands der Technik der Cybersicherheit in Abhängigkeit der aktuellen Bedrohungslage ist davon unbenommen. ⁴ Im Interesse einer beschleunigten marktlichen Umsetzung beteiligt dazu das Bundesamt für Sicherheit in der Informationstechnik frühzeitig Verbände, vom Bundesministerium für Wirtschaft und Klimaschutz geförderte Forschungs-, Entwicklungs- und Innovationsprojekte sowie Stellen, welche die allgemein anerkannten Regeln der Technik in den Bereichen Elektrizität, Wasserstoff und Gas im Sinne des § 49 des Energiewirtschaftsgesetzes erarbeiten. ⁵ Das Bundesamt für Sicherheit in der Informationstechnik unterstützt nach Möglichkeit Standardisierungsvorhaben von Stellen, welche die allgemein anerkannten Regeln der Technik in den Bereichen Elektrizität, Wasserstoff und Gas im Sinne von § 49 des Energiewirtschaftsgesetzes erarbeiten, zur Sicherstellung der Interoperabilität mit dem Smart-Meter-Gateway (Standardisierungspartnerschaften).

(2) ¹ Dem Ausschuss Gateway-Standardisierung gehören an:

1. das Bundesministerium für Wirtschaft und Klimaschutz,

2. das Bundesamt für Sicherheit in der Informationstechnik,

3. die Physikalisch-Technische Bundesanstalt,

4. die Bundesnetzagentur sowie

5. je ein Vertreter von mindestens drei auf Bundesebene bestehenden Gesamtverbänden, die jeweils die Interessen von Letztverbrauchern, Herstellern und Anwendern vertreten; die Bestimmung der Verbände liegt im Ermessen des Bundesministeriums für Wirtschaft und Klimaschutz.

² Der Ausschuss wird von der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit beraten.

(3) ¹ Das Bundesministerium für Wirtschaft und Klimaschutz beruft die Mitglieder des Ausschusses für eine Dauer von drei Jahren. ² Der Ausschuss Gateway-Standardisierung tagt mindestens einmal im Jahr. ³ Die Mitgliedschaft ist ehrenamtlich.

(4) ¹ Die nach Absatz 1 erarbeiteten Schutzprofile und Technischen Richtlinien sind dem Bundesministerium für Wirtschaft und Klimaschutz zur Zustimmung vorzulegen. ² Nach der Zustimmung durch das Bundesministerium für Wirtschaft und Klimaschutz erfolgt eine Bekanntgabe der nach Absatz 1 erarbeiteten Schutzprofile und Technischen Richtlinien gemäß § 22 Absatz 2 durch das Bundesamt für Sicherheit in der Informationstechnik.

§ 28

Inhaber der Wurzelzertifikate

Das Bundesamt für Sicherheit in der Informationstechnik ist Inhaber der Wurzelzertifikate für die Smart-Metering-Public-Key-Infrastruktur; für die Teilnahme an der Smart-Metering-Public-Key-Infrastruktur gelten die Bestimmungen der Zertifizierungsrichtlinie des Bundesamtes für Sicherheit in der Informationstechnik.

Kapitel 4

Ergänzende Rechte und Pflichten im Zusammenhang mit dem Messstellenbetrieb mit modernen Messeinrichtungen und intelligenten Messsystemen

§ 29

Ausstattung von Messstellen mit intelligenten Messsystemen, Steuerungseinrichtungen und modernen Messeinrichtungen

(1) Der grundzuständige Messstellenbetreiber hat, soweit dies nach § 30 wirtschaftlich vertretbar ist, Messstellen an ortsfesten Zählpunkten zu den in § 45 genannten Zeitpunkten wie folgt auszustatten:

1. mit intelligenten Messsystemen bei Letztverbrauchern mit einem Jahresstromverbrauch von mehr als 6 000 Kilowattstunden sowie

2. mit intelligenten Messystemen und einer Steuerungseinrichtung am Netzanschlusspunkt

a) bei Letztverbrauchern, mit denen eine Vereinbarung nach § 14a des Energiewirtschaftsgesetzes besteht,

b) bei Betreibern von Anlagen mit einer installierten Leistung von mehr als 7 Kilowatt, soweit dies erforderlich ist, um jeweils bis zum Ablauf der gesetzlichen Zieljahre Anlagen zu den nach § 45 Absatz 1 gebotenen Anteilen an der installierten Leistung auszustatten.

(2) Ein grundzuständiger Messstellenbetreiber kann, soweit dies nach § 30 wirtschaftlich vertretbar ist, Messstellen an ortsfesten Zählpunkten in allen nicht von Absatz 1 genannten Fällen (optionale Einbaufälle) mit intelligenten Messsystemen ausstatten.

(3) ¹ Soweit nach diesem Gesetz nicht die Ausstattung einer Messstelle mit intelligenten Messsystemen vorgesehen ist und soweit dies nach § 32 wirtschaftlich vertretbar ist, haben grundzuständige Messstellenbetreiber Messstellen an ortsfesten Zählpunkten bei Letztverbrauchern und Anlagenbetreibern mindestens mit modernen Messeinrichtungen auszustatten. ² Die Ausstattung hat bis zum Jahr 2032, bei Neubauten und Gebäuden, die einer größeren Renovierung im Sinne der Richtlinie 2010/31/EU des Europäischen Parlaments und des Rates vom 19. Mai 2010 über die Gesamtenergieeffizienz von Gebäuden (ABl. L 153 vom 18.6.2010, S. 13) unterzogen werden, bis zur Fertigstellung des Gebäudes zu erfolgen.

(4) § 21 Absatz 3 sowie § 9 Absatz 3 des Erneuerbare-Energien-Gesetzes sind zu beachten.

(5) ¹ Die Ausstattungspflicht nach Absatz 1 Nummer 2 ist im Hinblick auf die Steuerungseinrichtung nicht für Anlagen anzuwenden, wenn der Anlagenbetreiber

1. am Verknüpfungspunkt seiner Anlage mit dem Elektrizitätsversorgungsnetz die maximale Wirkleistungseinspeisung dauerhaft auf 0 Prozent der installierten Leistung begrenzt und

2. der Anlagenbetreiber gegenüber dem grundzuständigen Messstellenbetreiber in Textform erklärt hat, sicherzustellen, dass seine Anlage dauerhaft keinen Strom in die Elektrizitätsversorgungsnetze einspeist.

² Der Anlagenbetreiber kann die Begrenzung der Wirkleistungseinspeisung nach Satz 1 Nummer 1 frühestens vier Jahre nach Zugang der Erklärung nach Satz 1 Nummer 2 und nur nach Zugang einer Mitteilung über die beabsichtigte Aufhebung an den grundzuständigen Messstellenbetreiber aufheben. ³ Ab der Ausstattung der Messstelle mit einer Steuerungseinrichtung nach Absatz 1 Nummer 2 kann das Recht des Anlagenbetreibers nach Satz 1 frühestens nach vier Jahren wieder ausgeübt werden. ⁴ Bis zum Ablauf dieser Frist ist weder der Anschlussnehmer noch der Anschlussnutzer berechtigt, die Ausstattung der Messstelle mit einer Steuerungseinrichtung nach § 29 Absatz 1 Nummer 2 nachträglich abzuändern oder abändern zu lassen. ⁵ Die Ausstattungsverpflichtung nach Absatz 1 Nummer 2 ist nicht anzuwenden auf Steckersolargeräte mit einer installierten Leistung von insgesamt bis zu 2 Kilowatt und mit einer Wechselrichterleistung von insgesamt bis zu 800 Voltampere, die hinter der Entnahmestelle eines Letztverbrauchers betrieben werden.