Gesetz über den Messstellenbetrieb und die Datenkommunikation in intelligenten Energienetzen (MessbG) : Technische Vorgaben zur Gewährleistung von Datenschutz und Datensicherheit beim Einsatz von Smart-Meter-Gateways

Gesetz über den Messstellenbetrieb und die Datenkommunikation in intelligenten Energienetzen: ToC

Teil 2
Messstellenbetrieb

Kapitel 3
Technische Vorgaben zur Gewährleistung von Datenschutz und Datensicherheit beim Einsatz von Smart-Meter-Gateways

§ 19 Allgemeine Anforderungen an Messsysteme

(1) Zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität haben Messsysteme den Anforderungen der Absätze 2 und 3 zu genügen.

(2) Zur Datenerhebung, -verarbeitung und -nutzung dürfen ausschließlich solche technischen Systeme und Bestandteile eingesetzt werden, die den Anforderungen aus den §§ 21

(1) Ein intelligentes Messsystem muss

1.
die zuverlässige Erhebung, Verarbeitung, Übermittlung, Protokollierung, Speicherung und Löschung von aus Messeinrichtungen stammenden Messwerten gewährleisten, um
a)
eine Messwertverarbeitung zu Abrechnungszwecken durchführen zu können,
b)
eine Zählerstandsgangmessung bei Letztverbrauchern, von Anlagen im Sinne von § 14a des Energiewirtschaftsgesetzes und von Erzeugungsanlagen nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz durchführen zu können sowie die zuverlässige Administration und Fernsteuerbarkeit dieser Anlagen zu gewährleisten,
c)
die jeweilige Ist-Einspeisung von Erzeugungsanlagen nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz abrufen zu können und
d)
Netzzustandsdaten messen, zeitnah übertragen und Protokolle über Spannungsausfälle mit Datum und Zeit erstellen zu können,
2.
eine Visualisierung des Verbrauchsverhaltens des Letztverbrauchers ermöglichen, um diesem
a)
den tatsächlichen Energieverbrauch sowie Informationen über die tatsächliche Nutzungszeit bereitzustellen,
b)
abrechnungsrelevante Tarifinformationen und zugehörige abrechnungsrelevante Messwerte zur Überprüfung der Abrechnung bereitzustellen,
c)
historische Energieverbrauchswerte entsprechend den Zeiträumen der Abrechnung und Verbrauchsinformationen nach § 40 Absatz 3 des Energiewirtschaftsgesetzes für die drei vorangegangenen Jahre zur Verfügung stellen zu können,
d)
historische tages-, wochen-, monats- und jahresbezogene Energieverbrauchswerte sowie die Zählerstandsgänge für die letzten 24 Monate zur Verfügung stellen zu können und
e)
die Informationen aus § 53 Absatz 1 Nummer 1 zur Verfügung zu stellen,
3.
sichere Verbindungen in Kommunikationsnetzen durchsetzen, um
a)
über eine sichere und leistungsfähige Fernkommunikationstechnik die sichere Administration und Übermittlung von Daten unter Beachtung der mess- und eichrechtlichen und der datenschutzrechtlichen Vorgaben zu ermöglichen, wobei das Smart-Meter-Gateway neben der verwendeten für eine weitere vom Smart-Meter-Gateway-Administrator vermittelte und überwachte zusätzliche, zuverlässige und leistungsfähige Art der Fernkommunikation offen sein muss,
b)
eine interne und externe Tarifierung sowie eine Parametrierung der Tarifierung im Smart-Meter-Gateway durch dessen Administrator unter Beachtung der eich- und datenschutzrechtlichen Vorgaben zu ermöglichen,
c)
einen gesicherten Empfang von Messwerten von Strom-, Gas-, Wasser- und Wärmezählern sowie von Heizwärmemessgeräten zu ermöglichen und
d)
eine gesicherte Anbindung von Erzeugungsanlagen, Anzeigeeinheiten und weiteren lokalen Systemen zu ermöglichen,
4.
ein Smart-Meter-Gateway beinhalten, das
a)
offen für weitere Anwendungen und Dienste ist und dabei über die Möglichkeit zur Priorisierung von bestimmten Anwendungen verfügt, wobei nach Anforderung der Netzbetreiber ausgewählte energiewirtschaftliche und in der Zuständigkeit der Netzbetreiber liegende Messungen und Schaltungen stets und vorrangig ermöglicht werden müssen,
b)
ausschließlich durch den Smart-Meter-Gateway-Administrator konfigurierbar ist und
c)
Software-Aktualisierungen empfangen und verarbeiten kann,
5.
die Grenzen für den maximalen Eigenstromverbrauch für das Smart-Meter-Gateway und andere typischerweise an das intelligente Messsystem angebundene Komponenten einhalten, die von der Bundesnetzagentur nach § 47 Absatz 1 Nummer 4 festgelegt werden und
6.
die Stammdaten angeschlossener Anlagen nach § 14a des Energiewirtschaftsgesetzes sowie nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz übermitteln können.

(2) Die in Absatz 1 Nummer 1 Buchstabe b, c und d sowie Nummer 6 genannten Mindestanforderungen müssen nicht von intelligenten Messsystemen erfüllt werden, die bei Anschlussnutzern eingebaut worden sind oder eingebaut werden, bei denen keine der Voraussetzungen für eine Einbaupflicht von intelligenten Messsystemen nach § 29 gegeben ist.

(3) Die in Absatz 1 genannten Mindestanforderungen müssen mit Ausnahme von Nummer 5 nicht von Messsystemen erfüllt werden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

(4) Befinden sich an einem Netzanschluss mehrere Zählpunkte, können die Anforderungen nach Absatz 1 auch mit nur einem Smart-Meter-Gateway realisiert werden.

und 22

(1) Das Smart-Meter-Gateway eines intelligenten Messsystems hat zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität nach dem Stand der Technik folgende Anforderungen zu erfüllen an

1.
die Erhebung, Zeitstempelung, Verarbeitung, Übermittlung, Speicherung und Löschung von Messwerten, damit zusammenhängenden Daten und weiteren über ein intelligentes Messsystem oder Teile davon geleiteten Daten,
2.
den Zugriffsschutz auf die im elektronischen Speicher- und Verarbeitungsmedium abgelegten Messdaten,
3.
die sichere Zeitsynchronisation des Smart-Meter-Gateways mit einer vertrauenswürdigen Zeitquelle im Weitverkehrsnetz und
4.
die Interoperabilität der intelligenten Messsysteme und Teile davon.

(2) Die Einhaltung des Standes der Technik im Sinne von Absatz 1 wird vermutet, wenn die in der Anlage aufgeführten Schutzprofile und Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils geltenden Fassung eingehalten werden. Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik2 bekannt gemacht.

(3) Schutzprofile haben eine gültige Beschreibung von Bedrohungsmodellen und technische Vorgaben zur Gewährleistung von Datenschutz, Datensicherheit und Manipulationsresistenz zu enthalten und dazu Anforderungen an die Funktionalitäten eines Smart-Meter-Gateway zu beschreiben, die insbesondere folgende Mindestanforderungen enthalten

1.
an die Einsatzumgebung, die für die korrekte Funktionsweise der Sicherheitsfunktionen notwendig ist,
2.
an die organisatorischen Sicherheitspolitiken,
3.
zur Gewährleistung der Sicherheitsziele für das Smart-Meter-Gateway und seine Umgebung und
4.
an die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway.

(4) Technische Richtlinien haben technische Anforderungen an die Interoperabilität von intelligenten Messsystemen und einzelnen Teilen oder Komponenten zu beschreiben. Sie müssen insbesondere folgende Mindestanforderungen enthalten an:

1.
die Funktionalitäten des Smart-Meter-Gateway,
2.
die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway,
3.
die Messwertverarbeitung für die Tarifierung und die Netzzustandsdatenerhebung durch das Smart-Meter-Gateway,
4.
die Inhaltsdatenverschlüsselung, Signierung, Absicherung der Kommunikation und Authentifizierung der Datennutzer,
5.
die einzusetzenden kryptographischen Verfahren und
6.
die Architektur der Smart-Metering-Public-Key-Infrastruktur.
Die Technischen Richtlinien haben darüber hinaus die Betriebsprozesse vorzugeben, deren zuverlässige Durchführung vom Smart-Meter-Gateway-Administrator gewährleistet werden muss. Auch haben sie organisatorische Mindestanforderungen an den Smart-Meter-Gateway-Administrator sowie ein entsprechendes Zertifizierungsverfahren zu bestimmen.

(5) Absatz 1 ist nicht für Messsysteme anzuwenden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

genügen.

(3) Messstellen dürfen nur mit solchen Messsystemen ausgestattet werden, bei denen zuvor die Einhaltung der Anforderungen nach den §§ 21

(1) Ein intelligentes Messsystem muss

1.
die zuverlässige Erhebung, Verarbeitung, Übermittlung, Protokollierung, Speicherung und Löschung von aus Messeinrichtungen stammenden Messwerten gewährleisten, um
a)
eine Messwertverarbeitung zu Abrechnungszwecken durchführen zu können,
b)
eine Zählerstandsgangmessung bei Letztverbrauchern, von Anlagen im Sinne von § 14a des Energiewirtschaftsgesetzes und von Erzeugungsanlagen nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz durchführen zu können sowie die zuverlässige Administration und Fernsteuerbarkeit dieser Anlagen zu gewährleisten,
c)
die jeweilige Ist-Einspeisung von Erzeugungsanlagen nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz abrufen zu können und
d)
Netzzustandsdaten messen, zeitnah übertragen und Protokolle über Spannungsausfälle mit Datum und Zeit erstellen zu können,
2.
eine Visualisierung des Verbrauchsverhaltens des Letztverbrauchers ermöglichen, um diesem
a)
den tatsächlichen Energieverbrauch sowie Informationen über die tatsächliche Nutzungszeit bereitzustellen,
b)
abrechnungsrelevante Tarifinformationen und zugehörige abrechnungsrelevante Messwerte zur Überprüfung der Abrechnung bereitzustellen,
c)
historische Energieverbrauchswerte entsprechend den Zeiträumen der Abrechnung und Verbrauchsinformationen nach § 40 Absatz 3 des Energiewirtschaftsgesetzes für die drei vorangegangenen Jahre zur Verfügung stellen zu können,
d)
historische tages-, wochen-, monats- und jahresbezogene Energieverbrauchswerte sowie die Zählerstandsgänge für die letzten 24 Monate zur Verfügung stellen zu können und
e)
die Informationen aus § 53 Absatz 1 Nummer 1 zur Verfügung zu stellen,
3.
sichere Verbindungen in Kommunikationsnetzen durchsetzen, um
a)
über eine sichere und leistungsfähige Fernkommunikationstechnik die sichere Administration und Übermittlung von Daten unter Beachtung der mess- und eichrechtlichen und der datenschutzrechtlichen Vorgaben zu ermöglichen, wobei das Smart-Meter-Gateway neben der verwendeten für eine weitere vom Smart-Meter-Gateway-Administrator vermittelte und überwachte zusätzliche, zuverlässige und leistungsfähige Art der Fernkommunikation offen sein muss,
b)
eine interne und externe Tarifierung sowie eine Parametrierung der Tarifierung im Smart-Meter-Gateway durch dessen Administrator unter Beachtung der eich- und datenschutzrechtlichen Vorgaben zu ermöglichen,
c)
einen gesicherten Empfang von Messwerten von Strom-, Gas-, Wasser- und Wärmezählern sowie von Heizwärmemessgeräten zu ermöglichen und
d)
eine gesicherte Anbindung von Erzeugungsanlagen, Anzeigeeinheiten und weiteren lokalen Systemen zu ermöglichen,
4.
ein Smart-Meter-Gateway beinhalten, das
a)
offen für weitere Anwendungen und Dienste ist und dabei über die Möglichkeit zur Priorisierung von bestimmten Anwendungen verfügt, wobei nach Anforderung der Netzbetreiber ausgewählte energiewirtschaftliche und in der Zuständigkeit der Netzbetreiber liegende Messungen und Schaltungen stets und vorrangig ermöglicht werden müssen,
b)
ausschließlich durch den Smart-Meter-Gateway-Administrator konfigurierbar ist und
c)
Software-Aktualisierungen empfangen und verarbeiten kann,
5.
die Grenzen für den maximalen Eigenstromverbrauch für das Smart-Meter-Gateway und andere typischerweise an das intelligente Messsystem angebundene Komponenten einhalten, die von der Bundesnetzagentur nach § 47 Absatz 1 Nummer 4 festgelegt werden und
6.
die Stammdaten angeschlossener Anlagen nach § 14a des Energiewirtschaftsgesetzes sowie nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz übermitteln können.

(2) Die in Absatz 1 Nummer 1 Buchstabe b, c und d sowie Nummer 6 genannten Mindestanforderungen müssen nicht von intelligenten Messsystemen erfüllt werden, die bei Anschlussnutzern eingebaut worden sind oder eingebaut werden, bei denen keine der Voraussetzungen für eine Einbaupflicht von intelligenten Messsystemen nach § 29 gegeben ist.

(3) Die in Absatz 1 genannten Mindestanforderungen müssen mit Ausnahme von Nummer 5 nicht von Messsystemen erfüllt werden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

(4) Befinden sich an einem Netzanschluss mehrere Zählpunkte, können die Anforderungen nach Absatz 1 auch mit nur einem Smart-Meter-Gateway realisiert werden.

und 22

(1) Das Smart-Meter-Gateway eines intelligenten Messsystems hat zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität nach dem Stand der Technik folgende Anforderungen zu erfüllen an

1.
die Erhebung, Zeitstempelung, Verarbeitung, Übermittlung, Speicherung und Löschung von Messwerten, damit zusammenhängenden Daten und weiteren über ein intelligentes Messsystem oder Teile davon geleiteten Daten,
2.
den Zugriffsschutz auf die im elektronischen Speicher- und Verarbeitungsmedium abgelegten Messdaten,
3.
die sichere Zeitsynchronisation des Smart-Meter-Gateways mit einer vertrauenswürdigen Zeitquelle im Weitverkehrsnetz und
4.
die Interoperabilität der intelligenten Messsysteme und Teile davon.

(2) Die Einhaltung des Standes der Technik im Sinne von Absatz 1 wird vermutet, wenn die in der Anlage aufgeführten Schutzprofile und Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils geltenden Fassung eingehalten werden. Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik2 bekannt gemacht.

(3) Schutzprofile haben eine gültige Beschreibung von Bedrohungsmodellen und technische Vorgaben zur Gewährleistung von Datenschutz, Datensicherheit und Manipulationsresistenz zu enthalten und dazu Anforderungen an die Funktionalitäten eines Smart-Meter-Gateway zu beschreiben, die insbesondere folgende Mindestanforderungen enthalten

1.
an die Einsatzumgebung, die für die korrekte Funktionsweise der Sicherheitsfunktionen notwendig ist,
2.
an die organisatorischen Sicherheitspolitiken,
3.
zur Gewährleistung der Sicherheitsziele für das Smart-Meter-Gateway und seine Umgebung und
4.
an die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway.

(4) Technische Richtlinien haben technische Anforderungen an die Interoperabilität von intelligenten Messsystemen und einzelnen Teilen oder Komponenten zu beschreiben. Sie müssen insbesondere folgende Mindestanforderungen enthalten an:

1.
die Funktionalitäten des Smart-Meter-Gateway,
2.
die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway,
3.
die Messwertverarbeitung für die Tarifierung und die Netzzustandsdatenerhebung durch das Smart-Meter-Gateway,
4.
die Inhaltsdatenverschlüsselung, Signierung, Absicherung der Kommunikation und Authentifizierung der Datennutzer,
5.
die einzusetzenden kryptographischen Verfahren und
6.
die Architektur der Smart-Metering-Public-Key-Infrastruktur.
Die Technischen Richtlinien haben darüber hinaus die Betriebsprozesse vorzugeben, deren zuverlässige Durchführung vom Smart-Meter-Gateway-Administrator gewährleistet werden muss. Auch haben sie organisatorische Mindestanforderungen an den Smart-Meter-Gateway-Administrator sowie ein entsprechendes Zertifizierungsverfahren zu bestimmen.

(5) Absatz 1 ist nicht für Messsysteme anzuwenden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

in einem Zertifizierungsverfahren nach den Vorgaben dieses Gesetzes festgestellt wurde. Das Zertifizierungsverfahren umfasst auch die Verlässlichkeit von außerhalb der Messeinrichtung aufbereiteten Daten, die Sicherheits- und die Interoperabilitätsanforderungen. Zertifikate können befristet, beschränkt oder mit Auflagen versehen werden.

(4) Die nach § 49

(1) Personenbezogene Daten dürfen ausschließlich von den in Absatz 2 genannten Stellen erhoben, verarbeitet und genutzt werden (berechtigte Stellen). Eine Übermittlung, Nutzung oder Beschlagnahme dieser Daten nach anderen Rechtsvorschriften des Bundes oder der Länder ist unzulässig.

(2) Zum Umgang mit diesen Daten sind berechtigt:

1.
Messstellenbetreiber,
2.
Netzbetreiber,
3.
Bilanzkoordinatoren,
4.
Bilanzkreisverantwortliche,
5.
Direktvermarktungsunternehmer nach dem Erneuerbare-Energien-Gesetz,
6.
Energielieferanten sowie
7.
jede Stelle, die über eine Einwilligung des Anschlussnutzers verfügt, die den Anforderungen des § 4a des Bundesdatenschutzgesetzes genügt.

(3) Die berechtigten Stellen können die Erhebung, Verarbeitung und Nutzung auch von personenbezogenen Daten durch einen Dienstleister in ihrem Auftrag durchführen lassen; § 11 des Bundesdatenschutzgesetzes ist einzuhalten und § 43 des Bundesdatenschutzgesetzes ist zu beachten.

(4) Wenn tatsächliche Anhaltspunkte für die rechtswidrige Inanspruchnahme von Messsystemen, intelligenten Messsystemen oder ihren Diensten vorliegen, muss die berechtigte Stelle diese dokumentieren und darf die notwendigen Maßnahmen zur Sicherung ihres Entgeltanspruchs ergreifen.

(5) Die Belieferung mit Energie oder der Zugang zu Tarifen darf nicht von der Angabe personenbezogener Daten abhängig gemacht werden, die hierfür nicht erforderlich sind.

berechtigten Stellen haben dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit zu treffen, die insbesondere die Vertraulichkeit und Integrität der Daten sowie die Feststellbarkeit der Identität der übermittelnden und verarbeitenden Stelle gewährleisten. Im Falle der Nutzung allgemein zugänglicher Kommunikationsnetze sind Verschlüsselungsverfahren anzuwenden, die dem jeweiligen Stand der Technik entsprechen.

(5) Messsysteme, die den besonderen Anforderungen aus den Absätzen 2 und 3 nicht entsprechen, dürfen noch bis zu dem Zeitpunkt, zu dem das Bundesamt für Sicherheit in der Informationstechnik nach § 30

Die Ausstattung von Messstellen mit einem intelligenten Messsystem nach § 29 ist technisch möglich, wenn mindestens drei voneinander unabhängige Unternehmen intelligente Messsysteme am Markt anbieten, die den am Einsatzbereich des Smart-Meter-Gateways orientierten Vorgaben des § 24 Absatz 1 genügen und das Bundesamt für Sicherheit in der Informationstechnik dies feststellt. Die Feststellung nach Satz 1 sowie erforderliche Marktanalysen stellt das Bundesamt für Sicherheit in der Informationstechnik auf seinen Internetseiten 4 bereit.

die technische Möglichkeit des Einbaus von intelligenten Messsystemen feststellt, mindestens jedoch bis zum 31. Dezember 2016, im Falle des § 48 bis zum 31. Dezember 2020, eingebaut und bis zu acht Jahre ab Einbau genutzt werden,

1.
wenn ihre Nutzung nicht mit unverhältnismäßigen Gefahren verbunden ist und
2.
solange eine Einwilligung des Anschlussnutzers zum Einbau und zur Nutzung eines Messsystems besteht, die er in der Kenntnis erteilt hat, dass das Messsystem nicht den Anforderungen der Absätze 2 und 3 entspricht; Haushaltskunden nach dem Energiewirtschaftsgesetz können die Zustimmung widerrufen.
Solange die Voraussetzungen des Satzes 1 vorliegen, bestehen für die jeweilige Messstelle die Pflichten nach § 29

(1) Grundzuständige Messstellenbetreiber haben, soweit dies nach § 30 technisch möglich und nach § 31 wirtschaftlich vertretbar ist, Messstellen an ortsfesten Zählpunkten mit intelligenten Messsystemen wie folgt auszustatten:

1.
bei Letztverbrauchern mit einem Jahresstromverbrauch über 6 000 Kilowattstunden sowie bei solchen Letztverbrauchern, mit denen eine Vereinbarung nach § 14a des Energiewirtschaftsgesetzes besteht,
2.
bei Anlagenbetreibern mit einer installierten Leistung über 7 Kilowatt.

(2) Grundzuständige Messstellenbetreiber können, soweit dies nach § 30 technisch möglich und nach § 31 wirtschaftlich vertretbar ist, Messstellen an ortsfesten Zählpunkten mit intelligenten Messsystemen ausstatten:

1.
bei Letztverbrauchern mit einem Jahresstromverbrauch bis einschließlich 6 000 Kilowattstunden sowie
2.
von Anlagen mit einer installierten Leistung über 1 bis einschließlich 7 Kilowatt.

(3) Soweit nach diesem Gesetz nicht die Ausstattung einer Messstelle mit intelligenten Messsystemen vorgesehen ist und soweit dies nach § 32 wirtschaftlich vertretbar ist, haben grundzuständige Messstellenbetreiber Messstellen an ortsfesten Zählpunkten bei Letztverbrauchern und Anlagenbetreibern mindestens mit modernen Messeinrichtungen auszustatten. Die Ausstattung hat bis zum Jahr 2032, bei Neubauten und Gebäuden, die einer größeren Renovierung im Sinne der Richtlinie 2010/31/EU des Europäischen Parlaments und des Rates vom 19. Mai 2010 über die Gesamtenergieeffizienz von Gebäuden (ABl. L 153 vom 18.6.2010, S. 13) unterzogen werden, bis zur Fertigstellung des Gebäudes zu erfolgen.

(4) § 21 Absatz 4 sowie § 9 Absatz 3 des Erneuerbare-Energien-Gesetzes sind zu beachten.

(5) Der grundzuständige Messstellenbetreiber genügt den Verpflichtungen aus Absatz 1, wenn er mindestens 95 Prozent der betroffenen Messstellen wie gefordert ausstattet. Dabei ist die Anzahl der nach § 37 Absatz 1 ermittelten Messstellen zu Grunde zu legen.

nicht.

§ 20 Anbindbarkeit von Messeinrichtungen für Gas an das Smart-Meter-Gateway

(1) Neue Messeinrichtungen für Gas dürfen nur verbaut werden, wenn sie sicher mit einem Smart-Meter-Gateway verbunden werden können. Die Anbindung an das Smart-Meter-Gateway hat zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität dem in Schutzprofilen und Technischen Richtlinien in der Anlage zu § 22

(1) Das Smart-Meter-Gateway eines intelligenten Messsystems hat zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität nach dem Stand der Technik folgende Anforderungen zu erfüllen an

1.
die Erhebung, Zeitstempelung, Verarbeitung, Übermittlung, Speicherung und Löschung von Messwerten, damit zusammenhängenden Daten und weiteren über ein intelligentes Messsystem oder Teile davon geleiteten Daten,
2.
den Zugriffsschutz auf die im elektronischen Speicher- und Verarbeitungsmedium abgelegten Messdaten,
3.
die sichere Zeitsynchronisation des Smart-Meter-Gateways mit einer vertrauenswürdigen Zeitquelle im Weitverkehrsnetz und
4.
die Interoperabilität der intelligenten Messsysteme und Teile davon.

(2) Die Einhaltung des Standes der Technik im Sinne von Absatz 1 wird vermutet, wenn die in der Anlage aufgeführten Schutzprofile und Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils geltenden Fassung eingehalten werden. Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik2 bekannt gemacht.

(3) Schutzprofile haben eine gültige Beschreibung von Bedrohungsmodellen und technische Vorgaben zur Gewährleistung von Datenschutz, Datensicherheit und Manipulationsresistenz zu enthalten und dazu Anforderungen an die Funktionalitäten eines Smart-Meter-Gateway zu beschreiben, die insbesondere folgende Mindestanforderungen enthalten

1.
an die Einsatzumgebung, die für die korrekte Funktionsweise der Sicherheitsfunktionen notwendig ist,
2.
an die organisatorischen Sicherheitspolitiken,
3.
zur Gewährleistung der Sicherheitsziele für das Smart-Meter-Gateway und seine Umgebung und
4.
an die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway.

(4) Technische Richtlinien haben technische Anforderungen an die Interoperabilität von intelligenten Messsystemen und einzelnen Teilen oder Komponenten zu beschreiben. Sie müssen insbesondere folgende Mindestanforderungen enthalten an:

1.
die Funktionalitäten des Smart-Meter-Gateway,
2.
die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway,
3.
die Messwertverarbeitung für die Tarifierung und die Netzzustandsdatenerhebung durch das Smart-Meter-Gateway,
4.
die Inhaltsdatenverschlüsselung, Signierung, Absicherung der Kommunikation und Authentifizierung der Datennutzer,
5.
die einzusetzenden kryptographischen Verfahren und
6.
die Architektur der Smart-Metering-Public-Key-Infrastruktur.
Die Technischen Richtlinien haben darüber hinaus die Betriebsprozesse vorzugeben, deren zuverlässige Durchführung vom Smart-Meter-Gateway-Administrator gewährleistet werden muss. Auch haben sie organisatorische Mindestanforderungen an den Smart-Meter-Gateway-Administrator sowie ein entsprechendes Zertifizierungsverfahren zu bestimmen.

(5) Absatz 1 ist nicht für Messsysteme anzuwenden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

niedergelegten Stand der Technik zu entsprechen.

(2) Neue Messeinrichtungen für Gas, die den besonderen Anforderungen aus Absatz 1 nicht genügen, dürfen noch bis zum 31. Dezember 2016, solche mit registrierender Leistungsmessung noch bis zum 31. Dezember 2024 eingebaut und jeweils bis zu acht Jahre ab Einbau genutzt werden, wenn ihre Nutzung nicht mit unverhältnismäßigen Gefahren verbunden ist.

§ 21 Mindestanforderungen an intelligente Messsysteme

(1) Ein intelligentes Messsystem muss

1.
die zuverlässige Erhebung, Verarbeitung, Übermittlung, Protokollierung, Speicherung und Löschung von aus Messeinrichtungen stammenden Messwerten gewährleisten, um
a)
eine Messwertverarbeitung zu Abrechnungszwecken durchführen zu können,
b)
eine Zählerstandsgangmessung bei Letztverbrauchern, von Anlagen im Sinne von § 14a

Betreiber von Elektrizitätsverteilernetzen haben denjenigen Lieferanten und Letztverbrauchern im Bereich der Niederspannung, mit denen sie Netznutzungsverträge abgeschlossen haben, ein reduziertes Netzentgelt zu berechnen, wenn mit ihnen im Gegenzug die netzdienliche Steuerung von steuerbaren Verbrauchseinrichtungen, die über einen separaten Zählpunkt verfügen, vereinbart wird. Als steuerbare Verbrauchseinrichtung im Sinne von Satz 1 gelten auch Elektromobile. Die Bundesregierung wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates die Verpflichtung nach den Sätzen 1 und 2 näher zu konkretisieren, insbesondere einen Rahmen für die Reduzierung von Netzentgelten und die vertragliche Ausgestaltung vorzusehen sowie Steuerungshandlungen zu benennen, die dem Netzbetreiber vorbehalten sind, und Steuerungshandlungen zu benennen, die Dritten, insbesondere dem Lieferanten, vorbehalten sind. Sie hat hierbei die weiteren Anforderungen des Messstellenbetriebsgesetzes an die Ausgestaltung der kommunikativen Einbindung der steuerbaren Verbrauchseinrichtungen zu beachten.

des Energiewirtschaftsgesetzes und von Erzeugungsanlagen nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz durchführen zu können sowie die zuverlässige Administration und Fernsteuerbarkeit dieser Anlagen zu gewährleisten,
c)
die jeweilige Ist-Einspeisung von Erzeugungsanlagen nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz abrufen zu können und
d)
Netzzustandsdaten messen, zeitnah übertragen und Protokolle über Spannungsausfälle mit Datum und Zeit erstellen zu können,
2.
eine Visualisierung des Verbrauchsverhaltens des Letztverbrauchers ermöglichen, um diesem
a)
den tatsächlichen Energieverbrauch sowie Informationen über die tatsächliche Nutzungszeit bereitzustellen,
b)
abrechnungsrelevante Tarifinformationen und zugehörige abrechnungsrelevante Messwerte zur Überprüfung der Abrechnung bereitzustellen,
c)
historische Energieverbrauchswerte entsprechend den Zeiträumen der Abrechnung und Verbrauchsinformationen nach § 40 Absatz 3

(1) Rechnungen für Energielieferungen an Letztverbraucher müssen einfach und verständlich sein. Die für Forderungen maßgeblichen Berechnungsfaktoren sind vollständig und in allgemein verständlicher Form auszuweisen.

(2) Lieferanten sind verpflichtet, in ihren Rechnungen für Energielieferungen an Letztverbraucher

1.
ihren Namen, ihre ladungsfähige Anschrift und das zuständige Registergericht sowie Angaben, die eine schnelle elektronische Kontaktaufnahme ermöglichen, einschließlich der Adresse der elektronischen Post,
2.
die Vertragsdauer, die geltenden Preise, den nächstmöglichen Kündigungstermin und die Kündigungsfrist,
3.
den zuständigen Messstellenbetreiber sowie die für die Belieferung maßgebliche Zählpunktbezeichnung und die Codenummer des Netzbetreibers,
4.
den ermittelten Verbrauch im Abrechnungszeitraum und bei Haushaltskunden Anfangszählerstand und den Endzählerstand des abgerechneten Zeitraums,
5.
den Verbrauch des vergleichbaren Vorjahreszeitraums,
6.
bei Haushaltskunden unter Verwendung von Grafiken darzustellen, wie sich der eigene Jahresverbrauch zu dem Jahresverbrauch von Vergleichskundengruppen verhält,
7.
die Belastungen aus der Konzessionsabgabe und aus den Netzentgelten für Letztverbraucher und gegebenenfalls darin enthaltene Entgelte für den Messstellenbetrieb und die Messung beim jeweiligen Letztverbraucher sowie
8.
Informationen über die Rechte der Haushaltskunden im Hinblick auf Streitbeilegungsverfahren, die ihnen im Streitfall zur Verfügung stehen, einschließlich der für Verbraucherbeschwerden nach § 111b einzurichtenden Schlichtungsstelle und deren Anschrift sowie die Kontaktdaten des Verbraucherservice der Bundesnetzagentur für den Bereich Elektrizität und Gas
gesondert auszuweisen. Wenn der Lieferant den Letztverbraucher im Vorjahreszeitraum nicht beliefert hat, ist der vormalige Lieferant verpflichtet, den Verbrauch des vergleichbaren Vorjahreszeitraums dem neuen Lieferanten mitzuteilen. Soweit der Lieferant aus Gründen, die er nicht zu vertreten hat, den Verbrauch nicht ermitteln kann, ist der geschätzte Verbrauch anzugeben.

(3) Lieferanten sind verpflichtet, den Energieverbrauch nach ihrer Wahl monatlich oder in anderen Zeitabschnitten, die jedoch zwölf Monate nicht wesentlich überschreiten dürfen, abzurechnen. Lieferanten sind verpflichtet, Letztverbrauchern eine monatliche, vierteljährliche oder halbjährliche Abrechnung anzubieten. Letztverbraucher, deren Verbrauchswerte über ein intelligentes Messsystem im Sinne des Messstellenbetriebsgesetzes ausgelesen werden, ist eine monatliche Verbrauchsinformation, die auch die Kosten widerspiegelt, kostenfrei bereitzustellen.

(4) Lieferanten müssen sicherstellen, dass der Letztverbraucher die Abrechnung nach Absatz 3 spätestens sechs Wochen nach Beendigung des abzurechnenden Zeitraums und die Abschlussrechnung spätestens sechs Wochen nach Beendigung des Lieferverhältnisses erhält.

(5) Lieferanten haben, soweit technisch machbar und wirtschaftlich zumutbar, für Letztverbraucher von Elektrizität einen Tarif anzubieten, der einen Anreiz zu Energieeinsparung oder Steuerung des Energieverbrauchs setzt. Tarife im Sinne von Satz 1 sind insbesondere lastvariable oder tageszeitabhängige Tarife. Lieferanten haben daneben für Haushaltskunden stets mindestens einen Tarif anzubieten, für den die Datenaufzeichnung und -übermittlung auf die Mitteilung der innerhalb eines bestimmten Zeitraums verbrauchten Gesamtstrommenge begrenzt bleibt.

(6) Lieferanten haben für Letztverbraucher die für Forderungen maßgeblichen Berechnungsfaktoren in Rechnungen unter Verwendung standardisierter Begriffe und Definitionen auszuweisen.

(7) Die Bundesnetzagentur kann für Rechnungen für Energielieferungen an Letztverbraucher Entscheidungen über den Mindestinhalt nach den Absätzen 1 bis 5 sowie Näheres zum standardisierten Format nach Absatz 6 durch Festlegung nach § 29 Absatz 1 gegenüber den Lieferanten treffen.

des Energiewirtschaftsgesetzes für die drei vorangegangenen Jahre zur Verfügung stellen zu können,
d)
historische tages-, wochen-, monats- und jahresbezogene Energieverbrauchswerte sowie die Zählerstandsgänge für die letzten 24 Monate zur Verfügung stellen zu können und
e)
die Informationen aus § 53 Absatz 1 Nummer 1

(1) Der Messstellenbetreiber hat auf Verlangen des Anschlussnutzers

1.
diesem Einsicht in die im elektronischen Speicher- und Verarbeitungsmedium gespeicherten auslesbaren Daten zu gewähren und
2.
an diesen personenbezogene Daten kostenfrei weiterzuleiten.

(2) Wird bei einer zum Datenumgang berechtigten Stelle festgestellt, dass gespeicherte Vertrags- oder Nutzungsdaten unrechtmäßig gespeichert, verarbeitet oder übermittelt wurden oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen des betroffenen Anschlussnutzers, ist § 42a des Bundesdatenschutzgesetzes entsprechend anzuwenden.

zur Verfügung zu stellen,
3.
sichere Verbindungen in Kommunikationsnetzen durchsetzen, um
a)
über eine sichere und leistungsfähige Fernkommunikationstechnik die sichere Administration und Übermittlung von Daten unter Beachtung der mess- und eichrechtlichen und der datenschutzrechtlichen Vorgaben zu ermöglichen, wobei das Smart-Meter-Gateway neben der verwendeten für eine weitere vom Smart-Meter-Gateway-Administrator vermittelte und überwachte zusätzliche, zuverlässige und leistungsfähige Art der Fernkommunikation offen sein muss,
b)
eine interne und externe Tarifierung sowie eine Parametrierung der Tarifierung im Smart-Meter-Gateway durch dessen Administrator unter Beachtung der eich- und datenschutzrechtlichen Vorgaben zu ermöglichen,
c)
einen gesicherten Empfang von Messwerten von Strom-, Gas-, Wasser- und Wärmezählern sowie von Heizwärmemessgeräten zu ermöglichen und
d)
eine gesicherte Anbindung von Erzeugungsanlagen, Anzeigeeinheiten und weiteren lokalen Systemen zu ermöglichen,
4.
ein Smart-Meter-Gateway beinhalten, das
a)
offen für weitere Anwendungen und Dienste ist und dabei über die Möglichkeit zur Priorisierung von bestimmten Anwendungen verfügt, wobei nach Anforderung der Netzbetreiber ausgewählte energiewirtschaftliche und in der Zuständigkeit der Netzbetreiber liegende Messungen und Schaltungen stets und vorrangig ermöglicht werden müssen,
b)
ausschließlich durch den Smart-Meter-Gateway-Administrator konfigurierbar ist und
c)
Software-Aktualisierungen empfangen und verarbeiten kann,
5.
die Grenzen für den maximalen Eigenstromverbrauch für das Smart-Meter-Gateway und andere typischerweise an das intelligente Messsystem angebundene Komponenten einhalten, die von der Bundesnetzagentur nach § 47 Absatz 1 Nummer 4

(1) Die Bundesnetzagentur kann unter Beachtung der mess-, eich- und datenschutzrechtlichen Vorgaben und der Schutzprofile und Technischen Richtlinien nach § 22 Absatz 2 Entscheidungen durch Festlegungen nach § 29 Absatz 1 des Energiewirtschaftsgesetzes treffen

1.
zur Gewährleistung der Fernsteuerbarkeit nach § 21 Absatz 1 Nummer 1 Buchstabe b und zur Gewährleistung der Abrufbarkeit nach § 21 Absatz 1 Nummer 1 Buchstabe c,
2.
zur zeitnahen Übermittlung von Netzzustandsdaten nach § 21 Absatz 1 Nummer 1 Buchstabe d,
3.
zur Konkretisierung der Anforderungen an die Zuverlässigkeit und Leistungsfähigkeit der Kommunikationstechnik nach § 21 Absatz 1 Nummer 3 insbesondere zur Anpassung an neue technologische und marktliche Entwicklungen,
4.
zum maximalen Eigenstromverbrauch nach § 21 Absatz 1 Nummer 5,
5.
zur Konkretisierung der Anforderungen an die Übermittlung von Stammdaten angeschlossener Anlagen in § 21 Absatz 1 Nummer 6,
6.
zum Inhalt und zur Durchführung der Rahmenverträge nach § 25 Absatz 3 Satz 3.

(2) Zur bundesweiten Vereinheitlichung der Bedingungen für den Messstellenbetrieb kann die Bundesnetzagentur Entscheidungen durch Festlegungen nach § 29 Absatz 1 des Energiewirtschaftsgesetzes treffen

1.
zu allgemeinen Anforderungen an den Messstellenbetrieb nach § 3,
2.
zu den näheren Anforderungen an die Erfüllung der Vorgaben zur buchhalterischen Entflechtung aus § 3 Absatz 4,
3.
zu den Inhalten von Messstellenverträgen und Messstellenrahmenverträgen nach den §§ 9 und 10, insbesondere auch zu den bei einem Wechsel des Messstellenbetreibers einzuhaltenden Fristen,
4.
zur Ausgestaltung der Verwaltungspflicht des grundzuständigen Messstellenbetreibers nach § 11,
5.
zur Durchführung des Wechsels des Messstellenbetreibers auf Veranlassung des Anschlussnutzers oder des Anschlussnehmers nach den §§ 5, 6, 9, 10 und 39,
6.
zur Durchführung und Ausgestaltung kombinierter Verträge nach § 9 Absatz 2 und von Rahmenverträgen nach § 9 Absatz 4,
7.
zu Geschäftsprozessen, die bundesweit zur Förderung einer größtmöglichen und sicheren Automatisierung einzuhalten sind,
8.
zur Bestimmung des Übergangszeitraumes und des angemessenen Entgelts im Zusammenhang mit der Regelung des § 17 zum Wechsel des Anschlussnutzers,
9.
zu Regelungen im Zusammenhang mit dem Ausfall des Messstellenbetreibers nach § 18,
10.
zu den Rechten des Netzbetreibers aus § 12 und seinen Pflichten aus § 13,
11.
zur Sicherstellung der einheitlichen Anwendung der Regelungen in den §§ 29 bis 38,
12.
zu den Voraussetzungen, unter denen Betreiber von Übertragungsnetzen nach § 33 Absatz 1 Nummer 1 auch die Ausstattung von Netzübergaben zwischen Netzbetreibern in ihrer jeweiligen Regelzone mit intelligenten Messsystemen verlangen können, einschließlich der Kostenverteilung,
13.
zum Schlüssel für die Kostenverteilung im Falle des § 33 Absatz 1.

festgelegt werden und
6.
die Stammdaten angeschlossener Anlagen nach § 14a

Betreiber von Elektrizitätsverteilernetzen haben denjenigen Lieferanten und Letztverbrauchern im Bereich der Niederspannung, mit denen sie Netznutzungsverträge abgeschlossen haben, ein reduziertes Netzentgelt zu berechnen, wenn mit ihnen im Gegenzug die netzdienliche Steuerung von steuerbaren Verbrauchseinrichtungen, die über einen separaten Zählpunkt verfügen, vereinbart wird. Als steuerbare Verbrauchseinrichtung im Sinne von Satz 1 gelten auch Elektromobile. Die Bundesregierung wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates die Verpflichtung nach den Sätzen 1 und 2 näher zu konkretisieren, insbesondere einen Rahmen für die Reduzierung von Netzentgelten und die vertragliche Ausgestaltung vorzusehen sowie Steuerungshandlungen zu benennen, die dem Netzbetreiber vorbehalten sind, und Steuerungshandlungen zu benennen, die Dritten, insbesondere dem Lieferanten, vorbehalten sind. Sie hat hierbei die weiteren Anforderungen des Messstellenbetriebsgesetzes an die Ausgestaltung der kommunikativen Einbindung der steuerbaren Verbrauchseinrichtungen zu beachten.

des Energiewirtschaftsgesetzes sowie nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz übermitteln können.

(2) Die in Absatz 1 Nummer 1 Buchstabe b, c und d sowie Nummer 6 genannten Mindestanforderungen müssen nicht von intelligenten Messsystemen erfüllt werden, die bei Anschlussnutzern eingebaut worden sind oder eingebaut werden, bei denen keine der Voraussetzungen für eine Einbaupflicht von intelligenten Messsystemen nach § 29

(1) Grundzuständige Messstellenbetreiber haben, soweit dies nach § 30 technisch möglich und nach § 31 wirtschaftlich vertretbar ist, Messstellen an ortsfesten Zählpunkten mit intelligenten Messsystemen wie folgt auszustatten:

1.
bei Letztverbrauchern mit einem Jahresstromverbrauch über 6 000 Kilowattstunden sowie bei solchen Letztverbrauchern, mit denen eine Vereinbarung nach § 14a des Energiewirtschaftsgesetzes besteht,
2.
bei Anlagenbetreibern mit einer installierten Leistung über 7 Kilowatt.

(2) Grundzuständige Messstellenbetreiber können, soweit dies nach § 30 technisch möglich und nach § 31 wirtschaftlich vertretbar ist, Messstellen an ortsfesten Zählpunkten mit intelligenten Messsystemen ausstatten:

1.
bei Letztverbrauchern mit einem Jahresstromverbrauch bis einschließlich 6 000 Kilowattstunden sowie
2.
von Anlagen mit einer installierten Leistung über 1 bis einschließlich 7 Kilowatt.

(3) Soweit nach diesem Gesetz nicht die Ausstattung einer Messstelle mit intelligenten Messsystemen vorgesehen ist und soweit dies nach § 32 wirtschaftlich vertretbar ist, haben grundzuständige Messstellenbetreiber Messstellen an ortsfesten Zählpunkten bei Letztverbrauchern und Anlagenbetreibern mindestens mit modernen Messeinrichtungen auszustatten. Die Ausstattung hat bis zum Jahr 2032, bei Neubauten und Gebäuden, die einer größeren Renovierung im Sinne der Richtlinie 2010/31/EU des Europäischen Parlaments und des Rates vom 19. Mai 2010 über die Gesamtenergieeffizienz von Gebäuden (ABl. L 153 vom 18.6.2010, S. 13) unterzogen werden, bis zur Fertigstellung des Gebäudes zu erfolgen.

(4) § 21 Absatz 4 sowie § 9 Absatz 3 des Erneuerbare-Energien-Gesetzes sind zu beachten.

(5) Der grundzuständige Messstellenbetreiber genügt den Verpflichtungen aus Absatz 1, wenn er mindestens 95 Prozent der betroffenen Messstellen wie gefordert ausstattet. Dabei ist die Anzahl der nach § 37 Absatz 1 ermittelten Messstellen zu Grunde zu legen.

gegeben ist.

(3) Die in Absatz 1 genannten Mindestanforderungen müssen mit Ausnahme von Nummer 5 nicht von Messsystemen erfüllt werden, die nach Maßgabe von § 19 Absatz 5 Satz 1

(1) Zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität haben Messsysteme den Anforderungen der Absätze 2 und 3 zu genügen.

(2) Zur Datenerhebung, -verarbeitung und -nutzung dürfen ausschließlich solche technischen Systeme und Bestandteile eingesetzt werden, die den Anforderungen aus den §§ 21 und 22 genügen.

(3) Messstellen dürfen nur mit solchen Messsystemen ausgestattet werden, bei denen zuvor die Einhaltung der Anforderungen nach den §§ 21 und 22 in einem Zertifizierungsverfahren nach den Vorgaben dieses Gesetzes festgestellt wurde. Das Zertifizierungsverfahren umfasst auch die Verlässlichkeit von außerhalb der Messeinrichtung aufbereiteten Daten, die Sicherheits- und die Interoperabilitätsanforderungen. Zertifikate können befristet, beschränkt oder mit Auflagen versehen werden.

(4) Die nach § 49 berechtigten Stellen haben dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit zu treffen, die insbesondere die Vertraulichkeit und Integrität der Daten sowie die Feststellbarkeit der Identität der übermittelnden und verarbeitenden Stelle gewährleisten. Im Falle der Nutzung allgemein zugänglicher Kommunikationsnetze sind Verschlüsselungsverfahren anzuwenden, die dem jeweiligen Stand der Technik entsprechen.

(5) Messsysteme, die den besonderen Anforderungen aus den Absätzen 2 und 3 nicht entsprechen, dürfen noch bis zu dem Zeitpunkt, zu dem das Bundesamt für Sicherheit in der Informationstechnik nach § 30 die technische Möglichkeit des Einbaus von intelligenten Messsystemen feststellt, mindestens jedoch bis zum 31. Dezember 2016, im Falle des § 48 bis zum 31. Dezember 2020, eingebaut und bis zu acht Jahre ab Einbau genutzt werden,

1.
wenn ihre Nutzung nicht mit unverhältnismäßigen Gefahren verbunden ist und
2.
solange eine Einwilligung des Anschlussnutzers zum Einbau und zur Nutzung eines Messsystems besteht, die er in der Kenntnis erteilt hat, dass das Messsystem nicht den Anforderungen der Absätze 2 und 3 entspricht; Haushaltskunden nach dem Energiewirtschaftsgesetz können die Zustimmung widerrufen.
Solange die Voraussetzungen des Satzes 1 vorliegen, bestehen für die jeweilige Messstelle die Pflichten nach § 29 nicht.

eingebaut werden können.

(4) Befinden sich an einem Netzanschluss mehrere Zählpunkte, können die Anforderungen nach Absatz 1 auch mit nur einem Smart-Meter-Gateway realisiert werden.

§ 22 Mindestanforderungen an das Smart-Meter-Gateway durch Schutzprofile und Technische Richtlinien

(1) Das Smart-Meter-Gateway eines intelligenten Messsystems hat zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität nach dem Stand der Technik folgende Anforderungen zu erfüllen an

1.
die Erhebung, Zeitstempelung, Verarbeitung, Übermittlung, Speicherung und Löschung von Messwerten, damit zusammenhängenden Daten und weiteren über ein intelligentes Messsystem oder Teile davon geleiteten Daten,
2.
den Zugriffsschutz auf die im elektronischen Speicher- und Verarbeitungsmedium abgelegten Messdaten,
3.
die sichere Zeitsynchronisation des Smart-Meter-Gateways mit einer vertrauenswürdigen Zeitquelle im Weitverkehrsnetz und
4.
die Interoperabilität der intelligenten Messsysteme und Teile davon.

(2) Die Einhaltung des Standes der Technik im Sinne von Absatz 1 wird vermutet, wenn die in der Anlage aufgeführten Schutzprofile und Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils geltenden Fassung eingehalten werden. Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik2 bekannt gemacht.

(3) Schutzprofile haben eine gültige Beschreibung von Bedrohungsmodellen und technische Vorgaben zur Gewährleistung von Datenschutz, Datensicherheit und Manipulationsresistenz zu enthalten und dazu Anforderungen an die Funktionalitäten eines Smart-Meter-Gateway zu beschreiben, die insbesondere folgende Mindestanforderungen enthalten

1.
an die Einsatzumgebung, die für die korrekte Funktionsweise der Sicherheitsfunktionen notwendig ist,
2.
an die organisatorischen Sicherheitspolitiken,
3.
zur Gewährleistung der Sicherheitsziele für das Smart-Meter-Gateway und seine Umgebung und
4.
an die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway.

(4) Technische Richtlinien haben technische Anforderungen an die Interoperabilität von intelligenten Messsystemen und einzelnen Teilen oder Komponenten zu beschreiben. Sie müssen insbesondere folgende Mindestanforderungen enthalten an:

1.
die Funktionalitäten des Smart-Meter-Gateway,
2.
die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway,
3.
die Messwertverarbeitung für die Tarifierung und die Netzzustandsdatenerhebung durch das Smart-Meter-Gateway,
4.
die Inhaltsdatenverschlüsselung, Signierung, Absicherung der Kommunikation und Authentifizierung der Datennutzer,
5.
die einzusetzenden kryptographischen Verfahren und
6.
die Architektur der Smart-Metering-Public-Key-Infrastruktur.
Die Technischen Richtlinien haben darüber hinaus die Betriebsprozesse vorzugeben, deren zuverlässige Durchführung vom Smart-Meter-Gateway-Administrator gewährleistet werden muss. Auch haben sie organisatorische Mindestanforderungen an den Smart-Meter-Gateway-Administrator sowie ein entsprechendes Zertifizierungsverfahren zu bestimmen.

(5) Absatz 1 ist nicht für Messsysteme anzuwenden, die nach Maßgabe von § 19 Absatz 5 Satz 1

(1) Zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität haben Messsysteme den Anforderungen der Absätze 2 und 3 zu genügen.

(2) Zur Datenerhebung, -verarbeitung und -nutzung dürfen ausschließlich solche technischen Systeme und Bestandteile eingesetzt werden, die den Anforderungen aus den §§ 21 und 22 genügen.

(3) Messstellen dürfen nur mit solchen Messsystemen ausgestattet werden, bei denen zuvor die Einhaltung der Anforderungen nach den §§ 21 und 22 in einem Zertifizierungsverfahren nach den Vorgaben dieses Gesetzes festgestellt wurde. Das Zertifizierungsverfahren umfasst auch die Verlässlichkeit von außerhalb der Messeinrichtung aufbereiteten Daten, die Sicherheits- und die Interoperabilitätsanforderungen. Zertifikate können befristet, beschränkt oder mit Auflagen versehen werden.

(4) Die nach § 49 berechtigten Stellen haben dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit zu treffen, die insbesondere die Vertraulichkeit und Integrität der Daten sowie die Feststellbarkeit der Identität der übermittelnden und verarbeitenden Stelle gewährleisten. Im Falle der Nutzung allgemein zugänglicher Kommunikationsnetze sind Verschlüsselungsverfahren anzuwenden, die dem jeweiligen Stand der Technik entsprechen.

(5) Messsysteme, die den besonderen Anforderungen aus den Absätzen 2 und 3 nicht entsprechen, dürfen noch bis zu dem Zeitpunkt, zu dem das Bundesamt für Sicherheit in der Informationstechnik nach § 30 die technische Möglichkeit des Einbaus von intelligenten Messsystemen feststellt, mindestens jedoch bis zum 31. Dezember 2016, im Falle des § 48 bis zum 31. Dezember 2020, eingebaut und bis zu acht Jahre ab Einbau genutzt werden,

1.
wenn ihre Nutzung nicht mit unverhältnismäßigen Gefahren verbunden ist und
2.
solange eine Einwilligung des Anschlussnutzers zum Einbau und zur Nutzung eines Messsystems besteht, die er in der Kenntnis erteilt hat, dass das Messsystem nicht den Anforderungen der Absätze 2 und 3 entspricht; Haushaltskunden nach dem Energiewirtschaftsgesetz können die Zustimmung widerrufen.
Solange die Voraussetzungen des Satzes 1 vorliegen, bestehen für die jeweilige Messstelle die Pflichten nach § 29 nicht.

eingebaut werden können.

§ 23 Sichere Anbindung an das Smart-Meter-Gateway

(1) Das Smart-Meter-Gateway eines intelligenten Messsystems muss zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität nach dem Stand der Technik folgende Komponenten und Anlagen sicher in ein Kommunikationsnetz einbinden können:

1.
moderne Messeinrichtungen,
2.
Erzeugungsanlagen nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz,
3.
Anlagen im Sinne von § 14a

Betreiber von Elektrizitätsverteilernetzen haben denjenigen Lieferanten und Letztverbrauchern im Bereich der Niederspannung, mit denen sie Netznutzungsverträge abgeschlossen haben, ein reduziertes Netzentgelt zu berechnen, wenn mit ihnen im Gegenzug die netzdienliche Steuerung von steuerbaren Verbrauchseinrichtungen, die über einen separaten Zählpunkt verfügen, vereinbart wird. Als steuerbare Verbrauchseinrichtung im Sinne von Satz 1 gelten auch Elektromobile. Die Bundesregierung wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates die Verpflichtung nach den Sätzen 1 und 2 näher zu konkretisieren, insbesondere einen Rahmen für die Reduzierung von Netzentgelten und die vertragliche Ausgestaltung vorzusehen sowie Steuerungshandlungen zu benennen, die dem Netzbetreiber vorbehalten sind, und Steuerungshandlungen zu benennen, die Dritten, insbesondere dem Lieferanten, vorbehalten sind. Sie hat hierbei die weiteren Anforderungen des Messstellenbetriebsgesetzes an die Ausgestaltung der kommunikativen Einbindung der steuerbaren Verbrauchseinrichtungen zu beachten.

des Energiewirtschaftsgesetzes und sonstige technische Einrichtungen und
4.
Messeinrichtungen für Gas im Sinne von § 20 Absatz 1

(1) Neue Messeinrichtungen für Gas dürfen nur verbaut werden, wenn sie sicher mit einem Smart-Meter-Gateway verbunden werden können. Die Anbindung an das Smart-Meter-Gateway hat zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität dem in Schutzprofilen und Technischen Richtlinien in der Anlage zu § 22 niedergelegten Stand der Technik zu entsprechen.

(2) Neue Messeinrichtungen für Gas, die den besonderen Anforderungen aus Absatz 1 nicht genügen, dürfen noch bis zum 31. Dezember 2016, solche mit registrierender Leistungsmessung noch bis zum 31. Dezember 2024 eingebaut und jeweils bis zu acht Jahre ab Einbau genutzt werden, wenn ihre Nutzung nicht mit unverhältnismäßigen Gefahren verbunden ist.

.

(2) Die Einhaltung des Standes der Technik im Sinne von Absatz 1 wird vermutet, wenn die Schutzprofile und Technischen Richtlinien nach § 22 Absatz 2

(1) Das Smart-Meter-Gateway eines intelligenten Messsystems hat zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität nach dem Stand der Technik folgende Anforderungen zu erfüllen an

1.
die Erhebung, Zeitstempelung, Verarbeitung, Übermittlung, Speicherung und Löschung von Messwerten, damit zusammenhängenden Daten und weiteren über ein intelligentes Messsystem oder Teile davon geleiteten Daten,
2.
den Zugriffsschutz auf die im elektronischen Speicher- und Verarbeitungsmedium abgelegten Messdaten,
3.
die sichere Zeitsynchronisation des Smart-Meter-Gateways mit einer vertrauenswürdigen Zeitquelle im Weitverkehrsnetz und
4.
die Interoperabilität der intelligenten Messsysteme und Teile davon.

(2) Die Einhaltung des Standes der Technik im Sinne von Absatz 1 wird vermutet, wenn die in der Anlage aufgeführten Schutzprofile und Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils geltenden Fassung eingehalten werden. Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik2 bekannt gemacht.

(3) Schutzprofile haben eine gültige Beschreibung von Bedrohungsmodellen und technische Vorgaben zur Gewährleistung von Datenschutz, Datensicherheit und Manipulationsresistenz zu enthalten und dazu Anforderungen an die Funktionalitäten eines Smart-Meter-Gateway zu beschreiben, die insbesondere folgende Mindestanforderungen enthalten

1.
an die Einsatzumgebung, die für die korrekte Funktionsweise der Sicherheitsfunktionen notwendig ist,
2.
an die organisatorischen Sicherheitspolitiken,
3.
zur Gewährleistung der Sicherheitsziele für das Smart-Meter-Gateway und seine Umgebung und
4.
an die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway.

(4) Technische Richtlinien haben technische Anforderungen an die Interoperabilität von intelligenten Messsystemen und einzelnen Teilen oder Komponenten zu beschreiben. Sie müssen insbesondere folgende Mindestanforderungen enthalten an:

1.
die Funktionalitäten des Smart-Meter-Gateway,
2.
die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway,
3.
die Messwertverarbeitung für die Tarifierung und die Netzzustandsdatenerhebung durch das Smart-Meter-Gateway,
4.
die Inhaltsdatenverschlüsselung, Signierung, Absicherung der Kommunikation und Authentifizierung der Datennutzer,
5.
die einzusetzenden kryptographischen Verfahren und
6.
die Architektur der Smart-Metering-Public-Key-Infrastruktur.
Die Technischen Richtlinien haben darüber hinaus die Betriebsprozesse vorzugeben, deren zuverlässige Durchführung vom Smart-Meter-Gateway-Administrator gewährleistet werden muss. Auch haben sie organisatorische Mindestanforderungen an den Smart-Meter-Gateway-Administrator sowie ein entsprechendes Zertifizierungsverfahren zu bestimmen.

(5) Absatz 1 ist nicht für Messsysteme anzuwenden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

in der jeweils geltenden Fassung eingehalten werden.

(3) Absatz 1 ist nicht für Messsysteme anzuwenden, die nach Maßgabe von § 19 Absatz 5 Satz 1

(1) Zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität haben Messsysteme den Anforderungen der Absätze 2 und 3 zu genügen.

(2) Zur Datenerhebung, -verarbeitung und -nutzung dürfen ausschließlich solche technischen Systeme und Bestandteile eingesetzt werden, die den Anforderungen aus den §§ 21 und 22 genügen.

(3) Messstellen dürfen nur mit solchen Messsystemen ausgestattet werden, bei denen zuvor die Einhaltung der Anforderungen nach den §§ 21 und 22 in einem Zertifizierungsverfahren nach den Vorgaben dieses Gesetzes festgestellt wurde. Das Zertifizierungsverfahren umfasst auch die Verlässlichkeit von außerhalb der Messeinrichtung aufbereiteten Daten, die Sicherheits- und die Interoperabilitätsanforderungen. Zertifikate können befristet, beschränkt oder mit Auflagen versehen werden.

(4) Die nach § 49 berechtigten Stellen haben dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit zu treffen, die insbesondere die Vertraulichkeit und Integrität der Daten sowie die Feststellbarkeit der Identität der übermittelnden und verarbeitenden Stelle gewährleisten. Im Falle der Nutzung allgemein zugänglicher Kommunikationsnetze sind Verschlüsselungsverfahren anzuwenden, die dem jeweiligen Stand der Technik entsprechen.

(5) Messsysteme, die den besonderen Anforderungen aus den Absätzen 2 und 3 nicht entsprechen, dürfen noch bis zu dem Zeitpunkt, zu dem das Bundesamt für Sicherheit in der Informationstechnik nach § 30 die technische Möglichkeit des Einbaus von intelligenten Messsystemen feststellt, mindestens jedoch bis zum 31. Dezember 2016, im Falle des § 48 bis zum 31. Dezember 2020, eingebaut und bis zu acht Jahre ab Einbau genutzt werden,

1.
wenn ihre Nutzung nicht mit unverhältnismäßigen Gefahren verbunden ist und
2.
solange eine Einwilligung des Anschlussnutzers zum Einbau und zur Nutzung eines Messsystems besteht, die er in der Kenntnis erteilt hat, dass das Messsystem nicht den Anforderungen der Absätze 2 und 3 entspricht; Haushaltskunden nach dem Energiewirtschaftsgesetz können die Zustimmung widerrufen.
Solange die Voraussetzungen des Satzes 1 vorliegen, bestehen für die jeweilige Messstelle die Pflichten nach § 29 nicht.

eingebaut werden können.

§ 24 Zertifizierung des Smart-Meter-Gateway

(1) Zum Nachweis der Erfüllung der sicherheitstechnischen Anforderungen nach § 22 Absatz 1 und 2

(1) Das Smart-Meter-Gateway eines intelligenten Messsystems hat zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität nach dem Stand der Technik folgende Anforderungen zu erfüllen an

1.
die Erhebung, Zeitstempelung, Verarbeitung, Übermittlung, Speicherung und Löschung von Messwerten, damit zusammenhängenden Daten und weiteren über ein intelligentes Messsystem oder Teile davon geleiteten Daten,
2.
den Zugriffsschutz auf die im elektronischen Speicher- und Verarbeitungsmedium abgelegten Messdaten,
3.
die sichere Zeitsynchronisation des Smart-Meter-Gateways mit einer vertrauenswürdigen Zeitquelle im Weitverkehrsnetz und
4.
die Interoperabilität der intelligenten Messsysteme und Teile davon.

(2) Die Einhaltung des Standes der Technik im Sinne von Absatz 1 wird vermutet, wenn die in der Anlage aufgeführten Schutzprofile und Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils geltenden Fassung eingehalten werden. Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik2 bekannt gemacht.

(3) Schutzprofile haben eine gültige Beschreibung von Bedrohungsmodellen und technische Vorgaben zur Gewährleistung von Datenschutz, Datensicherheit und Manipulationsresistenz zu enthalten und dazu Anforderungen an die Funktionalitäten eines Smart-Meter-Gateway zu beschreiben, die insbesondere folgende Mindestanforderungen enthalten

1.
an die Einsatzumgebung, die für die korrekte Funktionsweise der Sicherheitsfunktionen notwendig ist,
2.
an die organisatorischen Sicherheitspolitiken,
3.
zur Gewährleistung der Sicherheitsziele für das Smart-Meter-Gateway und seine Umgebung und
4.
an die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway.

(4) Technische Richtlinien haben technische Anforderungen an die Interoperabilität von intelligenten Messsystemen und einzelnen Teilen oder Komponenten zu beschreiben. Sie müssen insbesondere folgende Mindestanforderungen enthalten an:

1.
die Funktionalitäten des Smart-Meter-Gateway,
2.
die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway,
3.
die Messwertverarbeitung für die Tarifierung und die Netzzustandsdatenerhebung durch das Smart-Meter-Gateway,
4.
die Inhaltsdatenverschlüsselung, Signierung, Absicherung der Kommunikation und Authentifizierung der Datennutzer,
5.
die einzusetzenden kryptographischen Verfahren und
6.
die Architektur der Smart-Metering-Public-Key-Infrastruktur.
Die Technischen Richtlinien haben darüber hinaus die Betriebsprozesse vorzugeben, deren zuverlässige Durchführung vom Smart-Meter-Gateway-Administrator gewährleistet werden muss. Auch haben sie organisatorische Mindestanforderungen an den Smart-Meter-Gateway-Administrator sowie ein entsprechendes Zertifizierungsverfahren zu bestimmen.

(5) Absatz 1 ist nicht für Messsysteme anzuwenden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

müssen Smart-Meter-Gateways im Rahmen des Zertifizierungsverfahrens nach den Common Criteria durch das Bundesamt für Sicherheit in der Informationstechnik zertifiziert werden. Hersteller von Smart-Meter-Gateways haben dieses Zertifikat dem Smart-Meter-Gateway-Administrator vorzulegen. Der Zeitpunkt der Nachweispflicht zur Interoperabilität wird durch das Bundesamt für Sicherheit in der Informationstechnik festgelegt und nach § 27

(1) Weitere Schutzprofile und Technische Richtlinien sowie neuere Versionen Technischer Richtlinien und von Schutzprofilen nach § 22 Absatz 2 werden erarbeitet unter Beachtung der Festlegungskompetenz der Bundesnetzagentur nach § 47 durch das Bundesamt für Sicherheit in der Informationstechnik im Einvernehmen mit der Physikalisch-Technischen Bundesanstalt und der Bundesnetzagentur unter Anhörung der oder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit; der Ausschuss Gateway-Standardisierung ist bei wesentlichen Änderungen unter Vorsitz des Bundesministeriums für Wirtschaft und Energie im Anschluss anzuhören.

(2) Dem Ausschuss Gateway-Standardisierung gehören an:

1.
das Bundesministerium für Wirtschaft und Energie,
2.
das Bundesamt für Sicherheit in der Informationstechnik,
3.
die Physikalisch-Technische Bundesanstalt,
4.
die Bundesnetzagentur sowie
5.
je ein Vertreter von mindestens drei auf Bundesebene bestehenden Gesamtverbänden, die jeweils die Interessen von Letztverbrauchern, Herstellern und Anwendern vertreten; die Bestimmung der Verbände nach Satz 3 liegt im Ermessen des Bundesministeriums für Wirtschaft und Energie.
Der Ausschuss wird von der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit beraten.

(3) Das Bundesministerium für Wirtschaft und Energie beruft die Mitglieder des Ausschusses für eine Dauer von drei Jahren. Der Ausschuss Gateway-Standardisierung tagt mindestens einmal im Jahr. Die Mitgliedschaft ist ehrenamtlich.

(4) Die nach Absatz 1 erarbeiteten Schutzprofile und Technischen Richtlinien sind dem Bundesministerium für Wirtschaft und Energie zur Zustimmung vorzulegen. Nach der Zustimmung durch das Bundesministerium für Wirtschaft und Energie erfolgt eine Bekanntgabe der nach Absatz 1 erarbeiteten Schutzprofile und Technischen Richtlinien gemäß § 22 Absatz 2 durch das Bundesamt für Sicherheit in der Informationstechnik.

im Ausschuss Gateway-Standardisierung bekannt gemacht. Hersteller von Smart-Meter-Gateways haben zu diesem Zeitpunkt das Zertifikat zur Konformität nach der Technischen Richtlinie dem Smart-Meter-Gateway-Administrator vorzulegen.

(2) Für die Zertifizierung sind § 9

(1) Das Bundesamt ist nationale Zertifizierungsstelle der Bundesverwaltung für IT-Sicherheit.

(2) Für bestimmte Produkte oder Leistungen kann beim Bundesamt eine Sicherheits- oder Personenzertifizierung oder eine Zertifizierung als IT-Sicherheitsdienstleister beantragt werden. Die Anträge werden in der zeitlichen Reihenfolge ihres Eingangs bearbeitet; hiervon kann abgewichen werden, wenn das Bundesamt wegen der Zahl und des Umfangs anhängiger Prüfungsverfahren eine Prüfung in angemessener Zeit nicht durchführen kann und an der Erteilung eines Zertifikats ein öffentliches Interesse besteht. Der Antragsteller hat dem Bundesamt die Unterlagen vorzulegen und die Auskünfte zu erteilen, deren Kenntnis für die Prüfung und Bewertung des Systems oder der Komponente oder der Eignung der Person sowie für die Erteilung des Zertifikats erforderlich ist.

(3) Die Prüfung und Bewertung kann durch vom Bundesamt anerkannte sachverständige Stellen erfolgen.

(4) Das Sicherheitszertifikat wird erteilt, wenn

1.
informationstechnische Systeme, Komponenten, Produkte oder Schutzprofile den vom Bundesamt festgelegten Kriterien entsprechen und
2.
das Bundesministerium des Innern festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen.

(5) Für die Zertifizierung von Personen und IT-Sicherheitsdienstleistern gilt Absatz 4 entsprechend.

(6) Eine Anerkennung nach Absatz 3 wird erteilt, wenn

1.
die sachliche und personelle Ausstattung sowie die fachliche Qualifikation und Zuverlässigkeit der Konformitätsbewertungsstelle den vom Bundesamt festgelegten Kriterien entspricht und
2.
das Bundesministerium des Innern festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen.
Das Bundesamt stellt durch die notwendigen Maßnahmen sicher, dass das Fortbestehen der Voraussetzungen nach Satz 1 regelmäßig überprüft wird.

(7) Sicherheitszertifikate anderer anerkannter Zertifizierungsstellen aus dem Bereich der Europäischen Union werden vom Bundesamt anerkannt, soweit sie eine den Sicherheitszertifikaten des Bundesamtes gleichwertige Sicherheit ausweisen und die Gleichwertigkeit vom Bundesamt festgestellt worden ist.

des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821) sowie die BSI-Zertifizierungs- und Anerkennungsverordnung vom 17. Dezember 2014 (BGBl. I S. 2231) in der jeweils geltenden Fassung anzuwenden.

(3) Das Bundesamt für Sicherheit in der Informationstechnik hat die Möglichkeit, Zertifikate nach Absatz 1 zeitlich zu befristen, zu beschränken und mit Auflagen zu versehen. Zertifikate ohne technologisch begründete zeitliche Befristung unterliegen einer kontinuierlichen Überwachung der Gültigkeit durch die ausstellende Stelle. Weitergehende Befugnisse nach Absatz 2 bleiben unberührt.

(4) Ohne ein gültiges und gegenüber dem Smart-Meter-Gateway-Administrator nachgewiesenes Zertifikat nach Absatz 1 darf ein Smart-Meter-Gateway nicht als Bestandteil eines intelligenten Messsystems verwendet werden. Dies ist nicht anzuwenden für Messsysteme, die nach Maßgabe von § 19 Absatz 5 Satz 1

(1) Zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität haben Messsysteme den Anforderungen der Absätze 2 und 3 zu genügen.

(2) Zur Datenerhebung, -verarbeitung und -nutzung dürfen ausschließlich solche technischen Systeme und Bestandteile eingesetzt werden, die den Anforderungen aus den §§ 21 und 22 genügen.

(3) Messstellen dürfen nur mit solchen Messsystemen ausgestattet werden, bei denen zuvor die Einhaltung der Anforderungen nach den §§ 21 und 22 in einem Zertifizierungsverfahren nach den Vorgaben dieses Gesetzes festgestellt wurde. Das Zertifizierungsverfahren umfasst auch die Verlässlichkeit von außerhalb der Messeinrichtung aufbereiteten Daten, die Sicherheits- und die Interoperabilitätsanforderungen. Zertifikate können befristet, beschränkt oder mit Auflagen versehen werden.

(4) Die nach § 49 berechtigten Stellen haben dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit zu treffen, die insbesondere die Vertraulichkeit und Integrität der Daten sowie die Feststellbarkeit der Identität der übermittelnden und verarbeitenden Stelle gewährleisten. Im Falle der Nutzung allgemein zugänglicher Kommunikationsnetze sind Verschlüsselungsverfahren anzuwenden, die dem jeweiligen Stand der Technik entsprechen.

(5) Messsysteme, die den besonderen Anforderungen aus den Absätzen 2 und 3 nicht entsprechen, dürfen noch bis zu dem Zeitpunkt, zu dem das Bundesamt für Sicherheit in der Informationstechnik nach § 30 die technische Möglichkeit des Einbaus von intelligenten Messsystemen feststellt, mindestens jedoch bis zum 31. Dezember 2016, im Falle des § 48 bis zum 31. Dezember 2020, eingebaut und bis zu acht Jahre ab Einbau genutzt werden,

1.
wenn ihre Nutzung nicht mit unverhältnismäßigen Gefahren verbunden ist und
2.
solange eine Einwilligung des Anschlussnutzers zum Einbau und zur Nutzung eines Messsystems besteht, die er in der Kenntnis erteilt hat, dass das Messsystem nicht den Anforderungen der Absätze 2 und 3 entspricht; Haushaltskunden nach dem Energiewirtschaftsgesetz können die Zustimmung widerrufen.
Solange die Voraussetzungen des Satzes 1 vorliegen, bestehen für die jeweilige Messstelle die Pflichten nach § 29 nicht.

eingebaut werden können.

§ 25 Smart-Meter-Gateway-Administrator; Zertifizierung

(1) Der Smart-Meter-Gateway-Administrator muss einen zuverlässigen technischen Betrieb des intelligenten Messsystems gewährleisten und organisatorisch sicherstellen und ist zu diesem Zweck für die Installation, Inbetriebnahme, Konfiguration, Administration, Überwachung und Wartung des Smart-Meter-Gateways und der informationstechnischen Anbindung von Messgeräten und von anderen an das Smart-Meter-Gateway angebundenen technischen Einrichtungen verantwortlich. Soweit es technisch möglich und wirtschaftlich zumutbar ist, ermöglicht der Smart-Meter-Gateway-Administrator auch die Durchführung von weiteren Anwendungen und Diensten im Sinne von § 21 Absatz 1 Nummer 4

(1) Ein intelligentes Messsystem muss

1.
die zuverlässige Erhebung, Verarbeitung, Übermittlung, Protokollierung, Speicherung und Löschung von aus Messeinrichtungen stammenden Messwerten gewährleisten, um
a)
eine Messwertverarbeitung zu Abrechnungszwecken durchführen zu können,
b)
eine Zählerstandsgangmessung bei Letztverbrauchern, von Anlagen im Sinne von § 14a des Energiewirtschaftsgesetzes und von Erzeugungsanlagen nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz durchführen zu können sowie die zuverlässige Administration und Fernsteuerbarkeit dieser Anlagen zu gewährleisten,
c)
die jeweilige Ist-Einspeisung von Erzeugungsanlagen nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz abrufen zu können und
d)
Netzzustandsdaten messen, zeitnah übertragen und Protokolle über Spannungsausfälle mit Datum und Zeit erstellen zu können,
2.
eine Visualisierung des Verbrauchsverhaltens des Letztverbrauchers ermöglichen, um diesem
a)
den tatsächlichen Energieverbrauch sowie Informationen über die tatsächliche Nutzungszeit bereitzustellen,
b)
abrechnungsrelevante Tarifinformationen und zugehörige abrechnungsrelevante Messwerte zur Überprüfung der Abrechnung bereitzustellen,
c)
historische Energieverbrauchswerte entsprechend den Zeiträumen der Abrechnung und Verbrauchsinformationen nach § 40 Absatz 3 des Energiewirtschaftsgesetzes für die drei vorangegangenen Jahre zur Verfügung stellen zu können,
d)
historische tages-, wochen-, monats- und jahresbezogene Energieverbrauchswerte sowie die Zählerstandsgänge für die letzten 24 Monate zur Verfügung stellen zu können und
e)
die Informationen aus § 53 Absatz 1 Nummer 1 zur Verfügung zu stellen,
3.
sichere Verbindungen in Kommunikationsnetzen durchsetzen, um
a)
über eine sichere und leistungsfähige Fernkommunikationstechnik die sichere Administration und Übermittlung von Daten unter Beachtung der mess- und eichrechtlichen und der datenschutzrechtlichen Vorgaben zu ermöglichen, wobei das Smart-Meter-Gateway neben der verwendeten für eine weitere vom Smart-Meter-Gateway-Administrator vermittelte und überwachte zusätzliche, zuverlässige und leistungsfähige Art der Fernkommunikation offen sein muss,
b)
eine interne und externe Tarifierung sowie eine Parametrierung der Tarifierung im Smart-Meter-Gateway durch dessen Administrator unter Beachtung der eich- und datenschutzrechtlichen Vorgaben zu ermöglichen,
c)
einen gesicherten Empfang von Messwerten von Strom-, Gas-, Wasser- und Wärmezählern sowie von Heizwärmemessgeräten zu ermöglichen und
d)
eine gesicherte Anbindung von Erzeugungsanlagen, Anzeigeeinheiten und weiteren lokalen Systemen zu ermöglichen,
4.
ein Smart-Meter-Gateway beinhalten, das
a)
offen für weitere Anwendungen und Dienste ist und dabei über die Möglichkeit zur Priorisierung von bestimmten Anwendungen verfügt, wobei nach Anforderung der Netzbetreiber ausgewählte energiewirtschaftliche und in der Zuständigkeit der Netzbetreiber liegende Messungen und Schaltungen stets und vorrangig ermöglicht werden müssen,
b)
ausschließlich durch den Smart-Meter-Gateway-Administrator konfigurierbar ist und
c)
Software-Aktualisierungen empfangen und verarbeiten kann,
5.
die Grenzen für den maximalen Eigenstromverbrauch für das Smart-Meter-Gateway und andere typischerweise an das intelligente Messsystem angebundene Komponenten einhalten, die von der Bundesnetzagentur nach § 47 Absatz 1 Nummer 4 festgelegt werden und
6.
die Stammdaten angeschlossener Anlagen nach § 14a des Energiewirtschaftsgesetzes sowie nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz übermitteln können.

(2) Die in Absatz 1 Nummer 1 Buchstabe b, c und d sowie Nummer 6 genannten Mindestanforderungen müssen nicht von intelligenten Messsystemen erfüllt werden, die bei Anschlussnutzern eingebaut worden sind oder eingebaut werden, bei denen keine der Voraussetzungen für eine Einbaupflicht von intelligenten Messsystemen nach § 29 gegeben ist.

(3) Die in Absatz 1 genannten Mindestanforderungen müssen mit Ausnahme von Nummer 5 nicht von Messsystemen erfüllt werden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

(4) Befinden sich an einem Netzanschluss mehrere Zählpunkte, können die Anforderungen nach Absatz 1 auch mit nur einem Smart-Meter-Gateway realisiert werden.

Buchstabe a. Der Smart-Meter-Gateway-Administrator darf ausschließlich Smart-Meter-Gateways mit gültigem Zertifikat nach § 24 Absatz 1

(1) Zum Nachweis der Erfüllung der sicherheitstechnischen Anforderungen nach § 22 Absatz 1 und 2 müssen Smart-Meter-Gateways im Rahmen des Zertifizierungsverfahrens nach den Common Criteria durch das Bundesamt für Sicherheit in der Informationstechnik zertifiziert werden. Hersteller von Smart-Meter-Gateways haben dieses Zertifikat dem Smart-Meter-Gateway-Administrator vorzulegen. Der Zeitpunkt der Nachweispflicht zur Interoperabilität wird durch das Bundesamt für Sicherheit in der Informationstechnik festgelegt und nach § 27 im Ausschuss Gateway-Standardisierung bekannt gemacht. Hersteller von Smart-Meter-Gateways haben zu diesem Zeitpunkt das Zertifikat zur Konformität nach der Technischen Richtlinie dem Smart-Meter-Gateway-Administrator vorzulegen.

(2) Für die Zertifizierung sind § 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821) sowie die BSI-Zertifizierungs- und Anerkennungsverordnung vom 17. Dezember 2014 (BGBl. I S. 2231) in der jeweils geltenden Fassung anzuwenden.

(3) Das Bundesamt für Sicherheit in der Informationstechnik hat die Möglichkeit, Zertifikate nach Absatz 1 zeitlich zu befristen, zu beschränken und mit Auflagen zu versehen. Zertifikate ohne technologisch begründete zeitliche Befristung unterliegen einer kontinuierlichen Überwachung der Gültigkeit durch die ausstellende Stelle. Weitergehende Befugnisse nach Absatz 2 bleiben unberührt.

(4) Ohne ein gültiges und gegenüber dem Smart-Meter-Gateway-Administrator nachgewiesenes Zertifikat nach Absatz 1 darf ein Smart-Meter-Gateway nicht als Bestandteil eines intelligenten Messsystems verwendet werden. Dies ist nicht anzuwenden für Messsysteme, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

verwenden. Er hat Sicherheitsmängel und Änderungen von Tatsachen, die für die Erteilung des Zertifikats nach § 24 Absatz 1

(1) Zum Nachweis der Erfüllung der sicherheitstechnischen Anforderungen nach § 22 Absatz 1 und 2 müssen Smart-Meter-Gateways im Rahmen des Zertifizierungsverfahrens nach den Common Criteria durch das Bundesamt für Sicherheit in der Informationstechnik zertifiziert werden. Hersteller von Smart-Meter-Gateways haben dieses Zertifikat dem Smart-Meter-Gateway-Administrator vorzulegen. Der Zeitpunkt der Nachweispflicht zur Interoperabilität wird durch das Bundesamt für Sicherheit in der Informationstechnik festgelegt und nach § 27 im Ausschuss Gateway-Standardisierung bekannt gemacht. Hersteller von Smart-Meter-Gateways haben zu diesem Zeitpunkt das Zertifikat zur Konformität nach der Technischen Richtlinie dem Smart-Meter-Gateway-Administrator vorzulegen.

(2) Für die Zertifizierung sind § 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821) sowie die BSI-Zertifizierungs- und Anerkennungsverordnung vom 17. Dezember 2014 (BGBl. I S. 2231) in der jeweils geltenden Fassung anzuwenden.

(3) Das Bundesamt für Sicherheit in der Informationstechnik hat die Möglichkeit, Zertifikate nach Absatz 1 zeitlich zu befristen, zu beschränken und mit Auflagen zu versehen. Zertifikate ohne technologisch begründete zeitliche Befristung unterliegen einer kontinuierlichen Überwachung der Gültigkeit durch die ausstellende Stelle. Weitergehende Befugnisse nach Absatz 2 bleiben unberührt.

(4) Ohne ein gültiges und gegenüber dem Smart-Meter-Gateway-Administrator nachgewiesenes Zertifikat nach Absatz 1 darf ein Smart-Meter-Gateway nicht als Bestandteil eines intelligenten Messsystems verwendet werden. Dies ist nicht anzuwenden für Messsysteme, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

wesentlich sind, dem Bundesamt für Sicherheit in der Informationstechnik unverzüglich mitzuteilen.

(2) Für den Betrieb eines intelligenten Messsystems muss die Stromentnahme im ungemessenen Bereich erfolgen und es muss eine zuverlässige und leistungsfähige Fernkommunikationstechnik verwendet werden, die Folgendes gewährleistet:

1.
die sichere Administration und Übermittlung von Daten unter Beachtung mess-, eich- und datenschutzrechtlicher Vorgaben und,
2.
soweit erforderlich, die sichere Administration von Erzeugungsanlagen nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz, von Anlagen im Sinne des § 14a

Betreiber von Elektrizitätsverteilernetzen haben denjenigen Lieferanten und Letztverbrauchern im Bereich der Niederspannung, mit denen sie Netznutzungsverträge abgeschlossen haben, ein reduziertes Netzentgelt zu berechnen, wenn mit ihnen im Gegenzug die netzdienliche Steuerung von steuerbaren Verbrauchseinrichtungen, die über einen separaten Zählpunkt verfügen, vereinbart wird. Als steuerbare Verbrauchseinrichtung im Sinne von Satz 1 gelten auch Elektromobile. Die Bundesregierung wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates die Verpflichtung nach den Sätzen 1 und 2 näher zu konkretisieren, insbesondere einen Rahmen für die Reduzierung von Netzentgelten und die vertragliche Ausgestaltung vorzusehen sowie Steuerungshandlungen zu benennen, die dem Netzbetreiber vorbehalten sind, und Steuerungshandlungen zu benennen, die Dritten, insbesondere dem Lieferanten, vorbehalten sind. Sie hat hierbei die weiteren Anforderungen des Messstellenbetriebsgesetzes an die Ausgestaltung der kommunikativen Einbindung der steuerbaren Verbrauchseinrichtungen zu beachten.

des Energiewirtschaftsgesetzes und von lokalen Systemen.

(3) Zur Gewährleistung des technischen Betriebs haben Netzbetreiber, Energielieferanten und Dritte, deren Verträge mit dem Letztverbraucher oder Anlagenbetreiber nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz über das oder mit Hilfe des Smart-Meter-Gateways abgewickelt werden sollen, dem Smart-Meter-Gateway-Administrator alle für den Betrieb des Smart-Meter-Gateways notwendigen Informationen bereitzustellen; dies umfasst insbesondere

1.
alle Berechtigungsinformationen aus Rahmenverträgen, die im intelligenten Messsystem niederzulegen sind,
2.
alle Berechtigungsinformationen zur Anbindung, Administration und Steuerung von Anlagen nach Absatz 2 Nummer 2.
Netzbetreiber, Energielieferanten und Dritte nach Satz 1 haben ebenfalls die Administration der Messwertverarbeitung gemäß den Anforderungen der in § 22 Absatz 2

(1) Das Smart-Meter-Gateway eines intelligenten Messsystems hat zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität nach dem Stand der Technik folgende Anforderungen zu erfüllen an

1.
die Erhebung, Zeitstempelung, Verarbeitung, Übermittlung, Speicherung und Löschung von Messwerten, damit zusammenhängenden Daten und weiteren über ein intelligentes Messsystem oder Teile davon geleiteten Daten,
2.
den Zugriffsschutz auf die im elektronischen Speicher- und Verarbeitungsmedium abgelegten Messdaten,
3.
die sichere Zeitsynchronisation des Smart-Meter-Gateways mit einer vertrauenswürdigen Zeitquelle im Weitverkehrsnetz und
4.
die Interoperabilität der intelligenten Messsysteme und Teile davon.

(2) Die Einhaltung des Standes der Technik im Sinne von Absatz 1 wird vermutet, wenn die in der Anlage aufgeführten Schutzprofile und Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils geltenden Fassung eingehalten werden. Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik2 bekannt gemacht.

(3) Schutzprofile haben eine gültige Beschreibung von Bedrohungsmodellen und technische Vorgaben zur Gewährleistung von Datenschutz, Datensicherheit und Manipulationsresistenz zu enthalten und dazu Anforderungen an die Funktionalitäten eines Smart-Meter-Gateway zu beschreiben, die insbesondere folgende Mindestanforderungen enthalten

1.
an die Einsatzumgebung, die für die korrekte Funktionsweise der Sicherheitsfunktionen notwendig ist,
2.
an die organisatorischen Sicherheitspolitiken,
3.
zur Gewährleistung der Sicherheitsziele für das Smart-Meter-Gateway und seine Umgebung und
4.
an die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway.

(4) Technische Richtlinien haben technische Anforderungen an die Interoperabilität von intelligenten Messsystemen und einzelnen Teilen oder Komponenten zu beschreiben. Sie müssen insbesondere folgende Mindestanforderungen enthalten an:

1.
die Funktionalitäten des Smart-Meter-Gateway,
2.
die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway,
3.
die Messwertverarbeitung für die Tarifierung und die Netzzustandsdatenerhebung durch das Smart-Meter-Gateway,
4.
die Inhaltsdatenverschlüsselung, Signierung, Absicherung der Kommunikation und Authentifizierung der Datennutzer,
5.
die einzusetzenden kryptographischen Verfahren und
6.
die Architektur der Smart-Metering-Public-Key-Infrastruktur.
Die Technischen Richtlinien haben darüber hinaus die Betriebsprozesse vorzugeben, deren zuverlässige Durchführung vom Smart-Meter-Gateway-Administrator gewährleistet werden muss. Auch haben sie organisatorische Mindestanforderungen an den Smart-Meter-Gateway-Administrator sowie ein entsprechendes Zertifizierungsverfahren zu bestimmen.

(5) Absatz 1 ist nicht für Messsysteme anzuwenden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

benannten Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik zu ermöglichen. Zur Absicherung der Bereitstellung von Informationen kann der Smart-Meter-Gateway-Administrator Rahmenverträge mit Netzbetreibern, Messstellenbetreibern, Energielieferanten und berechtigten Dritten schließen.

(4) Der Smart-Meter-Gateway-Administrator ist verpflichtet,

1.
ein Informationssicherheitsmanagementsystem einzurichten, zu betreiben und zu dokumentieren,
2.
für seinen Aufgabenbereich, der sich aus den Technischen Richtlinien nach § 22 Absatz 2

(1) Das Smart-Meter-Gateway eines intelligenten Messsystems hat zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität nach dem Stand der Technik folgende Anforderungen zu erfüllen an

1.
die Erhebung, Zeitstempelung, Verarbeitung, Übermittlung, Speicherung und Löschung von Messwerten, damit zusammenhängenden Daten und weiteren über ein intelligentes Messsystem oder Teile davon geleiteten Daten,
2.
den Zugriffsschutz auf die im elektronischen Speicher- und Verarbeitungsmedium abgelegten Messdaten,
3.
die sichere Zeitsynchronisation des Smart-Meter-Gateways mit einer vertrauenswürdigen Zeitquelle im Weitverkehrsnetz und
4.
die Interoperabilität der intelligenten Messsysteme und Teile davon.

(2) Die Einhaltung des Standes der Technik im Sinne von Absatz 1 wird vermutet, wenn die in der Anlage aufgeführten Schutzprofile und Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils geltenden Fassung eingehalten werden. Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik2 bekannt gemacht.

(3) Schutzprofile haben eine gültige Beschreibung von Bedrohungsmodellen und technische Vorgaben zur Gewährleistung von Datenschutz, Datensicherheit und Manipulationsresistenz zu enthalten und dazu Anforderungen an die Funktionalitäten eines Smart-Meter-Gateway zu beschreiben, die insbesondere folgende Mindestanforderungen enthalten

1.
an die Einsatzumgebung, die für die korrekte Funktionsweise der Sicherheitsfunktionen notwendig ist,
2.
an die organisatorischen Sicherheitspolitiken,
3.
zur Gewährleistung der Sicherheitsziele für das Smart-Meter-Gateway und seine Umgebung und
4.
an die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway.

(4) Technische Richtlinien haben technische Anforderungen an die Interoperabilität von intelligenten Messsystemen und einzelnen Teilen oder Komponenten zu beschreiben. Sie müssen insbesondere folgende Mindestanforderungen enthalten an:

1.
die Funktionalitäten des Smart-Meter-Gateway,
2.
die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway,
3.
die Messwertverarbeitung für die Tarifierung und die Netzzustandsdatenerhebung durch das Smart-Meter-Gateway,
4.
die Inhaltsdatenverschlüsselung, Signierung, Absicherung der Kommunikation und Authentifizierung der Datennutzer,
5.
die einzusetzenden kryptographischen Verfahren und
6.
die Architektur der Smart-Metering-Public-Key-Infrastruktur.
Die Technischen Richtlinien haben darüber hinaus die Betriebsprozesse vorzugeben, deren zuverlässige Durchführung vom Smart-Meter-Gateway-Administrator gewährleistet werden muss. Auch haben sie organisatorische Mindestanforderungen an den Smart-Meter-Gateway-Administrator sowie ein entsprechendes Zertifizierungsverfahren zu bestimmen.

(5) Absatz 1 ist nicht für Messsysteme anzuwenden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

ergibt, im Rahmen einer durchgängigen IT-Sicherheitskonzeption die notwendigen und angemessenen Maßnahmen zur Informationssicherheit zu erarbeiten und umzusetzen,
3.
die weiteren organisatorischen und technischen Anforderungen zu erfüllen, die sich aus den Technischen Richtlinien nach § 22 Absatz 2

(1) Das Smart-Meter-Gateway eines intelligenten Messsystems hat zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität nach dem Stand der Technik folgende Anforderungen zu erfüllen an

1.
die Erhebung, Zeitstempelung, Verarbeitung, Übermittlung, Speicherung und Löschung von Messwerten, damit zusammenhängenden Daten und weiteren über ein intelligentes Messsystem oder Teile davon geleiteten Daten,
2.
den Zugriffsschutz auf die im elektronischen Speicher- und Verarbeitungsmedium abgelegten Messdaten,
3.
die sichere Zeitsynchronisation des Smart-Meter-Gateways mit einer vertrauenswürdigen Zeitquelle im Weitverkehrsnetz und
4.
die Interoperabilität der intelligenten Messsysteme und Teile davon.

(2) Die Einhaltung des Standes der Technik im Sinne von Absatz 1 wird vermutet, wenn die in der Anlage aufgeführten Schutzprofile und Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils geltenden Fassung eingehalten werden. Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik2 bekannt gemacht.

(3) Schutzprofile haben eine gültige Beschreibung von Bedrohungsmodellen und technische Vorgaben zur Gewährleistung von Datenschutz, Datensicherheit und Manipulationsresistenz zu enthalten und dazu Anforderungen an die Funktionalitäten eines Smart-Meter-Gateway zu beschreiben, die insbesondere folgende Mindestanforderungen enthalten

1.
an die Einsatzumgebung, die für die korrekte Funktionsweise der Sicherheitsfunktionen notwendig ist,
2.
an die organisatorischen Sicherheitspolitiken,
3.
zur Gewährleistung der Sicherheitsziele für das Smart-Meter-Gateway und seine Umgebung und
4.
an die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway.

(4) Technische Richtlinien haben technische Anforderungen an die Interoperabilität von intelligenten Messsystemen und einzelnen Teilen oder Komponenten zu beschreiben. Sie müssen insbesondere folgende Mindestanforderungen enthalten an:

1.
die Funktionalitäten des Smart-Meter-Gateway,
2.
die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway,
3.
die Messwertverarbeitung für die Tarifierung und die Netzzustandsdatenerhebung durch das Smart-Meter-Gateway,
4.
die Inhaltsdatenverschlüsselung, Signierung, Absicherung der Kommunikation und Authentifizierung der Datennutzer,
5.
die einzusetzenden kryptographischen Verfahren und
6.
die Architektur der Smart-Metering-Public-Key-Infrastruktur.
Die Technischen Richtlinien haben darüber hinaus die Betriebsprozesse vorzugeben, deren zuverlässige Durchführung vom Smart-Meter-Gateway-Administrator gewährleistet werden muss. Auch haben sie organisatorische Mindestanforderungen an den Smart-Meter-Gateway-Administrator sowie ein entsprechendes Zertifizierungsverfahren zu bestimmen.

(5) Absatz 1 ist nicht für Messsysteme anzuwenden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

ergeben,
4.
die nach den Nummern 1 bis 3 in seinem Bereich etablierten Maßnahmen und die IT-Sicherheitskonzeption durch vom Bundesamt für Sicherheit in der Informationstechnik hierfür zertifizierte Auditoren regelmäßig auditieren zu lassen und
5.
den im Rahmen des Mess- und Eichrechts zuständigen Behörden die Ausübung ihrer Markt- und Verwendungsüberwachungsverpflichtungen kostenfrei zu ermöglichen.

(5) Die Erfüllung der in Absatz 4 Nummer 1 bis 3 genannten Anforderungen ist nachzuweisen durch ein Zertifikat des Bundesamtes für Sicherheit in der Informationstechnik oder durch die erfolgreiche Zertifizierung durch eine Zertifizierungsstelle, die gemäß ISO/IEC 270063 bei einer nach dem Akkreditierungsstellengesetz zuständigen Stelle akkreditiert ist. Der Auditbericht mit dem Nachweis, dass die in Absatz 4 Nummer 1 bis 3 genannten Anforderungen auditiert wurden, ist dem Bundesamt für Sicherheit in der Informationstechnik zur Kenntnis vorzulegen. § 24 Absatz 2 und 3

(1) Zum Nachweis der Erfüllung der sicherheitstechnischen Anforderungen nach § 22 Absatz 1 und 2 müssen Smart-Meter-Gateways im Rahmen des Zertifizierungsverfahrens nach den Common Criteria durch das Bundesamt für Sicherheit in der Informationstechnik zertifiziert werden. Hersteller von Smart-Meter-Gateways haben dieses Zertifikat dem Smart-Meter-Gateway-Administrator vorzulegen. Der Zeitpunkt der Nachweispflicht zur Interoperabilität wird durch das Bundesamt für Sicherheit in der Informationstechnik festgelegt und nach § 27 im Ausschuss Gateway-Standardisierung bekannt gemacht. Hersteller von Smart-Meter-Gateways haben zu diesem Zeitpunkt das Zertifikat zur Konformität nach der Technischen Richtlinie dem Smart-Meter-Gateway-Administrator vorzulegen.

(2) Für die Zertifizierung sind § 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821) sowie die BSI-Zertifizierungs- und Anerkennungsverordnung vom 17. Dezember 2014 (BGBl. I S. 2231) in der jeweils geltenden Fassung anzuwenden.

(3) Das Bundesamt für Sicherheit in der Informationstechnik hat die Möglichkeit, Zertifikate nach Absatz 1 zeitlich zu befristen, zu beschränken und mit Auflagen zu versehen. Zertifikate ohne technologisch begründete zeitliche Befristung unterliegen einer kontinuierlichen Überwachung der Gültigkeit durch die ausstellende Stelle. Weitergehende Befugnisse nach Absatz 2 bleiben unberührt.

(4) Ohne ein gültiges und gegenüber dem Smart-Meter-Gateway-Administrator nachgewiesenes Zertifikat nach Absatz 1 darf ein Smart-Meter-Gateway nicht als Bestandteil eines intelligenten Messsystems verwendet werden. Dies ist nicht anzuwenden für Messsysteme, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

ist für die Zertifizierung des Smart-Meter-Gateway-Administrators entsprechend anzuwenden.

§ 26 Aufrechterhaltung eines einheitlichen Sicherheitsniveaus

(1) Zur Sicherstellung und Aufrechterhaltung eines bundesweit einheitlichen Sicherheitsniveaus für den Betrieb von zertifizierten Smart-Meter-Gateways führt das Bundesamt für Sicherheit in der Informationstechnik im Einvernehmen mit der Physikalisch-Technischen Bundesanstalt und der Bundesnetzagentur soweit erforderlich folgende Maßnahmen durch:

1.
die Analyse, Priorisierung und Bewertung von Schwachstellen von Smart-Meter-Gateways sowie die Entscheidung über Software-Updates zu deren Behebung und über sonstige Maßnahmen des Smart-Meter-Gateway-Administrators,
2.
die Planung und Erarbeitung von neuen Versionen der Schutzprofile und Technischen Richtlinien nach § 22 Absatz 2,

(1) Das Smart-Meter-Gateway eines intelligenten Messsystems hat zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität nach dem Stand der Technik folgende Anforderungen zu erfüllen an

1.
die Erhebung, Zeitstempelung, Verarbeitung, Übermittlung, Speicherung und Löschung von Messwerten, damit zusammenhängenden Daten und weiteren über ein intelligentes Messsystem oder Teile davon geleiteten Daten,
2.
den Zugriffsschutz auf die im elektronischen Speicher- und Verarbeitungsmedium abgelegten Messdaten,
3.
die sichere Zeitsynchronisation des Smart-Meter-Gateways mit einer vertrauenswürdigen Zeitquelle im Weitverkehrsnetz und
4.
die Interoperabilität der intelligenten Messsysteme und Teile davon.

(2) Die Einhaltung des Standes der Technik im Sinne von Absatz 1 wird vermutet, wenn die in der Anlage aufgeführten Schutzprofile und Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils geltenden Fassung eingehalten werden. Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik2 bekannt gemacht.

(3) Schutzprofile haben eine gültige Beschreibung von Bedrohungsmodellen und technische Vorgaben zur Gewährleistung von Datenschutz, Datensicherheit und Manipulationsresistenz zu enthalten und dazu Anforderungen an die Funktionalitäten eines Smart-Meter-Gateway zu beschreiben, die insbesondere folgende Mindestanforderungen enthalten

1.
an die Einsatzumgebung, die für die korrekte Funktionsweise der Sicherheitsfunktionen notwendig ist,
2.
an die organisatorischen Sicherheitspolitiken,
3.
zur Gewährleistung der Sicherheitsziele für das Smart-Meter-Gateway und seine Umgebung und
4.
an die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway.

(4) Technische Richtlinien haben technische Anforderungen an die Interoperabilität von intelligenten Messsystemen und einzelnen Teilen oder Komponenten zu beschreiben. Sie müssen insbesondere folgende Mindestanforderungen enthalten an:

1.
die Funktionalitäten des Smart-Meter-Gateway,
2.
die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway,
3.
die Messwertverarbeitung für die Tarifierung und die Netzzustandsdatenerhebung durch das Smart-Meter-Gateway,
4.
die Inhaltsdatenverschlüsselung, Signierung, Absicherung der Kommunikation und Authentifizierung der Datennutzer,
5.
die einzusetzenden kryptographischen Verfahren und
6.
die Architektur der Smart-Metering-Public-Key-Infrastruktur.
Die Technischen Richtlinien haben darüber hinaus die Betriebsprozesse vorzugeben, deren zuverlässige Durchführung vom Smart-Meter-Gateway-Administrator gewährleistet werden muss. Auch haben sie organisatorische Mindestanforderungen an den Smart-Meter-Gateway-Administrator sowie ein entsprechendes Zertifizierungsverfahren zu bestimmen.

(5) Absatz 1 ist nicht für Messsysteme anzuwenden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

3.
die Einbringung von neuen Versionen der Schutzprofile und Technischen Richtlinien nach § 22 Absatz 2

(1) Das Smart-Meter-Gateway eines intelligenten Messsystems hat zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität nach dem Stand der Technik folgende Anforderungen zu erfüllen an

1.
die Erhebung, Zeitstempelung, Verarbeitung, Übermittlung, Speicherung und Löschung von Messwerten, damit zusammenhängenden Daten und weiteren über ein intelligentes Messsystem oder Teile davon geleiteten Daten,
2.
den Zugriffsschutz auf die im elektronischen Speicher- und Verarbeitungsmedium abgelegten Messdaten,
3.
die sichere Zeitsynchronisation des Smart-Meter-Gateways mit einer vertrauenswürdigen Zeitquelle im Weitverkehrsnetz und
4.
die Interoperabilität der intelligenten Messsysteme und Teile davon.

(2) Die Einhaltung des Standes der Technik im Sinne von Absatz 1 wird vermutet, wenn die in der Anlage aufgeführten Schutzprofile und Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils geltenden Fassung eingehalten werden. Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik2 bekannt gemacht.

(3) Schutzprofile haben eine gültige Beschreibung von Bedrohungsmodellen und technische Vorgaben zur Gewährleistung von Datenschutz, Datensicherheit und Manipulationsresistenz zu enthalten und dazu Anforderungen an die Funktionalitäten eines Smart-Meter-Gateway zu beschreiben, die insbesondere folgende Mindestanforderungen enthalten

1.
an die Einsatzumgebung, die für die korrekte Funktionsweise der Sicherheitsfunktionen notwendig ist,
2.
an die organisatorischen Sicherheitspolitiken,
3.
zur Gewährleistung der Sicherheitsziele für das Smart-Meter-Gateway und seine Umgebung und
4.
an die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway.

(4) Technische Richtlinien haben technische Anforderungen an die Interoperabilität von intelligenten Messsystemen und einzelnen Teilen oder Komponenten zu beschreiben. Sie müssen insbesondere folgende Mindestanforderungen enthalten an:

1.
die Funktionalitäten des Smart-Meter-Gateway,
2.
die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway,
3.
die Messwertverarbeitung für die Tarifierung und die Netzzustandsdatenerhebung durch das Smart-Meter-Gateway,
4.
die Inhaltsdatenverschlüsselung, Signierung, Absicherung der Kommunikation und Authentifizierung der Datennutzer,
5.
die einzusetzenden kryptographischen Verfahren und
6.
die Architektur der Smart-Metering-Public-Key-Infrastruktur.
Die Technischen Richtlinien haben darüber hinaus die Betriebsprozesse vorzugeben, deren zuverlässige Durchführung vom Smart-Meter-Gateway-Administrator gewährleistet werden muss. Auch haben sie organisatorische Mindestanforderungen an den Smart-Meter-Gateway-Administrator sowie ein entsprechendes Zertifizierungsverfahren zu bestimmen.

(5) Absatz 1 ist nicht für Messsysteme anzuwenden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

in das Verfahren nach § 27

(1) Weitere Schutzprofile und Technische Richtlinien sowie neuere Versionen Technischer Richtlinien und von Schutzprofilen nach § 22 Absatz 2 werden erarbeitet unter Beachtung der Festlegungskompetenz der Bundesnetzagentur nach § 47 durch das Bundesamt für Sicherheit in der Informationstechnik im Einvernehmen mit der Physikalisch-Technischen Bundesanstalt und der Bundesnetzagentur unter Anhörung der oder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit; der Ausschuss Gateway-Standardisierung ist bei wesentlichen Änderungen unter Vorsitz des Bundesministeriums für Wirtschaft und Energie im Anschluss anzuhören.

(2) Dem Ausschuss Gateway-Standardisierung gehören an:

1.
das Bundesministerium für Wirtschaft und Energie,
2.
das Bundesamt für Sicherheit in der Informationstechnik,
3.
die Physikalisch-Technische Bundesanstalt,
4.
die Bundesnetzagentur sowie
5.
je ein Vertreter von mindestens drei auf Bundesebene bestehenden Gesamtverbänden, die jeweils die Interessen von Letztverbrauchern, Herstellern und Anwendern vertreten; die Bestimmung der Verbände nach Satz 3 liegt im Ermessen des Bundesministeriums für Wirtschaft und Energie.
Der Ausschuss wird von der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit beraten.

(3) Das Bundesministerium für Wirtschaft und Energie beruft die Mitglieder des Ausschusses für eine Dauer von drei Jahren. Der Ausschuss Gateway-Standardisierung tagt mindestens einmal im Jahr. Die Mitgliedschaft ist ehrenamtlich.

(4) Die nach Absatz 1 erarbeiteten Schutzprofile und Technischen Richtlinien sind dem Bundesministerium für Wirtschaft und Energie zur Zustimmung vorzulegen. Nach der Zustimmung durch das Bundesministerium für Wirtschaft und Energie erfolgt eine Bekanntgabe der nach Absatz 1 erarbeiteten Schutzprofile und Technischen Richtlinien gemäß § 22 Absatz 2 durch das Bundesamt für Sicherheit in der Informationstechnik.

und deren anschließende Freigabe.
Bei Gefahr im Verzug tritt an die Stelle des Einvernehmens nach Satz 1 eine nachträgliche Informationspflicht des Bundesamtes für Sicherheit in der Informationstechnik gegenüber den in Satz 1 genannten Behörden.

(2) Geeignete Informationen stellt das Bundesamt für Sicherheit in der Informationstechnik auf seinen Internetseiten4 bereit. Das Bundesministerium für Wirtschaft und Energie ist von sämtlichen ergriffenen Maßnahmen vorab oder bei Gefahr im Verzug nachträglich zu informieren.

§ 27 Weiterentwicklung von Schutzprofilen und Technischen Richtlinien; Ausschuss Gateway-Standardisierung

(1) Weitere Schutzprofile und Technische Richtlinien sowie neuere Versionen Technischer Richtlinien und von Schutzprofilen nach § 22 Absatz 2

(1) Das Smart-Meter-Gateway eines intelligenten Messsystems hat zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität nach dem Stand der Technik folgende Anforderungen zu erfüllen an

1.
die Erhebung, Zeitstempelung, Verarbeitung, Übermittlung, Speicherung und Löschung von Messwerten, damit zusammenhängenden Daten und weiteren über ein intelligentes Messsystem oder Teile davon geleiteten Daten,
2.
den Zugriffsschutz auf die im elektronischen Speicher- und Verarbeitungsmedium abgelegten Messdaten,
3.
die sichere Zeitsynchronisation des Smart-Meter-Gateways mit einer vertrauenswürdigen Zeitquelle im Weitverkehrsnetz und
4.
die Interoperabilität der intelligenten Messsysteme und Teile davon.

(2) Die Einhaltung des Standes der Technik im Sinne von Absatz 1 wird vermutet, wenn die in der Anlage aufgeführten Schutzprofile und Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils geltenden Fassung eingehalten werden. Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik2 bekannt gemacht.

(3) Schutzprofile haben eine gültige Beschreibung von Bedrohungsmodellen und technische Vorgaben zur Gewährleistung von Datenschutz, Datensicherheit und Manipulationsresistenz zu enthalten und dazu Anforderungen an die Funktionalitäten eines Smart-Meter-Gateway zu beschreiben, die insbesondere folgende Mindestanforderungen enthalten

1.
an die Einsatzumgebung, die für die korrekte Funktionsweise der Sicherheitsfunktionen notwendig ist,
2.
an die organisatorischen Sicherheitspolitiken,
3.
zur Gewährleistung der Sicherheitsziele für das Smart-Meter-Gateway und seine Umgebung und
4.
an die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway.

(4) Technische Richtlinien haben technische Anforderungen an die Interoperabilität von intelligenten Messsystemen und einzelnen Teilen oder Komponenten zu beschreiben. Sie müssen insbesondere folgende Mindestanforderungen enthalten an:

1.
die Funktionalitäten des Smart-Meter-Gateway,
2.
die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway,
3.
die Messwertverarbeitung für die Tarifierung und die Netzzustandsdatenerhebung durch das Smart-Meter-Gateway,
4.
die Inhaltsdatenverschlüsselung, Signierung, Absicherung der Kommunikation und Authentifizierung der Datennutzer,
5.
die einzusetzenden kryptographischen Verfahren und
6.
die Architektur der Smart-Metering-Public-Key-Infrastruktur.
Die Technischen Richtlinien haben darüber hinaus die Betriebsprozesse vorzugeben, deren zuverlässige Durchführung vom Smart-Meter-Gateway-Administrator gewährleistet werden muss. Auch haben sie organisatorische Mindestanforderungen an den Smart-Meter-Gateway-Administrator sowie ein entsprechendes Zertifizierungsverfahren zu bestimmen.

(5) Absatz 1 ist nicht für Messsysteme anzuwenden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

werden erarbeitet unter Beachtung der Festlegungskompetenz der Bundesnetzagentur nach § 47

(1) Die Bundesnetzagentur kann unter Beachtung der mess-, eich- und datenschutzrechtlichen Vorgaben und der Schutzprofile und Technischen Richtlinien nach § 22 Absatz 2 Entscheidungen durch Festlegungen nach § 29 Absatz 1 des Energiewirtschaftsgesetzes treffen

1.
zur Gewährleistung der Fernsteuerbarkeit nach § 21 Absatz 1 Nummer 1 Buchstabe b und zur Gewährleistung der Abrufbarkeit nach § 21 Absatz 1 Nummer 1 Buchstabe c,
2.
zur zeitnahen Übermittlung von Netzzustandsdaten nach § 21 Absatz 1 Nummer 1 Buchstabe d,
3.
zur Konkretisierung der Anforderungen an die Zuverlässigkeit und Leistungsfähigkeit der Kommunikationstechnik nach § 21 Absatz 1 Nummer 3 insbesondere zur Anpassung an neue technologische und marktliche Entwicklungen,
4.
zum maximalen Eigenstromverbrauch nach § 21 Absatz 1 Nummer 5,
5.
zur Konkretisierung der Anforderungen an die Übermittlung von Stammdaten angeschlossener Anlagen in § 21 Absatz 1 Nummer 6,
6.
zum Inhalt und zur Durchführung der Rahmenverträge nach § 25 Absatz 3 Satz 3.

(2) Zur bundesweiten Vereinheitlichung der Bedingungen für den Messstellenbetrieb kann die Bundesnetzagentur Entscheidungen durch Festlegungen nach § 29 Absatz 1 des Energiewirtschaftsgesetzes treffen

1.
zu allgemeinen Anforderungen an den Messstellenbetrieb nach § 3,
2.
zu den näheren Anforderungen an die Erfüllung der Vorgaben zur buchhalterischen Entflechtung aus § 3 Absatz 4,
3.
zu den Inhalten von Messstellenverträgen und Messstellenrahmenverträgen nach den §§ 9 und 10, insbesondere auch zu den bei einem Wechsel des Messstellenbetreibers einzuhaltenden Fristen,
4.
zur Ausgestaltung der Verwaltungspflicht des grundzuständigen Messstellenbetreibers nach § 11,
5.
zur Durchführung des Wechsels des Messstellenbetreibers auf Veranlassung des Anschlussnutzers oder des Anschlussnehmers nach den §§ 5, 6, 9, 10 und 39,
6.
zur Durchführung und Ausgestaltung kombinierter Verträge nach § 9 Absatz 2 und von Rahmenverträgen nach § 9 Absatz 4,
7.
zu Geschäftsprozessen, die bundesweit zur Förderung einer größtmöglichen und sicheren Automatisierung einzuhalten sind,
8.
zur Bestimmung des Übergangszeitraumes und des angemessenen Entgelts im Zusammenhang mit der Regelung des § 17 zum Wechsel des Anschlussnutzers,
9.
zu Regelungen im Zusammenhang mit dem Ausfall des Messstellenbetreibers nach § 18,
10.
zu den Rechten des Netzbetreibers aus § 12 und seinen Pflichten aus § 13,
11.
zur Sicherstellung der einheitlichen Anwendung der Regelungen in den §§ 29 bis 38,
12.
zu den Voraussetzungen, unter denen Betreiber von Übertragungsnetzen nach § 33 Absatz 1 Nummer 1 auch die Ausstattung von Netzübergaben zwischen Netzbetreibern in ihrer jeweiligen Regelzone mit intelligenten Messsystemen verlangen können, einschließlich der Kostenverteilung,
13.
zum Schlüssel für die Kostenverteilung im Falle des § 33 Absatz 1.

durch das Bundesamt für Sicherheit in der Informationstechnik im Einvernehmen mit der Physikalisch-Technischen Bundesanstalt und der Bundesnetzagentur unter Anhörung der oder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit; der Ausschuss Gateway-Standardisierung ist bei wesentlichen Änderungen unter Vorsitz des Bundesministeriums für Wirtschaft und Energie im Anschluss anzuhören.

(2) Dem Ausschuss Gateway-Standardisierung gehören an:

1.
das Bundesministerium für Wirtschaft und Energie,
2.
das Bundesamt für Sicherheit in der Informationstechnik,
3.
die Physikalisch-Technische Bundesanstalt,
4.
die Bundesnetzagentur sowie
5.
je ein Vertreter von mindestens drei auf Bundesebene bestehenden Gesamtverbänden, die jeweils die Interessen von Letztverbrauchern, Herstellern und Anwendern vertreten; die Bestimmung der Verbände nach Satz 3 liegt im Ermessen des Bundesministeriums für Wirtschaft und Energie.
Der Ausschuss wird von der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit beraten.

(3) Das Bundesministerium für Wirtschaft und Energie beruft die Mitglieder des Ausschusses für eine Dauer von drei Jahren. Der Ausschuss Gateway-Standardisierung tagt mindestens einmal im Jahr. Die Mitgliedschaft ist ehrenamtlich.

(4) Die nach Absatz 1 erarbeiteten Schutzprofile und Technischen Richtlinien sind dem Bundesministerium für Wirtschaft und Energie zur Zustimmung vorzulegen. Nach der Zustimmung durch das Bundesministerium für Wirtschaft und Energie erfolgt eine Bekanntgabe der nach Absatz 1 erarbeiteten Schutzprofile und Technischen Richtlinien gemäß § 22 Absatz 2

(1) Das Smart-Meter-Gateway eines intelligenten Messsystems hat zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität nach dem Stand der Technik folgende Anforderungen zu erfüllen an

1.
die Erhebung, Zeitstempelung, Verarbeitung, Übermittlung, Speicherung und Löschung von Messwerten, damit zusammenhängenden Daten und weiteren über ein intelligentes Messsystem oder Teile davon geleiteten Daten,
2.
den Zugriffsschutz auf die im elektronischen Speicher- und Verarbeitungsmedium abgelegten Messdaten,
3.
die sichere Zeitsynchronisation des Smart-Meter-Gateways mit einer vertrauenswürdigen Zeitquelle im Weitverkehrsnetz und
4.
die Interoperabilität der intelligenten Messsysteme und Teile davon.

(2) Die Einhaltung des Standes der Technik im Sinne von Absatz 1 wird vermutet, wenn die in der Anlage aufgeführten Schutzprofile und Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils geltenden Fassung eingehalten werden. Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik2 bekannt gemacht.

(3) Schutzprofile haben eine gültige Beschreibung von Bedrohungsmodellen und technische Vorgaben zur Gewährleistung von Datenschutz, Datensicherheit und Manipulationsresistenz zu enthalten und dazu Anforderungen an die Funktionalitäten eines Smart-Meter-Gateway zu beschreiben, die insbesondere folgende Mindestanforderungen enthalten

1.
an die Einsatzumgebung, die für die korrekte Funktionsweise der Sicherheitsfunktionen notwendig ist,
2.
an die organisatorischen Sicherheitspolitiken,
3.
zur Gewährleistung der Sicherheitsziele für das Smart-Meter-Gateway und seine Umgebung und
4.
an die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway.

(4) Technische Richtlinien haben technische Anforderungen an die Interoperabilität von intelligenten Messsystemen und einzelnen Teilen oder Komponenten zu beschreiben. Sie müssen insbesondere folgende Mindestanforderungen enthalten an:

1.
die Funktionalitäten des Smart-Meter-Gateway,
2.
die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway,
3.
die Messwertverarbeitung für die Tarifierung und die Netzzustandsdatenerhebung durch das Smart-Meter-Gateway,
4.
die Inhaltsdatenverschlüsselung, Signierung, Absicherung der Kommunikation und Authentifizierung der Datennutzer,
5.
die einzusetzenden kryptographischen Verfahren und
6.
die Architektur der Smart-Metering-Public-Key-Infrastruktur.
Die Technischen Richtlinien haben darüber hinaus die Betriebsprozesse vorzugeben, deren zuverlässige Durchführung vom Smart-Meter-Gateway-Administrator gewährleistet werden muss. Auch haben sie organisatorische Mindestanforderungen an den Smart-Meter-Gateway-Administrator sowie ein entsprechendes Zertifizierungsverfahren zu bestimmen.

(5) Absatz 1 ist nicht für Messsysteme anzuwenden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

durch das Bundesamt für Sicherheit in der Informationstechnik.

§ 28 Inhaber der Wurzelzertifikate

Das Bundesamt für Sicherheit in der Informationstechnik ist Inhaber der Wurzelzertifikate für die Smart-Metering-Public-Key-Infrastruktur; für die Teilnahme an der Smart-Metering-Public-Key-Infrastruktur gelten die Bestimmungen der Zertifizierungsrichtlinie des Bundesamtes für Sicherheit in der Informationstechnik.

Annotations

§ 19 Allgemeine Anforderungen an Messsysteme

(1) Ein intelligentes Messsystem muss

1.
die zuverlässige Erhebung, Verarbeitung, Übermittlung, Protokollierung, Speicherung und Löschung von aus Messeinrichtungen stammenden Messwerten gewährleisten, um
a)
eine Messwertverarbeitung zu Abrechnungszwecken durchführen zu können,
b)
eine Zählerstandsgangmessung bei Letztverbrauchern, von Anlagen im Sinne von § 14a des Energiewirtschaftsgesetzes und von Erzeugungsanlagen nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz durchführen zu können sowie die zuverlässige Administration und Fernsteuerbarkeit dieser Anlagen zu gewährleisten,
c)
die jeweilige Ist-Einspeisung von Erzeugungsanlagen nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz abrufen zu können und
d)
Netzzustandsdaten messen, zeitnah übertragen und Protokolle über Spannungsausfälle mit Datum und Zeit erstellen zu können,
2.
eine Visualisierung des Verbrauchsverhaltens des Letztverbrauchers ermöglichen, um diesem
a)
den tatsächlichen Energieverbrauch sowie Informationen über die tatsächliche Nutzungszeit bereitzustellen,
b)
abrechnungsrelevante Tarifinformationen und zugehörige abrechnungsrelevante Messwerte zur Überprüfung der Abrechnung bereitzustellen,
c)
historische Energieverbrauchswerte entsprechend den Zeiträumen der Abrechnung und Verbrauchsinformationen nach § 40 Absatz 3 des Energiewirtschaftsgesetzes für die drei vorangegangenen Jahre zur Verfügung stellen zu können,
d)
historische tages-, wochen-, monats- und jahresbezogene Energieverbrauchswerte sowie die Zählerstandsgänge für die letzten 24 Monate zur Verfügung stellen zu können und
e)
die Informationen aus § 53 Absatz 1 Nummer 1 zur Verfügung zu stellen,
3.
sichere Verbindungen in Kommunikationsnetzen durchsetzen, um
a)
über eine sichere und leistungsfähige Fernkommunikationstechnik die sichere Administration und Übermittlung von Daten unter Beachtung der mess- und eichrechtlichen und der datenschutzrechtlichen Vorgaben zu ermöglichen, wobei das Smart-Meter-Gateway neben der verwendeten für eine weitere vom Smart-Meter-Gateway-Administrator vermittelte und überwachte zusätzliche, zuverlässige und leistungsfähige Art der Fernkommunikation offen sein muss,
b)
eine interne und externe Tarifierung sowie eine Parametrierung der Tarifierung im Smart-Meter-Gateway durch dessen Administrator unter Beachtung der eich- und datenschutzrechtlichen Vorgaben zu ermöglichen,
c)
einen gesicherten Empfang von Messwerten von Strom-, Gas-, Wasser- und Wärmezählern sowie von Heizwärmemessgeräten zu ermöglichen und
d)
eine gesicherte Anbindung von Erzeugungsanlagen, Anzeigeeinheiten und weiteren lokalen Systemen zu ermöglichen,
4.
ein Smart-Meter-Gateway beinhalten, das
a)
offen für weitere Anwendungen und Dienste ist und dabei über die Möglichkeit zur Priorisierung von bestimmten Anwendungen verfügt, wobei nach Anforderung der Netzbetreiber ausgewählte energiewirtschaftliche und in der Zuständigkeit der Netzbetreiber liegende Messungen und Schaltungen stets und vorrangig ermöglicht werden müssen,
b)
ausschließlich durch den Smart-Meter-Gateway-Administrator konfigurierbar ist und
c)
Software-Aktualisierungen empfangen und verarbeiten kann,
5.
die Grenzen für den maximalen Eigenstromverbrauch für das Smart-Meter-Gateway und andere typischerweise an das intelligente Messsystem angebundene Komponenten einhalten, die von der Bundesnetzagentur nach § 47 Absatz 1 Nummer 4 festgelegt werden und
6.
die Stammdaten angeschlossener Anlagen nach § 14a des Energiewirtschaftsgesetzes sowie nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz übermitteln können.

(2) Die in Absatz 1 Nummer 1 Buchstabe b, c und d sowie Nummer 6 genannten Mindestanforderungen müssen nicht von intelligenten Messsystemen erfüllt werden, die bei Anschlussnutzern eingebaut worden sind oder eingebaut werden, bei denen keine der Voraussetzungen für eine Einbaupflicht von intelligenten Messsystemen nach § 29 gegeben ist.

(3) Die in Absatz 1 genannten Mindestanforderungen müssen mit Ausnahme von Nummer 5 nicht von Messsystemen erfüllt werden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

(4) Befinden sich an einem Netzanschluss mehrere Zählpunkte, können die Anforderungen nach Absatz 1 auch mit nur einem Smart-Meter-Gateway realisiert werden.

(1) Das Smart-Meter-Gateway eines intelligenten Messsystems hat zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität nach dem Stand der Technik folgende Anforderungen zu erfüllen an

1.
die Erhebung, Zeitstempelung, Verarbeitung, Übermittlung, Speicherung und Löschung von Messwerten, damit zusammenhängenden Daten und weiteren über ein intelligentes Messsystem oder Teile davon geleiteten Daten,
2.
den Zugriffsschutz auf die im elektronischen Speicher- und Verarbeitungsmedium abgelegten Messdaten,
3.
die sichere Zeitsynchronisation des Smart-Meter-Gateways mit einer vertrauenswürdigen Zeitquelle im Weitverkehrsnetz und
4.
die Interoperabilität der intelligenten Messsysteme und Teile davon.

(2) Die Einhaltung des Standes der Technik im Sinne von Absatz 1 wird vermutet, wenn die in der Anlage aufgeführten Schutzprofile und Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils geltenden Fassung eingehalten werden. Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik2 bekannt gemacht.

(3) Schutzprofile haben eine gültige Beschreibung von Bedrohungsmodellen und technische Vorgaben zur Gewährleistung von Datenschutz, Datensicherheit und Manipulationsresistenz zu enthalten und dazu Anforderungen an die Funktionalitäten eines Smart-Meter-Gateway zu beschreiben, die insbesondere folgende Mindestanforderungen enthalten

1.
an die Einsatzumgebung, die für die korrekte Funktionsweise der Sicherheitsfunktionen notwendig ist,
2.
an die organisatorischen Sicherheitspolitiken,
3.
zur Gewährleistung der Sicherheitsziele für das Smart-Meter-Gateway und seine Umgebung und
4.
an die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway.

(4) Technische Richtlinien haben technische Anforderungen an die Interoperabilität von intelligenten Messsystemen und einzelnen Teilen oder Komponenten zu beschreiben. Sie müssen insbesondere folgende Mindestanforderungen enthalten an:

1.
die Funktionalitäten des Smart-Meter-Gateway,
2.
die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway,
3.
die Messwertverarbeitung für die Tarifierung und die Netzzustandsdatenerhebung durch das Smart-Meter-Gateway,
4.
die Inhaltsdatenverschlüsselung, Signierung, Absicherung der Kommunikation und Authentifizierung der Datennutzer,
5.
die einzusetzenden kryptographischen Verfahren und
6.
die Architektur der Smart-Metering-Public-Key-Infrastruktur.
Die Technischen Richtlinien haben darüber hinaus die Betriebsprozesse vorzugeben, deren zuverlässige Durchführung vom Smart-Meter-Gateway-Administrator gewährleistet werden muss. Auch haben sie organisatorische Mindestanforderungen an den Smart-Meter-Gateway-Administrator sowie ein entsprechendes Zertifizierungsverfahren zu bestimmen.

(5) Absatz 1 ist nicht für Messsysteme anzuwenden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

(1) Ein intelligentes Messsystem muss

1.
die zuverlässige Erhebung, Verarbeitung, Übermittlung, Protokollierung, Speicherung und Löschung von aus Messeinrichtungen stammenden Messwerten gewährleisten, um
a)
eine Messwertverarbeitung zu Abrechnungszwecken durchführen zu können,
b)
eine Zählerstandsgangmessung bei Letztverbrauchern, von Anlagen im Sinne von § 14a des Energiewirtschaftsgesetzes und von Erzeugungsanlagen nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz durchführen zu können sowie die zuverlässige Administration und Fernsteuerbarkeit dieser Anlagen zu gewährleisten,
c)
die jeweilige Ist-Einspeisung von Erzeugungsanlagen nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz abrufen zu können und
d)
Netzzustandsdaten messen, zeitnah übertragen und Protokolle über Spannungsausfälle mit Datum und Zeit erstellen zu können,
2.
eine Visualisierung des Verbrauchsverhaltens des Letztverbrauchers ermöglichen, um diesem
a)
den tatsächlichen Energieverbrauch sowie Informationen über die tatsächliche Nutzungszeit bereitzustellen,
b)
abrechnungsrelevante Tarifinformationen und zugehörige abrechnungsrelevante Messwerte zur Überprüfung der Abrechnung bereitzustellen,
c)
historische Energieverbrauchswerte entsprechend den Zeiträumen der Abrechnung und Verbrauchsinformationen nach § 40 Absatz 3 des Energiewirtschaftsgesetzes für die drei vorangegangenen Jahre zur Verfügung stellen zu können,
d)
historische tages-, wochen-, monats- und jahresbezogene Energieverbrauchswerte sowie die Zählerstandsgänge für die letzten 24 Monate zur Verfügung stellen zu können und
e)
die Informationen aus § 53 Absatz 1 Nummer 1 zur Verfügung zu stellen,
3.
sichere Verbindungen in Kommunikationsnetzen durchsetzen, um
a)
über eine sichere und leistungsfähige Fernkommunikationstechnik die sichere Administration und Übermittlung von Daten unter Beachtung der mess- und eichrechtlichen und der datenschutzrechtlichen Vorgaben zu ermöglichen, wobei das Smart-Meter-Gateway neben der verwendeten für eine weitere vom Smart-Meter-Gateway-Administrator vermittelte und überwachte zusätzliche, zuverlässige und leistungsfähige Art der Fernkommunikation offen sein muss,
b)
eine interne und externe Tarifierung sowie eine Parametrierung der Tarifierung im Smart-Meter-Gateway durch dessen Administrator unter Beachtung der eich- und datenschutzrechtlichen Vorgaben zu ermöglichen,
c)
einen gesicherten Empfang von Messwerten von Strom-, Gas-, Wasser- und Wärmezählern sowie von Heizwärmemessgeräten zu ermöglichen und
d)
eine gesicherte Anbindung von Erzeugungsanlagen, Anzeigeeinheiten und weiteren lokalen Systemen zu ermöglichen,
4.
ein Smart-Meter-Gateway beinhalten, das
a)
offen für weitere Anwendungen und Dienste ist und dabei über die Möglichkeit zur Priorisierung von bestimmten Anwendungen verfügt, wobei nach Anforderung der Netzbetreiber ausgewählte energiewirtschaftliche und in der Zuständigkeit der Netzbetreiber liegende Messungen und Schaltungen stets und vorrangig ermöglicht werden müssen,
b)
ausschließlich durch den Smart-Meter-Gateway-Administrator konfigurierbar ist und
c)
Software-Aktualisierungen empfangen und verarbeiten kann,
5.
die Grenzen für den maximalen Eigenstromverbrauch für das Smart-Meter-Gateway und andere typischerweise an das intelligente Messsystem angebundene Komponenten einhalten, die von der Bundesnetzagentur nach § 47 Absatz 1 Nummer 4 festgelegt werden und
6.
die Stammdaten angeschlossener Anlagen nach § 14a des Energiewirtschaftsgesetzes sowie nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz übermitteln können.

(2) Die in Absatz 1 Nummer 1 Buchstabe b, c und d sowie Nummer 6 genannten Mindestanforderungen müssen nicht von intelligenten Messsystemen erfüllt werden, die bei Anschlussnutzern eingebaut worden sind oder eingebaut werden, bei denen keine der Voraussetzungen für eine Einbaupflicht von intelligenten Messsystemen nach § 29 gegeben ist.

(3) Die in Absatz 1 genannten Mindestanforderungen müssen mit Ausnahme von Nummer 5 nicht von Messsystemen erfüllt werden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

(4) Befinden sich an einem Netzanschluss mehrere Zählpunkte, können die Anforderungen nach Absatz 1 auch mit nur einem Smart-Meter-Gateway realisiert werden.

(1) Das Smart-Meter-Gateway eines intelligenten Messsystems hat zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität nach dem Stand der Technik folgende Anforderungen zu erfüllen an

1.
die Erhebung, Zeitstempelung, Verarbeitung, Übermittlung, Speicherung und Löschung von Messwerten, damit zusammenhängenden Daten und weiteren über ein intelligentes Messsystem oder Teile davon geleiteten Daten,
2.
den Zugriffsschutz auf die im elektronischen Speicher- und Verarbeitungsmedium abgelegten Messdaten,
3.
die sichere Zeitsynchronisation des Smart-Meter-Gateways mit einer vertrauenswürdigen Zeitquelle im Weitverkehrsnetz und
4.
die Interoperabilität der intelligenten Messsysteme und Teile davon.

(2) Die Einhaltung des Standes der Technik im Sinne von Absatz 1 wird vermutet, wenn die in der Anlage aufgeführten Schutzprofile und Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils geltenden Fassung eingehalten werden. Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik2 bekannt gemacht.

(3) Schutzprofile haben eine gültige Beschreibung von Bedrohungsmodellen und technische Vorgaben zur Gewährleistung von Datenschutz, Datensicherheit und Manipulationsresistenz zu enthalten und dazu Anforderungen an die Funktionalitäten eines Smart-Meter-Gateway zu beschreiben, die insbesondere folgende Mindestanforderungen enthalten

1.
an die Einsatzumgebung, die für die korrekte Funktionsweise der Sicherheitsfunktionen notwendig ist,
2.
an die organisatorischen Sicherheitspolitiken,
3.
zur Gewährleistung der Sicherheitsziele für das Smart-Meter-Gateway und seine Umgebung und
4.
an die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway.

(4) Technische Richtlinien haben technische Anforderungen an die Interoperabilität von intelligenten Messsystemen und einzelnen Teilen oder Komponenten zu beschreiben. Sie müssen insbesondere folgende Mindestanforderungen enthalten an:

1.
die Funktionalitäten des Smart-Meter-Gateway,
2.
die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway,
3.
die Messwertverarbeitung für die Tarifierung und die Netzzustandsdatenerhebung durch das Smart-Meter-Gateway,
4.
die Inhaltsdatenverschlüsselung, Signierung, Absicherung der Kommunikation und Authentifizierung der Datennutzer,
5.
die einzusetzenden kryptographischen Verfahren und
6.
die Architektur der Smart-Metering-Public-Key-Infrastruktur.
Die Technischen Richtlinien haben darüber hinaus die Betriebsprozesse vorzugeben, deren zuverlässige Durchführung vom Smart-Meter-Gateway-Administrator gewährleistet werden muss. Auch haben sie organisatorische Mindestanforderungen an den Smart-Meter-Gateway-Administrator sowie ein entsprechendes Zertifizierungsverfahren zu bestimmen.

(5) Absatz 1 ist nicht für Messsysteme anzuwenden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

(1) Personenbezogene Daten dürfen ausschließlich von den in Absatz 2 genannten Stellen erhoben, verarbeitet und genutzt werden (berechtigte Stellen). Eine Übermittlung, Nutzung oder Beschlagnahme dieser Daten nach anderen Rechtsvorschriften des Bundes oder der Länder ist unzulässig.

(2) Zum Umgang mit diesen Daten sind berechtigt:

1.
Messstellenbetreiber,
2.
Netzbetreiber,
3.
Bilanzkoordinatoren,
4.
Bilanzkreisverantwortliche,
5.
Direktvermarktungsunternehmer nach dem Erneuerbare-Energien-Gesetz,
6.
Energielieferanten sowie
7.
jede Stelle, die über eine Einwilligung des Anschlussnutzers verfügt, die den Anforderungen des § 4a des Bundesdatenschutzgesetzes genügt.

(3) Die berechtigten Stellen können die Erhebung, Verarbeitung und Nutzung auch von personenbezogenen Daten durch einen Dienstleister in ihrem Auftrag durchführen lassen; § 11 des Bundesdatenschutzgesetzes ist einzuhalten und § 43 des Bundesdatenschutzgesetzes ist zu beachten.

(4) Wenn tatsächliche Anhaltspunkte für die rechtswidrige Inanspruchnahme von Messsystemen, intelligenten Messsystemen oder ihren Diensten vorliegen, muss die berechtigte Stelle diese dokumentieren und darf die notwendigen Maßnahmen zur Sicherung ihres Entgeltanspruchs ergreifen.

(5) Die Belieferung mit Energie oder der Zugang zu Tarifen darf nicht von der Angabe personenbezogener Daten abhängig gemacht werden, die hierfür nicht erforderlich sind.

Die Ausstattung von Messstellen mit einem intelligenten Messsystem nach § 29 ist technisch möglich, wenn mindestens drei voneinander unabhängige Unternehmen intelligente Messsysteme am Markt anbieten, die den am Einsatzbereich des Smart-Meter-Gateways orientierten Vorgaben des § 24 Absatz 1 genügen und das Bundesamt für Sicherheit in der Informationstechnik dies feststellt. Die Feststellung nach Satz 1 sowie erforderliche Marktanalysen stellt das Bundesamt für Sicherheit in der Informationstechnik auf seinen Internetseiten 4 bereit.

(1) Grundzuständige Messstellenbetreiber haben, soweit dies nach § 30 technisch möglich und nach § 31 wirtschaftlich vertretbar ist, Messstellen an ortsfesten Zählpunkten mit intelligenten Messsystemen wie folgt auszustatten:

1.
bei Letztverbrauchern mit einem Jahresstromverbrauch über 6 000 Kilowattstunden sowie bei solchen Letztverbrauchern, mit denen eine Vereinbarung nach § 14a des Energiewirtschaftsgesetzes besteht,
2.
bei Anlagenbetreibern mit einer installierten Leistung über 7 Kilowatt.

(2) Grundzuständige Messstellenbetreiber können, soweit dies nach § 30 technisch möglich und nach § 31 wirtschaftlich vertretbar ist, Messstellen an ortsfesten Zählpunkten mit intelligenten Messsystemen ausstatten:

1.
bei Letztverbrauchern mit einem Jahresstromverbrauch bis einschließlich 6 000 Kilowattstunden sowie
2.
von Anlagen mit einer installierten Leistung über 1 bis einschließlich 7 Kilowatt.

(3) Soweit nach diesem Gesetz nicht die Ausstattung einer Messstelle mit intelligenten Messsystemen vorgesehen ist und soweit dies nach § 32 wirtschaftlich vertretbar ist, haben grundzuständige Messstellenbetreiber Messstellen an ortsfesten Zählpunkten bei Letztverbrauchern und Anlagenbetreibern mindestens mit modernen Messeinrichtungen auszustatten. Die Ausstattung hat bis zum Jahr 2032, bei Neubauten und Gebäuden, die einer größeren Renovierung im Sinne der Richtlinie 2010/31/EU des Europäischen Parlaments und des Rates vom 19. Mai 2010 über die Gesamtenergieeffizienz von Gebäuden (ABl. L 153 vom 18.6.2010, S. 13) unterzogen werden, bis zur Fertigstellung des Gebäudes zu erfolgen.

(4) § 21 Absatz 4 sowie § 9 Absatz 3 des Erneuerbare-Energien-Gesetzes sind zu beachten.

(5) Der grundzuständige Messstellenbetreiber genügt den Verpflichtungen aus Absatz 1, wenn er mindestens 95 Prozent der betroffenen Messstellen wie gefordert ausstattet. Dabei ist die Anzahl der nach § 37 Absatz 1 ermittelten Messstellen zu Grunde zu legen.

§ 20 Anbindbarkeit von Messeinrichtungen für Gas an das Smart-Meter-Gateway

(1) Das Smart-Meter-Gateway eines intelligenten Messsystems hat zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität nach dem Stand der Technik folgende Anforderungen zu erfüllen an

1.
die Erhebung, Zeitstempelung, Verarbeitung, Übermittlung, Speicherung und Löschung von Messwerten, damit zusammenhängenden Daten und weiteren über ein intelligentes Messsystem oder Teile davon geleiteten Daten,
2.
den Zugriffsschutz auf die im elektronischen Speicher- und Verarbeitungsmedium abgelegten Messdaten,
3.
die sichere Zeitsynchronisation des Smart-Meter-Gateways mit einer vertrauenswürdigen Zeitquelle im Weitverkehrsnetz und
4.
die Interoperabilität der intelligenten Messsysteme und Teile davon.

(2) Die Einhaltung des Standes der Technik im Sinne von Absatz 1 wird vermutet, wenn die in der Anlage aufgeführten Schutzprofile und Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils geltenden Fassung eingehalten werden. Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik2 bekannt gemacht.

(3) Schutzprofile haben eine gültige Beschreibung von Bedrohungsmodellen und technische Vorgaben zur Gewährleistung von Datenschutz, Datensicherheit und Manipulationsresistenz zu enthalten und dazu Anforderungen an die Funktionalitäten eines Smart-Meter-Gateway zu beschreiben, die insbesondere folgende Mindestanforderungen enthalten

1.
an die Einsatzumgebung, die für die korrekte Funktionsweise der Sicherheitsfunktionen notwendig ist,
2.
an die organisatorischen Sicherheitspolitiken,
3.
zur Gewährleistung der Sicherheitsziele für das Smart-Meter-Gateway und seine Umgebung und
4.
an die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway.

(4) Technische Richtlinien haben technische Anforderungen an die Interoperabilität von intelligenten Messsystemen und einzelnen Teilen oder Komponenten zu beschreiben. Sie müssen insbesondere folgende Mindestanforderungen enthalten an:

1.
die Funktionalitäten des Smart-Meter-Gateway,
2.
die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway,
3.
die Messwertverarbeitung für die Tarifierung und die Netzzustandsdatenerhebung durch das Smart-Meter-Gateway,
4.
die Inhaltsdatenverschlüsselung, Signierung, Absicherung der Kommunikation und Authentifizierung der Datennutzer,
5.
die einzusetzenden kryptographischen Verfahren und
6.
die Architektur der Smart-Metering-Public-Key-Infrastruktur.
Die Technischen Richtlinien haben darüber hinaus die Betriebsprozesse vorzugeben, deren zuverlässige Durchführung vom Smart-Meter-Gateway-Administrator gewährleistet werden muss. Auch haben sie organisatorische Mindestanforderungen an den Smart-Meter-Gateway-Administrator sowie ein entsprechendes Zertifizierungsverfahren zu bestimmen.

(5) Absatz 1 ist nicht für Messsysteme anzuwenden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

§ 21 Mindestanforderungen an intelligente Messsysteme

Betreiber von Elektrizitätsverteilernetzen haben denjenigen Lieferanten und Letztverbrauchern im Bereich der Niederspannung, mit denen sie Netznutzungsverträge abgeschlossen haben, ein reduziertes Netzentgelt zu berechnen, wenn mit ihnen im Gegenzug die netzdienliche Steuerung von steuerbaren Verbrauchseinrichtungen, die über einen separaten Zählpunkt verfügen, vereinbart wird. Als steuerbare Verbrauchseinrichtung im Sinne von Satz 1 gelten auch Elektromobile. Die Bundesregierung wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates die Verpflichtung nach den Sätzen 1 und 2 näher zu konkretisieren, insbesondere einen Rahmen für die Reduzierung von Netzentgelten und die vertragliche Ausgestaltung vorzusehen sowie Steuerungshandlungen zu benennen, die dem Netzbetreiber vorbehalten sind, und Steuerungshandlungen zu benennen, die Dritten, insbesondere dem Lieferanten, vorbehalten sind. Sie hat hierbei die weiteren Anforderungen des Messstellenbetriebsgesetzes an die Ausgestaltung der kommunikativen Einbindung der steuerbaren Verbrauchseinrichtungen zu beachten.

(1) Rechnungen für Energielieferungen an Letztverbraucher müssen einfach und verständlich sein. Die für Forderungen maßgeblichen Berechnungsfaktoren sind vollständig und in allgemein verständlicher Form auszuweisen.

(2) Lieferanten sind verpflichtet, in ihren Rechnungen für Energielieferungen an Letztverbraucher

1.
ihren Namen, ihre ladungsfähige Anschrift und das zuständige Registergericht sowie Angaben, die eine schnelle elektronische Kontaktaufnahme ermöglichen, einschließlich der Adresse der elektronischen Post,
2.
die Vertragsdauer, die geltenden Preise, den nächstmöglichen Kündigungstermin und die Kündigungsfrist,
3.
den zuständigen Messstellenbetreiber sowie die für die Belieferung maßgebliche Zählpunktbezeichnung und die Codenummer des Netzbetreibers,
4.
den ermittelten Verbrauch im Abrechnungszeitraum und bei Haushaltskunden Anfangszählerstand und den Endzählerstand des abgerechneten Zeitraums,
5.
den Verbrauch des vergleichbaren Vorjahreszeitraums,
6.
bei Haushaltskunden unter Verwendung von Grafiken darzustellen, wie sich der eigene Jahresverbrauch zu dem Jahresverbrauch von Vergleichskundengruppen verhält,
7.
die Belastungen aus der Konzessionsabgabe und aus den Netzentgelten für Letztverbraucher und gegebenenfalls darin enthaltene Entgelte für den Messstellenbetrieb und die Messung beim jeweiligen Letztverbraucher sowie
8.
Informationen über die Rechte der Haushaltskunden im Hinblick auf Streitbeilegungsverfahren, die ihnen im Streitfall zur Verfügung stehen, einschließlich der für Verbraucherbeschwerden nach § 111b einzurichtenden Schlichtungsstelle und deren Anschrift sowie die Kontaktdaten des Verbraucherservice der Bundesnetzagentur für den Bereich Elektrizität und Gas
gesondert auszuweisen. Wenn der Lieferant den Letztverbraucher im Vorjahreszeitraum nicht beliefert hat, ist der vormalige Lieferant verpflichtet, den Verbrauch des vergleichbaren Vorjahreszeitraums dem neuen Lieferanten mitzuteilen. Soweit der Lieferant aus Gründen, die er nicht zu vertreten hat, den Verbrauch nicht ermitteln kann, ist der geschätzte Verbrauch anzugeben.

(3) Lieferanten sind verpflichtet, den Energieverbrauch nach ihrer Wahl monatlich oder in anderen Zeitabschnitten, die jedoch zwölf Monate nicht wesentlich überschreiten dürfen, abzurechnen. Lieferanten sind verpflichtet, Letztverbrauchern eine monatliche, vierteljährliche oder halbjährliche Abrechnung anzubieten. Letztverbraucher, deren Verbrauchswerte über ein intelligentes Messsystem im Sinne des Messstellenbetriebsgesetzes ausgelesen werden, ist eine monatliche Verbrauchsinformation, die auch die Kosten widerspiegelt, kostenfrei bereitzustellen.

(4) Lieferanten müssen sicherstellen, dass der Letztverbraucher die Abrechnung nach Absatz 3 spätestens sechs Wochen nach Beendigung des abzurechnenden Zeitraums und die Abschlussrechnung spätestens sechs Wochen nach Beendigung des Lieferverhältnisses erhält.

(5) Lieferanten haben, soweit technisch machbar und wirtschaftlich zumutbar, für Letztverbraucher von Elektrizität einen Tarif anzubieten, der einen Anreiz zu Energieeinsparung oder Steuerung des Energieverbrauchs setzt. Tarife im Sinne von Satz 1 sind insbesondere lastvariable oder tageszeitabhängige Tarife. Lieferanten haben daneben für Haushaltskunden stets mindestens einen Tarif anzubieten, für den die Datenaufzeichnung und -übermittlung auf die Mitteilung der innerhalb eines bestimmten Zeitraums verbrauchten Gesamtstrommenge begrenzt bleibt.

(6) Lieferanten haben für Letztverbraucher die für Forderungen maßgeblichen Berechnungsfaktoren in Rechnungen unter Verwendung standardisierter Begriffe und Definitionen auszuweisen.

(7) Die Bundesnetzagentur kann für Rechnungen für Energielieferungen an Letztverbraucher Entscheidungen über den Mindestinhalt nach den Absätzen 1 bis 5 sowie Näheres zum standardisierten Format nach Absatz 6 durch Festlegung nach § 29 Absatz 1 gegenüber den Lieferanten treffen.

(1) Der Messstellenbetreiber hat auf Verlangen des Anschlussnutzers

1.
diesem Einsicht in die im elektronischen Speicher- und Verarbeitungsmedium gespeicherten auslesbaren Daten zu gewähren und
2.
an diesen personenbezogene Daten kostenfrei weiterzuleiten.

(2) Wird bei einer zum Datenumgang berechtigten Stelle festgestellt, dass gespeicherte Vertrags- oder Nutzungsdaten unrechtmäßig gespeichert, verarbeitet oder übermittelt wurden oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen des betroffenen Anschlussnutzers, ist § 42a des Bundesdatenschutzgesetzes entsprechend anzuwenden.

(1) Die Bundesnetzagentur kann unter Beachtung der mess-, eich- und datenschutzrechtlichen Vorgaben und der Schutzprofile und Technischen Richtlinien nach § 22 Absatz 2 Entscheidungen durch Festlegungen nach § 29 Absatz 1 des Energiewirtschaftsgesetzes treffen

1.
zur Gewährleistung der Fernsteuerbarkeit nach § 21 Absatz 1 Nummer 1 Buchstabe b und zur Gewährleistung der Abrufbarkeit nach § 21 Absatz 1 Nummer 1 Buchstabe c,
2.
zur zeitnahen Übermittlung von Netzzustandsdaten nach § 21 Absatz 1 Nummer 1 Buchstabe d,
3.
zur Konkretisierung der Anforderungen an die Zuverlässigkeit und Leistungsfähigkeit der Kommunikationstechnik nach § 21 Absatz 1 Nummer 3 insbesondere zur Anpassung an neue technologische und marktliche Entwicklungen,
4.
zum maximalen Eigenstromverbrauch nach § 21 Absatz 1 Nummer 5,
5.
zur Konkretisierung der Anforderungen an die Übermittlung von Stammdaten angeschlossener Anlagen in § 21 Absatz 1 Nummer 6,
6.
zum Inhalt und zur Durchführung der Rahmenverträge nach § 25 Absatz 3 Satz 3.

(2) Zur bundesweiten Vereinheitlichung der Bedingungen für den Messstellenbetrieb kann die Bundesnetzagentur Entscheidungen durch Festlegungen nach § 29 Absatz 1 des Energiewirtschaftsgesetzes treffen

1.
zu allgemeinen Anforderungen an den Messstellenbetrieb nach § 3,
2.
zu den näheren Anforderungen an die Erfüllung der Vorgaben zur buchhalterischen Entflechtung aus § 3 Absatz 4,
3.
zu den Inhalten von Messstellenverträgen und Messstellenrahmenverträgen nach den §§ 9 und 10, insbesondere auch zu den bei einem Wechsel des Messstellenbetreibers einzuhaltenden Fristen,
4.
zur Ausgestaltung der Verwaltungspflicht des grundzuständigen Messstellenbetreibers nach § 11,
5.
zur Durchführung des Wechsels des Messstellenbetreibers auf Veranlassung des Anschlussnutzers oder des Anschlussnehmers nach den §§ 5, 6, 9, 10 und 39,
6.
zur Durchführung und Ausgestaltung kombinierter Verträge nach § 9 Absatz 2 und von Rahmenverträgen nach § 9 Absatz 4,
7.
zu Geschäftsprozessen, die bundesweit zur Förderung einer größtmöglichen und sicheren Automatisierung einzuhalten sind,
8.
zur Bestimmung des Übergangszeitraumes und des angemessenen Entgelts im Zusammenhang mit der Regelung des § 17 zum Wechsel des Anschlussnutzers,
9.
zu Regelungen im Zusammenhang mit dem Ausfall des Messstellenbetreibers nach § 18,
10.
zu den Rechten des Netzbetreibers aus § 12 und seinen Pflichten aus § 13,
11.
zur Sicherstellung der einheitlichen Anwendung der Regelungen in den §§ 29 bis 38,
12.
zu den Voraussetzungen, unter denen Betreiber von Übertragungsnetzen nach § 33 Absatz 1 Nummer 1 auch die Ausstattung von Netzübergaben zwischen Netzbetreibern in ihrer jeweiligen Regelzone mit intelligenten Messsystemen verlangen können, einschließlich der Kostenverteilung,
13.
zum Schlüssel für die Kostenverteilung im Falle des § 33 Absatz 1.

Betreiber von Elektrizitätsverteilernetzen haben denjenigen Lieferanten und Letztverbrauchern im Bereich der Niederspannung, mit denen sie Netznutzungsverträge abgeschlossen haben, ein reduziertes Netzentgelt zu berechnen, wenn mit ihnen im Gegenzug die netzdienliche Steuerung von steuerbaren Verbrauchseinrichtungen, die über einen separaten Zählpunkt verfügen, vereinbart wird. Als steuerbare Verbrauchseinrichtung im Sinne von Satz 1 gelten auch Elektromobile. Die Bundesregierung wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates die Verpflichtung nach den Sätzen 1 und 2 näher zu konkretisieren, insbesondere einen Rahmen für die Reduzierung von Netzentgelten und die vertragliche Ausgestaltung vorzusehen sowie Steuerungshandlungen zu benennen, die dem Netzbetreiber vorbehalten sind, und Steuerungshandlungen zu benennen, die Dritten, insbesondere dem Lieferanten, vorbehalten sind. Sie hat hierbei die weiteren Anforderungen des Messstellenbetriebsgesetzes an die Ausgestaltung der kommunikativen Einbindung der steuerbaren Verbrauchseinrichtungen zu beachten.

(1) Grundzuständige Messstellenbetreiber haben, soweit dies nach § 30 technisch möglich und nach § 31 wirtschaftlich vertretbar ist, Messstellen an ortsfesten Zählpunkten mit intelligenten Messsystemen wie folgt auszustatten:

1.
bei Letztverbrauchern mit einem Jahresstromverbrauch über 6 000 Kilowattstunden sowie bei solchen Letztverbrauchern, mit denen eine Vereinbarung nach § 14a des Energiewirtschaftsgesetzes besteht,
2.
bei Anlagenbetreibern mit einer installierten Leistung über 7 Kilowatt.

(2) Grundzuständige Messstellenbetreiber können, soweit dies nach § 30 technisch möglich und nach § 31 wirtschaftlich vertretbar ist, Messstellen an ortsfesten Zählpunkten mit intelligenten Messsystemen ausstatten:

1.
bei Letztverbrauchern mit einem Jahresstromverbrauch bis einschließlich 6 000 Kilowattstunden sowie
2.
von Anlagen mit einer installierten Leistung über 1 bis einschließlich 7 Kilowatt.

(3) Soweit nach diesem Gesetz nicht die Ausstattung einer Messstelle mit intelligenten Messsystemen vorgesehen ist und soweit dies nach § 32 wirtschaftlich vertretbar ist, haben grundzuständige Messstellenbetreiber Messstellen an ortsfesten Zählpunkten bei Letztverbrauchern und Anlagenbetreibern mindestens mit modernen Messeinrichtungen auszustatten. Die Ausstattung hat bis zum Jahr 2032, bei Neubauten und Gebäuden, die einer größeren Renovierung im Sinne der Richtlinie 2010/31/EU des Europäischen Parlaments und des Rates vom 19. Mai 2010 über die Gesamtenergieeffizienz von Gebäuden (ABl. L 153 vom 18.6.2010, S. 13) unterzogen werden, bis zur Fertigstellung des Gebäudes zu erfolgen.

(4) § 21 Absatz 4 sowie § 9 Absatz 3 des Erneuerbare-Energien-Gesetzes sind zu beachten.

(5) Der grundzuständige Messstellenbetreiber genügt den Verpflichtungen aus Absatz 1, wenn er mindestens 95 Prozent der betroffenen Messstellen wie gefordert ausstattet. Dabei ist die Anzahl der nach § 37 Absatz 1 ermittelten Messstellen zu Grunde zu legen.

(1) Zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität haben Messsysteme den Anforderungen der Absätze 2 und 3 zu genügen.

(2) Zur Datenerhebung, -verarbeitung und -nutzung dürfen ausschließlich solche technischen Systeme und Bestandteile eingesetzt werden, die den Anforderungen aus den §§ 21 und 22 genügen.

(3) Messstellen dürfen nur mit solchen Messsystemen ausgestattet werden, bei denen zuvor die Einhaltung der Anforderungen nach den §§ 21 und 22 in einem Zertifizierungsverfahren nach den Vorgaben dieses Gesetzes festgestellt wurde. Das Zertifizierungsverfahren umfasst auch die Verlässlichkeit von außerhalb der Messeinrichtung aufbereiteten Daten, die Sicherheits- und die Interoperabilitätsanforderungen. Zertifikate können befristet, beschränkt oder mit Auflagen versehen werden.

(4) Die nach § 49 berechtigten Stellen haben dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit zu treffen, die insbesondere die Vertraulichkeit und Integrität der Daten sowie die Feststellbarkeit der Identität der übermittelnden und verarbeitenden Stelle gewährleisten. Im Falle der Nutzung allgemein zugänglicher Kommunikationsnetze sind Verschlüsselungsverfahren anzuwenden, die dem jeweiligen Stand der Technik entsprechen.

(5) Messsysteme, die den besonderen Anforderungen aus den Absätzen 2 und 3 nicht entsprechen, dürfen noch bis zu dem Zeitpunkt, zu dem das Bundesamt für Sicherheit in der Informationstechnik nach § 30 die technische Möglichkeit des Einbaus von intelligenten Messsystemen feststellt, mindestens jedoch bis zum 31. Dezember 2016, im Falle des § 48 bis zum 31. Dezember 2020, eingebaut und bis zu acht Jahre ab Einbau genutzt werden,

1.
wenn ihre Nutzung nicht mit unverhältnismäßigen Gefahren verbunden ist und
2.
solange eine Einwilligung des Anschlussnutzers zum Einbau und zur Nutzung eines Messsystems besteht, die er in der Kenntnis erteilt hat, dass das Messsystem nicht den Anforderungen der Absätze 2 und 3 entspricht; Haushaltskunden nach dem Energiewirtschaftsgesetz können die Zustimmung widerrufen.
Solange die Voraussetzungen des Satzes 1 vorliegen, bestehen für die jeweilige Messstelle die Pflichten nach § 29 nicht.

§ 22 Mindestanforderungen an das Smart-Meter-Gateway durch Schutzprofile und Technische Richtlinien

(1) Zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität haben Messsysteme den Anforderungen der Absätze 2 und 3 zu genügen.

(2) Zur Datenerhebung, -verarbeitung und -nutzung dürfen ausschließlich solche technischen Systeme und Bestandteile eingesetzt werden, die den Anforderungen aus den §§ 21 und 22 genügen.

(3) Messstellen dürfen nur mit solchen Messsystemen ausgestattet werden, bei denen zuvor die Einhaltung der Anforderungen nach den §§ 21 und 22 in einem Zertifizierungsverfahren nach den Vorgaben dieses Gesetzes festgestellt wurde. Das Zertifizierungsverfahren umfasst auch die Verlässlichkeit von außerhalb der Messeinrichtung aufbereiteten Daten, die Sicherheits- und die Interoperabilitätsanforderungen. Zertifikate können befristet, beschränkt oder mit Auflagen versehen werden.

(4) Die nach § 49 berechtigten Stellen haben dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit zu treffen, die insbesondere die Vertraulichkeit und Integrität der Daten sowie die Feststellbarkeit der Identität der übermittelnden und verarbeitenden Stelle gewährleisten. Im Falle der Nutzung allgemein zugänglicher Kommunikationsnetze sind Verschlüsselungsverfahren anzuwenden, die dem jeweiligen Stand der Technik entsprechen.

(5) Messsysteme, die den besonderen Anforderungen aus den Absätzen 2 und 3 nicht entsprechen, dürfen noch bis zu dem Zeitpunkt, zu dem das Bundesamt für Sicherheit in der Informationstechnik nach § 30 die technische Möglichkeit des Einbaus von intelligenten Messsystemen feststellt, mindestens jedoch bis zum 31. Dezember 2016, im Falle des § 48 bis zum 31. Dezember 2020, eingebaut und bis zu acht Jahre ab Einbau genutzt werden,

1.
wenn ihre Nutzung nicht mit unverhältnismäßigen Gefahren verbunden ist und
2.
solange eine Einwilligung des Anschlussnutzers zum Einbau und zur Nutzung eines Messsystems besteht, die er in der Kenntnis erteilt hat, dass das Messsystem nicht den Anforderungen der Absätze 2 und 3 entspricht; Haushaltskunden nach dem Energiewirtschaftsgesetz können die Zustimmung widerrufen.
Solange die Voraussetzungen des Satzes 1 vorliegen, bestehen für die jeweilige Messstelle die Pflichten nach § 29 nicht.

§ 23 Sichere Anbindung an das Smart-Meter-Gateway

Betreiber von Elektrizitätsverteilernetzen haben denjenigen Lieferanten und Letztverbrauchern im Bereich der Niederspannung, mit denen sie Netznutzungsverträge abgeschlossen haben, ein reduziertes Netzentgelt zu berechnen, wenn mit ihnen im Gegenzug die netzdienliche Steuerung von steuerbaren Verbrauchseinrichtungen, die über einen separaten Zählpunkt verfügen, vereinbart wird. Als steuerbare Verbrauchseinrichtung im Sinne von Satz 1 gelten auch Elektromobile. Die Bundesregierung wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates die Verpflichtung nach den Sätzen 1 und 2 näher zu konkretisieren, insbesondere einen Rahmen für die Reduzierung von Netzentgelten und die vertragliche Ausgestaltung vorzusehen sowie Steuerungshandlungen zu benennen, die dem Netzbetreiber vorbehalten sind, und Steuerungshandlungen zu benennen, die Dritten, insbesondere dem Lieferanten, vorbehalten sind. Sie hat hierbei die weiteren Anforderungen des Messstellenbetriebsgesetzes an die Ausgestaltung der kommunikativen Einbindung der steuerbaren Verbrauchseinrichtungen zu beachten.

(1) Neue Messeinrichtungen für Gas dürfen nur verbaut werden, wenn sie sicher mit einem Smart-Meter-Gateway verbunden werden können. Die Anbindung an das Smart-Meter-Gateway hat zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität dem in Schutzprofilen und Technischen Richtlinien in der Anlage zu § 22 niedergelegten Stand der Technik zu entsprechen.

(2) Neue Messeinrichtungen für Gas, die den besonderen Anforderungen aus Absatz 1 nicht genügen, dürfen noch bis zum 31. Dezember 2016, solche mit registrierender Leistungsmessung noch bis zum 31. Dezember 2024 eingebaut und jeweils bis zu acht Jahre ab Einbau genutzt werden, wenn ihre Nutzung nicht mit unverhältnismäßigen Gefahren verbunden ist.

(1) Das Smart-Meter-Gateway eines intelligenten Messsystems hat zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität nach dem Stand der Technik folgende Anforderungen zu erfüllen an

1.
die Erhebung, Zeitstempelung, Verarbeitung, Übermittlung, Speicherung und Löschung von Messwerten, damit zusammenhängenden Daten und weiteren über ein intelligentes Messsystem oder Teile davon geleiteten Daten,
2.
den Zugriffsschutz auf die im elektronischen Speicher- und Verarbeitungsmedium abgelegten Messdaten,
3.
die sichere Zeitsynchronisation des Smart-Meter-Gateways mit einer vertrauenswürdigen Zeitquelle im Weitverkehrsnetz und
4.
die Interoperabilität der intelligenten Messsysteme und Teile davon.

(2) Die Einhaltung des Standes der Technik im Sinne von Absatz 1 wird vermutet, wenn die in der Anlage aufgeführten Schutzprofile und Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils geltenden Fassung eingehalten werden. Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik2 bekannt gemacht.

(3) Schutzprofile haben eine gültige Beschreibung von Bedrohungsmodellen und technische Vorgaben zur Gewährleistung von Datenschutz, Datensicherheit und Manipulationsresistenz zu enthalten und dazu Anforderungen an die Funktionalitäten eines Smart-Meter-Gateway zu beschreiben, die insbesondere folgende Mindestanforderungen enthalten

1.
an die Einsatzumgebung, die für die korrekte Funktionsweise der Sicherheitsfunktionen notwendig ist,
2.
an die organisatorischen Sicherheitspolitiken,
3.
zur Gewährleistung der Sicherheitsziele für das Smart-Meter-Gateway und seine Umgebung und
4.
an die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway.

(4) Technische Richtlinien haben technische Anforderungen an die Interoperabilität von intelligenten Messsystemen und einzelnen Teilen oder Komponenten zu beschreiben. Sie müssen insbesondere folgende Mindestanforderungen enthalten an:

1.
die Funktionalitäten des Smart-Meter-Gateway,
2.
die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway,
3.
die Messwertverarbeitung für die Tarifierung und die Netzzustandsdatenerhebung durch das Smart-Meter-Gateway,
4.
die Inhaltsdatenverschlüsselung, Signierung, Absicherung der Kommunikation und Authentifizierung der Datennutzer,
5.
die einzusetzenden kryptographischen Verfahren und
6.
die Architektur der Smart-Metering-Public-Key-Infrastruktur.
Die Technischen Richtlinien haben darüber hinaus die Betriebsprozesse vorzugeben, deren zuverlässige Durchführung vom Smart-Meter-Gateway-Administrator gewährleistet werden muss. Auch haben sie organisatorische Mindestanforderungen an den Smart-Meter-Gateway-Administrator sowie ein entsprechendes Zertifizierungsverfahren zu bestimmen.

(5) Absatz 1 ist nicht für Messsysteme anzuwenden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

(1) Zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität haben Messsysteme den Anforderungen der Absätze 2 und 3 zu genügen.

(2) Zur Datenerhebung, -verarbeitung und -nutzung dürfen ausschließlich solche technischen Systeme und Bestandteile eingesetzt werden, die den Anforderungen aus den §§ 21 und 22 genügen.

(3) Messstellen dürfen nur mit solchen Messsystemen ausgestattet werden, bei denen zuvor die Einhaltung der Anforderungen nach den §§ 21 und 22 in einem Zertifizierungsverfahren nach den Vorgaben dieses Gesetzes festgestellt wurde. Das Zertifizierungsverfahren umfasst auch die Verlässlichkeit von außerhalb der Messeinrichtung aufbereiteten Daten, die Sicherheits- und die Interoperabilitätsanforderungen. Zertifikate können befristet, beschränkt oder mit Auflagen versehen werden.

(4) Die nach § 49 berechtigten Stellen haben dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit zu treffen, die insbesondere die Vertraulichkeit und Integrität der Daten sowie die Feststellbarkeit der Identität der übermittelnden und verarbeitenden Stelle gewährleisten. Im Falle der Nutzung allgemein zugänglicher Kommunikationsnetze sind Verschlüsselungsverfahren anzuwenden, die dem jeweiligen Stand der Technik entsprechen.

(5) Messsysteme, die den besonderen Anforderungen aus den Absätzen 2 und 3 nicht entsprechen, dürfen noch bis zu dem Zeitpunkt, zu dem das Bundesamt für Sicherheit in der Informationstechnik nach § 30 die technische Möglichkeit des Einbaus von intelligenten Messsystemen feststellt, mindestens jedoch bis zum 31. Dezember 2016, im Falle des § 48 bis zum 31. Dezember 2020, eingebaut und bis zu acht Jahre ab Einbau genutzt werden,

1.
wenn ihre Nutzung nicht mit unverhältnismäßigen Gefahren verbunden ist und
2.
solange eine Einwilligung des Anschlussnutzers zum Einbau und zur Nutzung eines Messsystems besteht, die er in der Kenntnis erteilt hat, dass das Messsystem nicht den Anforderungen der Absätze 2 und 3 entspricht; Haushaltskunden nach dem Energiewirtschaftsgesetz können die Zustimmung widerrufen.
Solange die Voraussetzungen des Satzes 1 vorliegen, bestehen für die jeweilige Messstelle die Pflichten nach § 29 nicht.

§ 24 Zertifizierung des Smart-Meter-Gateway

(1) Das Smart-Meter-Gateway eines intelligenten Messsystems hat zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität nach dem Stand der Technik folgende Anforderungen zu erfüllen an

1.
die Erhebung, Zeitstempelung, Verarbeitung, Übermittlung, Speicherung und Löschung von Messwerten, damit zusammenhängenden Daten und weiteren über ein intelligentes Messsystem oder Teile davon geleiteten Daten,
2.
den Zugriffsschutz auf die im elektronischen Speicher- und Verarbeitungsmedium abgelegten Messdaten,
3.
die sichere Zeitsynchronisation des Smart-Meter-Gateways mit einer vertrauenswürdigen Zeitquelle im Weitverkehrsnetz und
4.
die Interoperabilität der intelligenten Messsysteme und Teile davon.

(2) Die Einhaltung des Standes der Technik im Sinne von Absatz 1 wird vermutet, wenn die in der Anlage aufgeführten Schutzprofile und Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils geltenden Fassung eingehalten werden. Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik2 bekannt gemacht.

(3) Schutzprofile haben eine gültige Beschreibung von Bedrohungsmodellen und technische Vorgaben zur Gewährleistung von Datenschutz, Datensicherheit und Manipulationsresistenz zu enthalten und dazu Anforderungen an die Funktionalitäten eines Smart-Meter-Gateway zu beschreiben, die insbesondere folgende Mindestanforderungen enthalten

1.
an die Einsatzumgebung, die für die korrekte Funktionsweise der Sicherheitsfunktionen notwendig ist,
2.
an die organisatorischen Sicherheitspolitiken,
3.
zur Gewährleistung der Sicherheitsziele für das Smart-Meter-Gateway und seine Umgebung und
4.
an die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway.

(4) Technische Richtlinien haben technische Anforderungen an die Interoperabilität von intelligenten Messsystemen und einzelnen Teilen oder Komponenten zu beschreiben. Sie müssen insbesondere folgende Mindestanforderungen enthalten an:

1.
die Funktionalitäten des Smart-Meter-Gateway,
2.
die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway,
3.
die Messwertverarbeitung für die Tarifierung und die Netzzustandsdatenerhebung durch das Smart-Meter-Gateway,
4.
die Inhaltsdatenverschlüsselung, Signierung, Absicherung der Kommunikation und Authentifizierung der Datennutzer,
5.
die einzusetzenden kryptographischen Verfahren und
6.
die Architektur der Smart-Metering-Public-Key-Infrastruktur.
Die Technischen Richtlinien haben darüber hinaus die Betriebsprozesse vorzugeben, deren zuverlässige Durchführung vom Smart-Meter-Gateway-Administrator gewährleistet werden muss. Auch haben sie organisatorische Mindestanforderungen an den Smart-Meter-Gateway-Administrator sowie ein entsprechendes Zertifizierungsverfahren zu bestimmen.

(5) Absatz 1 ist nicht für Messsysteme anzuwenden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

(1) Weitere Schutzprofile und Technische Richtlinien sowie neuere Versionen Technischer Richtlinien und von Schutzprofilen nach § 22 Absatz 2 werden erarbeitet unter Beachtung der Festlegungskompetenz der Bundesnetzagentur nach § 47 durch das Bundesamt für Sicherheit in der Informationstechnik im Einvernehmen mit der Physikalisch-Technischen Bundesanstalt und der Bundesnetzagentur unter Anhörung der oder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit; der Ausschuss Gateway-Standardisierung ist bei wesentlichen Änderungen unter Vorsitz des Bundesministeriums für Wirtschaft und Energie im Anschluss anzuhören.

(2) Dem Ausschuss Gateway-Standardisierung gehören an:

1.
das Bundesministerium für Wirtschaft und Energie,
2.
das Bundesamt für Sicherheit in der Informationstechnik,
3.
die Physikalisch-Technische Bundesanstalt,
4.
die Bundesnetzagentur sowie
5.
je ein Vertreter von mindestens drei auf Bundesebene bestehenden Gesamtverbänden, die jeweils die Interessen von Letztverbrauchern, Herstellern und Anwendern vertreten; die Bestimmung der Verbände nach Satz 3 liegt im Ermessen des Bundesministeriums für Wirtschaft und Energie.
Der Ausschuss wird von der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit beraten.

(3) Das Bundesministerium für Wirtschaft und Energie beruft die Mitglieder des Ausschusses für eine Dauer von drei Jahren. Der Ausschuss Gateway-Standardisierung tagt mindestens einmal im Jahr. Die Mitgliedschaft ist ehrenamtlich.

(4) Die nach Absatz 1 erarbeiteten Schutzprofile und Technischen Richtlinien sind dem Bundesministerium für Wirtschaft und Energie zur Zustimmung vorzulegen. Nach der Zustimmung durch das Bundesministerium für Wirtschaft und Energie erfolgt eine Bekanntgabe der nach Absatz 1 erarbeiteten Schutzprofile und Technischen Richtlinien gemäß § 22 Absatz 2 durch das Bundesamt für Sicherheit in der Informationstechnik.

(1) Das Bundesamt ist nationale Zertifizierungsstelle der Bundesverwaltung für IT-Sicherheit.

(2) Für bestimmte Produkte oder Leistungen kann beim Bundesamt eine Sicherheits- oder Personenzertifizierung oder eine Zertifizierung als IT-Sicherheitsdienstleister beantragt werden. Die Anträge werden in der zeitlichen Reihenfolge ihres Eingangs bearbeitet; hiervon kann abgewichen werden, wenn das Bundesamt wegen der Zahl und des Umfangs anhängiger Prüfungsverfahren eine Prüfung in angemessener Zeit nicht durchführen kann und an der Erteilung eines Zertifikats ein öffentliches Interesse besteht. Der Antragsteller hat dem Bundesamt die Unterlagen vorzulegen und die Auskünfte zu erteilen, deren Kenntnis für die Prüfung und Bewertung des Systems oder der Komponente oder der Eignung der Person sowie für die Erteilung des Zertifikats erforderlich ist.

(3) Die Prüfung und Bewertung kann durch vom Bundesamt anerkannte sachverständige Stellen erfolgen.

(4) Das Sicherheitszertifikat wird erteilt, wenn

1.
informationstechnische Systeme, Komponenten, Produkte oder Schutzprofile den vom Bundesamt festgelegten Kriterien entsprechen und
2.
das Bundesministerium des Innern festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen.

(5) Für die Zertifizierung von Personen und IT-Sicherheitsdienstleistern gilt Absatz 4 entsprechend.

(6) Eine Anerkennung nach Absatz 3 wird erteilt, wenn

1.
die sachliche und personelle Ausstattung sowie die fachliche Qualifikation und Zuverlässigkeit der Konformitätsbewertungsstelle den vom Bundesamt festgelegten Kriterien entspricht und
2.
das Bundesministerium des Innern festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen.
Das Bundesamt stellt durch die notwendigen Maßnahmen sicher, dass das Fortbestehen der Voraussetzungen nach Satz 1 regelmäßig überprüft wird.

(7) Sicherheitszertifikate anderer anerkannter Zertifizierungsstellen aus dem Bereich der Europäischen Union werden vom Bundesamt anerkannt, soweit sie eine den Sicherheitszertifikaten des Bundesamtes gleichwertige Sicherheit ausweisen und die Gleichwertigkeit vom Bundesamt festgestellt worden ist.

(1) Zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität haben Messsysteme den Anforderungen der Absätze 2 und 3 zu genügen.

(2) Zur Datenerhebung, -verarbeitung und -nutzung dürfen ausschließlich solche technischen Systeme und Bestandteile eingesetzt werden, die den Anforderungen aus den §§ 21 und 22 genügen.

(3) Messstellen dürfen nur mit solchen Messsystemen ausgestattet werden, bei denen zuvor die Einhaltung der Anforderungen nach den §§ 21 und 22 in einem Zertifizierungsverfahren nach den Vorgaben dieses Gesetzes festgestellt wurde. Das Zertifizierungsverfahren umfasst auch die Verlässlichkeit von außerhalb der Messeinrichtung aufbereiteten Daten, die Sicherheits- und die Interoperabilitätsanforderungen. Zertifikate können befristet, beschränkt oder mit Auflagen versehen werden.

(4) Die nach § 49 berechtigten Stellen haben dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit zu treffen, die insbesondere die Vertraulichkeit und Integrität der Daten sowie die Feststellbarkeit der Identität der übermittelnden und verarbeitenden Stelle gewährleisten. Im Falle der Nutzung allgemein zugänglicher Kommunikationsnetze sind Verschlüsselungsverfahren anzuwenden, die dem jeweiligen Stand der Technik entsprechen.

(5) Messsysteme, die den besonderen Anforderungen aus den Absätzen 2 und 3 nicht entsprechen, dürfen noch bis zu dem Zeitpunkt, zu dem das Bundesamt für Sicherheit in der Informationstechnik nach § 30 die technische Möglichkeit des Einbaus von intelligenten Messsystemen feststellt, mindestens jedoch bis zum 31. Dezember 2016, im Falle des § 48 bis zum 31. Dezember 2020, eingebaut und bis zu acht Jahre ab Einbau genutzt werden,

1.
wenn ihre Nutzung nicht mit unverhältnismäßigen Gefahren verbunden ist und
2.
solange eine Einwilligung des Anschlussnutzers zum Einbau und zur Nutzung eines Messsystems besteht, die er in der Kenntnis erteilt hat, dass das Messsystem nicht den Anforderungen der Absätze 2 und 3 entspricht; Haushaltskunden nach dem Energiewirtschaftsgesetz können die Zustimmung widerrufen.
Solange die Voraussetzungen des Satzes 1 vorliegen, bestehen für die jeweilige Messstelle die Pflichten nach § 29 nicht.

§ 25 Smart-Meter-Gateway-Administrator; Zertifizierung

(1) Ein intelligentes Messsystem muss

1.
die zuverlässige Erhebung, Verarbeitung, Übermittlung, Protokollierung, Speicherung und Löschung von aus Messeinrichtungen stammenden Messwerten gewährleisten, um
a)
eine Messwertverarbeitung zu Abrechnungszwecken durchführen zu können,
b)
eine Zählerstandsgangmessung bei Letztverbrauchern, von Anlagen im Sinne von § 14a des Energiewirtschaftsgesetzes und von Erzeugungsanlagen nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz durchführen zu können sowie die zuverlässige Administration und Fernsteuerbarkeit dieser Anlagen zu gewährleisten,
c)
die jeweilige Ist-Einspeisung von Erzeugungsanlagen nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz abrufen zu können und
d)
Netzzustandsdaten messen, zeitnah übertragen und Protokolle über Spannungsausfälle mit Datum und Zeit erstellen zu können,
2.
eine Visualisierung des Verbrauchsverhaltens des Letztverbrauchers ermöglichen, um diesem
a)
den tatsächlichen Energieverbrauch sowie Informationen über die tatsächliche Nutzungszeit bereitzustellen,
b)
abrechnungsrelevante Tarifinformationen und zugehörige abrechnungsrelevante Messwerte zur Überprüfung der Abrechnung bereitzustellen,
c)
historische Energieverbrauchswerte entsprechend den Zeiträumen der Abrechnung und Verbrauchsinformationen nach § 40 Absatz 3 des Energiewirtschaftsgesetzes für die drei vorangegangenen Jahre zur Verfügung stellen zu können,
d)
historische tages-, wochen-, monats- und jahresbezogene Energieverbrauchswerte sowie die Zählerstandsgänge für die letzten 24 Monate zur Verfügung stellen zu können und
e)
die Informationen aus § 53 Absatz 1 Nummer 1 zur Verfügung zu stellen,
3.
sichere Verbindungen in Kommunikationsnetzen durchsetzen, um
a)
über eine sichere und leistungsfähige Fernkommunikationstechnik die sichere Administration und Übermittlung von Daten unter Beachtung der mess- und eichrechtlichen und der datenschutzrechtlichen Vorgaben zu ermöglichen, wobei das Smart-Meter-Gateway neben der verwendeten für eine weitere vom Smart-Meter-Gateway-Administrator vermittelte und überwachte zusätzliche, zuverlässige und leistungsfähige Art der Fernkommunikation offen sein muss,
b)
eine interne und externe Tarifierung sowie eine Parametrierung der Tarifierung im Smart-Meter-Gateway durch dessen Administrator unter Beachtung der eich- und datenschutzrechtlichen Vorgaben zu ermöglichen,
c)
einen gesicherten Empfang von Messwerten von Strom-, Gas-, Wasser- und Wärmezählern sowie von Heizwärmemessgeräten zu ermöglichen und
d)
eine gesicherte Anbindung von Erzeugungsanlagen, Anzeigeeinheiten und weiteren lokalen Systemen zu ermöglichen,
4.
ein Smart-Meter-Gateway beinhalten, das
a)
offen für weitere Anwendungen und Dienste ist und dabei über die Möglichkeit zur Priorisierung von bestimmten Anwendungen verfügt, wobei nach Anforderung der Netzbetreiber ausgewählte energiewirtschaftliche und in der Zuständigkeit der Netzbetreiber liegende Messungen und Schaltungen stets und vorrangig ermöglicht werden müssen,
b)
ausschließlich durch den Smart-Meter-Gateway-Administrator konfigurierbar ist und
c)
Software-Aktualisierungen empfangen und verarbeiten kann,
5.
die Grenzen für den maximalen Eigenstromverbrauch für das Smart-Meter-Gateway und andere typischerweise an das intelligente Messsystem angebundene Komponenten einhalten, die von der Bundesnetzagentur nach § 47 Absatz 1 Nummer 4 festgelegt werden und
6.
die Stammdaten angeschlossener Anlagen nach § 14a des Energiewirtschaftsgesetzes sowie nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz übermitteln können.

(2) Die in Absatz 1 Nummer 1 Buchstabe b, c und d sowie Nummer 6 genannten Mindestanforderungen müssen nicht von intelligenten Messsystemen erfüllt werden, die bei Anschlussnutzern eingebaut worden sind oder eingebaut werden, bei denen keine der Voraussetzungen für eine Einbaupflicht von intelligenten Messsystemen nach § 29 gegeben ist.

(3) Die in Absatz 1 genannten Mindestanforderungen müssen mit Ausnahme von Nummer 5 nicht von Messsystemen erfüllt werden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

(4) Befinden sich an einem Netzanschluss mehrere Zählpunkte, können die Anforderungen nach Absatz 1 auch mit nur einem Smart-Meter-Gateway realisiert werden.

(1) Zum Nachweis der Erfüllung der sicherheitstechnischen Anforderungen nach § 22 Absatz 1 und 2 müssen Smart-Meter-Gateways im Rahmen des Zertifizierungsverfahrens nach den Common Criteria durch das Bundesamt für Sicherheit in der Informationstechnik zertifiziert werden. Hersteller von Smart-Meter-Gateways haben dieses Zertifikat dem Smart-Meter-Gateway-Administrator vorzulegen. Der Zeitpunkt der Nachweispflicht zur Interoperabilität wird durch das Bundesamt für Sicherheit in der Informationstechnik festgelegt und nach § 27 im Ausschuss Gateway-Standardisierung bekannt gemacht. Hersteller von Smart-Meter-Gateways haben zu diesem Zeitpunkt das Zertifikat zur Konformität nach der Technischen Richtlinie dem Smart-Meter-Gateway-Administrator vorzulegen.

(2) Für die Zertifizierung sind § 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821) sowie die BSI-Zertifizierungs- und Anerkennungsverordnung vom 17. Dezember 2014 (BGBl. I S. 2231) in der jeweils geltenden Fassung anzuwenden.

(3) Das Bundesamt für Sicherheit in der Informationstechnik hat die Möglichkeit, Zertifikate nach Absatz 1 zeitlich zu befristen, zu beschränken und mit Auflagen zu versehen. Zertifikate ohne technologisch begründete zeitliche Befristung unterliegen einer kontinuierlichen Überwachung der Gültigkeit durch die ausstellende Stelle. Weitergehende Befugnisse nach Absatz 2 bleiben unberührt.

(4) Ohne ein gültiges und gegenüber dem Smart-Meter-Gateway-Administrator nachgewiesenes Zertifikat nach Absatz 1 darf ein Smart-Meter-Gateway nicht als Bestandteil eines intelligenten Messsystems verwendet werden. Dies ist nicht anzuwenden für Messsysteme, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

(1) Zum Nachweis der Erfüllung der sicherheitstechnischen Anforderungen nach § 22 Absatz 1 und 2 müssen Smart-Meter-Gateways im Rahmen des Zertifizierungsverfahrens nach den Common Criteria durch das Bundesamt für Sicherheit in der Informationstechnik zertifiziert werden. Hersteller von Smart-Meter-Gateways haben dieses Zertifikat dem Smart-Meter-Gateway-Administrator vorzulegen. Der Zeitpunkt der Nachweispflicht zur Interoperabilität wird durch das Bundesamt für Sicherheit in der Informationstechnik festgelegt und nach § 27 im Ausschuss Gateway-Standardisierung bekannt gemacht. Hersteller von Smart-Meter-Gateways haben zu diesem Zeitpunkt das Zertifikat zur Konformität nach der Technischen Richtlinie dem Smart-Meter-Gateway-Administrator vorzulegen.

(2) Für die Zertifizierung sind § 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821) sowie die BSI-Zertifizierungs- und Anerkennungsverordnung vom 17. Dezember 2014 (BGBl. I S. 2231) in der jeweils geltenden Fassung anzuwenden.

(3) Das Bundesamt für Sicherheit in der Informationstechnik hat die Möglichkeit, Zertifikate nach Absatz 1 zeitlich zu befristen, zu beschränken und mit Auflagen zu versehen. Zertifikate ohne technologisch begründete zeitliche Befristung unterliegen einer kontinuierlichen Überwachung der Gültigkeit durch die ausstellende Stelle. Weitergehende Befugnisse nach Absatz 2 bleiben unberührt.

(4) Ohne ein gültiges und gegenüber dem Smart-Meter-Gateway-Administrator nachgewiesenes Zertifikat nach Absatz 1 darf ein Smart-Meter-Gateway nicht als Bestandteil eines intelligenten Messsystems verwendet werden. Dies ist nicht anzuwenden für Messsysteme, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

Betreiber von Elektrizitätsverteilernetzen haben denjenigen Lieferanten und Letztverbrauchern im Bereich der Niederspannung, mit denen sie Netznutzungsverträge abgeschlossen haben, ein reduziertes Netzentgelt zu berechnen, wenn mit ihnen im Gegenzug die netzdienliche Steuerung von steuerbaren Verbrauchseinrichtungen, die über einen separaten Zählpunkt verfügen, vereinbart wird. Als steuerbare Verbrauchseinrichtung im Sinne von Satz 1 gelten auch Elektromobile. Die Bundesregierung wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates die Verpflichtung nach den Sätzen 1 und 2 näher zu konkretisieren, insbesondere einen Rahmen für die Reduzierung von Netzentgelten und die vertragliche Ausgestaltung vorzusehen sowie Steuerungshandlungen zu benennen, die dem Netzbetreiber vorbehalten sind, und Steuerungshandlungen zu benennen, die Dritten, insbesondere dem Lieferanten, vorbehalten sind. Sie hat hierbei die weiteren Anforderungen des Messstellenbetriebsgesetzes an die Ausgestaltung der kommunikativen Einbindung der steuerbaren Verbrauchseinrichtungen zu beachten.

(1) Das Smart-Meter-Gateway eines intelligenten Messsystems hat zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität nach dem Stand der Technik folgende Anforderungen zu erfüllen an

1.
die Erhebung, Zeitstempelung, Verarbeitung, Übermittlung, Speicherung und Löschung von Messwerten, damit zusammenhängenden Daten und weiteren über ein intelligentes Messsystem oder Teile davon geleiteten Daten,
2.
den Zugriffsschutz auf die im elektronischen Speicher- und Verarbeitungsmedium abgelegten Messdaten,
3.
die sichere Zeitsynchronisation des Smart-Meter-Gateways mit einer vertrauenswürdigen Zeitquelle im Weitverkehrsnetz und
4.
die Interoperabilität der intelligenten Messsysteme und Teile davon.

(2) Die Einhaltung des Standes der Technik im Sinne von Absatz 1 wird vermutet, wenn die in der Anlage aufgeführten Schutzprofile und Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils geltenden Fassung eingehalten werden. Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik2 bekannt gemacht.

(3) Schutzprofile haben eine gültige Beschreibung von Bedrohungsmodellen und technische Vorgaben zur Gewährleistung von Datenschutz, Datensicherheit und Manipulationsresistenz zu enthalten und dazu Anforderungen an die Funktionalitäten eines Smart-Meter-Gateway zu beschreiben, die insbesondere folgende Mindestanforderungen enthalten

1.
an die Einsatzumgebung, die für die korrekte Funktionsweise der Sicherheitsfunktionen notwendig ist,
2.
an die organisatorischen Sicherheitspolitiken,
3.
zur Gewährleistung der Sicherheitsziele für das Smart-Meter-Gateway und seine Umgebung und
4.
an die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway.

(4) Technische Richtlinien haben technische Anforderungen an die Interoperabilität von intelligenten Messsystemen und einzelnen Teilen oder Komponenten zu beschreiben. Sie müssen insbesondere folgende Mindestanforderungen enthalten an:

1.
die Funktionalitäten des Smart-Meter-Gateway,
2.
die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway,
3.
die Messwertverarbeitung für die Tarifierung und die Netzzustandsdatenerhebung durch das Smart-Meter-Gateway,
4.
die Inhaltsdatenverschlüsselung, Signierung, Absicherung der Kommunikation und Authentifizierung der Datennutzer,
5.
die einzusetzenden kryptographischen Verfahren und
6.
die Architektur der Smart-Metering-Public-Key-Infrastruktur.
Die Technischen Richtlinien haben darüber hinaus die Betriebsprozesse vorzugeben, deren zuverlässige Durchführung vom Smart-Meter-Gateway-Administrator gewährleistet werden muss. Auch haben sie organisatorische Mindestanforderungen an den Smart-Meter-Gateway-Administrator sowie ein entsprechendes Zertifizierungsverfahren zu bestimmen.

(5) Absatz 1 ist nicht für Messsysteme anzuwenden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

(1) Das Smart-Meter-Gateway eines intelligenten Messsystems hat zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität nach dem Stand der Technik folgende Anforderungen zu erfüllen an

1.
die Erhebung, Zeitstempelung, Verarbeitung, Übermittlung, Speicherung und Löschung von Messwerten, damit zusammenhängenden Daten und weiteren über ein intelligentes Messsystem oder Teile davon geleiteten Daten,
2.
den Zugriffsschutz auf die im elektronischen Speicher- und Verarbeitungsmedium abgelegten Messdaten,
3.
die sichere Zeitsynchronisation des Smart-Meter-Gateways mit einer vertrauenswürdigen Zeitquelle im Weitverkehrsnetz und
4.
die Interoperabilität der intelligenten Messsysteme und Teile davon.

(2) Die Einhaltung des Standes der Technik im Sinne von Absatz 1 wird vermutet, wenn die in der Anlage aufgeführten Schutzprofile und Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils geltenden Fassung eingehalten werden. Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik2 bekannt gemacht.

(3) Schutzprofile haben eine gültige Beschreibung von Bedrohungsmodellen und technische Vorgaben zur Gewährleistung von Datenschutz, Datensicherheit und Manipulationsresistenz zu enthalten und dazu Anforderungen an die Funktionalitäten eines Smart-Meter-Gateway zu beschreiben, die insbesondere folgende Mindestanforderungen enthalten

1.
an die Einsatzumgebung, die für die korrekte Funktionsweise der Sicherheitsfunktionen notwendig ist,
2.
an die organisatorischen Sicherheitspolitiken,
3.
zur Gewährleistung der Sicherheitsziele für das Smart-Meter-Gateway und seine Umgebung und
4.
an die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway.

(4) Technische Richtlinien haben technische Anforderungen an die Interoperabilität von intelligenten Messsystemen und einzelnen Teilen oder Komponenten zu beschreiben. Sie müssen insbesondere folgende Mindestanforderungen enthalten an:

1.
die Funktionalitäten des Smart-Meter-Gateway,
2.
die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway,
3.
die Messwertverarbeitung für die Tarifierung und die Netzzustandsdatenerhebung durch das Smart-Meter-Gateway,
4.
die Inhaltsdatenverschlüsselung, Signierung, Absicherung der Kommunikation und Authentifizierung der Datennutzer,
5.
die einzusetzenden kryptographischen Verfahren und
6.
die Architektur der Smart-Metering-Public-Key-Infrastruktur.
Die Technischen Richtlinien haben darüber hinaus die Betriebsprozesse vorzugeben, deren zuverlässige Durchführung vom Smart-Meter-Gateway-Administrator gewährleistet werden muss. Auch haben sie organisatorische Mindestanforderungen an den Smart-Meter-Gateway-Administrator sowie ein entsprechendes Zertifizierungsverfahren zu bestimmen.

(5) Absatz 1 ist nicht für Messsysteme anzuwenden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

(1) Das Smart-Meter-Gateway eines intelligenten Messsystems hat zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität nach dem Stand der Technik folgende Anforderungen zu erfüllen an

1.
die Erhebung, Zeitstempelung, Verarbeitung, Übermittlung, Speicherung und Löschung von Messwerten, damit zusammenhängenden Daten und weiteren über ein intelligentes Messsystem oder Teile davon geleiteten Daten,
2.
den Zugriffsschutz auf die im elektronischen Speicher- und Verarbeitungsmedium abgelegten Messdaten,
3.
die sichere Zeitsynchronisation des Smart-Meter-Gateways mit einer vertrauenswürdigen Zeitquelle im Weitverkehrsnetz und
4.
die Interoperabilität der intelligenten Messsysteme und Teile davon.

(2) Die Einhaltung des Standes der Technik im Sinne von Absatz 1 wird vermutet, wenn die in der Anlage aufgeführten Schutzprofile und Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils geltenden Fassung eingehalten werden. Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik2 bekannt gemacht.

(3) Schutzprofile haben eine gültige Beschreibung von Bedrohungsmodellen und technische Vorgaben zur Gewährleistung von Datenschutz, Datensicherheit und Manipulationsresistenz zu enthalten und dazu Anforderungen an die Funktionalitäten eines Smart-Meter-Gateway zu beschreiben, die insbesondere folgende Mindestanforderungen enthalten

1.
an die Einsatzumgebung, die für die korrekte Funktionsweise der Sicherheitsfunktionen notwendig ist,
2.
an die organisatorischen Sicherheitspolitiken,
3.
zur Gewährleistung der Sicherheitsziele für das Smart-Meter-Gateway und seine Umgebung und
4.
an die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway.

(4) Technische Richtlinien haben technische Anforderungen an die Interoperabilität von intelligenten Messsystemen und einzelnen Teilen oder Komponenten zu beschreiben. Sie müssen insbesondere folgende Mindestanforderungen enthalten an:

1.
die Funktionalitäten des Smart-Meter-Gateway,
2.
die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway,
3.
die Messwertverarbeitung für die Tarifierung und die Netzzustandsdatenerhebung durch das Smart-Meter-Gateway,
4.
die Inhaltsdatenverschlüsselung, Signierung, Absicherung der Kommunikation und Authentifizierung der Datennutzer,
5.
die einzusetzenden kryptographischen Verfahren und
6.
die Architektur der Smart-Metering-Public-Key-Infrastruktur.
Die Technischen Richtlinien haben darüber hinaus die Betriebsprozesse vorzugeben, deren zuverlässige Durchführung vom Smart-Meter-Gateway-Administrator gewährleistet werden muss. Auch haben sie organisatorische Mindestanforderungen an den Smart-Meter-Gateway-Administrator sowie ein entsprechendes Zertifizierungsverfahren zu bestimmen.

(5) Absatz 1 ist nicht für Messsysteme anzuwenden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

(1) Zum Nachweis der Erfüllung der sicherheitstechnischen Anforderungen nach § 22 Absatz 1 und 2 müssen Smart-Meter-Gateways im Rahmen des Zertifizierungsverfahrens nach den Common Criteria durch das Bundesamt für Sicherheit in der Informationstechnik zertifiziert werden. Hersteller von Smart-Meter-Gateways haben dieses Zertifikat dem Smart-Meter-Gateway-Administrator vorzulegen. Der Zeitpunkt der Nachweispflicht zur Interoperabilität wird durch das Bundesamt für Sicherheit in der Informationstechnik festgelegt und nach § 27 im Ausschuss Gateway-Standardisierung bekannt gemacht. Hersteller von Smart-Meter-Gateways haben zu diesem Zeitpunkt das Zertifikat zur Konformität nach der Technischen Richtlinie dem Smart-Meter-Gateway-Administrator vorzulegen.

(2) Für die Zertifizierung sind § 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821) sowie die BSI-Zertifizierungs- und Anerkennungsverordnung vom 17. Dezember 2014 (BGBl. I S. 2231) in der jeweils geltenden Fassung anzuwenden.

(3) Das Bundesamt für Sicherheit in der Informationstechnik hat die Möglichkeit, Zertifikate nach Absatz 1 zeitlich zu befristen, zu beschränken und mit Auflagen zu versehen. Zertifikate ohne technologisch begründete zeitliche Befristung unterliegen einer kontinuierlichen Überwachung der Gültigkeit durch die ausstellende Stelle. Weitergehende Befugnisse nach Absatz 2 bleiben unberührt.

(4) Ohne ein gültiges und gegenüber dem Smart-Meter-Gateway-Administrator nachgewiesenes Zertifikat nach Absatz 1 darf ein Smart-Meter-Gateway nicht als Bestandteil eines intelligenten Messsystems verwendet werden. Dies ist nicht anzuwenden für Messsysteme, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

§ 26 Aufrechterhaltung eines einheitlichen Sicherheitsniveaus

(1) Das Smart-Meter-Gateway eines intelligenten Messsystems hat zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität nach dem Stand der Technik folgende Anforderungen zu erfüllen an

1.
die Erhebung, Zeitstempelung, Verarbeitung, Übermittlung, Speicherung und Löschung von Messwerten, damit zusammenhängenden Daten und weiteren über ein intelligentes Messsystem oder Teile davon geleiteten Daten,
2.
den Zugriffsschutz auf die im elektronischen Speicher- und Verarbeitungsmedium abgelegten Messdaten,
3.
die sichere Zeitsynchronisation des Smart-Meter-Gateways mit einer vertrauenswürdigen Zeitquelle im Weitverkehrsnetz und
4.
die Interoperabilität der intelligenten Messsysteme und Teile davon.

(2) Die Einhaltung des Standes der Technik im Sinne von Absatz 1 wird vermutet, wenn die in der Anlage aufgeführten Schutzprofile und Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils geltenden Fassung eingehalten werden. Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik2 bekannt gemacht.

(3) Schutzprofile haben eine gültige Beschreibung von Bedrohungsmodellen und technische Vorgaben zur Gewährleistung von Datenschutz, Datensicherheit und Manipulationsresistenz zu enthalten und dazu Anforderungen an die Funktionalitäten eines Smart-Meter-Gateway zu beschreiben, die insbesondere folgende Mindestanforderungen enthalten

1.
an die Einsatzumgebung, die für die korrekte Funktionsweise der Sicherheitsfunktionen notwendig ist,
2.
an die organisatorischen Sicherheitspolitiken,
3.
zur Gewährleistung der Sicherheitsziele für das Smart-Meter-Gateway und seine Umgebung und
4.
an die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway.

(4) Technische Richtlinien haben technische Anforderungen an die Interoperabilität von intelligenten Messsystemen und einzelnen Teilen oder Komponenten zu beschreiben. Sie müssen insbesondere folgende Mindestanforderungen enthalten an:

1.
die Funktionalitäten des Smart-Meter-Gateway,
2.
die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway,
3.
die Messwertverarbeitung für die Tarifierung und die Netzzustandsdatenerhebung durch das Smart-Meter-Gateway,
4.
die Inhaltsdatenverschlüsselung, Signierung, Absicherung der Kommunikation und Authentifizierung der Datennutzer,
5.
die einzusetzenden kryptographischen Verfahren und
6.
die Architektur der Smart-Metering-Public-Key-Infrastruktur.
Die Technischen Richtlinien haben darüber hinaus die Betriebsprozesse vorzugeben, deren zuverlässige Durchführung vom Smart-Meter-Gateway-Administrator gewährleistet werden muss. Auch haben sie organisatorische Mindestanforderungen an den Smart-Meter-Gateway-Administrator sowie ein entsprechendes Zertifizierungsverfahren zu bestimmen.

(5) Absatz 1 ist nicht für Messsysteme anzuwenden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

(1) Das Smart-Meter-Gateway eines intelligenten Messsystems hat zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität nach dem Stand der Technik folgende Anforderungen zu erfüllen an

1.
die Erhebung, Zeitstempelung, Verarbeitung, Übermittlung, Speicherung und Löschung von Messwerten, damit zusammenhängenden Daten und weiteren über ein intelligentes Messsystem oder Teile davon geleiteten Daten,
2.
den Zugriffsschutz auf die im elektronischen Speicher- und Verarbeitungsmedium abgelegten Messdaten,
3.
die sichere Zeitsynchronisation des Smart-Meter-Gateways mit einer vertrauenswürdigen Zeitquelle im Weitverkehrsnetz und
4.
die Interoperabilität der intelligenten Messsysteme und Teile davon.

(2) Die Einhaltung des Standes der Technik im Sinne von Absatz 1 wird vermutet, wenn die in der Anlage aufgeführten Schutzprofile und Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils geltenden Fassung eingehalten werden. Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik2 bekannt gemacht.

(3) Schutzprofile haben eine gültige Beschreibung von Bedrohungsmodellen und technische Vorgaben zur Gewährleistung von Datenschutz, Datensicherheit und Manipulationsresistenz zu enthalten und dazu Anforderungen an die Funktionalitäten eines Smart-Meter-Gateway zu beschreiben, die insbesondere folgende Mindestanforderungen enthalten

1.
an die Einsatzumgebung, die für die korrekte Funktionsweise der Sicherheitsfunktionen notwendig ist,
2.
an die organisatorischen Sicherheitspolitiken,
3.
zur Gewährleistung der Sicherheitsziele für das Smart-Meter-Gateway und seine Umgebung und
4.
an die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway.

(4) Technische Richtlinien haben technische Anforderungen an die Interoperabilität von intelligenten Messsystemen und einzelnen Teilen oder Komponenten zu beschreiben. Sie müssen insbesondere folgende Mindestanforderungen enthalten an:

1.
die Funktionalitäten des Smart-Meter-Gateway,
2.
die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway,
3.
die Messwertverarbeitung für die Tarifierung und die Netzzustandsdatenerhebung durch das Smart-Meter-Gateway,
4.
die Inhaltsdatenverschlüsselung, Signierung, Absicherung der Kommunikation und Authentifizierung der Datennutzer,
5.
die einzusetzenden kryptographischen Verfahren und
6.
die Architektur der Smart-Metering-Public-Key-Infrastruktur.
Die Technischen Richtlinien haben darüber hinaus die Betriebsprozesse vorzugeben, deren zuverlässige Durchführung vom Smart-Meter-Gateway-Administrator gewährleistet werden muss. Auch haben sie organisatorische Mindestanforderungen an den Smart-Meter-Gateway-Administrator sowie ein entsprechendes Zertifizierungsverfahren zu bestimmen.

(5) Absatz 1 ist nicht für Messsysteme anzuwenden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

(1) Weitere Schutzprofile und Technische Richtlinien sowie neuere Versionen Technischer Richtlinien und von Schutzprofilen nach § 22 Absatz 2 werden erarbeitet unter Beachtung der Festlegungskompetenz der Bundesnetzagentur nach § 47 durch das Bundesamt für Sicherheit in der Informationstechnik im Einvernehmen mit der Physikalisch-Technischen Bundesanstalt und der Bundesnetzagentur unter Anhörung der oder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit; der Ausschuss Gateway-Standardisierung ist bei wesentlichen Änderungen unter Vorsitz des Bundesministeriums für Wirtschaft und Energie im Anschluss anzuhören.

(2) Dem Ausschuss Gateway-Standardisierung gehören an:

1.
das Bundesministerium für Wirtschaft und Energie,
2.
das Bundesamt für Sicherheit in der Informationstechnik,
3.
die Physikalisch-Technische Bundesanstalt,
4.
die Bundesnetzagentur sowie
5.
je ein Vertreter von mindestens drei auf Bundesebene bestehenden Gesamtverbänden, die jeweils die Interessen von Letztverbrauchern, Herstellern und Anwendern vertreten; die Bestimmung der Verbände nach Satz 3 liegt im Ermessen des Bundesministeriums für Wirtschaft und Energie.
Der Ausschuss wird von der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit beraten.

(3) Das Bundesministerium für Wirtschaft und Energie beruft die Mitglieder des Ausschusses für eine Dauer von drei Jahren. Der Ausschuss Gateway-Standardisierung tagt mindestens einmal im Jahr. Die Mitgliedschaft ist ehrenamtlich.

(4) Die nach Absatz 1 erarbeiteten Schutzprofile und Technischen Richtlinien sind dem Bundesministerium für Wirtschaft und Energie zur Zustimmung vorzulegen. Nach der Zustimmung durch das Bundesministerium für Wirtschaft und Energie erfolgt eine Bekanntgabe der nach Absatz 1 erarbeiteten Schutzprofile und Technischen Richtlinien gemäß § 22 Absatz 2 durch das Bundesamt für Sicherheit in der Informationstechnik.

§ 27 Weiterentwicklung von Schutzprofilen und Technischen Richtlinien; Ausschuss Gateway-Standardisierung

(1) Das Smart-Meter-Gateway eines intelligenten Messsystems hat zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität nach dem Stand der Technik folgende Anforderungen zu erfüllen an

1.
die Erhebung, Zeitstempelung, Verarbeitung, Übermittlung, Speicherung und Löschung von Messwerten, damit zusammenhängenden Daten und weiteren über ein intelligentes Messsystem oder Teile davon geleiteten Daten,
2.
den Zugriffsschutz auf die im elektronischen Speicher- und Verarbeitungsmedium abgelegten Messdaten,
3.
die sichere Zeitsynchronisation des Smart-Meter-Gateways mit einer vertrauenswürdigen Zeitquelle im Weitverkehrsnetz und
4.
die Interoperabilität der intelligenten Messsysteme und Teile davon.

(2) Die Einhaltung des Standes der Technik im Sinne von Absatz 1 wird vermutet, wenn die in der Anlage aufgeführten Schutzprofile und Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils geltenden Fassung eingehalten werden. Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik2 bekannt gemacht.

(3) Schutzprofile haben eine gültige Beschreibung von Bedrohungsmodellen und technische Vorgaben zur Gewährleistung von Datenschutz, Datensicherheit und Manipulationsresistenz zu enthalten und dazu Anforderungen an die Funktionalitäten eines Smart-Meter-Gateway zu beschreiben, die insbesondere folgende Mindestanforderungen enthalten

1.
an die Einsatzumgebung, die für die korrekte Funktionsweise der Sicherheitsfunktionen notwendig ist,
2.
an die organisatorischen Sicherheitspolitiken,
3.
zur Gewährleistung der Sicherheitsziele für das Smart-Meter-Gateway und seine Umgebung und
4.
an die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway.

(4) Technische Richtlinien haben technische Anforderungen an die Interoperabilität von intelligenten Messsystemen und einzelnen Teilen oder Komponenten zu beschreiben. Sie müssen insbesondere folgende Mindestanforderungen enthalten an:

1.
die Funktionalitäten des Smart-Meter-Gateway,
2.
die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway,
3.
die Messwertverarbeitung für die Tarifierung und die Netzzustandsdatenerhebung durch das Smart-Meter-Gateway,
4.
die Inhaltsdatenverschlüsselung, Signierung, Absicherung der Kommunikation und Authentifizierung der Datennutzer,
5.
die einzusetzenden kryptographischen Verfahren und
6.
die Architektur der Smart-Metering-Public-Key-Infrastruktur.
Die Technischen Richtlinien haben darüber hinaus die Betriebsprozesse vorzugeben, deren zuverlässige Durchführung vom Smart-Meter-Gateway-Administrator gewährleistet werden muss. Auch haben sie organisatorische Mindestanforderungen an den Smart-Meter-Gateway-Administrator sowie ein entsprechendes Zertifizierungsverfahren zu bestimmen.

(5) Absatz 1 ist nicht für Messsysteme anzuwenden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.

(1) Die Bundesnetzagentur kann unter Beachtung der mess-, eich- und datenschutzrechtlichen Vorgaben und der Schutzprofile und Technischen Richtlinien nach § 22 Absatz 2 Entscheidungen durch Festlegungen nach § 29 Absatz 1 des Energiewirtschaftsgesetzes treffen

1.
zur Gewährleistung der Fernsteuerbarkeit nach § 21 Absatz 1 Nummer 1 Buchstabe b und zur Gewährleistung der Abrufbarkeit nach § 21 Absatz 1 Nummer 1 Buchstabe c,
2.
zur zeitnahen Übermittlung von Netzzustandsdaten nach § 21 Absatz 1 Nummer 1 Buchstabe d,
3.
zur Konkretisierung der Anforderungen an die Zuverlässigkeit und Leistungsfähigkeit der Kommunikationstechnik nach § 21 Absatz 1 Nummer 3 insbesondere zur Anpassung an neue technologische und marktliche Entwicklungen,
4.
zum maximalen Eigenstromverbrauch nach § 21 Absatz 1 Nummer 5,
5.
zur Konkretisierung der Anforderungen an die Übermittlung von Stammdaten angeschlossener Anlagen in § 21 Absatz 1 Nummer 6,
6.
zum Inhalt und zur Durchführung der Rahmenverträge nach § 25 Absatz 3 Satz 3.

(2) Zur bundesweiten Vereinheitlichung der Bedingungen für den Messstellenbetrieb kann die Bundesnetzagentur Entscheidungen durch Festlegungen nach § 29 Absatz 1 des Energiewirtschaftsgesetzes treffen

1.
zu allgemeinen Anforderungen an den Messstellenbetrieb nach § 3,
2.
zu den näheren Anforderungen an die Erfüllung der Vorgaben zur buchhalterischen Entflechtung aus § 3 Absatz 4,
3.
zu den Inhalten von Messstellenverträgen und Messstellenrahmenverträgen nach den §§ 9 und 10, insbesondere auch zu den bei einem Wechsel des Messstellenbetreibers einzuhaltenden Fristen,
4.
zur Ausgestaltung der Verwaltungspflicht des grundzuständigen Messstellenbetreibers nach § 11,
5.
zur Durchführung des Wechsels des Messstellenbetreibers auf Veranlassung des Anschlussnutzers oder des Anschlussnehmers nach den §§ 5, 6, 9, 10 und 39,
6.
zur Durchführung und Ausgestaltung kombinierter Verträge nach § 9 Absatz 2 und von Rahmenverträgen nach § 9 Absatz 4,
7.
zu Geschäftsprozessen, die bundesweit zur Förderung einer größtmöglichen und sicheren Automatisierung einzuhalten sind,
8.
zur Bestimmung des Übergangszeitraumes und des angemessenen Entgelts im Zusammenhang mit der Regelung des § 17 zum Wechsel des Anschlussnutzers,
9.
zu Regelungen im Zusammenhang mit dem Ausfall des Messstellenbetreibers nach § 18,
10.
zu den Rechten des Netzbetreibers aus § 12 und seinen Pflichten aus § 13,
11.
zur Sicherstellung der einheitlichen Anwendung der Regelungen in den §§ 29 bis 38,
12.
zu den Voraussetzungen, unter denen Betreiber von Übertragungsnetzen nach § 33 Absatz 1 Nummer 1 auch die Ausstattung von Netzübergaben zwischen Netzbetreibern in ihrer jeweiligen Regelzone mit intelligenten Messsystemen verlangen können, einschließlich der Kostenverteilung,
13.
zum Schlüssel für die Kostenverteilung im Falle des § 33 Absatz 1.

(1) Das Smart-Meter-Gateway eines intelligenten Messsystems hat zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität nach dem Stand der Technik folgende Anforderungen zu erfüllen an

1.
die Erhebung, Zeitstempelung, Verarbeitung, Übermittlung, Speicherung und Löschung von Messwerten, damit zusammenhängenden Daten und weiteren über ein intelligentes Messsystem oder Teile davon geleiteten Daten,
2.
den Zugriffsschutz auf die im elektronischen Speicher- und Verarbeitungsmedium abgelegten Messdaten,
3.
die sichere Zeitsynchronisation des Smart-Meter-Gateways mit einer vertrauenswürdigen Zeitquelle im Weitverkehrsnetz und
4.
die Interoperabilität der intelligenten Messsysteme und Teile davon.

(2) Die Einhaltung des Standes der Technik im Sinne von Absatz 1 wird vermutet, wenn die in der Anlage aufgeführten Schutzprofile und Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils geltenden Fassung eingehalten werden. Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik2 bekannt gemacht.

(3) Schutzprofile haben eine gültige Beschreibung von Bedrohungsmodellen und technische Vorgaben zur Gewährleistung von Datenschutz, Datensicherheit und Manipulationsresistenz zu enthalten und dazu Anforderungen an die Funktionalitäten eines Smart-Meter-Gateway zu beschreiben, die insbesondere folgende Mindestanforderungen enthalten

1.
an die Einsatzumgebung, die für die korrekte Funktionsweise der Sicherheitsfunktionen notwendig ist,
2.
an die organisatorischen Sicherheitspolitiken,
3.
zur Gewährleistung der Sicherheitsziele für das Smart-Meter-Gateway und seine Umgebung und
4.
an die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway.

(4) Technische Richtlinien haben technische Anforderungen an die Interoperabilität von intelligenten Messsystemen und einzelnen Teilen oder Komponenten zu beschreiben. Sie müssen insbesondere folgende Mindestanforderungen enthalten an:

1.
die Funktionalitäten des Smart-Meter-Gateway,
2.
die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway,
3.
die Messwertverarbeitung für die Tarifierung und die Netzzustandsdatenerhebung durch das Smart-Meter-Gateway,
4.
die Inhaltsdatenverschlüsselung, Signierung, Absicherung der Kommunikation und Authentifizierung der Datennutzer,
5.
die einzusetzenden kryptographischen Verfahren und
6.
die Architektur der Smart-Metering-Public-Key-Infrastruktur.
Die Technischen Richtlinien haben darüber hinaus die Betriebsprozesse vorzugeben, deren zuverlässige Durchführung vom Smart-Meter-Gateway-Administrator gewährleistet werden muss. Auch haben sie organisatorische Mindestanforderungen an den Smart-Meter-Gateway-Administrator sowie ein entsprechendes Zertifizierungsverfahren zu bestimmen.

(5) Absatz 1 ist nicht für Messsysteme anzuwenden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können.