Bundesrecht - tagaktuell konsolidiert - alle Fassungen seit 2006
Vorschriftensuche
 

Kapitel 3 - Messstellenbetriebsgesetz (MsbG)

Artikel 1 G. v. 29.08.2016 BGBl. I S. 2034 (Nr. 43); zuletzt geändert durch Artikel 10 G. v. 16.07.2021 BGBl. I S. 3026
Geltung ab 02.09.2016; FNA: 752-10 Elektrizität und Gas
6 frühere Fassungen | Drucksachen / Entwurf / Begründung | wird in 68 Vorschriften zitiert

Teil 2 Messstellenbetrieb

Kapitel 3 Technische Vorgaben zur Gewährleistung von Datenschutz und Datensicherheit beim Einsatz von Smart-Meter-Gateways

§ 19 Allgemeine Anforderungen an Messsysteme



(1) Zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität haben Messsysteme den Anforderungen der Absätze 2 und 3 zu genügen.

(2) Zur Datenverarbeitung dürfen ausschließlich solche technischen Systeme und Bestandteile eingesetzt werden, die den Anforderungen aus den §§ 21 und 22 genügen.

(3) 1Messstellen dürfen nur mit solchen Messsystemen ausgestattet werden, bei denen zuvor die Einhaltung der Anforderungen nach den §§ 21 und 22 in einem Zertifizierungsverfahren nach den Vorgaben dieses Gesetzes festgestellt wurde. 2Das Zertifizierungsverfahren umfasst auch die Verlässlichkeit von außerhalb der Messeinrichtung aufbereiteten Daten, die Sicherheits- und die Interoperabilitätsanforderungen. 3Zertifikate können befristet, beschränkt oder mit Auflagen versehen werden.

(4) 1Die nach § 49 berechtigten Stellen haben dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit zu treffen, die insbesondere die Vertraulichkeit und Integrität der Daten sowie die Feststellbarkeit der Identität der übermittelnden und verarbeitenden Stelle gewährleisten. 2Im Falle der Nutzung allgemein zugänglicher Kommunikationsnetze sind Verschlüsselungsverfahren anzuwenden, die dem jeweiligen Stand der Technik entsprechen.

(5) 1Messsysteme, die den besonderen Anforderungen aus den Absätzen 2 und 3 nicht entsprechen, dürfen noch bis zu dem Zeitpunkt, zu dem das Bundesamt für Sicherheit in der Informationstechnik nach § 30 die technische Möglichkeit des Einbaus von intelligenten Messsystemen feststellt, mindestens jedoch bis zum 31. Dezember 2016, im Falle des § 48 bis zum 31. Dezember 2020, eingebaut und bis zu acht Jahre ab Einbau genutzt werden,

1.
wenn ihre Nutzung nicht mit unverhältnismäßigen Gefahren verbunden ist und

2.
solange eine Einwilligung des Anschlussnutzers zum Einbau und zur Nutzung eines Messsystems besteht, die er in der Kenntnis erteilt hat, dass das Messsystem nicht den Anforderungen der Absätze 2 und 3 entspricht; Haushaltskunden nach dem Energiewirtschaftsgesetz können die Zustimmung widerrufen.

2Solange die Voraussetzungen des Satzes 1 vorliegen, bestehen für die jeweilige Messstelle die Pflichten nach § 29 nicht.

(6) 1Intelligente Messsysteme, die aufgrund einer Feststellung des Bundesamtes für Sicherheit in der Informationstechnik nach § 30 Satz 1 eingebaut worden sind oder eingebaut werden, dürfen, wenn sich die Feststellung nachträglich als rechtswidrig oder nichtig erweist oder aufgehoben wird, weitergenutzt oder neu eingebaut werden, soweit das Bundesamt für Sicherheit in der Informationstechnik unverzüglich feststellt,

1.
dass eine Nutzung der betroffenen intelligenten Messsysteme nicht mit unverhältnismäßigen Gefahren verbunden ist und

2.
die betroffenen intelligenten Messsysteme entweder über gültige Zertifikate nach § 24 Absatz 4 verfügen oder zu erwarten ist, dass für die betroffenen intelligenten Messsysteme gültige Zertifikate nach § 24 Absatz 4 innerhalb von zwölf Monaten vorliegen werden.

2Sollten nach zwölf Monaten ab Feststellung nach Satz 1 Nummer 1 und 2 nicht alle Zertifikate gültig vorliegen, muss der weitere Einbau solange unterbleiben, bis alle gültigen Zertifikate vorliegen und das Bundesamt für Sicherheit in der Informationstechnik im erforderlichen Umfang eine neue Feststellung nach § 30 Satz 1 getroffen hat. 3Die Feststellung nach Satz 1 Nummer 1 und 2 stellt das Bundesamt für Sicherheit in der Informationstechnik auf seinen Internetseiten bereit1.


---
1
www.bsi.bund.de.




§ 20 Anbindbarkeit von Messeinrichtungen für Gas an das Smart-Meter-Gateway



(1) 1Neue Messeinrichtungen für Gas dürfen nur verbaut werden, wenn sie sicher mit einem Smart-Meter-Gateway verbunden werden können. 2Die Anbindung an das Smart-Meter-Gateway hat zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität dem in Schutzprofilen und Technischen Richtlinien in der Anlage zu § 22 niedergelegten Stand der Technik zu entsprechen.

(2) Neue Messeinrichtungen für Gas, die den besonderen Anforderungen aus Absatz 1 nicht genügen, dürfen noch bis zum 31. Dezember 2016, solche mit registrierender Leistungsmessung noch bis zum 31. Dezember 2024 eingebaut und jeweils bis zu acht Jahre ab Einbau genutzt werden, wenn ihre Nutzung nicht mit unverhältnismäßigen Gefahren verbunden ist.


§ 21 Mindestanforderungen an intelligente Messsysteme



(1) Ein intelligentes Messsystem muss nach dem Stand der Technik nach Maßgabe des § 22

1.
die zuverlässige Verarbeitung, insbesondere Erhebung, Übermittlung, Protokollierung, Speicherung und Löschung, von aus Messeinrichtungen stammenden Messwerten gewährleisten, um

a)
eine Messwertverarbeitung zu Abrechnungszwecken durchführen zu können,

b)
eine Zählerstandsgangmessung bei Letztverbrauchern, von Anlagen im Sinne von § 14a des Energiewirtschaftsgesetzes und von Erzeugungsanlagen nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz durchführen zu können sowie die zuverlässige Administration und Fernsteuerbarkeit dieser Anlagen zu gewährleisten,

c)
die jeweilige Ist-Einspeisung von Erzeugungsanlagen nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz abrufen zu können und

d)
Netzzustandsdaten messen, zeitnah übertragen und Protokolle über Spannungsausfälle mit Datum und Zeit erstellen zu können,

2.
eine Visualisierung des Verbrauchsverhaltens des Letztverbrauchers ermöglichen, um diesem

a)
den tatsächlichen Energieverbrauch sowie Informationen über die tatsächliche Nutzungszeit bereitzustellen,

b)
abrechnungsrelevante Tarifinformationen und zugehörige abrechnungsrelevante Messwerte zur Überprüfung der Abrechnung bereitzustellen,

c)
historische Energieverbrauchswerte entsprechend den Zeiträumen der Abrechnung und Verbrauchsinformationen nach § 40 Absatz 3 des Energiewirtschaftsgesetzes für die drei vorangegangenen Jahre zur Verfügung stellen zu können,

d)
historische tages-, wochen-, monats- und jahresbezogene Energieverbrauchswerte sowie die Zählerstandsgänge für die letzten 24 Monate zur Verfügung stellen zu können und

e)
die Informationen aus § 53 Absatz 1 Nummer 1 zur Verfügung zu stellen,

3.
sichere Verbindungen in Kommunikationsnetzen durchsetzen, um

a)
über eine sichere und leistungsfähige Fernkommunikationstechnik die sichere Administration und Übermittlung von Daten unter Beachtung der mess- und eichrechtlichen und der datenschutzrechtlichen Vorgaben zu ermöglichen, wobei das Smart-Meter-Gateway neben der verwendeten für eine weitere vom Smart-Meter-Gateway-Administrator vermittelte und überwachte zusätzliche, zuverlässige und leistungsfähige Art der Fernkommunikation offen sein muss,

b)
eine interne und externe Tarifierung sowie eine Parametrierung der Tarifierung im Smart-Meter-Gateway durch dessen Administrator unter Beachtung der eich- und datenschutzrechtlichen Vorgaben zu ermöglichen,

c)
einen gesicherten Empfang von Messwerten von Strom-, Gas-, Wasser- und Wärmezählern sowie von Heizwärmemessgeräten zu ermöglichen und

d)
eine gesicherte Anbindung von Erzeugungsanlagen, Anzeigeeinheiten und weiteren lokalen Systemen zu ermöglichen,

4.
ein Smart-Meter-Gateway beinhalten, das

a)
offen für weitere Anwendungen und Dienste ist und dabei über die Möglichkeit zur Priorisierung von bestimmten Anwendungen verfügt, wobei nach Anforderung der Netzbetreiber ausgewählte energiewirtschaftliche und in der Zuständigkeit der Netzbetreiber liegende Messungen und Schaltungen stets, vorrangig und ausschließlich durch den Smart-Meter-Gateway-Administrator über das Smart-Meter-Gateway ermöglicht werden müssen,

b)
ausschließlich durch den Smart-Meter-Gateway-Administrator konfigurierbar ist und

c)
Software-Aktualisierungen empfangen und verarbeiten kann,

5.
die Grenzen für den maximalen Eigenstromverbrauch für das Smart-Meter-Gateway und andere typischerweise an das intelligente Messsystem angebundene Komponenten einhalten, die von der Bundesnetzagentur nach § 47 Absatz 1 Nummer 4 festgelegt werden und

6.
die Stammdaten angeschlossener Anlagen nach § 14a des Energiewirtschaftsgesetzes sowie nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz übermitteln können.

(2) Die in Absatz 1 Nummer 1 Buchstabe b, c und d sowie Nummer 6 genannten Mindestanforderungen müssen nicht von intelligenten Messsystemen erfüllt werden, die bei Anschlussnutzern eingebaut worden sind oder eingebaut werden, bei denen keine der Voraussetzungen für eine Einbaupflicht von intelligenten Messsystemen nach § 29 gegeben ist.

(3) Die in Absatz 1 genannten Mindestanforderungen müssen mit Ausnahme von Nummer 5 nicht von Messsystemen erfüllt werden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können, dabei ist § 19 Absatz 6 zu beachten.

(4) Befinden sich an einem Netzanschluss mehrere Zählpunkte, können die Anforderungen nach Absatz 1 auch mit nur einem Smart-Meter-Gateway realisiert werden.




§ 22 Mindestanforderungen an das Smart-Meter-Gateway durch Schutzprofile und Technische Richtlinien



(1) Das Smart-Meter-Gateway eines intelligenten Messsystems hat zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität nach dem Stand der Technik folgende Anforderungen zu erfüllen an

1.
die Verarbeitung, insbesondere Erhebung, Zeitstempelung, Übermittlung, Speicherung und Löschung, von Messwerten, damit zusammenhängenden Daten und weiteren über ein intelligentes Messsystem oder Teile davon geleiteten Daten,

2.
den Zugriffsschutz auf die im elektronischen Speicher- und Verarbeitungsmedium abgelegten Messdaten,

3.
die sichere Zeitsynchronisation des Smart-Meter-Gateways mit einer vertrauenswürdigen Zeitquelle im Weitverkehrsnetz und

4.
die Interoperabilität der intelligenten Messsysteme und Teile davon.

(2) 1Die Einhaltung des Standes der Technik im Sinne von Absatz 1 wird vermutet, wenn die in der Anlage aufgeführten Schutzprofile und Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik oder deren Weiterentwicklungen *) jeweils in der geltenden Fassung eingehalten werden. 2Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik2 bekannt gemacht.

(3) Schutzprofile haben eine gültige Beschreibung von Bedrohungsmodellen und technische Vorgaben zur Gewährleistung von Datenschutz, Datensicherheit und Manipulationsresistenz zu enthalten und dazu Anforderungen an die Funktionalitäten eines Smart-Meter-Gateway zu beschreiben, die insbesondere folgende Mindestanforderungen enthalten

1.
an die Einsatzumgebung, die für die korrekte Funktionsweise der Sicherheitsfunktionen notwendig ist,

2.
an die organisatorischen Sicherheitspolitiken,

3.
zur Gewährleistung der Sicherheitsziele für das Smart-Meter-Gateway und seine Umgebung und

4.
an die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway.

(4) 1Technische Richtlinien haben technische Anforderungen an die Interoperabilität von intelligenten Messsystemen und einzelnen Teilen oder Komponenten zu beschreiben. 2Sie müssen insbesondere folgende Mindestanforderungen enthalten an:

1.
die Funktionalitäten des Smart-Meter-Gateway,

2.
die Kommunikationsverbindungen und Protokolle des Smart-Meter-Gateway,

3.
die Messwertverarbeitung für die Tarifierung und die Netzzustandsdatenerhebung durch das Smart-Meter-Gateway,

4.
die Inhaltsdatenverschlüsselung, Signierung, Absicherung der Kommunikation und Authentifizierung der Datennutzer,

5.
die einzusetzenden kryptographischen Verfahren und

6.
die Architektur der Smart-Metering-Public-Key-Infrastruktur.

3Die Technischen Richtlinien haben darüber hinaus die Betriebsprozesse vorzugeben, deren zuverlässige Durchführung vom Smart-Meter-Gateway-Administrator gewährleistet werden muss. 4Auch haben sie organisatorische Mindestanforderungen an den Smart-Meter-Gateway-Administrator sowie ein entsprechendes Zertifizierungsverfahren zu bestimmen.

(5) Absatz 1 ist nicht für Messsysteme anzuwenden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können, dabei ist § 19 Absatz 6 zu beachten.


---
2
Auf den Internetseiten des Bundesamtes für Sicherheit in der Informationstechnik www.bsi.bund.de wurden unter dem Oberbegriff „Smart Metering Systems" folgende Unterordner eingerichtet: „Schutzprofil Gateway", „Schutzprofil Security Module", „Smart Metering PKI" und „Technische Richtlinie"; eine Übersicht über die Schutzprofile und Technischen Richtlinien nach § 22 Absatz 2 Satz 1 findet sich unter www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/SmartMeter/UebersichtSP-TR/uebersicht_node.html.


*)
Anm. d. Red.: Die nicht durchführbare Änderung in Artikel 10 Nummer 2a Buchstabe a G. v. 16. Juli 2021 (BGBl. I S. 3026) wurde sinngemäß konsolidiert.




§ 23 Sichere Anbindung an das Smart-Meter-Gateway



(1) Das Smart-Meter-Gateway eines intelligenten Messsystems muss zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität nach dem Stand der Technik folgende Komponenten und Anlagen sicher in ein Kommunikationsnetz einbinden können:

1.
moderne Messeinrichtungen,

2.
Erzeugungsanlagen nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz,

3.
Anlagen im Sinne von § 14a des Energiewirtschaftsgesetzes und sonstige technische Einrichtungen und

4.
Messeinrichtungen für Gas im Sinne von § 20 Absatz 1.

(2) Die Einhaltung des Standes der Technik im Sinne von Absatz 1 wird vermutet, wenn die Schutzprofile und Technischen Richtlinien nach § 22 Absatz 2 in der jeweils geltenden Fassung eingehalten werden.

(3) Absatz 1 ist nicht für Messsysteme anzuwenden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können, dabei ist § 19 Absatz 6 zu beachten.




§ 24 Zertifizierung des Smart-Meter-Gateway



(1) 1Zum Nachweis der Erfüllung der sicherheitstechnischen Anforderungen nach § 22 Absatz 1 und 2 müssen Smart-Meter-Gateways im Rahmen des Zertifizierungsverfahrens nach den Common Criteria durch das Bundesamt für Sicherheit in der Informationstechnik zertifiziert werden. 2Hersteller von Smart-Meter-Gateways haben dieses Zertifikat dem Smart-Meter-Gateway-Administrator vorzulegen. 3Der Zeitpunkt der Nachweispflicht zur Interoperabilität wird durch das Bundesamt für Sicherheit in der Informationstechnik festgelegt und nach § 27 im Ausschuss Gateway-Standardisierung bekannt gemacht. 4Hersteller von Smart-Meter-Gateways haben zu diesem Zeitpunkt das Zertifikat zur Konformität nach der Technischen Richtlinie dem Smart-Meter-Gateway-Administrator vorzulegen.

(2) Für die Zertifizierung sind § 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821) sowie die BSI-Zertifizierungs- und Anerkennungsverordnung vom 17. Dezember 2014 (BGBl. I S. 2231) in der jeweils geltenden Fassung anzuwenden.

(3) 1Das Bundesamt für Sicherheit in der Informationstechnik hat die Möglichkeit, Zertifikate nach Absatz 1 zeitlich zu befristen, zu beschränken und mit Auflagen zu versehen. 2Zertifikate ohne technologisch begründete zeitliche Befristung unterliegen einer kontinuierlichen Überwachung der Gültigkeit durch die ausstellende Stelle. 3Weitergehende Befugnisse nach Absatz 2 bleiben unberührt.

(4) 1Ohne ein oder mehrere gültige und gegenüber dem Smart-Meter-Gateway-Administrator nachgewiesene Zertifikate nach Absatz 1 darf ein Smart-Meter-Gateway nicht als Bestandteil eines intelligenten Messsystems verwendet werden. 2Dies ist nicht anzuwenden für Messsysteme, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können, dabei ist § 19 Absatz 6 zu beachten.




§ 25 Smart-Meter-Gateway-Administrator; Zertifizierung



(1) 1Der Smart-Meter-Gateway-Administrator muss einen zuverlässigen technischen Betrieb des intelligenten Messsystems gewährleisten und organisatorisch sicherstellen und ist zu diesem Zweck für die Installation, Inbetriebnahme, Konfiguration, Administration, Überwachung und Wartung des Smart-Meter-Gateways und der informationstechnischen Anbindung von Messgeräten und von anderen an das Smart-Meter-Gateway angebundenen technischen Einrichtungen verantwortlich. 2Soweit es technisch möglich und wirtschaftlich zumutbar ist, ermöglicht der Smart-Meter-Gateway-Administrator auch die Durchführung von weiteren Anwendungen und Diensten im Sinne von § 21 Absatz 1 Nummer 4 Buchstabe a. 3Der Smart-Meter-Gateway-Administrator darf ausschließlich Smart-Meter-Gateways mit gültigen Zertifikaten nach § 24 Absatz 1 verwenden. 4Er hat Sicherheitsmängel und Änderungen von Tatsachen, die für die Erteilung des Zertifikats nach § 24 Absatz 1 wesentlich sind, dem Bundesamt für Sicherheit in der Informationstechnik unverzüglich mitzuteilen.

(2) Für den Betrieb eines intelligenten Messsystems muss die Stromentnahme im ungemessenen Bereich erfolgen und es muss eine zuverlässige und leistungsfähige Fernkommunikationstechnik verwendet werden, die Folgendes gewährleistet:

1.
die sichere Administration und Übermittlung von Daten unter Beachtung mess-, eich- und datenschutzrechtlicher Vorgaben und,

2.
soweit erforderlich, die sichere Administration von Erzeugungsanlagen nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz, von Anlagen im Sinne des § 14a des Energiewirtschaftsgesetzes und von lokalen Systemen.

(3) 1Zur Gewährleistung des technischen Betriebs haben Netzbetreiber, Energielieferanten und Dritte, deren Verträge mit dem Letztverbraucher oder Anlagenbetreiber nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz über das oder mit Hilfe des Smart-Meter-Gateways abgewickelt werden sollen, dem Smart-Meter-Gateway-Administrator alle für den Betrieb des Smart-Meter-Gateways notwendigen Informationen bereitzustellen; dies umfasst insbesondere

1.
alle Berechtigungsinformationen aus Rahmenverträgen, die im intelligenten Messsystem niederzulegen sind,

2.
alle Berechtigungsinformationen zur Anbindung, Administration und Steuerung von Anlagen nach Absatz 2 Nummer 2.

2Netzbetreiber, Energielieferanten und Dritte nach Satz 1 haben ebenfalls die Administration der Messwertverarbeitung gemäß den Anforderungen der in § 22 Absatz 2 benannten Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik zu ermöglichen. 3Zur Absicherung der Bereitstellung von Informationen kann der Smart-Meter-Gateway-Administrator Rahmenverträge mit Netzbetreibern, Messstellenbetreibern, Energielieferanten und berechtigten Dritten schließen.

(4) Der Smart-Meter-Gateway-Administrator ist verpflichtet,

1.
ein Informationssicherheitsmanagementsystem einzurichten, zu betreiben und zu dokumentieren,

2.
für seinen Aufgabenbereich, der sich aus den Technischen Richtlinien nach § 22 Absatz 2 ergibt, im Rahmen einer durchgängigen IT-Sicherheitskonzeption die notwendigen und angemessenen Maßnahmen zur Informationssicherheit zu erarbeiten und umzusetzen,

3.
die weiteren organisatorischen und technischen Anforderungen zu erfüllen, die sich aus den Technischen Richtlinien nach § 22 Absatz 2 ergeben,

4.
die nach den Nummern 1 bis 3 in seinem Bereich etablierten Maßnahmen und die IT-Sicherheitskonzeption durch vom Bundesamt für Sicherheit in der Informationstechnik hierfür zertifizierte Auditoren regelmäßig auditieren zu lassen und

5.
den im Rahmen des Mess- und Eichrechts zuständigen Behörden die Ausübung ihrer Markt- und Verwendungsüberwachungsverpflichtungen kostenfrei zu ermöglichen.

(5) 1Die Erfüllung der in Absatz 4 Nummer 1 bis 3 genannten Anforderungen ist nachzuweisen durch ein Zertifikat des Bundesamtes für Sicherheit in der Informationstechnik oder durch die erfolgreiche Zertifizierung durch eine Zertifizierungsstelle, die gemäß ISO/IEC 270063 bei einer nach dem Akkreditierungsstellengesetz zuständigen Stelle akkreditiert ist. 2Der Auditbericht mit dem Nachweis, dass die in Absatz 4 Nummer 1 bis 3 genannten Anforderungen auditiert wurden, ist dem Bundesamt für Sicherheit in der Informationstechnik zur Kenntnis vorzulegen. 3§ 24 Absatz 2 und 3 ist für die Zertifizierung des Smart-Meter-Gateway-Administrators entsprechend anzuwenden.

---

3
www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=59144.




§ 26 Aufrechterhaltung eines einheitlichen Sicherheitsniveaus



(1) 1Zur Sicherstellung und Aufrechterhaltung eines bundesweit einheitlichen Sicherheitsniveaus für den Betrieb von zertifizierten Smart-Meter-Gateways führt das Bundesamt für Sicherheit in der Informationstechnik im Einvernehmen mit der Physikalisch-Technischen Bundesanstalt und der Bundesnetzagentur soweit erforderlich folgende Maßnahmen durch:

1.
die Analyse, Priorisierung und Bewertung von Schwachstellen von Smart-Meter-Gateways sowie die Entscheidung über Software-Updates zu deren Behebung und über sonstige Maßnahmen des Smart-Meter-Gateway-Administrators,

2.
die Planung und Erarbeitung von neuen Versionen der Schutzprofile und Technischen Richtlinien nach § 22 Absatz 2,

3.
die Einbringung von neuen Versionen der Schutzprofile und Technischen Richtlinien nach § 22 Absatz 2 in das Verfahren nach § 27 und deren anschließende Freigabe.

2Bei Gefahr im Verzug tritt an die Stelle des Einvernehmens nach Satz 1 eine nachträgliche Informationspflicht des Bundesamtes für Sicherheit in der Informationstechnik gegenüber den in Satz 1 genannten Behörden.

(2) 1Geeignete Informationen stellt das Bundesamt für Sicherheit in der Informationstechnik auf seinen Internetseiten4 bereit. 2Das Bundesministerium für Wirtschaft und Energie ist von sämtlichen ergriffenen Maßnahmen vorab oder bei Gefahr im Verzug nachträglich zu informieren.

---

4
www.bsi.bund.de


§ 27 Weiterentwicklung von Schutzprofilen und Technischen Richtlinien; Ausschuss Gateway-Standardisierung



(1) Weitere Schutzprofile und Technische Richtlinien sowie neuere Versionen Technischer Richtlinien und von Schutzprofilen nach § 22 Absatz 2 werden erarbeitet unter Beachtung der Festlegungskompetenz der Bundesnetzagentur nach § 47 durch das Bundesamt für Sicherheit in der Informationstechnik im Einvernehmen mit der Physikalisch-Technischen Bundesanstalt und der Bundesnetzagentur unter Anhörung der oder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit; der Ausschuss Gateway-Standardisierung ist bei wesentlichen Änderungen unter Vorsitz des Bundesministeriums für Wirtschaft und Energie im Anschluss anzuhören.

(2) 1Dem Ausschuss Gateway-Standardisierung gehören an:

1.
das Bundesministerium für Wirtschaft und Energie,

2.
das Bundesamt für Sicherheit in der Informationstechnik,

3.
die Physikalisch-Technische Bundesanstalt,

4.
die Bundesnetzagentur sowie

5.
je ein Vertreter von mindestens drei auf Bundesebene bestehenden Gesamtverbänden, die jeweils die Interessen von Letztverbrauchern, Herstellern und Anwendern vertreten; die Bestimmung der Verbände nach Satz 3 liegt im Ermessen des Bundesministeriums für Wirtschaft und Energie.

2Der Ausschuss wird von der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit beraten.

(3) 1Das Bundesministerium für Wirtschaft und Energie beruft die Mitglieder des Ausschusses für eine Dauer von drei Jahren. 2Der Ausschuss Gateway-Standardisierung tagt mindestens einmal im Jahr. 3Die Mitgliedschaft ist ehrenamtlich.

(4) 1Die nach Absatz 1 erarbeiteten Schutzprofile und Technischen Richtlinien sind dem Bundesministerium für Wirtschaft und Energie zur Zustimmung vorzulegen. 2Nach der Zustimmung durch das Bundesministerium für Wirtschaft und Energie erfolgt eine Bekanntgabe der nach Absatz 1 erarbeiteten Schutzprofile und Technischen Richtlinien gemäß § 22 Absatz 2 durch das Bundesamt für Sicherheit in der Informationstechnik.


§ 28 Inhaber der Wurzelzertifikate



Das Bundesamt für Sicherheit in der Informationstechnik ist Inhaber der Wurzelzertifikate für die Smart-Metering-Public-Key-Infrastruktur; für die Teilnahme an der Smart-Metering-Public-Key-Infrastruktur gelten die Bestimmungen der Zertifizierungsrichtlinie des Bundesamtes für Sicherheit in der Informationstechnik.