Kapitel 3 - Messstellenbetriebsgesetz (MsbG)

(1) Zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität haben Messsysteme den Anforderungen der Absätze 2 und 3 zu genügen.

(2) 1Zur Datenverarbeitung energiewirtschaftlich relevanter Mess- und Steuerungsvorgänge dürfen ausschließlich solche technischen Systeme und Bestandteile eingesetzt werden, die den Anforderungen aus den §§ 21 und 22 genügen. 2Energiewirtschaftlich relevante Mess- und Steuerungsvorgänge sind abrechnungs-, bilanzierungs- oder netzrelevante Standardleistungen nach § 34 Absatz 1 Nummer 1, 2, 4 und 5 sowie Zusatzleistungen nach § 34 Absatz 2 Satz 2 Nummer 2, 3, 4 Buchstabe a und b und Nummer 5, 8, 9 und 11. 3Die Bundesregierung wird ermächtigt, durch Rechtsverordnung ohne Zustimmung des Bundesrates

(3) 1Messstellen dürfen nur mit solchen Messsystemen ausgestattet werden, bei denen zuvor die Einhaltung der Anforderungen nach den §§ 21 und 22 in einem Zertifizierungsverfahren nach den Vorgaben dieses Gesetzes festgestellt wurde. 2Das Zertifizierungsverfahren umfasst auch die Verlässlichkeit von außerhalb der Messeinrichtung aufbereiteten Daten, die Sicherheits- und die Interoperabilitätsanforderungen. 3Zertifikate können befristet, beschränkt oder mit Auflagen versehen werden.

(4) 1Die nach § 49 berechtigten Stellen haben dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit zu treffen, die insbesondere die Vertraulichkeit und Integrität der Daten sowie die Feststellbarkeit der Identität der übermittelnden und verarbeitenden Stelle gewährleisten. 2Im Falle der Nutzung allgemein zugänglicher Kommunikationsnetze sind Verschlüsselungsverfahren anzuwenden, die dem jeweiligen Stand der Technik entsprechen.

(5) 1Messsysteme, die den besonderen Anforderungen aus den Absätzen 2 und 3 nicht entsprechen, dürfen über den 31. Dezember 2025 hinaus, in den Fällen des § 30 Absatz 1 Nummer 1 und Absatz 2 Nummer 4 über den 31. Dezember 2028 hinaus, nur noch eingebaut und genutzt werden, wenn bereits der Einbau eines intelligenten Messsystems nach § 37 Absatz 2 durch den grundzuständigen Messstellenbetreiber angekündigt ist oder nach § 34 Absatz 2 Satz 2 Nummer 1 beim Messstellenbetreiber beauftragt wurde, die Nutzung dieser Messsysteme nicht mit unverhältnismäßigen Gefahren verbunden ist und

(6) 1Intelligente Messsysteme, die aufgrund einer Feststellung des Bundesamtes für Sicherheit in der Informationstechnik nach diesem Absatz oder nach § 30 in der am 26. Mai 2023 geltenden Fassung eingebaut worden sind, stehen den nach den §§ 29 bis 31 eingebauten intelligenten Messsystemen gleich, sofern sie den besonderen Anforderungen aus den Absätzen 2 und 3 entsprechen. 2Die Feststellungen nach Satz 1 hat das Bundesamt für Sicherheit in der Informationstechnik auf seinen Internetseiten bereitzustellen. 3Liegen die Voraussetzungen nach Satz 1 nicht vor, ist Absatz 5 entsprechend anzuwenden.

(1) 1Neue Messeinrichtungen für Gas dürfen nur verbaut werden, wenn sie sicher mit einem Smart-Meter-Gateway verbunden werden können. 2Die Anbindung an das Smart-Meter-Gateway hat zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität dem in Schutzprofilen und Technischen Richtlinien in der Anlage zu § 22 niedergelegten Stand der Technik zu entsprechen.

(2) Neue Messeinrichtungen für Gas, die den besonderen Anforderungen aus Absatz 1 nicht genügen, dürfen noch bis zum 31. Dezember 2016, solche mit registrierender Leistungsmessung noch bis zum 31. Dezember 2024 eingebaut und jeweils bis zu acht Jahre ab Einbau genutzt werden, wenn ihre Nutzung nicht mit unverhältnismäßigen Gefahren verbunden ist.

(1) Ein intelligentes Messsystem muss nach dem Stand der Technik nach Maßgabe des § 22

(2) Die in Absatz 1 genannten Mindestanforderungen müssen mit Ausnahme von Nummer 5 nicht von Messsystemen erfüllt werden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können, dabei ist § 19 Absatz 6 zu beachten.

(3) 1Für mehrere Zählpunkte können die Anforderungen nach Absatz 1 auch mit nur einem Smart-Meter-Gateway leitungsgebunden oder drahtlos in räumlicher Nähe einer Liegenschaft realisiert werden, soweit die Einsichts- und Informationsrechte nach den §§ 53 und 61 sowie die gleichen Funktions- und Sicherheitsanforderungen wie bei der Bündelung der Zählpunkte an einem Netzanschluss gewährleistet sind. 2Als räumlicher Nahbereich einer Liegenschaft gelten auch Zählpunkte an mehreren Netzanschlüssen im Bereich desselben Netzknotens gleicher Spannungsebene. 3Erfordert die Umsetzung von Satz 1 wesentliche Änderungen und Ergänzungen im Sinne von § 27 Absatz 1 Satz 1 zweiter Halbsatz, so haben diese bis zum Ablauf des 31. Dezember 2024 zu erfolgen.

(1) Das Smart-Meter-Gateway eines intelligenten Messsystems hat zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität nach dem Stand der Technik folgende Anforderungen zu erfüllen an

(2) 1Die Einhaltung des Standes der Technik im Sinne von Absatz 1 wird vermutet, wenn die in der Anlage aufgeführten Schutzprofile und Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik oder deren Weiterentwicklungen *) jeweils in der geltenden Fassung eingehalten werden. 2Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik² bekannt gemacht.

(3) 1Schutzprofile haben eine gültige Beschreibung von Bedrohungsmodellen und technische Vorgaben zur Gewährleistung von Datenschutz, Datensicherheit und Manipulationsresistenz zu enthalten und dazu Anforderungen an die Funktionalitäten eines Smart-Meter-Gateway zu beschreiben, die insbesondere folgende Mindestanforderungen enthalten

(4) 1Technische Richtlinien haben technische Anforderungen an die Interoperabilität von intelligenten Messsystemen und einzelnen Teilen oder Komponenten zu beschreiben. 2Sie müssen für jedermann zugänglich sein und insbesondere folgende Mindestanforderungen enthalten an

(5) Absatz 1 ist nicht für Messsysteme anzuwenden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können, dabei ist § 19 Absatz 6 zu beachten.

(1) Das Smart-Meter-Gateway eines intelligenten Messsystems muss zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität nach dem Stand der Technik folgende Komponenten und Anlagen sicher in ein Kommunikationsnetz einbinden können:

(2) Die Einhaltung des Standes der Technik im Sinne von Absatz 1 wird vermutet, wenn die Schutzprofile und Technischen Richtlinien nach § 22 Absatz 2 in der jeweils geltenden Fassung eingehalten werden.

(3) Absatz 1 ist nicht für Messsysteme anzuwenden, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können, dabei ist § 19 Absatz 6 zu beachten.

(1) 1Zum Nachweis der Erfüllung der sicherheitstechnischen Anforderungen nach § 22 Absatz 1 und 2 müssen Smart-Meter-Gateways im Rahmen des Zertifizierungsverfahrens nach den Common Criteria durch das Bundesamt für Sicherheit in der Informationstechnik zertifiziert werden. 2Hersteller von Smart-Meter-Gateways haben die Zertifikate dem Smart-Meter-Gateway-Administrator vorzulegen. 3Der Zeitpunkt der Nachweispflicht zur Interoperabilität wird durch das Bundesamt für Sicherheit in der Informationstechnik festgelegt und nach § 27 im Ausschuss Gateway-Standardisierung bekannt gemacht. 4Hersteller von Smart-Meter-Gateways haben zu diesem Zeitpunkt die Zertifikate zur Konformität nach den Technischen Richtlinien dem Smart-Meter-Gateway-Administrator vorzulegen.

(2) Für die Zertifizierung sind § 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821) sowie die BSI-Zertifizierungs- und Anerkennungsverordnung vom 17. Dezember 2014 (BGBl. I S. 2231) in der jeweils geltenden Fassung anzuwenden.

(3) 1Das Bundesamt für Sicherheit in der Informationstechnik hat die Möglichkeit, Zertifikate nach Absatz 1 zeitlich zu befristen, zu beschränken und mit Auflagen zu versehen. 2Zertifikate ohne technologisch begründete zeitliche Befristung unterliegen einer kontinuierlichen Überwachung der Gültigkeit durch die ausstellende Stelle. 3Weitergehende Befugnisse nach Absatz 2 bleiben unberührt.

(4) 1Ohne ein oder mehrere gültige und gegenüber dem Smart-Meter-Gateway-Administrator nachgewiesene Zertifikate nach Absatz 1 darf ein Smart-Meter-Gateway nicht als Bestandteil eines intelligenten Messsystems verwendet werden. 2Dies ist nicht anzuwenden für Messsysteme, die nach Maßgabe von § 19 Absatz 5 Satz 1 eingebaut werden können, dabei ist § 19 Absatz 6 zu beachten.

(1) 1Der Smart-Meter-Gateway-Administrator muss einen zuverlässigen technischen Betrieb des intelligenten Messsystems und die Konfiguration der an das Smart-Meter-Gateway angeschlossenen technischen Einrichtungen einschließlich Steuerungseinrichtungen sowie diesbezügliche Zusatzleistungen nach § 34 Absatz 2 und 3 gewährleisten und organisatorisch sicherstellen und ist zu diesem Zweck für die Installation, Inbetriebnahme, Konfiguration, Administration, Überwachung und Wartung des Smart-Meter-Gateways und der informationstechnischen Anbindung von Messgeräten und von anderen an das Smart-Meter-Gateway angebundenen technischen Einrichtungen verantwortlich. 2Soweit es technisch möglich und wirtschaftlich zumutbar ist, ermöglicht der Smart-Meter-Gateway-Administrator auch die Durchführung von weiteren Anwendungen und Diensten im Sinne von § 21 Absatz 1 Nummer 4 Buchstabe a. 3Der Smart-Meter-Gateway-Administrator darf ausschließlich Smart-Meter-Gateways mit gültigen Zertifikaten nach § 24 Absatz 1 verwenden. 4Er hat Sicherheitsmängel und Änderungen von Tatsachen, die für die Erteilung des Zertifikats nach § 24 Absatz 1 wesentlich sind, dem Bundesamt für Sicherheit in der Informationstechnik unverzüglich mitzuteilen.

(2) 1Für den Betrieb eines intelligenten Messsystems muss vorbehaltlich einer anderweitigen Vereinbarung mit einem entscheidungsbefugten Anschlussnutzer die Stromentnahme im ungemessenen Bereich erfolgen und es muss eine zuverlässige und leistungsfähige Fernkommunikationstechnik verwendet werden, die Folgendes gewährleistet:

(3) 1Zur Gewährleistung des technischen Betriebs haben Netzbetreiber, Energielieferanten und Dritte, deren Verträge mit dem Letztverbraucher oder Anlagenbetreiber nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz über das oder mit Hilfe des Smart-Meter-Gateways abgewickelt werden sollen, dem Smart-Meter-Gateway-Administrator alle für den Betrieb des Smart-Meter-Gateways notwendigen Informationen bereitzustellen; dies umfasst insbesondere

(4) Der Smart-Meter-Gateway-Administrator ist verpflichtet,

(5) 1Die Erfüllung der in Absatz 4 Nummer 1 bis 3 genannten Anforderungen ist nachzuweisen durch ein Zertifikat des Bundesamtes für Sicherheit in der Informationstechnik oder durch die erfolgreiche Zertifizierung durch eine Zertifizierungsstelle, die gemäß ISO/IEC 27006³ bei einer nach dem Akkreditierungsstellengesetz zuständigen Stelle akkreditiert ist. 2Der Auditbericht mit dem Nachweis, dass die in Absatz 4 Nummer 1 bis 3 genannten Anforderungen auditiert wurden, ist dem Bundesamt für Sicherheit in der Informationstechnik zur Kenntnis vorzulegen. 3§ 24 Absatz 2 und 3 ist für die Zertifizierung des Smart-Meter-Gateway-Administrators entsprechend anzuwenden.

(1) 1Zur Sicherstellung und Aufrechterhaltung eines bundesweit einheitlichen Sicherheitsniveaus für den Betrieb von zertifizierten Smart-Meter-Gateways führt das Bundesamt für Sicherheit in der Informationstechnik im Einvernehmen mit der Physikalisch-Technischen Bundesanstalt und der Bundesnetzagentur soweit erforderlich folgende Maßnahmen durch:

(2) 1Geeignete Informationen stellt das Bundesamt für Sicherheit in der Informationstechnik auf seinen Internetseiten⁴ bereit. 2Das Bundesministerium für Wirtschaft und Klimaschutz ist von sämtlichen ergriffenen Maßnahmen vorab oder bei Gefahr im Verzug nachträglich zu informieren.

(1) 1Weitere Schutzprofile und Technische Richtlinien sowie neuere Versionen Technischer Richtlinien und von Schutzprofilen nach § 22 Absatz 2 werden im Auftrag des Bundesministeriums für Wirtschaft und Klimaschutz erarbeitet unter Beachtung der Festlegungskompetenz der Bundesnetzagentur nach § 47 und von Nachhaltigkeitsaspekten für Hardwarekomponenten durch das Bundesamt für Sicherheit in der Informationstechnik im Einvernehmen mit der Physikalisch-Technischen Bundesanstalt und der Bundesnetzagentur unter Anhörung der oder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit; der Ausschuss Gateway-Standardisierung ist bei wesentlichen Änderungen unter Vorsitz des Bundesministeriums für Wirtschaft und Klimaschutz im Anschluss anzuhören. 2Das Bundesministerium für Wirtschaft und Klimaschutz gibt im Rahmen seiner Beauftragung nach Satz 1 dem Bundesamt für Sicherheit in der Informationstechnik die inhaltliche, zeitliche und prozessuale Umsetzung seiner Aufgaben nach diesem Gesetz vor. 3Die Zuständigkeit und Verantwortlichkeit des Bundesamtes für Sicherheit in der Informationstechnik zur Einschätzung des aktuellen Stands der Technik der Cybersicherheit in Abhängigkeit der aktuellen Bedrohungslage ist davon unbenommen. 4Im Interesse einer beschleunigten marktlichen Umsetzung beteiligt dazu das Bundesamt für Sicherheit in der Informationstechnik frühzeitig Verbände, vom Bundesministerium für Wirtschaft und Klimaschutz geförderte Forschungs-, Entwicklungs- und Innovationsprojekte sowie Stellen, welche die allgemein anerkannten Regeln der Technik in den Bereichen Elektrizität, Wasserstoff und Gas im Sinne des § 49 des Energiewirtschaftsgesetzes erarbeiten. 5Das Bundesamt für Sicherheit in der Informationstechnik unterstützt nach Möglichkeit Standardisierungsvorhaben von Stellen, welche die allgemein anerkannten Regeln der Technik in den Bereichen Elektrizität, Wasserstoff und Gas im Sinne von § 49 des Energiewirtschaftsgesetzes erarbeiten, zur Sicherstellung der Interoperabilität mit dem Smart-Meter-Gateway (Standardisierungspartnerschaften).

(2) 1Dem Ausschuss Gateway-Standardisierung gehören an:

(3) 1Das Bundesministerium für Wirtschaft und Klimaschutz beruft die Mitglieder des Ausschusses für eine Dauer von drei Jahren. 2Der Ausschuss Gateway-Standardisierung tagt mindestens einmal im Jahr. 3Die Mitgliedschaft ist ehrenamtlich.

(4) 1Die nach Absatz 1 erarbeiteten Schutzprofile und Technischen Richtlinien sind dem Bundesministerium für Wirtschaft und Klimaschutz zur Zustimmung vorzulegen. 2Nach der Zustimmung durch das Bundesministerium für Wirtschaft und Klimaschutz erfolgt eine Bekanntgabe der nach Absatz 1 erarbeiteten Schutzprofile und Technischen Richtlinien gemäß § 22 Absatz 2 durch das Bundesamt für Sicherheit in der Informationstechnik.