Rollen und Pflichten im Smart Metering: MsbG, GWA und der Bezug zum EnWG-Sicherheitskatalog
Kernaussage
Smart Metering ist kein einzelnes Compliance-Thema, sondern ein Geflecht klar verteilter Rollen mit jeweils eigenen Sicherheitspflichten. Das Messstellenbetriebsgesetz (MsbG) trennt zwischen Messstellenbetreiber, Smart-Meter-Gateway-Administrator (GWA) und Hersteller des Smart-Meter-Gateways (SMGW). Die sicherheitskritische Schlüsselrolle ist der GWA.
Hinzu kommt eine zweite Einsicht: Das MsbG/SMGW-Regime ist sektorspezifisches Sonderrecht. Es läuft neben dem EnWG-IT-Sicherheitskatalog und gegebenenfalls neben NIS2 beziehungsweise KRITIS. Verschiedene Regime, verschiedene Behörden, verschiedene Nachweise. Wer annimmt, ein Nachweis decke die anderen mit ab, baut ein Compliance-Risiko auf, das erst im Audit oder im Vorfall sichtbar wird.
Problem in der Praxis
Ein Verteilnetzbetreiber ist in der Regel zugleich grundzuständiger Messstellenbetreiber. Damit liegen in einer Organisation oft mehrere Sicherheitsregime übereinander: der EnWG-Sicherheitskatalog für den Netzbetrieb, die GWA-Pflichten nach MsbG für die Gateway-Administration und je nach Größe und Schwellen zusätzlich Pflichten aus NIS2 beziehungsweise dem BSIG.
Daraus entstehen drei Fehlannahmen: ein ISMS-Zertifikat aus dem Netzbereich decke automatisch die GWA-Rolle ab; Produktsicherheit des SMGW und Betriebssicherheit des GWA seien dasselbe; Sicherheitsfragen des SMGW lägen bei der Bundesnetzagentur. Jede erzeugt Lücken: nicht abgedeckte Pflichten, doppelte Arbeit oder Nachweise im falschen Verfahren.
CISO-Einordnung
Hilfreich ist, die Pflichten entlang zweier Achsen zu sortieren: nach Rolle und nach Schutzgut (Produkt versus Betrieb).
Rollen nach MsbG:
- Messstellenbetreiber (MSB): der grundzuständige MSB, meist der zuständige Verteilnetzbetreiber, sowie der wettbewerbliche, vom Anschlussnutzer oder -betreiber beauftragte MSB.
- Smart-Meter-Gateway-Administrator (GWA): die zentrale sicherheitsrelevante Rolle nach Paragraph 25 MsbG. Er installiert, administriert, überwacht und wartet die Gateways, oft als Aufgabe des MSB selbst oder als eingekaufte Dienstleistung.
- SMGW-Hersteller: Adressat der technischen Produktanforderungen und der Zertifizierung nach Paragraph 24 MsbG.
Schutzgut Produkt: Das SMGW muss nach den Technischen Richtlinien des BSI (TR-03109-Reihe) gebaut und gegen das Common-Criteria-Schutzprofil vom BSI zertifiziert werden. Diese Produktsicherheit verantwortet der Hersteller; der GWA darf nur SMGW mit gültigem Zertifikat nach Paragraph 24 einsetzen.
Schutzgut Betrieb: Der GWA muss ein zertifiziertes Informationssicherheits-Managementsystem nachweisen, über ein BSI-Zertifikat beziehungsweise eine anerkannte Zertifizierungsstelle, inhaltlich aufbauend auf etablierten ISMS-Standards und ergänzt um die betriebsspezifischen Vorgaben der BSI TR-03109-6 (Gateway-Administration). Das MsbG nennt im Wortlaut keine bestimmte ISO-Norm als Pflicht; maßgeblich ist das BSI-Zertifizierungsschema.
Kernpunkt: Ein nach Paragraph 25 und TR-03109-6 zertifiziertes ISMS deckt den Betriebsteil ab, nicht automatisch die Produkt- und Krypto-Anforderungen des SMGW und nicht andere Regime wie den EnWG-Sicherheitskatalog oder NIS2.
Umsetzungsperspektive
Sinnvoll ist bewusste Verzahnung statt Vermischung. Drei Bezugsebenen sollte der CISO auseinanderhalten und dann gezielt verbinden:
- MsbG/SMGW-Regime mit dem GWA-ISMS als Kern. Die TR-03109-6 (Version 2.0) bringt praxisrelevante Themen wie Remote-Arbeitsplätze und Homeoffice für GWA-Personal, Dienstleister-Einbindung und eine stärkere Anbindung an gängige ISMS-Standards. Versionsstand, Stichtage und Umsetzungsfristen sind am aktuellen BSI-Dokument zu prüfen.
- EnWG-IT-Sicherheitskatalog: ein eigenständiges, bei der Bundesnetzagentur verankertes Regime für Netzbetreiber (Rechtsgrundlage im EnWG; genaue Paragraphenstelle und Versionsstand zu prüfen). Er verlangt typischerweise ebenfalls ein zertifiziertes ISMS, ist aber rechtlich und im Prüfpfad vom GWA-Nachweis getrennt. Wer Netzbetreiber und MSB ist, führt hier meist zwei Nachweise.
- NIS2 beziehungsweise KRITIS: Energie ist NIS2-Sektor hoher Kritikalität. MSB und GWA können je nach Größe und Schwellen zusätzlich unter NIS2 beziehungsweise das BSIG fallen; die Mehrfachbetroffenheit ist im Einzelfall zu prüfen. Das BSIG wurde durch das NIS2-Umsetzungsgesetz neu nummeriert, konkrete Paragraphenverweise sind als zu prüfen zu behandeln.
Verzahnung heißt praktisch: ein gemeinsames Risikobild, gemeinsame Basismaßnahmen und ein klares Mapping, welcher Nachweis welches Regime bedient, statt eines Zertifikats, das alles abdecken soll.
Typische Fehler
- GWA-ISMS und EnWG-Sicherheitskatalog werden als ein Nachweis behandelt, obwohl es zwei getrennte Regime mit unterschiedlichen Behörden sind.
- Produktsicherheit (SMGW-Zertifizierung beim BSI) und Betriebssicherheit (GWA-ISMS) werden verwechselt.
- Sicherheits- und Zertifizierungsfragen des SMGW werden bei der Bundesnetzagentur statt beim BSI vermutet.
- NIS2- oder KRITIS-Betroffenheit wird pauschal verneint oder bejaht, ohne Schwellen und Einzelfall zu prüfen.
- Versionsstände und Fristen von TR und Schutzprofilen werden aus älteren Quellen übernommen, ohne sie am aktuellen BSI-Stand zu bestätigen.
Risiken und Trade-offs
Wer alle Regime in ein einziges Nachweisprojekt presst, spart kurzfristig Aufwand, riskiert aber, einzelne Pflichten unzureichend zu erfüllen, weil Scope, Prüfstelle und Geltungsbereich nicht passen. Wer umgekehrt jedes Regime vollständig getrennt aufbaut, erzeugt Doppelarbeit, widersprüchliche Vorgaben und Mehrkosten.
Ein weiterer Trade-off betrifft die Dienstleister-Einbindung: Das Auslagern der GWA-Funktion kann Reife bringen, verlagert aber Verantwortung und Nachweisführung, die vertraglich und im ISMS sauber zurückgespiegelt werden müssen. Hinzu kommt ein Aktualitätsrisiko, weil MsbG, TR-Stände und NIS2-Umsetzung in Bewegung sind und eine heute korrekte Aussage morgen einen anderen Versionsstand haben kann.
Entscheidungspunkte
- Nehmen wir die GWA-Rolle selbst wahr oder kaufen wir sie ein, und wie sichern wir den Nachweis im jeweiligen Fall ab?
- Wie schneiden wir die ISMS-Scopes für GWA-Betrieb und EnWG-Sicherheitskatalog, damit sie sich ergänzen statt zu kollidieren?
- Sind wir zusätzlich NIS2- oder KRITIS-betroffen, und welche Melde- und Nachweispflichten ergeben sich neben der Meldepflicht an das BSI nach MsbG?
- Welche Versionsstände von TR-03109-1, TR-03109-6 und der Schutzprofile sind für unsere nächste Zertifizierung verbindlich, und bis wann gelten Übergangsstände?
- Wer verantwortet intern die Abgrenzung der Behördenzuständigkeiten (BSI für Sicherheit und Zertifizierung, Bundesnetzagentur für Regulierung und Kosten)?
Praktische Empfehlungen
- Erstellen Sie ein Regime-Mapping: welche Rolle (MSB, GWA, Hersteller) trägt welche Pflicht aus welchem Regime (MsbG, EnWG-Sicherheitskatalog, NIS2/BSIG) und über welchen Nachweis.
- Trennen Sie Produkt- und Betriebssicherheit explizit: SMGW-Zertifizierung (Paragraph 24, BSI) versus GWA-ISMS (Paragraph 25, TR-03109-6).
- Nutzen Sie einen gemeinsamen ISMS-Kern und ergänzen Sie ihn je Regime, statt mehrere unverbundene Managementsysteme zu betreiben.
- Verankern Sie die unverzügliche Meldung von Sicherheitsmängeln an das BSI im Prozess und prüfen Sie parallel zusätzliche Meldewege aus NIS2 beziehungsweise BSIG.
- Prüfen Sie Versionsstände, Fristen und Paragraphennummerierungen vor jeder verbindlichen Aussage an der aktuellen Originalquelle.
Relevante Normreferenzen
- Messstellenbetriebsgesetz (MsbG): zentrale Rechtsgrundlage für Rollen und Pflichten (u. a. Paragraphen 19, 22, 24, 25); amtliches Werk, frei nutzbar mit Quellenangabe.
- BSI TR-03109 (Reihe, u. a. TR-03109-1 und TR-03109-6): technische Konkretisierung für SMGW und Gateway-Administration; frei nutzbar mit Quellenangabe (Namensnennung BSI).
- Energiewirtschaftsgesetz (EnWG): Rechtsgrundlage des IT-Sicherheitskatalogs der Bundesnetzagentur; amtliches Werk, frei nutzbar mit Quellenangabe.
- BSIG / NIS2-Umsetzung: Grundlage möglicher zusätzlicher Pflichten für MSB und GWA; Paragraphenverweise als zu prüfen behandeln.
- ISO/IEC 27001 und ISO/IEC 27019: Referenz für ISMS-Anforderungen und energiewirtschaftliche Ergänzungen; nur Referenz, kein Volltext.
- Common Criteria (ISO/IEC 15408) und BSI-Schutzprofile: Referenz für das Produkt-Zertifizierungsschema des SMGW; nur Referenz.
Häufige Fragen
Wer ist im Smart Metering die zentrale Sicherheitsrolle?+
Der Smart-Meter-Gateway-Administrator (GWA) nach Paragraph 25 MsbG; er administriert die Gateways und muss ein zertifiziertes ISMS nachweisen.
Deckt das GWA-ISMS den EnWG-Sicherheitskatalog mit ab?+
Nein. Der EnWG-IT-Sicherheitskatalog ist ein eigenständiges Regime der Bundesnetzagentur für Netzbetreiber, getrennt vom GWA-Nachweis nach MsbG. Doppelt Betroffene führen meist zwei Nachweise.
Wer ist für Sicherheit und Zertifizierung des SMGW zuständig?+
Das BSI: Technische Richtlinien und Schutzprofile, Zertifizierung von SMGW (Common Criteria) und GWA-Rolle, Betrieb der Smart-Metering-PKI-Root-CA. Die Bundesnetzagentur ist regulatorisch-wirtschaftlich begrenzt zuständig, nicht für die SMGW-Sicherheit.
Fallen MSB und GWA auch unter NIS2 oder KRITIS?+
Möglicherweise. Energie ist NIS2-Sektor hoher Kritikalität; eine zusätzliche Betroffenheit hängt von Größe, Schwellen und Einzelfall ab und ist gesondert zu prüfen.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen Smart Metering prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: sm-004.
