Aktuelle Informationen zum Thema Zertifizierung SMGW / Messstelle

1           SMGW / Smart Meter Gateway Admin

1.1         Gesetz zur Digitalisierung der Energiewende

Die gesetzliche Vorgaben zum Smart Meter Gateway Admin (SMGWA) werden im Gesetz zur Digitalisierung der Energiewende gemacht, welches am 23. Juni 2016 vom Bundestag angenommen und am 8. Juli 2016 vom Bundesrat gebilligt wurde. Als geplanter Veröffentlichungstermin war ursprünglich das Jahr 2015 vorgesehen. Die Anforderungen an den „sicheren und zuverlässigen technischen Betrieb und dessen organisatorische Sicherstellung“ des SMGWA sind in § 25 Messstellenbetriebsgesetz (MSbG) beschrieben, welches Teil des Gesetzes zur Digitalisierung der Energiewende ist.

1.2         Schutzprofile und technische Richtlinien

Einer der Hauptbestandteile des MsbG ist die Verrechtlichung der Schutzprofile und technischen Richtlinien, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) unter Einbeziehung von sektorspezifischen Experten im Auftrag des BMWi entwickelt hat, sein.

Relevante Vorgaben: Die Schutzprofile SMGW (BSI-CC-PP-0073 V1.2) und Sicherheitsmodul (BSI-CC-PP-0077 V1.0) sowie die technische Richtlinie TR-03109 (V1.0)

1.3         Zertifizierungsanforderungen

Eine Zertifizierungspflicht ist im MsbG in § 25 Abs. 5 verankert. „Die Erfüllung der […] Anforderungen ist nachzuweisen durch ein Zertifikat des Bundesamtes für Sicherheit in der Informationstechnik oder durch die erfolgreiche Zertifizierung durch eine Zertifizierungsstelle, die gemäß ISO/IEC 27006 bei einer nach dem Akkreditierungsstellengesetz zuständigen Stelle akkreditiert ist.“

Des Weiteren wird ein Nachweis über die Umsetzung der Anforderungen der technischen Richtlinie TR-03109-6  gefordert:

„Der Auditbericht mit dem Nachweis, dass die […] Anforderungen

auditiert wurden, ist dem Bundesamt für Sicherheit in der Informationstechnik zur Kenntnis vorzulegen.“ (MsbG in § 25 Abs. 5)

 

Zur Umsetzung der Zertifizierungsanforderung kann demnach ein natives ISO 27001 Zertifikat  genutzt werden, welches um eine Prüfung gem. den Anforderungen der TR-03109-6 durch vom BSI qualifizierte Auditoren ergänzt wird.

 Die Zertifizierungsanforderungen sind ebenso in der Technischen Richtlinie enthalten: „Ein verantwortlicher SMGW Admin MUSS ein Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001 oder nach IT-Grundschutz gemäß BSI-Standard [100-2] planen, etablieren, nach Kapitel 5 („Auditierung und Zertifizierung“) zertifizieren lassen und nachhaltig betreiben. (BSI TS 03109-6)“

2           KRITIS-Relevanz Messstellen

2.1         Definition

Messstelle wird definiert als „Gesamtheit aller Mess-, Steuerungs- und Kommunikationseinrichtungen zur sicheren Erhebung, Verarbeitung und Übermittlung von Messdaten und zur sicheren Anbindung von Erzeugungsanlagen und steuerbaren Lasten an Zählpunkten eines Anschlussnutzers einschließlich der Installationsvorrichtungen“ (BSI-KritisV).

Messstellen fallen unter die KRITIS-Verordnung, wenn die Leistung der angeschlossenen Verbrauchsstelle bzw. Einspeisung in MW 420 übersteigt.

Berechnungsgrundlage:

Annahme eines Durchschnittsverbrauchs von 7 375 kWh pro versorgter Person/Jahr und eines Regelschwellenwertes von 500 000 versorgten Personen.

2.2         Meldepflicht

Es besteht eine Meldepflicht von Informationssicherheitsvorfällen an die Bundesnetzagentur (BNetzA) gem. IT-Sicherheitsgesetz und IT-Sicherheitskatalog für Messstellen, welche unter die Kritische Infrastruktur fallen. In der Verordnung des Bundesministerium des Innern[ext] „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ wird von 120 Anlagen im Bereich der Stromversorgung ausgegangen.