Das BSI hat die Technische Richtlinie TR-03109-6 für die Smart-Meter-Gateway-Administration in Version 2.0 aktualisiert. Spätestens mit der nächsten Neu- oder Rezertifizierung von GWA-Systemen müssen die Vorgaben ab 2027 umgesetzt werden – nach Zustimmung des Bundesministeriums für Wirtschaft und Energie (BMWE) vom 9. Dezember 2025.
Was ist passiert?
Mit der Veröffentlichung der TR-03109-6 Version 2.0 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Anforderungen an den sicheren Betrieb der Smart-Meter-Gateway-Administration aktualisiert. Ziel ist, den Betrieb organisatorisch und technisch stärker an aktuelle Rahmenbedingungen anzupassen – und die Umsetzung in der Praxis zugleich klarer prüf- und nachweisbar zu machen.
Wichtig für die Planung: Die neuen Vorgaben sollen nicht „sofort über Nacht“, aber spätestens ab 2027 verbindlich werden – nämlich mit der nächsten (Re-)Zertifizierung des Gateway-Administrator-Systems.
Formale Voraussetzung für die Veröffentlichung war laut BSI die Zustimmung des BMWE nach einer Anhörung im Ausschuss Gateway-Standardisierung; diese Zustimmung datiert auf 9. Dezember 2025.
Worum geht es bei TR-03109-6 und wer ist betroffen?
Die TR-03109-6 adressiert die Administration und den Betrieb in der intelligenten Messinfrastruktur: Gateway-Administratoren (GWA) sind verantwortlich für den sicheren Betrieb der intelligenten Messsysteme (iMSys); zentrale Kommunikationseinheit ist das Smart-Meter-Gateway (SMGW).
Für die Einordnung hilft ein kurzer Blick auf die Rolle des SMGW: Als vertrauenswürdige Kommunikationseinheit verbindet es wesentliche Systeme im Energienetz und soll Transparenz über Last- und Leistungsflüsse im Verteilnetz ermöglichen. Damit wird es zur Basis für Anwendungen wie das Steuern flexibler Verbraucher (z. B. Wärmepumpen, Ladeeinrichtungen) oder das Einbinden dezentraler Erzeugung und Speicher.
Betroffen sind damit vor allem:
- GWA-Organisationen (intern oder als Dienstleister für Messstellenbetreiber),
- IT-/Security-Verantwortliche, die Betrieb und Nachweisführung absichern,
- externe Dienstleister im Betrieb (z. B. Betrieb/Support, Infrastruktur, Security Services), sofern sie in Prozesse der Administration eingebunden sind.
Welche Neuerungen bringt Version 2.0?
Die Version 2.0 setzt laut veröffentlichten Informationen vor allem an Punkten an, die in vielen Organisationen zuletzt an Bedeutung gewonnen haben: Remote-Arbeit, Outsourcing/Partner-Ökosysteme und die Verzahnung mit etablierten ISMS-Ansätzen.
1) Remote-Arbeitsplätze: Homeoffice wird „regelbar“
Die Richtlinie definiert Anforderungen an Remote-Arbeitsplätze, damit GWA-Mitarbeitende Homeoffice-Optionen nutzen können, ohne dass Sicherheits- und Nachweisanforderungen ausgehöhlt werden. Das ist weniger „New Work“-Kosmetik als eine Reaktion auf reale Betriebsmodelle: Administration findet längst nicht mehr ausschließlich in kontrollierten Vor-Ort-Umgebungen statt.
2) Einbindung externer Dienstleister: klarere Regeln
Outsourcing und spezialisierte Dienstleister sind im Smart-Metering-Umfeld üblich – etwa für Betriebsleistungen, Plattformbetrieb oder Security-Bausteine. Version 2.0 soll genauer beschreiben, wie Dienstleister einzubinden sind und wie Verantwortung, Kontrolle und Nachweisführung sauber abzugrenzen sind.
3) Nachweis- und Prüfprozesse: „besser auditierbar“
Ein Kernpunkt ist die klarere Regelung, wie die Einhaltung der Anforderungen zu prüfen ist. In der Praxis bedeutet das häufig: weniger Interpretationsspielraum, mehr konkrete Erwartung an Dokumentation, Kontrollen, Protokollierung und Prozesse – also an das, was in Audits tatsächlich zählt.
4) Stärkere Anbindung an ISMS-Standards
Die Verknüpfung mit gängigen Standards für Informationssicherheits-Managementsysteme (ISMS) wird ausdrücklich „gestärkt“. Das ist relevant für Organisationen, die bereits ISO-27001-orientiert arbeiten oder Sicherheitsmanagement über mehrere regulierte Domänen hinweg konsolidieren müssen.
Hinweis zur Übergangsphase: In der Branchenkommunikation wird zudem eine Fortgeltung der bisherigen Fassung bis 31. Dezember 2028 genannt. Maßgeblich ist hier der Wortlaut der Richtlinie und der Zertifizierungs-/Auditkontext; wer damit plant, sollte die Übergangsregel in der offiziellen Veröffentlichung gegenprüfen.
Warum ist das relevant – über „Compliance“ hinaus?
Smart-Metering ist nicht nur ein Rollout-Thema, sondern zunehmend eine Betriebs- und Sicherheitsrealität in einem kritischen Umfeld. Mit dem Hochlauf flexibler Verbraucher und dezentraler Erzeugung steigen die Anforderungen an verlässliche, sichere Steuer- und Kommunikationsketten.
Die TR-03109-6 wirkt dabei wie ein „Betriebsrahmen“: Sie adressiert nicht nur Technik, sondern die Frage, wie eine Organisation dauerhaft nachweisbar sicher betreibt – inklusive Remote-Work, Dienstleistersteuerung und Managementsystemen.
Hintergrund: Die wichtigsten Begriffe kurz erklärt
- iMSys (intelligentes Messsystem): Zusammenspiel aus moderner Messeinrichtung und Smart-Meter-Gateway.
- SMGW (Smart-Meter-Gateway): Zentrale, vertrauenswürdige Kommunikationseinheit im iMSys.
- GWA (Gateway Administrator): Organisation/Funktion, die den sicheren Betrieb der SMGW-Administration verantwortet.
- Smart-Metering-PKI: Vertrauensinfrastruktur (Zertifikate/Schlüssel), die sichere Kommunikation und Authentizität unterstützt.