IT-Administrator prüft in einem Serverraum ein Rack mit Patchkabeln, blaue und weiße Status-LEDs
ENERGIEWIRTSCHAFT & NACHHALTIGKEIT

BSI TR-03109-6 v2.0: was Gateway-Administratoren ab 2027 erfüllen müssen

Die TR-03109-6 definiert die Informationssicherheit des Smart-Meter-Gateway-Administrators. Version 2.0 aus dem Dezember 2025 ist keine neue Zertifizierungspflicht, sondern ein aktualisierter Prüfmaßstab. Verbindlich wird sie ab dem 1. Januar 2027 mit der nächsten Rezertifizierung. Die Pflicht selbst besteht seit Jahren nach Paragraf 25 MsbG.

Der Gateway-Administrator ist die sicherheitskritische Schaltstelle des Smart-Meter-Rollouts, und seine Zertifizierung ist nichts Neues: Sie folgt aus Paragraf 25 MsbG, rund 47 Gateway-Administratoren sind bereits zertifiziert. Mit Version 2.0 ändert das BSI nicht das Ob der Pflicht, sondern den inhaltlichen Maßstab, gegen den geprüft wird. Dieser Artikel behandelt ausdrücklich die IT-Sicherheits- und Zertifizierungsrolle des Gateway-Administrators selbst, nicht die Fernsteuerung über das SMGW durch den Direktvermarkter und nicht den IT-Sicherheitskatalog nach Paragraf 11 EnWG, der Netzbetreiber adressiert. Beide Themen werden eingeordnet und abgegrenzt, im Mittelpunkt stehen ISMS, Audit und die Fristen bis 2028.

Zusammenfassung

Die TR-03109-6 ist die Technische Richtlinie des BSI für die Smart-Meter-Gateway-Administration. Sie definiert die Mindestanforderungen an die Informationssicherheit des Gateway-Administrators (GWA) und deren Umsetzung in einem Informationssicherheits-Managementsystem (ISMS). Der GWA betreibt das Smart Meter Gateway technisch, also Konfiguration, Schlüsselmanagement, Updates und Überwachung, und ist der Messstellenbetreiber selbst oder ein beauftragtes Unternehmen. Version 2.0 wurde im Dezember 2025 veröffentlicht und ist die erste große Überarbeitung seit Version 1.0 aus dem Jahr 2015. Sie führt keine neue Zertifizierungspflicht ein, denn die folgt seit Jahren aus Paragraf 25 MsbG, sondern aktualisiert den Prüfmaßstab. Vier Schwerpunkte prägen die Neufassung: erstmals Anforderungen an Remote-Arbeitsplätze, klarere Regeln zur Dienstleistereinbindung, bessere Auditierbarkeit und eine stärkere Verzahnung mit ISO 27001. Der Nachweis erfolgt über ein BSI-Zertifikat auf IT-Grundschutz-Basis oder eine ISO/IEC-27001-Zertifizierung mit TR-Bezug, das Zertifikat ist drei Jahre gültig, mit jährlichen Überwachungsaudits. Version 2.0 ist verpflichtend ab dem 1. Januar 2027 mit der nächsten Neu- oder Rezertifizierung, Version 1.0 gilt parallel bis zum 31. Dezember 2028. Es gibt keinen harten Stichtag für alle. Die GWA-Pflicht nach Paragraf 25 MsbG ist von der ISMS-Pflicht der Netzbetreiber nach dem IT-Sicherheitskatalog Paragraf 11 EnWG zu trennen, ein Stadtwerk kann beide Nachweise brauchen. Wer den eigenen Rezertifizierungstermin kennt, das Homeoffice-Konzept anpasst und den Audit-Slot früh bucht, vermeidet Engpässe in der erwartbaren Rezertifizierungswelle ab 2027.

Was TR-03109-6 regelt und wer der Gateway-Administrator ist

Der Gateway-Administrator ist die sicherheitskritische Schaltstelle des Smart-Meter-Rollouts. Die Technische Richtlinie TR-03109-6 des Bundesamts für Sicherheit in der Informationstechnik (BSI) legt fest, welche Informationssicherheit er einhalten muss. Sie definiert die Mindestanforderungen an die Informationssicherheit des GWA und beschreibt, wie diese Anforderungen in einem Informationssicherheits-Managementsystem (ISMS) umzusetzen sind, mit Assets, Schutzzielen und Mindestmaßnahmen.

Inhaltlich geht es um den sicheren Betrieb der Smart Meter Gateways. Der GWA betreibt das Smart Meter Gateway technisch und administriert es zentral. Dazu gehören die Konfiguration der Geräte, das Schlüsselmanagement, das Einspielen von Updates und die laufende Überwachung. Diese Aufgaben berühren personenbezogene Messdaten und steuerungsrelevante Funktionen, weshalb die Richtlinie hohe Anforderungen an die Absicherung der zugrunde liegenden Systeme und Prozesse stellt.

Wer die Rolle ausfüllt, hängt vom Betreibermodell ab. Der Gateway-Administrator ist entweder der Messstellenbetreiber selbst oder ein von ihm beauftragtes Unternehmen, das die Administration als Dienstleistung erbringt. In beiden Fällen muss die GWA-Rolle die Anforderungen der TR-03109-6 erfüllen, denn die Verantwortung für die Sicherheit des Gateways bleibt an der Rolle, nicht an der Frage, wer sie organisatorisch wahrnimmt.

Was Version 2.0 ändert

Version 2.0 ist keine neue Pflicht, sondern ein neuer Prüfmaßstab. Nach rund zehn Jahren modernisiert das BSI mit der Veröffentlichung vom Dezember 2025 die Anforderungen und passt sie an die heutige Betriebsrealität an. Version 1.0 stammt aus dem Jahr 2015, seitdem haben sich die Arbeitsweisen in der Gateway-Administration verändert, etwa durch verteilte Teams und eine stärkere Einbindung externer Dienstleister.

Die Neufassung setzt vier Schwerpunkte, die zusammen den aktualisierten Maßstab ergeben:

  • Remote-Arbeitsplätze: erstmals enthält die Richtlinie konkrete Anforderungen an Remote-Arbeitsplätze, also an das Homeoffice von GWA-Personal, das in Version 1.0 noch keine Rolle spielte.
  • Dienstleistereinbindung: klarere Regeln dafür, wie externe Dienstleister in den Betrieb eingebunden werden und welche Sicherheitspflichten dabei gelten.
  • Auditierbarkeit: bessere Auditierbarkeit durch konkretere Dokumentations- und Kontrollvorgaben, die ein Audit nachvollziehbarer und damit planbarer machen.
  • ISO-27001-Verzahnung: eine stärkere Verzahnung mit ISO 27001, die den Nachweis erleichtert und die Migration für Unternehmen mit bestehendem ISMS vereinfacht.

Für Gateway-Administratoren bedeutet das, dass sich nicht der Pflichtenkreis ändert, wohl aber die Messlatte. Wer sein ISMS auf Basis von Version 1.0 aufgebaut hat, muss prüfen, an welchen Stellen die neuen Schwerpunkte zusätzliche Maßnahmen oder Dokumentation verlangen, insbesondere beim Homeoffice und bei der Dienstleistereinbindung.

Die Zertifizierungspflicht nach Paragraf 25 MsbG

Die Pflicht zur Zertifizierung gibt es schon lange. Wer die GWA-Rolle ausüben will, braucht ein gültiges Zertifikat, sonst darf er nicht administrieren. Rechtsgrundlage ist Paragraf 25 des Messstellenbetriebsgesetzes (MsbG), ergänzt um die Technischen Richtlinien, auf die Paragraf 22 MsbG verweist. Die TR-03109-6 ist damit nicht die Pflicht selbst, sondern der inhaltliche Maßstab, gegen den im Rahmen dieser Pflicht geprüft wird.

Aufsicht auf einen geöffneten Ordner zum Informationssicherheits-Managementsystem mit einer Checkliste, eine Hand hakt Punkte mit einem Stift ab, Schwarzweiss
Der Nachweis erfolgt über ein ISMS, das die Mindestanforderungen der TR-03109-6 abbildet.

Der Nachweis kann auf zwei Wegen geführt werden. Möglich ist ein BSI-Zertifikat auf Basis des IT-Grundschutzes, das die Anforderungen der TR-03109-6 abbildet, oder eine native ISO/IEC-27001-Zertifizierung mit dem entsprechenden TR-Bezug. In beiden Fällen ist das ISMS der Kern, denn es muss die Mindestanforderungen der Richtlinie nachweisbar umsetzen. Die Verzahnung mit ISO 27001 in Version 2.0 zielt genau auf diesen Punkt und erleichtert den Nachweis für Unternehmen, die ohnehin nach 27001 arbeiten.

Das Zertifikat ist drei Jahre gültig. In dieser Zeit finden jährliche Überwachungsaudits statt, und der Auditbericht geht an das BSI. Das Zertifikat ist also keine einmalige Hürde, sondern ein laufender Nachweis, der im Drei-Jahres-Rhythmus erneuert und jährlich überprüft wird. Aktuell sind rund 47 Gateway-Administratoren in Deutschland nach Paragraf 25 MsbG zertifiziert, ein überschaubarer Kreis spezialisierter Akteure.

Fristen und der Übergang von Version 1.0 zu Version 2.0

Es gibt keinen harten Stichtag für alle. Version 2.0 greift mit der nächsten Zertifizierung, deshalb hängt der Termin am individuellen Zyklus jedes Gateway-Administrators. Die folgende Grafik ordnet die drei maßgeblichen Daten ein.

Version 2.0 greift mit der nächsten Rezertifizierung, Version 1.0 läuft Ende 2028 aus.
Version 2.0 greift mit der nächsten Rezertifizierung, Version 1.0 läuft Ende 2028 aus.

Veröffentlicht wurde Version 2.0 im Dezember 2025, und sie ist seit der Veröffentlichung anwendbar. Wer will, kann sich also bereits jetzt gegen den neuen Maßstab zertifizieren lassen. Verpflichtend wird Version 2.0 ab dem 1. Januar 2027 mit der nächsten Neu- oder Rezertifizierung. Wer im Jahr 2027 ohnehin in den Zertifizierungsprozess geht, wird damit bereits gegen Version 2.0 auditiert.

Parallel gilt eine Übergangsfrist. Version 1.0 bleibt bis zum 31. Dezember 2028 gültig, sodass bestehende Zertifikate auf ihrer Grundlage bis zum Ablauf weiterlaufen können. Der Übergang ist damit gestaffelt: Wer früh rezertifiziert, wechselt früher auf Version 2.0, wer ein laufendes Zertifikat nach Version 1.0 hat, hat Zeit bis zum Ende seines Zyklus, längstens bis Ende 2028.

Für die Planung folgt daraus, dass der individuelle Zertifizierungszyklus die entscheidende Größe ist, nicht ein gemeinsamer Stichtag. Jeder Gateway-Administrator sollte wissen, wann sein aktuelles Zertifikat ausläuft, denn dieser Termin bestimmt, ab wann er gegen Version 2.0 geprüft wird.

Abgrenzung zum IT-Sicherheitskatalog und die Herausforderungen

GWA-Pflicht und Netzbetreiber-ISMS werden in der Praxis oft verwechselt, weil beide um ISO 27001 und ein ISMS kreisen. Es sind aber zwei getrennte Pflichtenkreise mit unterschiedlichen Adressaten. Paragraf 25 MsbG und die TR-03109-6 verpflichten den Gateway-Administrator zur Absicherung der Smart-Meter-Gateway-Administration. Der IT-Sicherheitskatalog nach Paragraf 11 EnWG verpflichtet Netzbetreiber zu einem ISMS nach ISO 27001 und ISO 27019 für den Netzbetrieb.

Kleiner grauer Mess- und Gateway-Schrank an einer Wand mit Hutschienen-Modulen, einem Zähler und einer Gateway-Einheit
Der Gateway-Administrator betreibt das Smart Meter Gateway und haftet für seine Sicherheit.

Praktisch relevant wird die Abgrenzung, weil ein Unternehmen beide Rollen tragen kann. Ein Stadtwerk, das sowohl Netzbetreiber als auch Messstellenbetreiber mit eigener Gateway-Administration ist, braucht beide Nachweise: das ISMS nach dem IT-Sicherheitskatalog für den Netzbetrieb und die Zertifizierung nach Paragraf 25 MsbG für die GWA-Rolle. Wer die beiden Pflichtenkreise gedanklich vermengt, läuft Gefahr, einen davon nicht sauber abzudecken.

Die verschärften Anforderungen der Version 2.0 erhöhen den Aufwand spürbar, vor allem für kleinere Akteure. Erstmals geregelte Remote-Arbeitsplätze, klarere Dienstleisterregeln und höhere Dokumentationsanforderungen treffen kleine Messstellenbetreiber besonders, weil ihnen die Skaleneffekte fehlen. Das kann die Auslagerung der GWA-Rolle oder eine Konsolidierung auf größere, spezialisierte Administratoren beschleunigen.

Hinzu kommt ein Kapazitätsthema. Die Zahl der Stellen, die Zertifizierungen und Audits durchführen, ist begrenzt. Wenn ab 2027 viele Gateway-Administratoren mit ihrer nächsten Rezertifizierung auf Version 2.0 umstellen, kann eine Rezertifizierungswelle entstehen, in der Auditkapazitäten knapp werden. Wer früh plant, sichert sich einen Termin, bevor der Engpass eintritt.

Was Unternehmen jetzt tun sollten

Wer den nächsten Zertifizierungstermin kennt, kann den Aufwand steuern. Die Gap-Analyse von Version 1.0 zu Version 2.0 sollte jetzt beginnen, denn ab 2027 wird gegen den neuen Maßstab geprüft. Aus den Änderungen wird so ein konkreter Plan.

  • Rezertifizierungstermin prüfen: den nächsten Neu- oder Rezertifizierungstermin feststellen, denn ab 2027 gilt für diesen Termin zwingend Version 2.0, und die Restlaufzeit nach Version 1.0 endet spätestens am 31. Dezember 2028.
  • Homeoffice und Remote anpassen: das Konzept für Remote-Arbeitsplätze und das Homeoffice von GWA-Personal an die erstmals geregelten Anforderungen der Version 2.0 anpassen.
  • Dienstleister und Dokumentation vorbereiten: Dienstleisterverträge und ISMS-Dokumentation auf die höhere Auditierbarkeit vorbereiten, damit Kontrollen und Nachweise im Audit lückenlos belegbar sind.
  • Audit-Slot buchen und Make-or-buy prüfen: den Audit-Slot frühzeitig buchen, bevor die Rezertifizierungswelle ab 2027 die Kapazitäten knapp macht, und die Make-or-buy-Frage für den GWA-Betrieb stellen.

Weiterführende Informationen

Direktvermarktung mit Fernsteuerung über das SMGW 2028 Smart-Meter-Rollout und KI 2026 Steuerbox und Paragraf 14a: Netzsteuerung 2026 NIS2 und KRITIS-Dachgesetz 2026 BSI: TR-03109-6 Version 2.0 BSI-Presse: Vorgaben für SMGW-Administration aktualisiert Paragraf 25 MsbG (Gesetzestext)

Häufig gestellte Fragen

Was ist die BSI TR-03109-6? +

Die TR-03109-6 ist die Technische Richtlinie des BSI für die Smart-Meter-Gateway-Administration. Sie legt die Mindestanforderungen an die Informationssicherheit des Gateway-Administrators fest und beschreibt deren Umsetzung in einem Informationssicherheits-Managementsystem (ISMS). Der Gateway-Administrator betreibt das Smart Meter Gateway technisch und ist für dessen Sicherheit verantwortlich. Die Richtlinie ist der inhaltliche Prüfmaßstab für die Zertifizierung nach Paragraf 25 MsbG.

Führt Version 2.0 eine neue Zertifizierungspflicht ein? +

Nein. Die Zertifizierungspflicht für Gateway-Administratoren besteht seit Jahren nach Paragraf 25 MsbG, rund 47 Gateway-Administratoren sind bereits zertifiziert. Version 2.0 aktualisiert nur den inhaltlichen Prüfmaßstab, also die Mindestanforderungen an die Informationssicherheit. Sie schafft keine neue Pflicht und keinen neuen Adressatenkreis.

Ab wann gilt Version 2.0? +

Version 2.0 wurde im Dezember 2025 veröffentlicht und ist seit der Veröffentlichung anwendbar. Verpflichtend wird sie ab dem 1. Januar 2027 mit der nächsten Neu- oder Rezertifizierung des jeweiligen Gateway-Administrators. Version 1.0 gilt parallel bis zum 31. Dezember 2028. Es gibt also keinen harten Stichtag für alle, der Termin hängt am individuellen Zertifizierungszyklus.

Wer muss sich nach Paragraf 25 MsbG zertifizieren lassen? +

Zertifizieren lassen muss sich, wer die Rolle des Gateway-Administrators ausüben will. Das ist der Messstellenbetreiber selbst oder ein von ihm beauftragtes Unternehmen, das das Smart Meter Gateway technisch administriert. Ohne gültiges Zertifikat darf die Gateway-Administration nicht ausgeübt werden. Der Nachweis erfolgt über ein ISMS, das die Mindestanforderungen der TR-03109-6 abbildet.

Wie grenzt sich das vom IT-Sicherheitskatalog nach Paragraf 11 EnWG ab? +

Paragraf 25 MsbG und die TR-03109-6 verpflichten den Gateway-Administrator zu einem ISMS für die Smart-Meter-Gateway-Administration. Der IT-Sicherheitskatalog nach Paragraf 11 EnWG verpflichtet Netzbetreiber zu einem ISMS nach ISO 27001 und ISO 27019 für den Netzbetrieb. Das sind zwei getrennte Pflichtenkreise. Ein Stadtwerk kann beide Rollen tragen und beide Nachweise benötigen.