ISO 15118-20 und Plug and Charge: die AFIR-Pflicht 2026 und 2027
Dieser Artikel ordnet die AFIR-Pflicht in sieben Schritten ein: was sich ändert, was Plug and Charge technisch bedeutet, warum es nicht dasselbe ist wie die Ad-hoc-Zahlung, wie die deutsche Ausgangslage aussieht, was im Backend umzustellen ist, wo die Risiken liegen und was Betreiber jetzt tun sollten.
ISO 15118 ist der Kommunikationsstandard zwischen Elektrofahrzeug und Ladepunkt und die technische Grundlage für Plug and Charge. Plug and Charge heißt: Du steckst das Fahrzeug an, es authentifiziert sich über ein hinterlegtes Vertragszertifikat, und der Ladevorgang startet ohne App und ohne Ladekarte. Die europäische Verordnung über den Aufbau der Infrastruktur für alternative Kraftstoffe, kurz AFIR, macht diesen Standard schrittweise verbindlich. Ab dem 8. Januar 2026 müssen neu errichtete oder umfassend erneuerte öffentlich zugängliche Wechselstrom-Ladepunkte die Fassung ISO 15118-2 unterstützen. Ab dem 1. Januar 2027 gilt die erweiterte Fassung ISO 15118-20, auch für neue oder erneuerte private Ladepunkte, mit bidirektionalem Laden, Multi-Contract-Handling und Cross-Signing von Zertifikaten. Wichtig ist die Abgrenzung: Plug and Charge ist laut EU-Kommission etwas anderes als die Ad-hoc-Zahlung nach Artikel 5 AFIR, die weiter über ein gängiges Zahlungsmittel möglich sein muss, bei Ladepunkten ab 50 kW über ein Kartenterminal. Deutschland zählte zum 1. April 2026 rund 200.000 öffentliche Ladepunkte, ein Plus von 17 Prozent binnen eines Jahres. Der eigentliche Aufwand liegt im Backend: OCPP 2.0.1 oder 2.1, sicherer Zertifikatsspeicher, gegenseitig authentifizierte TLS-Verbindungen und die Anbindung an eine Public-Key-Infrastruktur. Deren Konzentration auf wenige Anbieter wie Hubject und Gireve ist zugleich das größte Betriebsrisiko. Für Betreiber heißt das: nur noch standardfähige Hardware beschaffen, das Backend heben und die PKI-Anbindung als Dauerbetrieb aufsetzen.
Was sich ändert: ISO 15118 wird zur Pflicht
Ab 2026 ist das digitale Laden keine Komfortfunktion mehr, sondern Vorschrift. Die europäische Verordnung über den Aufbau der Infrastruktur für alternative Kraftstoffe, kurz AFIR, gilt seit dem 13. April 2024 unmittelbar in allen Mitgliedstaaten und macht den Kommunikationsstandard ISO 15118 schrittweise verbindlich.
Zwei Fristen sind entscheidend. Ab dem 8. Januar 2026 müssen neu errichtete oder umfassend erneuerte öffentlich zugängliche Wechselstrom-Ladepunkte die Fassung ISO 15118-2 unterstützen. Ab dem 1. Januar 2027 gilt die erweiterte Fassung ISO 15118-20, dann auch für neue oder erneuerte private Ladepunkte. Betroffen ist jeweils der Zubau, Bestandsanlagen müssen nicht rückwirkend umgerüstet werden.
| Datum | Anforderung | Geltungsbereich |
|---|---|---|
| 13.04.2024 | AFIR in Kraft, Ad-hoc-Laden und Smart Charging | neue öffentliche Ladepunkte |
| 08.01.2026 | ISO 15118-2 | neue oder erneuerte öffentliche AC-Punkte |
| 14.04.2026 | Daten im DATEX-II-Format über eine Schnittstelle | alle Ladepunkt-Betreiber |
| 01.01.2027 | ISO 15118-20 | neue oder erneuerte öffentliche und private Punkte |
Das klingt technisch, hat aber eine klare Folge: Wer ab diesen Stichtagen Ladepunkte errichtet, muss die passende ISO-15118-Fassung unterstützen, sonst ist die Anlage nicht regelkonform. Die Frist trifft nicht nur die Ladesäule, sondern die ganze Kette dahinter.
Was Plug and Charge technisch bedeutet
Plug and Charge heißt: Du steckst das Fahrzeug an, es authentifiziert sich selbst, der Ladevorgang startet ohne App und ohne Ladekarte. Möglich wird das durch ein Vertragszertifikat, das im Fahrzeug hinterlegt ist und beim Anstecken automatisch geprüft wird.
Die erweiterte Fassung ISO 15118-20 kann mehr als ihr Vorgänger. Sie bringt bidirektionales Laden mit, bei dem das Fahrzeug nicht nur Strom bezieht, sondern auch zurückspeisen kann, sie erlaubt das Handling mehrerer Verträge im selben Fahrzeug und sie ermöglicht Cross-Signing von Zertifikaten. Beim Cross-Signing kann ein Vertragszertifikat gleichzeitig von mehreren Wurzelinstanzen signiert werden, etwa der Hersteller-Root und der Root des Mobilitätsanbieters, sodass das System nicht ausfällt, wenn eine einzelne Root kompromittiert wird oder wegbricht.
Für die Netzintegration ist die bidirektionale Fähigkeit der eigentliche Sprung. Sie ist die Grundlage dafür, dass Fahrzeuge als mobile Speicher am Netz mitarbeiten. Wie daraus tragfähige Modelle werden, zeigt der Beitrag zum bidirektionalen Laden nach dem MISPEL-Modell.
Plug and Charge ist nicht Ad-hoc-Zahlung
Ein häufiges Missverständnis: Plug and Charge ersetzt nicht die Pflicht zur spontanen Zahlung. Die EU-Kommission stellt in ihrem Fragen-und-Antworten-Papier klar, dass beide Wege getrennt zu betrachten sind. Betreiber müssen also beides anbieten, die vertragsbasierte Automatik und die vertragsfreie Kartenzahlung.
Zahlungen über Plug and Charge, also über die Kommunikation nach ISO 15118-2 oder -20, sind im Zusammenhang mit Artikel 5 Absatz 1 nicht relevant, da dieser Artikel das Laden auf Ad-hoc-Basis betrifft.
Der Unterschied liegt im Vertrag. Ad-hoc-Laden nach Artikel 5 AFIR bedeutet, dass ein Nutzer ohne vorherigen Vertrag laden und mit einem gängigen Zahlungsmittel bezahlen kann. Bei Ladepunkten ab 50 kW ist dafür ein Kartenterminal Pflicht, darunter genügt ein PSD2-konformer QR-Code, der zu einer sicheren Bezahlseite führt. Plug and Charge dagegen setzt einen bestehenden Vertrag zwischen Endnutzer und Mobilitätsanbieter voraus und ist damit laut Kommission kein Ad-hoc-Fall. Beide Wege stehen nebeneinander, keiner ersetzt den anderen.
Deutsche und EU-Perspektive
Deutschland hat die Grundlage, an der die Pflicht ansetzt: rund 200.000 öffentliche Ladepunkte zum 1. April 2026. Der Zubau ist die eigentliche Herausforderung, denn jeder neue oder erneuerte Punkt fällt unter die Standardpflicht.
Die Bundesnetzagentur zählte zum 1. April 2026 rund 149.002 Normalladepunkte und 51.253 Schnellladepunkte, zusammen über 200.000. Der Bestand wuchs binnen eines Jahres um 17 Prozent, die Schnellladepunkte sogar um 34 Prozent, die bereitgestellte Nennleistung stieg von 6,38 auf 8,28 Gigawatt. Bei diesem Tempo trifft die Standardpflicht kein Randthema, sondern den Großteil des laufenden Ausbaus.
Parallel gilt ab dem 14. April 2026 die Pflicht, alle Ladedaten im DATEX-II-Format über eine standardisierte Schnittstelle bereitzustellen. In Deutschland kommt die eichrechtskonforme Abrechnung als zusätzliche Anforderung hinzu, damit Ladestrom rechtssicher gemessen und abgerechnet wird. Wer diese Pflichten getrennt abarbeitet, riskiert drei aufeinanderfolgende Projekte statt eines.
Was das im Backend bedeutet
Die Frist trifft die gesamte Kette hinter der Ladesäule. ISO 15118 lässt sich nur umsetzen, wenn Hardware, Backend und PKI zusammenspielen. Der Kern der Arbeit liegt selten in der Säule, sondern in der Software und in der Zertifikatsverwaltung.
Drei Bausteine sind zentral. Erstens muss das Backend OCPP 2.0.1 oder 2.1 sprechen, denn erst diese Versionen unterstützen die Zertifikatsverwaltung für Plug and Charge. Zweitens brauchen die Ladepunkte sicheren kryptografischen Speicher, etwa ein Trusted Platform Module, und gegenseitig authentifizierte TLS-Verbindungen zum Backend. Drittens müssen sich Betreiber an eine V2G-PKI anbinden und den kompletten Lebenszyklus der Zertifikate steuern: Ausstellung, Speicherung, Erneuerung und Sperrung.
Diese digitale Basis ist kein Sonderfall der Ladeinfrastruktur, sondern folgt derselben Logik wie andere Bausteine der Energiewende. Die sichere Kommunikation zwischen Geräten kennt man aus EEBUS und dem Heim-Energiemanagement, die netzdienliche Steuerung steuerbarer Verbraucher aus Paragraf 14a EnWG. Ein Ladepunkt ist im Sinne dieser Regel eine steuerbare Verbrauchseinrichtung.
Herausforderungen und Risiken
Die PKI ist Stärke und Schwäche zugleich. Sie macht das automatische Laden sicher, verlagert das Risiko aber auf wenige zentrale Instanzen und erhöht die Komplexität für alle Beteiligten.
Der Aufbau und Betrieb einer einheitlichen Zertifikatswelt gilt als aufwendig und teuer, verschiedene PKI-Systeme wie Hubject und Gireve erfordern Interoperabilitätstests. Ein Ausfall der V2G-PKI, etwa durch kompromittierte oder abgelaufene Zertifikate, kann den Ladebetrieb großflächig stören, und die Abhängigkeit von wenigen Anbietern konzentriert dieses Risiko. Der Wechsel von einfacher Signalgebung zu Kommunikation auf Anwendungsebene vergrößert außerdem die Angriffsfläche. Denkbar sind der Diebstahl von Zertifikaten und Relay-Angriffe, bei denen ein fremdes Fahrzeug auf fremde Kosten lädt. Für Hersteller ist die eingebettete Umsetzung von TLS, EXI-Kodierung und Zertifikatsprüfung eine hohe technische Hürde.
Das größte Risiko ist nicht die einzelne Ladesäule, sondern die Abhängigkeit von der PKI. Wer die Anbindung, die Zertifikatserneuerung und einen Notbetrieb bei PKI-Ausfall von Anfang an mitplant, macht Plug and Charge belastbar. Wer die PKI als Nebensache behandelt, riskiert, dass ein zentraler Ausfall den gesamten Ladepark lahmlegt.
Was Unternehmen jetzt tun sollten
Wer Ladeinfrastruktur betreibt oder plant, sollte die Fristen als Programm behandeln, nicht als einzelnes Firmware-Update. Vier Schritte sind dabei vordringlich.
Vier vorrangige Schritte
-
Beschaffung auf den Standard umstellen
Nur noch Hardware ausschreiben, die ISO 15118-2 heute und ISO 15118-20 ab 2027 nachweislich unterstützt. So fällt kein neu errichteter Ladepunkt bei der nächsten Frist durch.
-
Backend auf OCPP 2.0.1 oder 2.1 heben
Erst diese Versionen unterstützen die Zertifikatsverwaltung für Plug and Charge. Die Zertifikatsverwaltung als Dauerbetrieb aufsetzen, nicht als Einmalprojekt, denn Zertifikate laufen ab und müssen erneuert werden.
-
PKI-Anbindung bewusst entscheiden
Make-or-Buy für die PKI klären: Eigener Betrieb verlangt reife Governance, die Auslagerung erhöht die Abhängigkeit vom Dienstleister. In beiden Fällen einen Notbetrieb für den Fall eines PKI-Ausfalls vorsehen.
-
Datenpflichten mitplanen
DATEX-II-Datenbereitstellung und eichrechtskonforme Abrechnung parallel angehen, damit nicht drei Projekte nacheinander laufen. So wird aus mehreren Einzelpflichten ein abgestimmtes Vorhaben.
Die Ladekommunikation steht nicht allein. Sie greift in dieselbe Digitalisierung wie das bidirektionale Laden, die Steuerung nach Paragraf 14a EnWG und die Gerätekommunikation über EEBUS und HEMS.
Weiterführende Informationen
Häufig gestellte Fragen
Plug and Charge bedeutet, dass sich ein Elektrofahrzeug beim Anstecken automatisch am Ladepunkt authentifiziert und der Ladevorgang ohne App und ohne Ladekarte startet. Grundlage ist ein Vertragszertifikat, das im Fahrzeug hinterlegt ist und über eine Public-Key-Infrastruktur geprüft wird. Der Kommunikationsstandard dahinter ist ISO 15118.
Ab dem 8. Januar 2026 müssen neu errichtete oder umfassend erneuerte öffentlich zugängliche Wechselstrom-Ladepunkte die Fassung ISO 15118-2 unterstützen. Ab dem 1. Januar 2027 gilt die erweiterte Fassung ISO 15118-20 für neue oder erneuerte öffentliche und private Ladepunkte. Die AFIR gilt seit dem 13. April 2024 unmittelbar in allen Mitgliedstaaten.
Plug and Charge setzt einen bestehenden Vertrag zwischen Endnutzer und Mobilitätsanbieter voraus und authentifiziert automatisch über ein Vertragszertifikat. Ad-hoc-Laden nach Artikel 5 AFIR ist die Zahlung ohne Vertrag mit einem gängigen Zahlungsmittel. Laut EU-Kommission sind beide Wege getrennt zu betrachten, und Betreiber müssen die vertragsfreie Kartenzahlung zusätzlich anbieten. Bei Ladepunkten ab 50 kW ist ein Kartenterminal Pflicht, darunter genügt ein PSD2-konformer QR-Code.
Die Public-Key-Infrastruktur (PKI) prüft, ob das Vertragszertifikat im Fahrzeug echt und gültig ist. ISO 15118-20 erlaubt erstmals Cross-Signing, sodass ein Zertifikat von mehreren Roots signiert werden kann und das System nicht an einer einzelnen Instanz hängt. In Europa dominieren wenige PKI-Anbieter wie Hubject und Gireve. Ein Ausfall der V2G-PKI gilt als eines der zentralen Betriebsrisiken.
Das Backend muss OCPP 2.0.1 oder 2.1 sprechen, weil erst diese Versionen die Zertifikatsverwaltung für Plug and Charge unterstützen. Ladepunkte brauchen sicheren kryptografischen Speicher und gegenseitig authentifizierte TLS-Verbindungen zum Backend. Betreiber müssen sich an eine V2G-PKI anbinden und den gesamten Lebenszyklus der Zertifikate steuern. Parallel gilt ab dem 14. April 2026 die Pflicht, Ladedaten im DATEX-II-Format bereitzustellen.