Audit nach BSI TR-03109-6 bei SMGW Admins

Alle Energieversorger bzw. Dienstleister, die den Betrieb eines Smart-Meter-Gateway Admin’s planen, müssen sich nach der BSI TR-03109-6 zertifizieren lassen. Das entsprechende Audit ist durch einen vom BSI zugelassenen Auditor durchzuführen.

Das BSI hat in einer Broschüre das Smart-Meter-Gateway als zentrale Kommunikationslösung eines intelligenten Messsystems  beschrieben und zeigt die sicherheitstechnischen Vorgaben sowie die funktionalen Anforderungen zur Interoperabilität auf. Darüber hinaus wird die Systemarchitektur, die Public Key Infrastruktur sowie die Vorgaben zum sicheren und technischen Betrieb des intelligenten Messsystems beim Smart Meter Gateway Administrator beschrieben.

Überblick BSI TR-03109-6

Die Technische Richtlinie für die Smart Meter Gateway Administration (TR-03109-6) beschreibt u.a. die technischen Mindestanforderungen für den Betrieb sog. Smart Meter Gateway’s mit integriertem Sicherheitsmodul, kurz SMGW genannt. Diese sind für die Betreiber, die sog. SMGW Admins, verbindlich einzuhalten und durch einen vom BSI zertifizierten TR-03109-6 Auditor zu prüfen.

In der BSI TR-03109-6 sind die normativen Mindestanforderungen an die Informationssichereit eines SMGW Admin’s aufgeführt. Darüber hinaus muss der SMGW Admin ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 auf der Grundlage dieser technischen Richtlinie einrichten. Die Rahmenbedingungen für die Auditierung sowie die Zertifizierung werden in Kapitel 5 der Technischen Richtlinie für die Smart Meter Gateway Administration behandelt.
ISO 27001 Zertifizierung auf Basis von IT-Grundschutz oder durch eine von der DAkkS akkreditierte Zertifizierungsstelle.

Die Zertifizierung kann entweder nach ISO 27001 auf Basis von IT-Grundschutz oder nach ISO/IEC 27001 (native) vorgenommen werden. Bei der Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz ist das BSI einzubinden. Alternativ kann eine ISO/IEC 27001 Zertifizierung durch eine von der Deutschen Akkreditierierungsstelle (DAkkS) anerkannten Zertifizierungsstelle vorgenommen werden.

In beiden Fällen kann das ISO 27001 Audit von einem Mitarbeiter der SITACS vorgenommen werden.