CRA-guiden för smarta mätargateways och energimätning

Vad CRA kräver för smarta mätargateways

CRA behandlar en smart mätargateway som en produkt gjord av många digitala element. Produkten kan inkludera mätarfirmware, gatewayens operativsystem, kommunikationsmodulen, DLMS/COSEM-stacken (standardprotokollet för mätardata) eller en proprietär mätarprotokollstack, SIM-, eSIM- eller radioreferensen, nyckellagret, head-end-anslutaren (länken till nätbolagets centrala insamlingssystem), den lokala displayen, en mobilapp, en molnportal, uppdateringstjänsten, installatörsverktyget och sårbarhetshanteringsprocessen. Den utesluter normalt nätbolagets faktureringssystem, det legala metrologigodkännandet, nätdriftsystemen och kundens energiavtal, om inte samma tillverkare levererar dessa som del av produkten.

Den avgränsningen är filens kärna. Bevisen måste hålla cybersäkerhet åtskild från legal metrologi, samtidigt som de fortfarande dokumenterar gränssnitten mellan gatewayen, mätarna och head-end. Metrologigodkännande enligt mätinstrumentsdirektivet och de nationella mätarreglerna besvarar en annan fråga än CRA. Det ena bevisar att mätningen är korrekt och förseglad. Det andra bevisar att den anslutna produkten motstår angrepp under hela sin supportperiod. En tillverkare som suddar ut de två slutar med en fil som inte tillfredsställer någon av granskarna.

Cybersäkerhetskraven och den tekniska fil som bevisar dem fungerar likadant för varje CRA-produkt, och guiden för teknisk dokumentation täcker dem. Den här sidan håller sig till det som är specifikt för en mätargateway: den Kritiska klassificeringen, överensstämmelsevägen, gatewayarkitekturen och det mätarspecifika beviset.

Är din enhet i den Kritiska nivån?

Den Kritiska etiketten är smal, och en mätarprodukt kan sitta på endera sidan av den. En enhet är den Kritiska gatewayen när den är mätarsystemets kommunikationsenhet: den kontrollerar länken till nätbolag, behandlar mätar- och persondata, kör kryptografin och kan brandväggsskydda systemet och kontrollera andra enheter. En mätare som bara mäter och rapporterar stannar på standardvägen, och att använda stark kryptografi för att skydda en vanlig funktion gör inte heller en enhet Kritisk. Kommissionens genomförandeförordning (EU) 2025/2392 (genomförandeförordningen), bindande sedan den 21 december 2025, sätter det testet och utvidgar det till gas- och värmegatewayer, inte bara el. Avgör svaret en gång i avgränsningsmemot. Sammanfattningstabellen ovan kopplar de vanliga varianterna till deras väg.

Hur arkitekturen skiljer sig mellan EU-länderna

Tyskland använder en separat-gateway-modell med en separat kommunikationsenhet, den modell den Kritiska listningen ritades runt. Frankrike, Spanien och Italien mäter inte på det sättet. De kör integrerade mätare som mäter och kommunicerar i en förseglad enhet och når en datakoncentrator i den sekundära transformatorstationen direkt, utan någon gatewaybox i hemmet. Koncentratorn hanterar aggregeringen och uppströmslänken, så CRA-beviset fäster fortfarande, men vid olika enheter, och frågan om Kritisk väg flyttar med den. Den tyska modellen får ett eget avsnitt nedan.

Formen är densamma på alla tre marknaderna: en integrerad mätare hos kunden, smalbandig kraftledningsbärvåg upp längs lågspänningslinjen, en koncentrator i distributionstransformatorstationen, sedan en mobillänk till operatören. Det som ändras är kraftledningstekniken, konsumentkanalen och, i Italien, ett andra radiogränssnitt. I varje fall är koncentratorn den nod som aggregerar många mätare och kontrollerar kommunikationen med behöriga tredje parter. Den integrerade mätaren är normalt en ansluten produkt på standardvägen. Inget av besluten är automatiskt. Genomförandeförordningen avgör kategorin utifrån kärnfunktionalitet, så en mätare vars egna funktioner matchar gatewaybeskrivningen kan argumenteras in i den Kritiska nivån, och tillverkaren fastställer uppdelningen i avgränsningsmemot snarare än att anta den.

Frankrike: Enedis Linky

Linky-mätaren gör båda jobben. Den mäter förbrukning och den kommunicerar uppströms från en enda enhet, och når en koncentrator i den sekundära HTA/BT-transformatorstationen (mellan- till lågspänning) direkt snarare än genom en gateway i hemmet. Länken är smalbandig kraftledningsbärvåg i CENELEC A-bandet, det lågfrekventa nätbolagsbandet, främst G3-PLC-profilen, med en del av flottan på första generationens S-FSK-schema. Koncentratorn backhaular till Enedis centralsystem över publik mobil, GPRS i den ursprungliga designen. Enedis är distributionssystemoperatören som driver systemet, inte mätartillverkaren. Konsumentgränssnittet är valfritt: mätaren exponerar en TIC-informationsport som en display i hemmet kan läsa genom en separat radiomodul, ett tillägg snarare än standardutrustning från Enedis. Utrullningen började 2015 och nådde omkring 35 miljoner mätare.

Spanien: PRIME och Meters and More

Spanien kör samma tre-nivå-form: en integrerad DLMS-mätare i fastigheten, en koncentrator i centro de transformación, och en head-end hos DSO. Lågspännings kraftledningstekniken delas upp efter operatör. Iberdrola (i-DE) och UFD kör PRIME, medan Endesa (e-distribución) kör Meters and More. Koncentratorn aggregerar mätarna, vidarebefordrar kommandon och övervakar lågspänningsnätet, och den talar med head-end över övervakarprotokollet STG-DC. Den backhaular över en publik nätverkslänk, vanligen mobil och ofta över ett VPN. Den legala ryggraden är Orden ITC/3860/2007, som krävde att mätare ersattes med fjärrhanteringsenheter, så Spanien nådde nära fullständig täckning tidigt, vid omkring 27 miljoner lågspänningsmätare.

Italien: e-distribuzione Open Meter

Italien var den första stora EU-utrullningen, med Telegestore första generationen från 2001, och är nu på Open Meter andra generationen, omkring 30 miljoner mätare installerade 2023. ARERA tillåter att Chain 1 körs över kraftledning band A, ett 169 MHz radiogränssnitt eller annan telekomteknik, och Open Meter bär ett dubbelt Chain 1-gränssnitt som kombinerar kraftledning band A och 169 MHz radio. En separat Chain 2-kraftledningskanal i band C når valfria konsument-User Devices, standardiserade av CEI TS 13-82 till 13-85-serien och påbjudna av ARERA-resolution 87/2016. Koncentratorn i MT/BT-transformatorstationen (mellan- till lågspänning) är, med e-distribuziones egna ord, informationsnavet och aktuatorn för nätautomation, och den backhaular över det publika GSM-, GPRS-, UMTS- eller PSTN-nätet.

Inget av detta förklarar koncentratorn som en Kritisk produkt. Den är vanligen den starkare kandidaten. Avgörandet är enhets- och användningsspecifikt, det avgörs av beskrivningen av kärnfunktionalitet i genomförandeförordningen, och det hör hemma i tillverkarens avgränsningsmemo. Beslutet nedan är kortversionen av det testet.

Hur ett separat-gateway-system byggs (den tyska modellen)

Detta är separat-gateway-modellen, den med en separat kommunikationsenhet som sin egen box. På de integrerade-mätar-marknaderna som beskrivs ovan, Frankrike, Spanien och Italien, finns samma bevisavgränsningar, men de faller samman i mätaren och nätkoncentratorn snarare än en separat gateway. En smart mätargateway är den centrala kommunikationsenheten i ett intelligent mätarsystem. BSI beskriver den som den centrala komponenten som tar emot och lagrar data från mätare och behandlar den för de marknadsaktörer som är behöriga att se den. Bundesnetzagentur (förbundsnätbyrån) kallar den systemets hjärta. Gatewayen sitter mellan tre nätverk, och förtroendeankaret för dem alla är en dedikerad säkerhetsmodul. Varje gräns är där en bit CRA-bevis fäster, så arkitekturen är värd att rita exakt.

De tre nätverken bär var sitt risk och var sin kontroll:

• Det lokala metrologiska nätverket (LMN) ansluter gatewayen till mätarna, el, gas, vatten eller värme, för en eller flera slutkonsumenter. Det är här avläsningar kommer in i produkten. Beviset här täcker hur gatewayen autentiserar en mätare, hur den avvisar avläsningar från en obehörig mätare, och hur länken mätare-till-gateway är parad och skyddad.
• Hemnätverket (HAN) ansluter gatewayen till kontrollerbara lokala system såsom takmonterad solenergi, kraftvärme, värmepumpar och elbilsladdning, till en servicetekniker under underhåll, och till konsumenten som är behörig att se sin egen förbrukning. Beviset här täcker isolering mellan konsumentvyn och enhetshemligheterna, och omfattningen av eventuella styrkommandon som når ett lokalt system.
• Det externa nätverket (WAN) ansluter gatewayen till externa marknadsaktörer, energileverantörerna, nätoperatörerna och mätpunktsoperatören, och till gatewayadministratören. Det är flottvägen. Beviset här täcker ömsesidig autentisering, certifikatförvaltning, pseudonymiseringen av mätardata innan den når en marknadsaktör, och de behandlingsprofiler som avgör vilken data som går vart.

Säkerhetsmodulen är förtroendeankaret. BSI definierar den som den säkra lagringsplatsen för det kryptografiska nyckelmaterialet, som tillhandahåller de kryptografiska kärnrutinerna för signaturskapande och -verifiering, nyckelgenerering, nyckelöverenskommelse och slumptalsgenerering. Om säkerhetsmodulen är sund kan gatewayen bevisa vem den är på varje nätverk. Om den är svag vilar varje annan kontroll nedströms på sand. CRA-filen bör behandla säkerhetsmodulen som en namngiven komponent med sitt eget leverantörsbevis, sin egen uppdateringshistoria och sin egen gräns i diagrammet.

Gatewayadministratören (GWA) konfigurerar, administrerar och övervakar gatewayen på distans över WAN-nätet. Den trycker firmware, sätter konfiguration och behandlingsprofiler, och bevakar flottan. Ur ett CRA-perspektiv är gatewayadministratören en privilegierad fjärrstyrningsväg, ungefär som autokonfigurationsservern på en router. Filen måste registrera administratörens identitet, omfattningen av de kommandon den kan utfärda, förtroendeankaret den autentiserar mot, och granskningsspåret den lämnar.

Flera kontroller läggs sedan på kommunikationen, och var och en är en separat bit bevis i filen.

Nationell ordning, separat spår. Tyskland kör redan en detaljerad nationell regim för den här enheten enligt lagen om drift av mätpunkter, byggd på en stack av BSI-standarder:

• TR-03109-1: interoperabilitetskrav för kommunikationsenheten, i den bredare TR-03109-familjen. Nu i version 2.0.
• TR-03109-4: Smart Metering-infrastrukturen för publika nycklar.
• BSI-CC-PP-0073: Common Criteria-skyddsprofil för gatewayen. V2.0 certifierad december 2024.
• BSI-CC-PP-0077: Common Criteria-skyddsprofil för säkerhetsmodulen.

De tidigare baslinjerna PP-0073 v1.3 och TR-03109-1 v1.1 förblir giltiga till och med den 31 december 2027.

CRA antar inte TR-03109. Dess väg löper genom dess egna harmoniserade standarder som tas fram under kommissionens standardiseringsbegäran. Poängen med att nämna den tyska ordningen är ärlig inramning: tillsynsmyndigheter kräver redan denna djupa säkerhetsarkitektur av just den enhet CRA nu listar som Kritisk, så ribban en gatewaytillverkare måste klara är inte teoretisk. Tyskland är inte heller den enda ribban före 2027. En radioutrustad mätare har redan idag RED-cybersäkerhetskraven, på varje marknad, vilket överlappet med RED, MID, GDPR och NIS2 nedan beskriver.

Hur överensstämmelsevägen fungerar för en Kritisk produkt

Eftersom en gateway är Kritisk är den självdeklarationsväg en router i Viktig Klass I kan använda stängd. Den tar den externa vägen enligt Artikel 32: en tredjepartskontroll eller en fullständig kvalitetssäkringsrevision, eller en europeisk cybersäkerhetscertifieringsordning när en sådan gäller enligt Artikel 8. Ingen ordning har gjorts obligatorisk för gateways ännu, så idag är vägen tredjeparts- eller kvalitetssystembedömningen, med ordningen som en framtida utlösare att bevaka. Mekaniken för varje förfarande finns i guiden för bedömning av överensstämmelse. Den mätarspecifika hakan är metrologigränsen: en CRA-bedömning godkänner inte den juridiskt relevanta mätfunktionen, så håll överensstämmelsebeviset och metrologigodkännandet som separata register.

Vilket bevis bör den tekniska filen innehålla?

Filen bör låta en granskare följa gatewayen från produktidentitet till säkerhetskontroller utan att gissa. Tabellen nedan listar de filspecifika register som kravtabellen ovan inte redan täckte: identitet, det Kritiska avgörandet, överensstämmelseresultatet och komponentinventariet. De två register som bär mest av tyngden för en mätargateway, nyckel- och certifikatlivscykeln och uppdelningen mellan metrologirelevanta och enbart cybersäkerhetsmässiga ändringar, ritas i sin helhet under den.

Releasegrind: ingen batchhemlighet, installatörsreferens eller avvecklad gatewaybindning bör kunna autentisera som en aktiv mätargateway efter rotation eller ersättning. Det inaktuella förtroendefönstret är ett produkt- och operatörsåtagande, inte en universell konstant. Artefakt: resultat av återkallelseövning.

Säkerhetsmodulen gör nyckellivscykeln annorlunda än en generisk IoT-nyckelhistoria. En per-enhets-hemlighet injiceras på fabriken och lämnar aldrig modulen i klartext. Vid installation binder installatören gatewayen till sina mätare och till operatörsrollen utan att någonsin hantera en batchnyckel, så en läckt installatörsreferens kan inte imitera en flotta. I drift autentiserar gatewayen sig mot head-end med det konfigurerade förtroendeankaret och registrerar varje avläsning, manipulationshändelse och uppdatering. Rotation är schemalagd, incidentdriven eller utlöst av en rolländring, och den uppdaterar både gatewayen och operatörens register. Vid avveckling återkallas den gamla bindningen och nycklarna förstörs eller inaktiveras, så att en returnerad eller utbytt gateway inte kan fortsätta att agera som en aktiv mätargateway.

Det andra mätarspecifika registret är uppdelningen mellan juridiskt relevant metrologiprogramvara och enbart cybersäkerhetsmässiga ändringar. En gatewaytillverkare kommer att leverera säkerhetskorrigeringar långt oftare än metrologiändringar, och filen måste visa att en säkerhetsuppdatering inte tyst ändrade den godkända mätfunktionen. Matrisen nedan är beslutshjälpen: den talar om för tillverkaren var cybersäkerhetsbeslutet ska registreras, och var ett angränsande metrologigodkännande eller ett operatörssamordnat ändringsfönster behövs.

Uppdelning mellan metrologi- och cybersäkerhetsuppdatering. Säkerhetskorrigeringar måste bedömas mot juridiskt relevant programvara utan att låtsas att CRA ersätter metrologigodkännande.

Beslutsgrind: denna uppdelning är inte en genväg runt metrologi- eller nätbolagsgodkännande. Den talar om för tillverkaren var cybersäkerhetsbeslutet ska registreras, och var ett angränsande godkännande eller en operatörshold behövs. Frågan den besvarar: kan denna korrigering levereras som en cybersäkerhetsuppdatering, eller rör den juridiskt relevant metrologiprogramvara? Artefakt: metrologipåverkansbeslutsregister per release.

Hur ser en verklig mätar-riskbedömning ut?

Använd detta som ett exempel på det djup en fil i Kritisk nivå behöver. Tillverkaren måste fortfarande köra bedömningen mot sin verkliga gateway, säkerhetsmodul, mätarprotokollstack, kommunikationsmodul, leverantörskomponenter, uppdateringsägarskap, försäljningspåståenden och supportperiodlöfte.

Tillgångsinventering

Exempelprodukt: ExampleCo GridMeter G2, en smart mätargateway parad med elmätare, en mobil kommunikationsmodul, en hårdvarusäkerhetsmodul, en head-end-anslutare till nätbolaget, ett konsumentdisplaygränssnitt, signerade firmwareuppdateringar och ett installatörsverktyg för idrifttagning.

Produktavgränsningen inkluderar gatewayhårdvaran, säkerhetsmodulen, mätargränssnittet, kommunikationsmodulen, nyckellagret, head-end-anslutaren, konsumentdisplaygränssnittet, firmwareuppdateringstjänsten, installatörsverktyget, mottagningen för samordnat avslöjande och rådprocessen. Den utesluter nätbolagets faktureringssystem, det legala metrologigodkännandet, nätdriftsystemen och kundens energiavtal, om inte samma operatör levererar dem som del av produkten.

En gateways mest integritetskänsliga utdata är intervallavläsningen. Finkornig förbrukningsdata kan avslöja närvaro, apparatanvändning och beteende, så filen behöver en tydlig minimeringspunkt och ett tydligt svar på vad support kan se under en utredning. Flödet nedan kopplar det tillbaka till pseudonymiserings- och behandlingsprofilkontrollerna från arkitekturavsnittet.

Förtroendegränser

Hotscenarier

Inledande riskregister

Koppling mellan kontroller och bevis

Restrisk efter kontroller

Vad ingår i en smart mätargateway-SBOM?

De generiska SBOM-mekanikerna, formatvalet och signeringen finns i SBOM-guiden, HBOM-guiden och BSI TR-03183-guiden. Det som är specifikt för en gateway är trädets form. Det är en hårdvaruprodukt som levererar många digitala element på separata uppdateringscykler, sällan färre än tio och ofta närmare tjugo komponenter på toppnivå, var och en med sin egen leverantör, uppdateringskadens och rådflöde. Lista dem som ett komponentinventarium på produktnivå med elementseparerade sektioner, eller ett inventarium per levererat element, så länge det förblir maskinläsbart och täcker beroendena på toppnivå.

Håll skyldigheten ärlig. CRA ber om ett maskinläsbart inventarium som täcker minst beroenden på toppnivå, uppdaterat över supportperioden, med bevakning av leverantörsråd så att en känd sårbarhet i modemfirmware eller protokollbiblioteket triageras snarare än missas. Den påbjuder ännu inte ett fast format eller ett djup bortom beroenden på toppnivå. Spegla den formuleringen snarare än att uppfinna en strängare regel.

Inventariet är inte en passiv lista. Artikel 13 gör att du måste utöva tillbörlig aktsamhet när du integrerar en tredjepartskomponent, inklusive öppen källkod, så att den inte försvagar gatewayens cybersäkerhet. Den går längre om sårbarheter. När du hittar en i en integrerad komponent rapporterar du den till den enhet som tillverkar eller underhåller komponenten, du åtgärdar den i din produkt enligt sårbarhetshanteringsreglerna i Bilaga I, och där du har byggt en mjukvaru- eller hårdvarukorrigering delar du den relevanta koden eller dokumentationen tillbaka med den underhållaren. Mobilmodulen och säkerhetsmodulen är inte bara radposter. Var och en är en produkt med digitala element i sin egen rätt, som bär sina egna CRA-skyldigheter, så modemets basbandsråd och säkerhetsmodulens errata är del av din bevakning och din uppströmsrapportering, inte någon annans problem.

Hur bör support, uppdateringar och rapportering fungera?

En mätarflotta överlever den mesta konsumentelektroniken. Gateways sitter i väggar i ett decennium eller mer, så supportmodellen är del av filen, inte en eftertanke. Supportbevis bör täcka metrologifirmware, gatewayfirmware, säkerhetsmodulen, kommunikationsmodulen, head-end-anslutaren och installatörsverktygen. Långlivade flottor behöver också bevis för kontinuitet hos certifikatutfärdaren, utgång av signeringsnyckel, baslinjer för reservgateways, och åtskillnaden mellan juridiskt relevant metrologiprogramvara och enbart cybersäkerhetsmässiga uppdateringar.

Säkerhetsuppdateringar måste samordnas med nätbolagen och gatewayadministratören så att fältutrullningen, metrologipåverkan och användarmeddelandet är spårbara. En gatewaytillverkare kan inte trycka en flottuppdatering på det sätt en telefonapp gör. Operatören äger ändringsfönstret, och filen bör visa den samordningen snarare än att anta den. Rapporteringsskyldigheterna enligt Artikel 14 börjar den 11 september 2026, så avslöjandepolicyn och den enskilda kontakten bör fungera innan dess, medan resten av CRA gäller från den 11 december 2027, det datum då överensstämmelsevägen och den tekniska filen måste vara klara.

En övergångsregel betyder mer för en mätarflotta än för nästan någon annan produkt. En produkt som släppts på marknaden före tillämpningsdatumet fångas av hela CRA endast om den väsentligt modifieras därefter, så en mätare installerad år tidigare behöver inte retroaktivt överensstämmelsevägen. En skyldighet bryter den regeln. Rapporteringen av aktivt utnyttjade sårbarheter och allvarliga incidenter når varje produkt inom omfattningen som redan finns på marknaden, driftsatt flotta inkluderad (Artikel 69). Så tillverkaren av mätare som satts i fält år tidigare har fortfarande den rapporteringen för sin driftsatta flotta, och ett nätbolag bär den endast där det är den registrerade tillverkaren, till exempel efter ommärkning eller en väsentlig modifiering. Kartlägg den driftsatta flottan mot denna uppdelning tidigt, eftersom rapporteringsskyldigheten landar före resten av filen.

Vad importörer, distributörer och nätbolag måste kontrollera

En gateway delar ofta sina roller mellan fler ekonomiska aktörer än en konsumentprodukt: en mätartillverkare, en gatewaytillverkare, ett nätbolag som kan ommärka eller driva flottan, en gatewayadministratör och en installatör. Överlämningskartan nedan visar vem som äger varje förförsäljningskontroll och vad som stoppar gatewayen vid varje roll.

Förvaltningsgrind: gatewayen bör inte passera en roll förrän det mottagna bygget matchar det bedömda bygget. En ommärkt firmware, ett nytt operatörsmoln eller en ändrad administratörsprofil öppnar rollanalysen på nytt. Artefakt: acceptansregister för inkommande bygge.

De generiska skyldigheterna för importör och distributör gäller som för varje produkt. De mätarspecifika kontrollerna handlar om bygget och nycklarna. Importörer och distributörer bör bekräfta att det mottagna bygget är det bedömda bygget, inte en ommärkt fork. Nätbolag och installatörer bör kontrollera nyckelprovisioneringen, firmwarebaslinjen, arbetsflödet för återkallelse och ersättning och gatewayadministratörsprofilen innan de accepterar en batch. Ett nätbolag som placerar gatewayen under sitt eget namn, driver hanteringsmolnet, eller väsentligt modifierar firmware tar på sig tillverkarskyldigheter för den märkta flottan, inklusive sårbarhetsrapporteringskontakten.

En mätar- eller modultillverkare utanför EU får utse en tillverkarens representant i EU enligt Artikel 18. Artikeln säger "får", så det är ett alternativ, inte en skyldighet, och du bör inte registrera en tillverkarens representant som obligatorisk. Det som inte är valfritt är routingen. En egenmärkt eller väsentligt modifierad produkt gör den som placerade eller ändrade den till tillverkaren. Filen måste namnge vem som tar emot en sårbarhetsrapport och vem som håller dokumentationen tillgänglig när tillverkaren sitter utanför EU. Avgör den routingen i avgränsningsarbetet, inte vid gränsen.

Hur detta förhåller sig till RED, MID, GDPR och NIS2

CRA landar inte på ett tomt skrivbord. En smart mätare bär redan andra CE-skyldigheter, och nätbolaget som driver flottan har sina egna plikter. Fyra överlapp avgör hur mycket av filen som är genuint nytt.

En enda EU-försäkran om överensstämmelse listar varje akt som gäller, RED, MID, RoHS och CRA bland dem. Två saker fångar tillverkare på bar gärning.

RED-cybersäkerhet binder redan en radiomätare idag. Den måste uppfylla standarderna EN 18031-1, -2 och -3 nu, före CRA. Fortsätt uppfylla båda tills Delegerad förordning (EU) 2026/339 upphäver RED-cybersäkerhetsreglerna den 11 december 2027, CRA:s tillämpningsdatum.

EMC och lågspänningsdirektivet listas inte två gånger. På en radiomätare bär RED redan EMC- och säkerhetsmålen. De två direktiven gäller på egen hand endast en variant utan radio.