Ja, die Beauftragung eines Dienstleisters durch einen datenumgangsberechtigten Marktteilnehmer (EMT) ist gemäß § 49 Abs. 3 MsbG möglich. Wie eine Registrierung in der SM-PKI mit einem Dienstleister generell erfolgen muss, ist in der SM-PKI CP in Kapitel 3.2.2.2 definiert. Die spezifischen Prozesse und die zugehörigen Registrierungsunterlagen werden von der jeweiligen Sub Certificate Authority (Sub-CA) vorgegeben.

Gemäß § 52 Abs. 4 MsbG dürfen personenbezogene Daten, Stammdaten und Netzzustandsdaten nur zwischen den Teilnehmern der SM-PKI kommuniziert werden. Entsprechend müssen die verschiedenen Teilnehmer (z.B. Messstellenbetreiber) jeweils über ein eigenes Zertifikat verfügen, um die Kommunikation dieser Daten mit dem SMGW und untereinander durchzuführen. Daher muss ein datenumgangsberechtiger Marktteilnehmer nach §49 Abs. 2 MsbG (EMT, z.B. ein Messstellenbetreiber) in seinem Namen ein PKI-Zertifikat bei seiner gewählten Sub-CA beantragen.

Der beauftragte Dienstleister nach § 49 Abs. 3 MsbG muss das PKI-Zertifikat im Auftrag des datenumgangsberechtigten Marktteilnehmers (EMT) nutzen. Der Dienstleister darf für die beauftragten Aufgaben kein anderes Zertifikat verwenden. Diese Regelung gilt für jeden datenumgangsberechtigten Marktteilnehmer (EMT).

Der Dienstleister kann im Auftrag des datenumgangsberechtigten Marktteilnehmers (EMT) entsprechende PKI-Zertifikate für diesen beantragen. Die Zertifikate müssen dabei auf den datenumgangsberechtigten Marktteilnehmer (EMT) ausgestellt werden. Die hierfür zu durchlaufenden spezifischen Prozesse und die zugehörigen Registrierungsunterlagen werden von der jeweiligen Sub-CA vorgegeben und müssen konform zu SM-PKI CP Kapitel 3.2.2.2 sein.

Der Dienstleister handelt im Auftrag des datenumgangsberechtigten Marktteilnehmers (EMT) und nutzt dessen PKI-Zertifikat. Zwischen dem EMT und Dienstleister besteht ein Innenverhältnis. Beide kommunizieren über eine geschützte interne Infrastruktur (z.B. ein VPN). Die sichere Kommunikation zwischen EMT und Dienstleister muss im Sicherheitskonzept (SiKo) des EMT definiert werden.

Sicherheitstechnisch muss die Weiterverarbeitung der Daten gleichwertig zur Authentisierung und Verschlüsslung mit den PKI-Zertifikaten aus der SM-PKI geschützt werden. Dies bedeutet insbesondere den Einsatz vergleichbarer Kryptographie (siehe Kapitel 1.3.3.4 der SM-PKI CP).

Werden die kryptografischen Schlüssel mehrerer Mandaten auf einem Kryptographiemodul gespeichert (siehe Kapitel 6.2.6 SM-PKI CP), müssen die Schlüssel logisch getrennt werden. Die Trennung der Schlüssel kann durch einen Mechanismus des Kryptographiemoduls (eigene Partition/Slot) oder serverseitig auf Anwendungsebene (Berechtigungsmanagement) erfolgen. Hierbei muss sichergestellt werden, dass ein Mandat ausschließlich auf seine Schlüssel zugreifen kann.

Zur Aufnahme eines neuen PKI-Teilnehmers unterhalb einer Sub-CA ist es maßgeblich, dass die beantragende Organisation für diese Rolle bei dieser Sub-CA noch nicht registriert ist.

Der bei der Registrierung im Zertifikat beantragte Common Name (<org>.<function>[.<extension>]) enthält die verbindliche Bezeichnung (<org>.<function>) für die beantragende Organisation.

Unterschiedliche Zertifikatstripel haben "verwandte Common Names", sofern sich die Common Names (<org>.<function>[.<extension>]) nur in der .<Extension> unterscheiden, d. h. <org>.<function> sind gleich.

Initiale Zertifikate sind solche, die für einen neuen SM-PKI-Teilnehmer im Rahmen der Registrierung dieses SM-PKI-Teilnehmers ausgestellt werden. Das erste Zertifikatstripel eines neuen verwandten Common Names kann bei der Zertifikatsausgabe wie ein Folgezertifikat behandelt werden.

Bei der Zertifikatserstellung erhalten Zertifikate mit verwandten Common Name eine eigene Zählung der Sequenznummer (vgl. CP 4.2.4, 4.7).

Es ist dann keine erneute Registrierung erforderlich, wenn ein PKI-Teilnehmer bereits registriert ist und ein weiteres Zertifikatstripel benötigt, das sich nur in der Extension unterscheidet (verwandte Common Names - <org>.<function> sind identisch). Wenn für das weitere Zertifikatstripel weitere Unterlagen einzureichen sind, kann dies mit einer Änderungsanzeige durch einen autorisierten Ansprechpartner erfolgen (z.B. im Fall eines EMT: die Zuteilungsurkunde für eine Marktpartner-ID).

Schon registrierte PKI-Teilnehmer, die ein weiteres Zertifikatstripel, das sich nur in der Extension unterscheidet (verwandte Common Names), beantragen wollen, können dies wie in 4.6 der CP beschrieben am Webservice tun. Das Requestpaket wird mit einem gültigen Zertifikat mit verwandtem Common Name signiert.

Bei EMT-Zertifikaten muss darauf geachtet werden, dass die Marktpartner-IDs bei der ausstellenden Sub-CA bekannt gemacht wurden, bevor MAK-Zertifikate zu einem registrierten EMT-PKI-Teilnehmer am Webservice beantragt werden können. Ist die zugehörige Zuteilungsurkunde nicht bei der Sub-CA bekannt gemacht und durch die Sub-CA bestätigt worden, müssen solche Requests abgelehnt werden.