Um den Schutz der von den Haushalten übermittelten Messdaten zu gewährleisten, ist für die Verbindung des Smart-Meter-Gateways zu einem autorisierten Marktteilnehmer im Weitverkehrsnetz eine gegenseitige Authentisierung der Kommunikationspartner erforderlich. Die Kommunikation erfolgt dabei stets über einen verschlüsselten, integritätsgesicherten Kanal. Zudem werden zu sendende Daten vom Smart-Meter-Gateway zusätzlich auf Datenebene für den Endempfänger verschlüsselt und signiert.

Das gewählte Modell der PKI sieht eine zentrale, staatliche Root (Wurzel) als Vertrauensanker in der Infrastruktur der Gateways vor. Darunterliegend operieren private Unternehmen, sogenannte Sub-CAs (untergeordnete Zertifizierungsstellen), welche die Betreuung der Marktteilnehmer übernehmen. Die Root setzt die gesetzlichen Anforderungen auf technischer Ebene durch und berechtigt die privaten Unternehmen eine Sub-CA zu betreiben. Die technischen, personellen und organisatorischen Sicherheitsanforderungen für die Ausstellung von Zertifikaten werden von der Root in einer Certificate Policy (Root-CP) festgelegt. In der Root-CP werden organisatorische und technische Anforderungen für das Anerkennen, Ausstellen, Verwalten, Benutzen, Zurückziehen und Erneuern von Zertifikaten zur Kommunikation zwischen Gateway und Marktteilnehmern spezifiziert.

Der Wirkbetrieb der Root wird seit dem 1. März 2015 unter der Aufsicht des BSI von einem Zertifizierungsdienstanbieter durchgeführt. Des Weiteren werden den Marktteilnehmern zusätzlich zur Root verschiedene Testsysteme zur Ausgabe von digitalen Test-Zertifikaten bereitgestellt.