====== 3.5 Kritische Infrastruktur ====== PQC-Anforderungen für KRITIS((Kritische Infrastrukturen (KRITIS): https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/kritische-infrastrukturen_node.html))-Betreiber. ===== Definition ===== Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das Gemeinwesen, deren Ausfall dramatische Folgen hätte. ===== Sektoren nach NIS2 ===== Die NIS2-Richtlinie((EU-Richtlinie 2022/2555 (NIS2): https://eur-lex.europa.eu/eli/dir/2022/2555/oj)) definiert folgende Sektoren: **Wesentliche Einrichtungen:** * Energie (Strom, Gas, Öl) * Verkehr (Luft, Schiene, Wasser, Straße) * Bankwesen * Finanzmarktinfrastrukturen * Gesundheitswesen * Trinkwasser * Digitale Infrastruktur **Wichtige Einrichtungen:** * Post- und Kurierdienste * Abfallwirtschaft * Chemie * Lebensmittel * Verarbeitendes Gewerbe * Digitale Dienste ===== Besondere Anforderungen ===== * Frühzeitige PQC-Migration (vor 2030) * Dokumentationspflichten * Meldepflichten bei Vorfällen (binnen 24h) * Regelmäßige Überprüfungen * Risikomanagement nach ENISA((ENISA Risk Management: https://www.enisa.europa.eu/topics/risk-management)) Vorgaben ===== "Harvest Now, Decrypt Later" Risiko ===== Für KRITIS besonders kritisch((ENISA PQC Report: https://www.enisa.europa.eu/publications/post-quantum-cryptography-current-state-and-quantum-mitigation)): * Langfristig sensible Daten (>10 Jahre) * Infrastruktur-Steuerungsdaten * Schlüsselmaterial * Authentifizierungsdaten ===== BSI-Empfehlungen ===== Das Bundesamt für Sicherheit in der Informationstechnik((BSI: https://www.bsi.bund.de/)) empfiehlt: * Sofortige Bestandsaufnahme der Kryptographie * Priorisierung nach Datensensitivität * Hybrid-Lösungen als Übergangslösung * Mindestens FIPS 203/204/205 konforme Algorithmen ===== Quellen ===== * [[https://eur-lex.europa.eu/eli/dir/2022/2555/oj|NIS2-Richtlinie (EUR-Lex)]] * [[https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/kritische-infrastrukturen_node.html|BSI: Kritische Infrastrukturen]] * [[https://www.enisa.europa.eu/publications/post-quantum-cryptography-current-state-and-quantum-mitigation|ENISA: Post-Quantum Cryptography Report]] * [[https://www.enisa.europa.eu/topics/risk-management|ENISA Risk Management]]