~~NOTOC~~
{{wvds:title>Compliance}}

===== Compliance & Zertifizierungen =====

Der WvdS Crypto Service erfuellt die Anforderungen folgender Standards und Regularien.

----

==== NIS2 (EU-Richtlinie) ====

Die NIS2-Richtlinie (Network and Information Security 2) ist seit Januar 2023 in Kraft und muss bis Oktober 2024 in nationales Recht umgesetzt werden.

=== Artikel 21: Risikomanagementmassnahmen ===

| Anforderung | WvdS Umsetzung |
| (a) Risikoanalyse | Dokumentierte Bedrohungsanalyse |
| (b) Bewältigung von Sicherheitsvorfällen | Logging, Audit Trail |
| (d) Sicherheit der Lieferkette | OpenSSL FIPS-validiert |
| (h) Kryptografie | Post-Quantum Algorithmen |
| (i) Zugriffskontrolle | L4Re Capability-System |

=== Betroffene Sektoren ===

<WRAP center round info 80%>
KRITIS-Betreiber (Energie, Transport, Gesundheit, Wasser, Digitale Infrastruktur) muessen NIS2 erfuellen.

Der WvdS Crypto Service ist fuer diese Sektoren konzipiert.
</WRAP>

----

==== BSI TR-03116-4 ====

Technische Richtlinie des Bundesamtes fuer Sicherheit in der Informationstechnik fuer kryptografische Vorgaben in eHealth-Systemen.

=== Zugelassene Algorithmen ===

| Kategorie | Erlaubt | WvdS |
| Symmetrisch | AES-256-GCM | ✓ |
| Signatur | ECDSA, RSA-PSS | ML-DSA (PQC) |
| Key Exchange | ECDH | ML-KEM (PQC) |
| Hash | SHA-256, SHA-384 | ✓ (intern) |

=== Post-Quantum Hinweis ===

Die BSI TR-03116-4 empfiehlt ab 2025 die schrittweise Migration zu Post-Quantum-Algorithmen. Der WvdS Crypto Service ist dafuer vorbereitet.

----

==== FIPS 140-3 ====

Der WvdS Crypto Service nutzt OpenSSL 3.6 mit FIPS Provider.

=== Validierte Module ===

| Modul | Zertifikat |
| OpenSSL 3.0 FIPS Provider | #4282 (in Bearbeitung fuer 3.6) |

=== FIPS-Modus Aktivierung ===

Der FIPS-Modus ist **standardmaessig aktiviert**. Pruefung:

<code c>
// In Ihrem Code
#include <openssl/crypto.h>

if (OSSL_PROVIDER_available(NULL, "fips")) {
    printf("FIPS Provider aktiv\n");
}
</code>

=== Nicht-FIPS Algorithmen ===

Folgende Algorithmen sind im FIPS-Modus **nicht verfuegbar**:
  * MD5, SHA-1 (veraltet)
  * DES, 3DES (veraltet)
  * RC4 (unsicher)

----

==== FIPS 203 (ML-KEM) ====

NIST Post-Quantum Standard fuer Key Encapsulation.

| Parameter | Wert |
| Algorithmus | ML-KEM-768 |
| Sicherheitslevel | NIST Level 3 (~AES-192) |
| Public Key | 1184 Bytes |
| Ciphertext | 1088 Bytes |
| Shared Secret | 32 Bytes |

=== Migrationshinweis ===

ML-KEM ersetzt klassische Verfahren wie:
  * RSA Key Exchange
  * ECDH (P-256, P-384)
  * X25519

----

==== FIPS 204 (ML-DSA) ====

NIST Post-Quantum Standard fuer digitale Signaturen.

| Parameter | Wert |
| Algorithmus | ML-DSA-65 |
| Sicherheitslevel | NIST Level 3 |
| Public Key | 1952 Bytes |
| Signatur | 3293 Bytes |

=== Migrationshinweis ===

ML-DSA ersetzt klassische Verfahren wie:
  * RSA-PSS
  * ECDSA (P-256, P-384)
  * Ed25519

----

==== Compliance-Checkliste ====

**Fuer Ihr Audit:**

| Anforderung | Status | Nachweis |
| Verschluesselung state-of-the-art | ✓ | AES-256-GCM, ML-KEM |
| Post-Quantum Ready | ✓ | FIPS 203, 204 |
| FIPS-validierte Krypto | ✓ | OpenSSL FIPS Provider |
| Schluesselmanagement | ✓ | Key Storage (File/TPM/HSM) |
| Zugriffskontrolle | ✓ | L4Re Capabilities |
| Logging/Audit | ✓ | Konfigurierbar |
| Sichere Schluesselvernichtung | ✓ | Zeroize on Drop |
| Nonce-Management | ✓ | Automatisches Tracking |
| DoS-Schutz | ✓ | Rate Limiting |

----

==== Dokumentation fuer Auditor ====

Folgende Dokumente stehen fuer Ihr Audit zur Verfuegung:

| Dokument | Inhalt |
| README_OEM.md | Technische Integration |
| WvdS_KB_OEM.md | Knowledge Base (Details) |
| SECURITY.md | Security Policy |
| CHANGELOG.md | Aenderungshistorie |

**Anforderung weiterer Dokumente:**

Kontaktieren Sie: Wolfgang van der Stille / EMSR DATA d.o.o. / DATECpro GmbH

----

==== Referenzen ====

  * [[https://eur-lex.europa.eu/eli/dir/2022/2555|NIS2-Richtlinie (EU) 2022/2555]]
  * [[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-03116/tr-03116_node.html|BSI TR-03116]]
  * [[https://csrc.nist.gov/publications/detail/fips/203/final|NIST FIPS 203 (ML-KEM)]]
  * [[https://csrc.nist.gov/publications/detail/fips/204/final|NIST FIPS 204 (ML-DSA)]]
  * [[https://csrc.nist.gov/CSRC/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp4282.pdf|OpenSSL FIPS Security Policy]]

----

[[.:sicherheit|< Sicherheit]] | [[.:start|Zurueck zur Uebersicht]]