====== 2.1 Compliance ======

Regulatorische Konformität und Nachweisdokumentation für Post-Quantum-Kryptographie.

----

===== Compliance-Framework =====

<mermaid>
flowchart TB
    subgraph EU["EU-Recht"]
        NIS2["NIS2-Richtlinie<br/>(EU) 2022/2555"]
        DSGVO["DSGVO<br/>Art. 32"]
        DORA["DORA<br/>Finanzsektor"]
    end

    subgraph DE["Deutsches Recht"]
        ITSIG["IT-SiG 2.0"]
        KRITIS["KRITIS-VO"]
        BSI["BSI IT-Grundschutz"]
    end

    subgraph INT["Internationale Standards"]
        NIST["NIST FIPS<br/>203/204"]
        FIPS["FIPS 140-3"]
    end

    WVDS[("WvdS<br/>PQ-Crypto")]

    NIS2 --> WVDS
    DSGVO --> WVDS
    DORA --> WVDS
    ITSIG --> WVDS
    KRITIS --> WVDS
    BSI --> WVDS
    NIST --> WVDS
    FIPS --> WVDS

    style WVDS fill:#4caf50,color:#fff
</mermaid>

----

===== Detaillierte Compliance-Dokumentation =====

^  Dokument  ^  Beschreibung  ^  Zielgruppe  ^
| [[.:bsi-grundschutz|BSI IT-Grundschutz]] | Mapping auf BSI-Bausteine (CON.1, CON.5, OPS.1.1.5) | IT-Sicherheitsbeauftragte |
| [[.:nis2|NIS2-Richtlinie]] | EU 2022/2555 für kritische Infrastruktur | KRITIS-Betreiber |
| [[.:it-sig-2|IT-Sicherheitsgesetz 2.0]] | Deutsche Umsetzung der EU-Vorgaben | Compliance-Manager |
| [[.:dsgvo-verschluesselung|DSGVO Art. 32]] | Verschlüsselung personenbezogener Daten | Datenschutzbeauftragte |
| [[.:kritis-verordnung|KRITIS-Verordnung]] | Sektorspezifische Anforderungen | KRITIS-Betreiber |
| [[.:audit-checkliste|Audit-Checkliste]] | Prüfpunkte für Auditoren | Wirtschaftsprüfer, BSI |

----

===== NIST-Standards =====

Die Bibliothek implementiert die finalen NIST-Standards für PQ-Kryptographie:

^  Standard  ^  Algorithmus  ^  Verwendung  ^  Status  ^
| FIPS 203((NIST FIPS 203: https://csrc.nist.gov/pubs/fips/203/final)) | ML-KEM | Schlüsselkapselung | Final (2024) |
| FIPS 204((NIST FIPS 204: https://csrc.nist.gov/pubs/fips/204/final)) | ML-DSA | Digitale Signaturen | Final (2024) |

Diese Standards sind das Ergebnis des 8-jährigen NIST Post-Quantum Cryptography Standardization Project.

----

===== Regulatorische Empfehlungen =====

==== BSI (Deutschland) ====

Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt:

  * Migration zu PQ-Kryptographie bis 2030((BSI: "Kryptografie quantensicher gestalten – Handlungsempfehlungen des BSI", September 2024, Abschnitt 3.1: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Krypto/Post-Quanten-Kryptografie_Handlungsempfehlungen.pdf))
  * Hybride Lösungen für Übergangszeitraum((BSI TR-02102-1: "Kryptographische Verfahren: Empfehlungen und Schlüssellängen", Version 2024-01, Kapitel 7: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.pdf))
  * Priorität für langlebige Daten (>10 Jahre Schutzbedarf)((BSI: "Quantum-Safe Cryptography - Fundamentals, Current Developments and Recommendations", 2021, Section 5.2: https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/Brochure/quantum-safe-cryptography.pdf))

==== ENISA (EU) ====

Die Europäische Agentur für Cybersicherheit((ENISA: https://www.enisa.europa.eu/publications/post-quantum-cryptography-current-state-and-quantum-mitigation)) empfiehlt:

  * Sofortige Evaluierung von PQ-Lösungen
  * Krypto-Agilität als Designprinzip
  * Inventarisierung kryptographischer Assets

----

===== Branchenspezifische Anforderungen =====

^  Branche  ^  Relevanz  ^  Regulierung  ^  WvdS-Szenario  ^
| Energie/Versorgung | Kritisch | NIS2, KRITIS-VO | [[de:int:pqcrypt:szenarien:branchen:energie:start|Energie]] |
| Gesundheit | Kritisch | DSGVO, DiGAV | [[de:int:pqcrypt:szenarien:branchen:healthcare:start|Healthcare]] |
| Finanzwesen | Kritisch | DORA, PSD2 | Finanz-Szenarien |
| Industrie | Hoch | NIS2, BSI | [[de:int:pqcrypt:szenarien:branchen:industrie:start|Industrie]] |
| Automotive | Hoch | UN R155/R156 | [[de:int:pqcrypt:szenarien:branchen:automotive:start|Automotive]] |
| Behörden | Kritisch | BSI TR, NIS2 | Behörden-Szenarien |

----

===== Schnell-Mapping: Anforderungen → WvdS =====

^  Anforderung  ^  Regulierung  ^  WvdS-Komponente  ^
| Kryptographie-Richtlinien | NIS2 Art. 21(2)h | CryptoConfig, [[de:int:pqcrypt:konzepte:algorithmen|Algorithmen]] |
| Stand der Technik | DSGVO Art. 32 | ML-DSA/ML-KEM (NIST 2024) |
| Kryptokonzept | BSI CON.1 | [[de:int:pqcrypt:konzepte:start|Konzepte]] |
| Schlüsselmanagement | BSI CON.5 | [[de:int:pqcrypt:api:keyderivation:start|KeyDerivation]] |
| Protokollierung | BSI OPS.1.1.5 | Audit-Logging |
| Lieferkettensicherheit | NIS2 Art. 21(2)d | OpenSSL 3.6 (Open Source) |

----

===== Audit-Unterstützung =====

**Nachweisbare Konformität:**

  * NIST FIPS 203/204 Algorithmen
  * OpenSSL 3.6 (FIPS 140-3 validierbare Basis)
  * Hybride Signaturen dokumentiert (X.509-Extension)
  * Vollständige API-Dokumentation → [[de:int:pqcrypt:api:start|API-Referenz]]

**Dokumentation für Audits:**

  * Algorithmen-Auswahl begründet (NIST-Standard)
  * Schlüsselmanagement dokumentiert
  * Migrationspfad nachvollziehbar
  * → [[.:audit-checkliste|Audit-Checkliste]]

----

===== Weiterführend =====

  * [[..:risiko|Risiko]] – Warum jetzt handeln
  * [[..:migration-roadmap|Strategie & Technologie]] – Umsetzungsplanung
  * [[de:int:pqcrypt:konzepte:algorithmen|Algorithmen]] – Technische Details

----
//Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional//

{{tag>compliance nist fips bsi enisa nis2 dsgvo kritis}}