~~NOTOC~~
{{wvds:title>Conformità}}

===== Conformità & Certificazioni =====

Il WvdS Crypto Service soddisfa i requisiti dei seguenti standard e normative.

----

==== NIS2 (Direttiva UE) ====

La Direttiva NIS2 (Network and Information Security 2) è in vigore da gennaio 2023 e deve essere recepita nel diritto nazionale entro ottobre 2024.

=== Articolo 21: Misure di Gestione del Rischio ===

| Requisito | Implementazione WvdS |
| (a) Analisi del rischio | Analisi delle minacce documentata |
| (b) Gestione incidenti di sicurezza | Logging, audit trail |
| (d) Sicurezza della catena di fornitura | OpenSSL FIPS-validato |
| (h) Crittografia | Algoritmi Post-Quantum |
| (i) Controllo accessi | Sistema capability L4Re |

=== Settori Interessati ===

<WRAP center round info 80%>
Gli operatori di infrastrutture critiche (energia, trasporti, sanità, acqua, infrastruttura digitale) devono conformarsi a NIS2.

Il WvdS Crypto Service è progettato per questi settori.
</WRAP>

----

==== BSI TR-03116-4 ====

Linea guida tecnica dell'Ufficio Federale per la Sicurezza delle Informazioni tedesco per i requisiti crittografici nei sistemi eHealth.

=== Algoritmi Consentiti ===

| Categoria | Consentito | WvdS |
| Simmetrico | AES-256-GCM | ✓ |
| Firma | ECDSA, RSA-PSS | ML-DSA (PQC) |
| Scambio chiavi | ECDH | ML-KEM (PQC) |
| Hash | SHA-256, SHA-384 | ✓ (interno) |

=== Nota Post-Quantum ===

BSI TR-03116-4 raccomanda la migrazione graduale agli algoritmi post-quantum dal 2025. Il WvdS Crypto Service è preparato per questo.

----

==== FIPS 140-3 ====

Il WvdS Crypto Service usa OpenSSL 3.6 con FIPS Provider.

=== Moduli Validati ===

| Modulo | Certificato |
| OpenSSL 3.0 FIPS Provider | #4282 (in elaborazione per 3.6) |

=== Attivazione Modalità FIPS ===

La modalità FIPS è **abilitata per default**. Verifica:

<code c>
// Nel vostro codice
#include <openssl/crypto.h>

if (OSSL_PROVIDER_available(NULL, "fips")) {
    printf("FIPS Provider attivo\n");
}
</code>

=== Algoritmi Non-FIPS ===

I seguenti algoritmi **non sono disponibili** in modalità FIPS:
  * MD5, SHA-1 (deprecati)
  * DES, 3DES (deprecati)
  * RC4 (insicuro)

----

==== FIPS 203 (ML-KEM) ====

Standard Post-Quantum NIST per l'incapsulamento chiavi.

| Parametro | Valore |
| Algoritmo | ML-KEM-768 |
| Livello sicurezza | NIST Level 3 (~AES-192) |
| Chiave pubblica | 1184 byte |
| Testo cifrato | 1088 byte |
| Segreto condiviso | 32 byte |

=== Nota sulla Migrazione ===

ML-KEM sostituisce metodi classici come:
  * Scambio chiavi RSA
  * ECDH (P-256, P-384)
  * X25519

----

==== FIPS 204 (ML-DSA) ====

Standard Post-Quantum NIST per le firme digitali.

| Parametro | Valore |
| Algoritmo | ML-DSA-65 |
| Livello sicurezza | NIST Level 3 |
| Chiave pubblica | 1952 byte |
| Firma | 3293 byte |

=== Nota sulla Migrazione ===

ML-DSA sostituisce metodi classici come:
  * RSA-PSS
  * ECDSA (P-256, P-384)
  * Ed25519

----

==== Checklist di Conformità ====

**Per la vostra revisione:**

| Requisito | Stato | Evidenza |
| Cifratura all'avanguardia | ✓ | AES-256-GCM, ML-KEM |
| Pronto Post-Quantum | ✓ | FIPS 203, 204 |
| Crypto FIPS-validata | ✓ | OpenSSL FIPS Provider |
| Gestione chiavi | ✓ | Archiviazione chiavi (File/TPM/HSM) |
| Controllo accessi | ✓ | Capability L4Re |
| Logging/Audit | ✓ | Configurabile |
| Distruzione sicura chiavi | ✓ | Zeroize al rilascio |
| Gestione nonce | ✓ | Tracking automatico |
| Protezione DoS | ✓ | Rate Limiting |

----

==== Documentazione per l'Auditor ====

I seguenti documenti sono disponibili per la vostra revisione:

| Documento | Contenuto |
| README_OEM.md | Integrazione tecnica |
| WvdS_KB_OEM.md | Knowledge Base (dettagli) |
| SECURITY.md | Security Policy |
| CHANGELOG.md | Cronologia modifiche |

**Richiesta documenti aggiuntivi:**

Contattare: Wolfgang van der Stille / EMSR DATA d.o.o. / DATECpro GmbH

----

==== Riferimenti ====

  * [[https://eur-lex.europa.eu/eli/dir/2022/2555|Direttiva NIS2 (UE) 2022/2555]]
  * [[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-03116/tr-03116_node.html|BSI TR-03116]]
  * [[https://csrc.nist.gov/publications/detail/fips/203/final|NIST FIPS 203 (ML-KEM)]]
  * [[https://csrc.nist.gov/publications/detail/fips/204/final|NIST FIPS 204 (ML-DSA)]]
  * [[https://csrc.nist.gov/CSRC/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp4282.pdf|OpenSSL FIPS Security Policy]]

----

[[.:sicherheit|< Sicurezza]] | [[.:start|Torna alla panoramica]]