====== 2.1 Compliance ======

Conformita normativa e documentazione di verifica per la crittografia post-quantum.

----

===== Framework di compliance =====

<mermaid>
flowchart TB
    subgraph EU["Diritto UE"]
        NIS2["Direttiva NIS2<br/>(UE) 2022/2555"]
        DSGVO["GDPR<br/>Art. 32"]
        DORA["DORA<br/>Settore finanziario"]
    end

    subgraph DE["Diritto tedesco"]
        ITSIG["IT-SiG 2.0"]
        KRITIS["KRITIS-VO"]
        BSI["BSI IT-Grundschutz"]
    end

    subgraph INT["Standard internazionali"]
        NIST["NIST FIPS<br/>203/204"]
        FIPS["FIPS 140-3"]
    end

    WVDS[("WvdS<br/>PQ-Crypto")]

    NIS2 --> WVDS
    DSGVO --> WVDS
    DORA --> WVDS
    ITSIG --> WVDS
    KRITIS --> WVDS
    BSI --> WVDS
    NIST --> WVDS
    FIPS --> WVDS

    style WVDS fill:#4caf50,color:#fff
</mermaid>

----

===== Documentazione di compliance dettagliata =====

^  Documento  ^  Descrizione  ^  Destinatari  ^
| [[.:bsi-grundschutz|BSI IT-Grundschutz]] | Mapping sui moduli BSI (CON.1, CON.5, OPS.1.1.5) | Responsabili sicurezza IT |
| [[.:nis2|Direttiva NIS2]] | UE 2022/2555 per infrastrutture critiche | Operatori KRITIS |
| [[.:it-sig-2|IT-Sicherheitsgesetz 2.0]] | Attuazione tedesca delle direttive UE | Compliance Manager |
| [[.:dsgvo-verschluesselung|GDPR Art. 32]] | Cifratura dati personali | Responsabili protezione dati |
| [[.:kritis-verordnung|KRITIS-Verordnung]] | Requisiti specifici per settore | Operatori KRITIS |
| [[.:audit-checkliste|Checklist di audit]] | Punti di verifica per auditor | Revisori, BSI |

----

===== Standard NIST =====

La libreria implementa gli standard NIST finali per la crittografia PQ:

^  Standard  ^  Algoritmo  ^  Utilizzo  ^  Stato  ^
| FIPS 203((NIST FIPS 203: https://csrc.nist.gov/pubs/fips/203/final)) | ML-KEM | Incapsulamento chiavi | Finale (2024) |
| FIPS 204((NIST FIPS 204: https://csrc.nist.gov/pubs/fips/204/final)) | ML-DSA | Firme digitali | Finale (2024) |

Questi standard sono il risultato del progetto di standardizzazione NIST Post-Quantum Cryptography durato 8 anni.

----

===== Raccomandazioni normative =====

==== BSI (Germania) ====

L'Ufficio federale per la sicurezza informatica raccomanda:

  * Migrazione alla crittografia PQ entro 2030((BSI: "Kryptografie quantensicher gestalten – Handlungsempfehlungen des BSI", Settembre 2024, Sezione 3.1: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Krypto/Post-Quanten-Kryptografie_Handlungsempfehlungen.pdf))
  * Soluzioni ibride per il periodo di transizione((BSI TR-02102-1: "Kryptographische Verfahren: Empfehlungen und Schlüssellängen", Versione 2024-01, Capitolo 7: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.pdf))
  * Priorita ai dati longevi (>10 anni di necessita di protezione)((BSI: "Quantum-Safe Cryptography - Fundamentals, Current Developments and Recommendations", 2021, Section 5.2: https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/Brochure/quantum-safe-cryptography.pdf))

==== ENISA (UE) ====

L'Agenzia europea per la sicurezza informatica((ENISA: https://www.enisa.europa.eu/publications/post-quantum-cryptography-current-state-and-quantum-mitigation)) raccomanda:

  * Valutazione immediata delle soluzioni PQ
  * Agilita crittografica come principio di progettazione
  * Inventario degli asset crittografici

----

===== Requisiti specifici per settore =====

^  Settore  ^  Rilevanza  ^  Regolamentazione  ^  Scenario WvdS  ^
| Energia/Utilities | Critico | NIS2, KRITIS-VO | [[..:..:..:szenarien:branchen:energie:start|Energia]] |
| Sanita | Critico | GDPR, DiGAV | [[..:..:..:szenarien:branchen:healthcare:start|Healthcare]] |
| Finanza | Critico | DORA, PSD2 | Scenari finanziari |
| Industria | Alto | NIS2, BSI | [[..:..:..:szenarien:branchen:industrie:start|Industria]] |
| Automotive | Alto | UN R155/R156 | [[..:..:..:szenarien:branchen:automotive:start|Automotive]] |
| Pubblica amministrazione | Critico | BSI TR, NIS2 | Scenari PA |

----

===== Mapping rapido: Requisiti → WvdS =====

^  Requisito  ^  Regolamentazione  ^  Componente WvdS  ^
| Policy crittografiche | NIS2 Art. 21(2)h | CryptoConfig, [[..:..:..:konzepte:algorithmen|Algoritmi]] |
| Stato dell'arte | GDPR Art. 32 | ML-DSA/ML-KEM (NIST 2024) |
| Concetto crittografico | BSI CON.1 | [[..:..:..:konzepte:start|Concetti]] |
| Gestione chiavi | BSI CON.5 | [[..:..:..:api:keyderivation:start|KeyDerivation]] |
| Logging | BSI OPS.1.1.5 | Audit-Logging |
| Sicurezza supply chain | NIS2 Art. 21(2)d | OpenSSL 3.6 (Open Source) |

----

===== Supporto audit =====

**Conformita dimostrabile:**

  * Algoritmi NIST FIPS 203/204
  * OpenSSL 3.6 (base validabile FIPS 140-3)
  * Firme ibride documentate (estensione X.509)
  * Documentazione API completa → [[..:..:..:api:start|Riferimento API]]

**Documentazione per audit:**

  * Scelta algoritmi motivata (standard NIST)
  * Gestione chiavi documentata
  * Percorso di migrazione tracciabile
  * → [[.:audit-checkliste|Checklist di audit]]

----

===== Approfondimenti =====

  * [[..:risiko|Rischio]] – Perche agire ora
  * [[..:migration-roadmap|Strategia e tecnologia]] – Pianificazione implementazione
  * [[..:..:..:konzepte:algorithmen|Algoritmi]] – Dettagli tecnici

----
//Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional//

{{tag>compliance nist fips bsi enisa nis2 dsgvo kritis}}