====== 3.5 Kritična infrastruktura ====== PQC zahteve za upravljavce KRITIS((Kritična infrastruktura (KRITIS): https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/kritische-infrastrukturen_node.html)). ===== Definicija ===== Kritična infrastruktura (KRITIS) so organizacije in ustanove velikega pomena za skupnost, katerih izpad bi imel dramatične posledice. ===== Sektorji po NIS2 ===== NIS2 direktiva((EU direktiva 2022/2555 (NIS2): https://eur-lex.europa.eu/eli/dir/2022/2555/oj)) opredeljuje naslednje sektorje: **Bistveni subjekti:** * Energetika (elektrika, plin, nafta) * Promet (zračni, železniški, vodni, cestni) * Bančništvo * Infrastrukture finančnega trga * Zdravstvo * Pitna voda * Digitalna infrastruktura **Pomembni subjekti:** * Poštne in kurirske storitve * Ravnanje z odpadki * Kemija * Živila * Predelovalna industrija * Digitalne storitve ===== Posebne zahteve ===== * Zgodnja PQC migracija (pred 2030) * Obveznosti dokumentiranja * Obveznosti poročanja ob incidentih (v 24 urah) * Redna preverjanja * Upravljanje tveganj po smernicah ENISA((ENISA Risk Management: https://www.enisa.europa.eu/topics/risk-management)) ===== Tveganje "naberi zdaj, dešifriraj pozneje" ===== Za KRITIS še posebej kritično((ENISA PQC Report: https://www.enisa.europa.eu/publications/post-quantum-cryptography-current-state-and-quantum-mitigation)): * Dolgoročno občutljivi podatki (>10 let) * Podatki o krmiljenju infrastrukture * Ključni material * Podatki za avtentikacijo ===== BSI priporočila ===== Zvezni urad za varnost v informacijski tehnologiji((BSI: https://www.bsi.bund.de/)) priporoča: * Takojšnji popis kriptografije * Prioritizacija glede na občutljivost podatkov * Hibridne rešitve kot prehodna rešitev * Vsaj algoritmi skladni s FIPS 203/204/205 ===== Viri ===== * [[https://eur-lex.europa.eu/eli/dir/2022/2555/oj|NIS2 direktiva (EUR-Lex)]] * [[https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/kritische-infrastrukturen_node.html|BSI: Kritična infrastruktura]] * [[https://www.enisa.europa.eu/publications/post-quantum-cryptography-current-state-and-quantum-mitigation|ENISA: Post-Quantum Cryptography Report]] * [[https://www.enisa.europa.eu/topics/risk-management|ENISA Risk Management]]