Inhaltsverzeichnis

2.1 Compliance

Regulatorische Konformität und Nachweisdokumentation für Post-Quantum-Kryptographie.

Compliance-Framework

flowchart TB subgraph EU["EU-Recht"] NIS2["NIS2-Richtlinie
(EU) 2022/2555"] DSGVO["DSGVO
Art. 32"] DORA["DORA
Finanzsektor"] end subgraph DE["Deutsches Recht"] ITSIG["IT-SiG 2.0"] KRITIS["KRITIS-VO"] BSI["BSI IT-Grundschutz"] end subgraph INT["Internationale Standards"] NIST["NIST FIPS
203/204"] FIPS["FIPS 140-3"] end WVDS[("WvdS
PQ-Crypto")] NIS2 --> WVDS DSGVO --> WVDS DORA --> WVDS ITSIG --> WVDS KRITIS --> WVDS BSI --> WVDS NIST --> WVDS FIPS --> WVDS style WVDS fill:#4caf50,color:#fff

Detaillierte Compliance-Dokumentation

Dokument Beschreibung Zielgruppe
BSI IT-Grundschutz Mapping auf BSI-Bausteine (CON.1, CON.5, OPS.1.1.5) IT-Sicherheitsbeauftragte
NIS2-Richtlinie EU 2022/2555 für kritische Infrastruktur KRITIS-Betreiber
IT-Sicherheitsgesetz 2.0 Deutsche Umsetzung der EU-Vorgaben Compliance-Manager
DSGVO Art. 32 Verschlüsselung personenbezogener Daten Datenschutzbeauftragte
KRITIS-Verordnung Sektorspezifische Anforderungen KRITIS-Betreiber
Audit-Checkliste Prüfpunkte für Auditoren Wirtschaftsprüfer, BSI

NIST-Standards

Die Bibliothek implementiert die finalen NIST-Standards für PQ-Kryptographie:

Standard Algorithmus Verwendung Status
FIPS 2031) ML-KEM Schlüsselkapselung Final (2024)
FIPS 2042) ML-DSA Digitale Signaturen Final (2024)

Diese Standards sind das Ergebnis des 8-jährigen NIST Post-Quantum Cryptography Standardization Project.

Regulatorische Empfehlungen

BSI (Deutschland)

Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt:

ENISA (EU)

Die Europäische Agentur für Cybersicherheit6) empfiehlt:

Branchenspezifische Anforderungen

Branche Relevanz Regulierung WvdS-Szenario
Energie/Versorgung Kritisch NIS2, KRITIS-VO Energie
Gesundheit Kritisch DSGVO, DiGAV Healthcare
Finanzwesen Kritisch DORA, PSD2 Finanz-Szenarien
Industrie Hoch NIS2, BSI Industrie
Automotive Hoch UN R155/R156 Automotive
Behörden Kritisch BSI TR, NIS2 Behörden-Szenarien

Schnell-Mapping: Anforderungen → WvdS

Anforderung Regulierung WvdS-Komponente
Kryptographie-Richtlinien NIS2 Art. 21(2)h CryptoConfig, Algorithmen
Stand der Technik DSGVO Art. 32 ML-DSA/ML-KEM (NIST 2024)
Kryptokonzept BSI CON.1 Konzepte
Schlüsselmanagement BSI CON.5 KeyDerivation
Protokollierung BSI OPS.1.1.5 Audit-Logging
Lieferkettensicherheit NIS2 Art. 21(2)d OpenSSL 3.6 (Open Source)

Audit-Unterstützung

Nachweisbare Konformität:

Dokumentation für Audits:

Weiterführend

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional

, , , , , , ,
1)
NIST FIPS 203: https://csrc.nist.gov/pubs/fips/203/final
2)
NIST FIPS 204: https://csrc.nist.gov/pubs/fips/204/final
3)
BSI: „Kryptografie quantensicher gestalten – Handlungsempfehlungen des BSI“, September 2024, Abschnitt 3.1: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Krypto/Post-Quanten-Kryptografie_Handlungsempfehlungen.pdf
4)
BSI TR-02102-1: „Kryptographische Verfahren: Empfehlungen und Schlüssellängen“, Version 2024-01, Kapitel 7: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.pdf
5)
BSI: „Quantum-Safe Cryptography - Fundamentals, Current Developments and Recommendations“, 2021, Section 5.2: https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/Brochure/quantum-safe-cryptography.pdf
6)
ENISA: https://www.enisa.europa.eu/publications/post-quantum-cryptography-current-state-and-quantum-mitigation