3.5 Infrastrutture Critiche

Requisiti PQC per operatori KRITIS¹⁾.

Definizione

Le infrastrutture critiche (KRITIS) sono organizzazioni e strutture di importanza fondamentale per la comunita, il cui guasto avrebbe conseguenze drammatiche.

Settori secondo NIS2

La direttiva NIS2²⁾ definisce i seguenti settori:

Entita essenziali:

Energia (elettricita, gas, petrolio)
Trasporti (aereo, ferroviario, marittimo, stradale)
Settore bancario
Infrastrutture dei mercati finanziari
Sanita
Acqua potabile
Infrastruttura digitale

Entita importanti:

Servizi postali e corrieri
Gestione rifiuti
Chimica
Alimentare
Manifattura
Servizi digitali

Requisiti Speciali

Migrazione PQC anticipata (prima del 2030)
Obblighi di documentazione
Obblighi di segnalazione incidenti (entro 24h)
Verifiche regolari
Gestione rischi secondo linee guida ENISA³⁾

Rischio "Harvest Now, Decrypt Later"

Particolarmente critico per KRITIS⁴⁾:

Dati sensibili a lungo termine (>10 anni)
Dati di controllo infrastrutture
Materiale crittografico
Dati di autenticazione

Raccomandazioni BSI

L'Ufficio Federale per la Sicurezza Informatica⁵⁾ raccomanda:

Inventario immediato della crittografia
Prioritizzazione per sensibilita dei dati
Soluzioni ibride come transizione
Almeno algoritmi conformi FIPS 203/204/205

Fonti

¹⁾

Infrastrutture Critiche (KRITIS): https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/kritische-infrastrukturen_node.html

²⁾

Direttiva UE 2022/2555 (NIS2): https://eur-lex.europa.eu/eli/dir/2022/2555/oj

³⁾

ENISA Risk Management: https://www.enisa.europa.eu/topics/risk-management

⁴⁾

ENISA PQC Report: https://www.enisa.europa.eu/publications/post-quantum-cryptography-current-state-and-quantum-mitigation

⁵⁾

BSI: https://www.bsi.bund.de/