Inhaltsverzeichnis

2.1 Compliance

Conformita normativa e documentazione di verifica per la crittografia post-quantum.

Framework di compliance

flowchart TB subgraph EU["Diritto UE"] NIS2["Direttiva NIS2
(UE) 2022/2555"] DSGVO["GDPR
Art. 32"] DORA["DORA
Settore finanziario"] end subgraph DE["Diritto tedesco"] ITSIG["IT-SiG 2.0"] KRITIS["KRITIS-VO"] BSI["BSI IT-Grundschutz"] end subgraph INT["Standard internazionali"] NIST["NIST FIPS
203/204"] FIPS["FIPS 140-3"] end WVDS[("WvdS
PQ-Crypto")] NIS2 --> WVDS DSGVO --> WVDS DORA --> WVDS ITSIG --> WVDS KRITIS --> WVDS BSI --> WVDS NIST --> WVDS FIPS --> WVDS style WVDS fill:#4caf50,color:#fff

Documentazione di compliance dettagliata

Documento Descrizione Destinatari
BSI IT-Grundschutz Mapping sui moduli BSI (CON.1, CON.5, OPS.1.1.5) Responsabili sicurezza IT
Direttiva NIS2 UE 2022/2555 per infrastrutture critiche Operatori KRITIS
IT-Sicherheitsgesetz 2.0 Attuazione tedesca delle direttive UE Compliance Manager
GDPR Art. 32 Cifratura dati personali Responsabili protezione dati
KRITIS-Verordnung Requisiti specifici per settore Operatori KRITIS
Checklist di audit Punti di verifica per auditor Revisori, BSI

Standard NIST

La libreria implementa gli standard NIST finali per la crittografia PQ:

Standard Algoritmo Utilizzo Stato
FIPS 2031) ML-KEM Incapsulamento chiavi Finale (2024)
FIPS 2042) ML-DSA Firme digitali Finale (2024)

Questi standard sono il risultato del progetto di standardizzazione NIST Post-Quantum Cryptography durato 8 anni.

Raccomandazioni normative

BSI (Germania)

L'Ufficio federale per la sicurezza informatica raccomanda:

ENISA (UE)

L'Agenzia europea per la sicurezza informatica6) raccomanda:

Requisiti specifici per settore

Settore Rilevanza Regolamentazione Scenario WvdS
Energia/Utilities Critico NIS2, KRITIS-VO Energia
Sanita Critico GDPR, DiGAV Healthcare
Finanza Critico DORA, PSD2 Scenari finanziari
Industria Alto NIS2, BSI Industria
Automotive Alto UN R155/R156 Automotive
Pubblica amministrazione Critico BSI TR, NIS2 Scenari PA

Mapping rapido: Requisiti → WvdS

Requisito Regolamentazione Componente WvdS
Policy crittografiche NIS2 Art. 21(2)h CryptoConfig, Algoritmi
Stato dell'arte GDPR Art. 32 ML-DSA/ML-KEM (NIST 2024)
Concetto crittografico BSI CON.1 Concetti
Gestione chiavi BSI CON.5 KeyDerivation
Logging BSI OPS.1.1.5 Audit-Logging
Sicurezza supply chain NIS2 Art. 21(2)d OpenSSL 3.6 (Open Source)

Supporto audit

Conformita dimostrabile:

Documentazione per audit:

Approfondimenti

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional

, , , , , , ,
1)
NIST FIPS 203: https://csrc.nist.gov/pubs/fips/203/final
2)
NIST FIPS 204: https://csrc.nist.gov/pubs/fips/204/final
3)
BSI: „Kryptografie quantensicher gestalten – Handlungsempfehlungen des BSI“, Settembre 2024, Sezione 3.1: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Krypto/Post-Quanten-Kryptografie_Handlungsempfehlungen.pdf
4)
BSI TR-02102-1: „Kryptographische Verfahren: Empfehlungen und Schlüssellängen“, Versione 2024-01, Capitolo 7: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.pdf
5)
BSI: „Quantum-Safe Cryptography - Fundamentals, Current Developments and Recommendations“, 2021, Section 5.2: https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/Brochure/quantum-safe-cryptography.pdf
6)
ENISA: https://www.enisa.europa.eu/publications/post-quantum-cryptography-current-state-and-quantum-mitigation