Inhaltsverzeichnis

3.5 Kritična infrastruktura

3.5 Kritična infrastruktura

PQC zahteve za upravljavce KRITIS¹⁾.

Definicija

Kritična infrastruktura (KRITIS) so organizacije in ustanove velikega pomena za skupnost, katerih izpad bi imel dramatične posledice.

Sektorji po NIS2

NIS2 direktiva²⁾ opredeljuje naslednje sektorje:

Bistveni subjekti:

Energetika (elektrika, plin, nafta)
Promet (zračni, železniški, vodni, cestni)
Bančništvo
Infrastrukture finančnega trga
Zdravstvo
Pitna voda
Digitalna infrastruktura

Pomembni subjekti:

Poštne in kurirske storitve
Ravnanje z odpadki
Kemija
Živila
Predelovalna industrija
Digitalne storitve

Posebne zahteve

Zgodnja PQC migracija (pred 2030)
Obveznosti dokumentiranja
Obveznosti poročanja ob incidentih (v 24 urah)
Redna preverjanja
Upravljanje tveganj po smernicah ENISA³⁾

Tveganje "naberi zdaj, dešifriraj pozneje"

Za KRITIS še posebej kritično⁴⁾:

Dolgoročno občutljivi podatki (>10 let)
Podatki o krmiljenju infrastrukture
Ključni material
Podatki za avtentikacijo

BSI priporočila

Zvezni urad za varnost v informacijski tehnologiji⁵⁾ priporoča:

Takojšnji popis kriptografije
Prioritizacija glede na občutljivost podatkov
Hibridne rešitve kot prehodna rešitev
Vsaj algoritmi skladni s FIPS 203/204/205

Viri

¹⁾

Kritična infrastruktura (KRITIS): https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/kritische-infrastrukturen_node.html

²⁾

EU direktiva 2022/2555 (NIS2): https://eur-lex.europa.eu/eli/dir/2022/2555/oj

³⁾

ENISA Risk Management: https://www.enisa.europa.eu/topics/risk-management

⁴⁾

ENISA PQC Report: https://www.enisa.europa.eu/publications/post-quantum-cryptography-current-state-and-quantum-mitigation

⁵⁾

BSI: https://www.bsi.bund.de/