Migratie naar post-kwantumcryptografie met ISO 27001
Het gezoem van de projector is het enige geluid in de bestuurskamer. Sarah, de CISO, heeft zojuist haar kwartaalupdate over risico’s afgerond wanneer de CEO een afdruk van een financieel nieuwsartikel omhooghoudt. De kop is onomwonden: “The Quantum Countdown: Is Your Data Already Obsolete?”
“Sarah,” zegt hij, minder beschuldigend dan oprecht bezorgd, “we hebben miljoenen uitgegeven aan encryptie. We voldoen aan de eisen. We zijn beveiligd. Dit artikel zegt dat een voldoende krachtige kwantumcomputer dit allemaal kan breken. Zijn we kwetsbaar? En hoe zit het met de gegevens die we nu versleutelen en opslaan? Is dat een tikkende tijdbom?”
Dit gesprek verplaatst zich inmiddels van beveiligingsconferenties naar directie- en bestuurscommissies. De vraag is niet langer of kwantumcomputing interessant is voor onderzoekers. De vraag is of de cryptografische keuzes van vandaag de zakelijke verplichtingen van morgen kunnen beschermen.
Voor veel organisaties is het eerlijke antwoord ongemakkelijk. Encryptie is overal: TLS-gateways, VPN’s, klantportalen, identiteitstokens, databaseback-ups, mobiele applicaties, betaalplatformen, S/MIME, SSH, API-integraties, SaaS-diensten, hardware security modules, cloudgebaseerde sleutelbeheerdiensten, firmwareondertekening, codeondertekening en digitale contracten.
Dat is precies het probleem. Cryptografie is overal, maar eigenaarschap is vaak nergens duidelijk belegd.
Migratie naar post-kwantumcryptografie gaat niet alleen over een toekomstige cryptografisch relevante kwantumcomputer. Het gaat ook over het huidige harvest now, decrypt later-risico, waarbij tegenstanders nu versleutelde gegevens onderscheppen en wachten totdat toekomstige capaciteiten ontsleuteling praktisch mogelijk maken. Als uw organisatie persoonsgegevens, medische dossiers, gereguleerde financiële gegevens, bedrijfsgeheimen, juridische communicatie, gegevens over nationale infrastructuur, productfirmware of langlevend intellectueel eigendom opslaat, is het risico nu al een levenscyclusrisico.
Een kwantumbestendig migratieplan voor cryptografie is geen paniekproject. Het is een gestructureerd programma voor governance, inventarisatie, leveranciers, architectuur, testen en audits. De praktische vraag voor CISO’s is eenvoudig:
Hoe bouwen we een post-kwantummigratieplan dat geloofwaardig is voor leidinggevenden, bruikbaar is voor engineers en verdedigbaar is tegenover auditors?
Het antwoord is om het werk te verankeren in ISO/IEC 27001:2022, beheersmaatregelen te interpreteren via ISO/IEC 27002:2022, NIST-standaarden voor post-kwantumcryptografie te gebruiken als technisch kompas en één bewijsmodel te creëren dat verplichtingen onder ISO 27001, NIST, COBIT 2019, GDPR, DORA en NIS2 ondersteunt.
Waarom post-kwantumcryptografie binnen het ISMS thuishoort
Een veelgemaakte fout is om post-kwantummigratie uitsluitend toe te wijzen aan cryptografische engineers. Engineers zijn essentieel, maar zij kunnen het governancevraagstuk niet alleen oplossen.
Post-kwantummigratie raakt assetmanagement, gegevensclassificatie, leveranciersbeheer, beveiligde architectuur, sleutelbeheer, applicatieontwikkeling, cloudbeveiliging, incidentrespons, bedrijfscontinuïteit, juridisch risico, verantwoordingsplicht richting toezichthouders en auditbewijsmateriaal. Dit zijn ISMS-onderwerpen.
ISO/IEC 27001:2022 biedt het governancekader. De norm vereist dat de organisatie inzicht heeft in context, belanghebbenden, risico’s, doelstellingen, verantwoordelijkheden, competentie, gedocumenteerde informatie, operationele planning, prestatie-evaluatie, interne audit, directiebeoordeling en voortdurende verbetering. ISO/IEC 27002:2022 biedt vervolgens de interpretatie van beheersmaatregelen, met name rond 8.24 Use of cryptography, 5.9 Inventory of information and other associated assets, 5.12 Classification of information, 5.21 Managing information security in the ICT supply chain, 5.23 Information security for use of cloud services, 8.25 Secure development life cycle, 8.8 Management of technical vulnerabilities, 8.16 Monitoring activities en 5.30 ICT readiness for business continuity.
Bij Clarysec wordt post-kwantumgereedheid daarom behandeld als een ISMS-gedreven transformatie, niet als een geïsoleerde vervanging van algoritmen.
Zoals vermeld in Clarysec’s Zenith Blueprint: een 30-stappenroadmap voor auditors, fase 2, stap 8, “Afbakening van bedrijfsmiddelen, afhankelijkheden en bewijsmateriaal”:
“Een beheersmaatregel is pas betrouwbaar wanneer de organisatie kan aantonen waar deze van toepassing is, wie eigenaar is, welk bewijsmateriaal deze ondersteunt en welk risico ermee wordt verminderd.”
Die zin is bijzonder belangrijk voor post-kwantumcryptografie. Voordat u algoritmen vervangt, moet u weten waar algoritmen worden gebruikt.
Clarysec’s Zenith Controls: de gids voor cross-compliance positioneert cryptografie als een verbonden bewijsketen in plaats van als één technische instelling:
“Cryptografische assurance wordt geaudit via de levenscyclus van informatie: identificatie, classificatie, goedgekeurd gebruik, sleutelbescherming, operationele monitoring, leveranciersafhankelijkheid, afhandeling van uitzonderingen en bewaring van bewijsmateriaal.”
Die levenscyclusbenadering voorkomt de meest voorkomende fout: alleen vragen: “Gebruiken we kwantumveilige algoritmen?” Betere vragen zijn:
- Welke systemen moeten als eerste naar post-kwantumcryptografie migreren?
- Welke gegevens hebben een vertrouwelijkheidsduur die langer is dan de kwantumrisicohorizon?
- Welke leveranciers beheren onze encryptie, handtekeningen, certificaten of sleutelbeheer?
- Welke toepassingen zijn crypto-agile en welke zijn hardcoded?
- Welke compenserende beheersmaatregelen bestaan zolang de migratie nog niet is afgerond?
- Welk bewijsmateriaal toont aan dat besluiten risicogebaseerd zijn genomen en beoordeeld?
Van kwantumdreiging naar auditeerbaar bedrijfsrisico
Een bruikbaar post-kwantumplan begint met risicoscenario’s. Vermijd vage uitspraken zoals “kwantumcomputing kan encryptie breken.” Maak in plaats daarvan auditeerbare risicoregistraties die bedrijfsimpact, dreiging, kwetsbaarheid, getroffen bedrijfsmiddelen, huidige beheersmaatregelen, restrisico en behandelingsacties aan elkaar koppelen.
Bijvoorbeeld:
“Versleutelde klantidentiteitsdocumenten die zeven jaar worden bewaard, kunnen in de toekomst kwetsbaar zijn voor ontsleuteling als back-ups vandaag worden geëxfiltreerd en de huidige cryptografie met publieke sleutels later breekbaar wordt.”
Dat scenario wijst naar gegevensbewaring, back-upencryptie, sleutelbeheer, toegangscontrole, hosting door leveranciers, monitoring en migratieprioriteit.
Een ander voorbeeld:
“Firmwareondertekening voor verbonden apparaten steunt op handtekeningsschema’s die mogelijk niet betrouwbaar blijven gedurende de verwachte levenscyclus van het apparaat.”
Dat wijst naar productbeveiliging, beveiligde updatemechanismen, HSM-capaciteit, klantveiligheid, assurance over leveranciersontwerp en langetermijnweerbaarheid van de operatie.
Een derde voorbeeld:
“Gearchiveerde juridische communicatie die vandaag is versleuteld, kan meer dan vijftien jaar vertrouwelijkheid vereisen, waardoor harvest now, decrypt later-blootstelling ontstaat.”
Dat wijst naar classificatie, bewaring, cryptografische bescherming, legal hold, beveiligde communicatie en risicoacceptatie door het management.
Het risico is niet alleen een toekomstige “Q-Day”. Het omvat drie samenhangende aandachtspunten:
- Harvest now, decrypt later: tegenstanders verzamelen vandaag versleutelde gegevens voor toekomstige ontsleuteling.
- Compromittering van digitale handtekeningen: toekomstige aanvallen ondermijnen het vertrouwen in software-updates, identiteitstokens, juridische documenten, firmware en financiële transacties.
- Cryptografisch concentratiefalen: een brede klasse producten, protocollen, bibliotheken of leveranciers raakt tegelijk verouderd.
Clarysec’s Enterprise Policy, Beleid inzake cryptografie en sleutelbeheer, clausule 5.1, legt de governancevereiste als volgt vast:
“Cryptografische beheersmaatregelen moeten worden geselecteerd, geïmplementeerd, beoordeeld en uitgefaseerd op basis van de classificatie van informatie, de vereiste beschermingsduur, goedgekeurde cryptografische standaarden, sleuteleigenaarschap en gedocumenteerde besluiten over risicobehandeling.”
Die clausule is cruciaal omdat de beschermingsduur een prioriteringsfactor wordt. Kortlevende sessiegegevens en medische dossiers voor de lange termijn dragen niet hetzelfde kwantumrisico. Een sleutel voor codeondertekening die het vertrouwen in apparaten gedurende vijftien jaar ondersteunt, heeft een ander risicoprofiel dan een kortlevend intern testcertificaat.
Dezelfde beleidsfamilie, in Clarysec-materialen aangeduid als het Beleid inzake cryptografische beheersmaatregelen, kan beoordelingsverwachtingen ook formaliseren met formuleringen zoals:
Clausule 5.4: Standaarden voor algoritmen en sleutellengten
“Alle cryptografische algoritmen en sleutellengten die binnen de organisatie worden gebruikt, moeten worden geselecteerd uit een goedgekeurde lijst die wordt onderhouden door het informatiebeveiligingsteam. Deze lijst moet jaarlijks worden beoordeeld aan de hand van best practices in de sector en richtlijnen van nationale cyberbeveiligingsinstanties (bijv. NIST, ENISA), met specifieke aandacht voor de ontwikkeling van post-kwantumcryptografiestandaarden. Als onderdeel van de inventaris van cryptografische bedrijfsmiddelen moet een roadmap worden onderhouden voor de migratie van systemen weg van algoritmen die kwetsbaar zijn voor kwantumaanvallen.”
Dit vereist geen onveilige vroege adoptie. Het vereist bewustzijn, planning, beoordeling en bewijsmateriaal.
Gebruik NIST PQC-standaarden als technisch kompas
Het werk van NIST op het gebied van post-kwantumcryptografie geeft organisaties een geloofwaardige technische richting. NIST heeft ML-KEM gestandaardiseerd voor sleutelafspraken, ML-DSA voor digitale handtekeningen en SLH-DSA voor stateless hashgebaseerde handtekeningen. Deze standaarden bieden leveranciers en architecten een basis voor roadmaps en pilotontwerpen.
Voor CISO’s gaat het er niet om algoritmedetails uit het hoofd te kennen. Het gaat erom een migratiepad te creëren dat goedgekeurde cryptografische keuzes kan opnemen zonder bedrijfsdiensten, nalevingsverplichtingen of audittraceerbaarheid te verstoren.
Een op NIST afgestemd migratieplan moet vier sporen bevatten:
- Detectie: identificeer waar kwetsbare cryptografie met publieke sleutels aanwezig is.
- Prioritering: rangschik systemen op gegevensgevoeligheid, beschermingsduur, blootstelling, impact op integriteit en bedrijfskritikaliteit.
- Transitiearchitectuur: definieer waar hybride, crypto-agile of post-kwantummechanismen worden getest en toegepast.
- Assurance: lever bewijsmateriaal dat besluiten, uitzonderingen, leveranciersafhankelijkheden, tests en restrisico’s worden beheerst.
Crypto-agility verdient bijzondere aandacht. Een crypto-agile systeem kan algoritmen, sleutelgroottes, bibliotheken, certificaten en protocollen wijzigen zonder ingrijpend herontwerp. In het post-kwantumtijdperk is crypto-agility geen luxe. Het is een vereiste voor weerbaarheid.
Als een betalings-API hardcoded cryptografische bibliotheken heeft en geen gedocumenteerde eigenaar, is deze niet crypto-agile. Als een mobiele toepassing certificaten pint zonder beheerd updatepad, kan migratie kostbaar worden. Als een IoT-apparaat een levensduur van vijftien jaar in het veld heeft en geen grotere handtekeningen of beveiligde firmware-updates kan ondersteunen, is het risico strategisch.
Bouw de cryptografische inventaris voordat u het migratiepad kiest
De meeste organisaties beschikken niet over een volledige cryptografische inventaris. Ze hebben mogelijk een certificaatinventaris, een spreadsheet voor sleutelbeheer, HSM-registraties, een cloud KMS-lijst of CMDB-vermeldingen. Zelden hebben zij één integraal beeld van cryptografische afhankelijkheden.
Een migratieplan voor post-kwantumcryptografie heeft een cryptographic bill of materials, of CBOM, nodig. Die hoeft op dag één niet perfect te zijn. Hij moet wel gestructureerd zijn, eigenaarschap hebben en continu worden verbeterd.
Leg minimaal de volgende velden vast:
| Inventarisveld | Waarom dit belangrijk is voor post-kwantummigratie |
|---|---|
| Bedrijfsdienst | Prioriteert migratie op basis van bedrijfsimpact |
| Asset-eigenaar | Wijst verantwoordingsplicht en beslissingsbevoegdheid toe |
| Gegevensclassificatie | Identificeert vereisten voor vertrouwelijkheid en integriteit |
| Beschermingsduur | Maakt harvest now, decrypt later-blootstelling zichtbaar |
| Cryptografische functie | Onderscheidt encryptie, sleuteluitwisseling, handtekeningen, hashing en certificaten |
| Algoritme en protocol | Identificeert waar kwetsbare mechanismen met publieke sleutels worden gebruikt |
| Bibliotheek of implementatie | Toont softwareafhankelijkheden en updatebeperkingen |
| Sleutellocatie | Toont of sleutels zich in een HSM, cloud KMS, software, endpoint of leveranciersplatform bevinden |
| Leveranciersafhankelijkheid | Laat zien waar migratie afhankelijk is van derden |
| Migratiecomplexiteit | Ondersteunt fasering, testen en budgetplanning |
| Bron van bewijsmateriaal | Maakt de inventaris geschikt voor audits |
Een eerste inventaris kan er als volgt uitzien:
| Asset-ID | Naam van bedrijfsmiddel | Eigenaar | Bedrijfskritikaliteit | Cryptografisch gebruik | Locatie | PQC-kwetsbaarheid | Migratieprioriteit |
|---|---|---|---|---|---|---|---|
| APP-042 | API voor klantfacturatie | Financiële technologie | Hoog | RSA-2048-handtekeningen, TLS, AES-256-encryptie | AWS eu-west-1 | Hoog voor RSA-afhankelijk vertrouwen | 1 |
| NET-007 | VPN voor toegang op afstand | IT-infrastructuur | Hoog | ECDSA-authenticatie, IKEv2 | On-premises en cloud edge | Hoog voor ECC-afhankelijke authenticatie | 1 |
| DB-011 | Gearchiveerde patiëntendossiers | Compliance | Hoog met 30 jaar bewaring | AES-256-database-encryptie | On-premises database | Lager voor symmetrische encryptie, hoog als sleutels worden uitgewisseld of omwikkeld met kwetsbare publieke-sleutelmethoden | 2 |
| CODE-001 | CI/CD-codeondertekening | DevOps | Hoge impact op integriteit | RSA-4096-codeondertekening | HSM en buildpijplijn | Hoog voor langetermijnvertrouwen in handtekeningen | 1 |
Deze tabel laat direct zien waarom inventarisatie belangrijk is. AES-256 vormt niet hetzelfde soort kwantumrisico als RSA of ECC, maar gearchiveerde patiëntendossiers kunnen nog steeds afhankelijk zijn van kwetsbare key wrapping, certificaten, identiteitssystemen of overdrachtskanalen voor back-ups. Codeondertekening beschermt mogelijk geen vertrouwelijkheid, maar wel software-integriteit en vertrouwen.
In Zenith Controls wordt cryptografie gekoppeld aan ondersteunende standaarden die verdieping bieden. ISO/IEC 27005 ondersteunt informatiebeveiligingsrisicomanagement en helpt kwantumonzekerheid te vertalen naar gestructureerde risicoscenario’s. ISO/IEC 27017 ondersteunt cloudspecifieke beveiligingsmaatregelen, wat essentieel is wanneer cryptografische diensten worden geleverd via cloud KMS, beheerde TLS, SaaS-encryptie of platformcertificaten. ISO/IEC 27018 is relevant wanneer persoonsgegevens worden verwerkt in publieke clouddiensten. ISO 22301 is relevant wanneer cryptografisch falen de continuïteit van kritieke diensten kan beïnvloeden. ISO/IEC 27036 ondersteunt beveiliging van leveranciersrelaties, wat cruciaal is wanneer leveranciers namens u encryptie, handtekeningen, certificaten of beveiligde communicatie beheren.
De les is eenvoudig: u kunt niet migreren wat u niet kunt vinden.
Prioriteer op gevoeligheid, levensduur, blootstelling en migratiemoeilijkheid
Zodra de CBOM bestaat, wordt prioritering evidence-based. Het beste startpunt is een beperkt aantal kritieke systemen, niet een organisatiebrede perfectieoefening.
Stel u een financiële dienstverlener voor met drie hoogwaardige systemen:
- Een klantdocumentkluis die identiteitsbewijsmateriaal tien jaar bewaart
- Een B2B API-gateway voor partnertransacties
- Een platform voor codeondertekening voor updates van desktopsoftware
Met Zenith Blueprint, fase 2, stap 8, haalt het team bedrijfsmiddelen uit de CMDB, certificaten uit het certificaatbeheerplatform, sleutels uit de HSM en cloud KMS, gegevensklassen uit het privacyregister en leveranciersafhankelijkheden uit inkoopregistraties.
Vervolgens scoren zij de systemen:
| Systeem | Gegevensgevoeligheid | Beschermingsduur | Externe blootstelling | Leveranciersafhankelijkheid | Migratieprioriteit |
|---|---|---|---|---|---|
| Klantdocumentkluis | Zeer hoog | Lang | Middel | Cloud KMS en opslagprovider | Kritiek |
| B2B API-gateway | Hoog | Kort tot middellang | Zeer hoog | Leverancier van API-management | Hoog |
| Platform voor codeondertekening | Zeer hoge impact op integriteit | Langdurig apparaatvertrouwen | Middel | HSM- en buildpijplijntools | Kritiek |
De klantdocumentkluis krijgt prioriteit vanwege de vertrouwelijkheidsduur. Het platform voor codeondertekening krijgt prioriteit omdat vertrouwen in handtekeningen software-integriteit en klantveiligheid beïnvloedt. De API-gateway heeft hoge prioriteit vanwege externe blootstelling, maar de bewaarde gegevens kunnen een kortere vertrouwelijkheidsduur hebben.
Het risicoregister moet vervolgens elk scenario koppelen aan behandeling en bewijsmateriaal:
| Risicoscenario | Huidige beheersmaatregel | Besluit over behandeling | Vereist bewijsmateriaal |
|---|---|---|---|
| Langlevende klantregistraties kunnen worden blootgesteld aan toekomstige ontsleuteling | Encryptie van gegevens in rust, toegangscontrole, cloud KMS | Beoordeel de roadmap voor opslagencryptie, versterk sleutelscheiding, beoordeel cryptografie voor back-upoverdracht | CBOM, leveranciersroadmap, architectuurbesluit, registratie van risicobehandeling |
| Vertrouwen in software-updates kan worden verzwakt door toekomstige compromittering van handtekeningen | HSM voor codeondertekening, goedkeuring van releases | Beoordeel post-kwantumgereedheid van handtekeningen, tijdstempelstrategie en ondertekeningslevenscyclus | Ondertekeningsinventaris, HSM-capaciteitsrapport, procedure voor veilige ontwikkeling |
| Cryptografie van partner-API’s kan moeilijk snel te wijzigen zijn | TLS-certificaten, API-gatewayconfiguratie | Implementeer crypto-agilitytests en beoordeling van leveranciersroadmap | TLS-scan, baselineconfiguratie, leveranciersattestatie |
Clarysec’s Enterprise Policy, Beleid inzake veilige ontwikkeling, clausule 6.4, biedt de invalshoek voor softwarelevering:
“Beoordelingen van beveiligingsontwerpen moeten cryptografische afhankelijkheden, levenscyclus van bibliotheken, algoritme-agility, omgang met secrets, updatemechanismen en door leveranciers beheerde componenten beoordelen vóór goedkeuring voor productie.”
Die clausule maakt post-kwantumgereedheid tot een engineeringvereiste. Ze voorkomt dat teams nieuwe systemen uitrollen die later niet migreerbaar blijken.
Volg een 12-maandenroadmap die auditors begrijpen
Post-kwantummigratie zal voor veel organisaties jaren duren. Het eerste jaar moet de organisatie van onzekerheid naar beheerste migratie brengen.
| Maand | Werkstroom | Resultaat | Bewijsmateriaal |
|---|---|---|---|
| 1 | Bestuursmandaat | Scope op bestuursniveau, risicobereidheid en financieringspad | Stuurgroepnotulen, goedgekeurd charter |
| 1 tot 2 | Cryptografische detectie | Initiële CBOM voor kritieke diensten | Inventarisexport, CMDB-koppelingen, attestaties van systeemeigenaren |
| 2 tot 3 | Beoordeling van gegevens en beschermingsduur | Geprioriteerde lijst van langlevende gevoelige gegevens en activa met hoge integriteitsimpact | Classificatieregister, bewaarschema, risicoregistraties |
| 3 tot 4 | Beoordeling van leveranciersafhankelijkheden | Leveranciersroadmap en analyse van contractuele hiaten | Leveranciersvragenlijsten, contractuele bepalingen, risico-uitzonderingen |
| 4 tot 6 | Beoordeling van architectuur en crypto-agility | Doelarchitectuurpatronen en migratiebeperkingen | Registraties van architectuurbeoordelingen, ontwerpbesluiten |
| 6 tot 8 | Pilotimplementatie | Hybride of post-kwantumtest in een geselecteerde laagrisico-omgeving | Testresultaten, rollbackplan, prestatiebevindingen |
| 8 tot 10 | Actualisering van beleid en procedures | Geactualiseerde regels voor cryptografie, sleutelbeheer, leveranciers, veilige ontwikkeling en bedrijfsmiddelen | Goedgekeurd beleid, trainingsregistraties |
| 10 tot 12 | Auditgereedheid | Interne audit, directiebeoordeling en actualisering van het behandelplan | Auditrapport, corrigerende maatregelen, geactualiseerd risicobehandelingsplan |
In de Zenith Blueprint, fase 3, stap 14, “Ontwerp en eigenaarschap van risicobehandeling,” waarschuwt de roadmap voor onbeprijsde beveiligingsintenties:
“Een behandelplan zonder eigenaar, verwachting ten aanzien van bewijsmateriaal, budgetpad en beoordelingsdatum is geen plan. Het is een onopgelost risico met betere opmaak.”
Precies zo mislukken post-kwantumprogramma’s. Ze leveren bewustwordingsslides op, maar geen herstelbacklog met eigenaarschap. Ze bespreken algoritmen, maar actualiseren leverancierscontracten niet. Ze documenteren risico’s, maar testen geen migratiepatronen.
Een geloofwaardige roadmap creëert besluitregistraties, eigenaren, afhankelijkheden, verwachtingen ten aanzien van bewijsmateriaal, budgetten en beoordelingsdatums.
Betrek leveranciers vroeg bij het programma
Veel cryptografische afhankelijkheden zijn uitbesteed. Cloudproviders beëindigen TLS. SaaS-platformen versleutelen registraties. Identiteitsproviders ondertekenen tokens. Betaalverwerkers beheren certificaten. Hardwareleveranciers beheren firmwareondertekening. Managed service providers beheren VPN’s en beveiligingsgateways.
Zelfs als uw interne team gereed is, kan uw migratie worden geblokkeerd door de capaciteit van leveranciers.
Clarysec’s Enterprise Policy, Beleid inzake beveiliging van derde partijen en leveranciers, clausule 5.6, stelt:
“Leveranciers die beveiligingsrelevante diensten leveren, moeten materiële afhankelijkheden, cryptografische verantwoordelijkheden, assurancebewijsmateriaal, processen voor kwetsbaarhedenafhandeling en roadmapwijzigingen bekendmaken die de risicopositie van de organisatie kunnen beïnvloeden.”
Vraag kritieke leveranciers voor post-kwantumgereedheid:
- Welke algoritmen, protocollen, certificaten en sleutelbeheerdiensten beschermen onze gegevens of transacties?
- Onderhouden jullie een cryptografische inventaris of CBOM?
- Wat is jullie NIST-post-kwantumroadmap?
- Ondersteunen jullie hybride sleuteluitwisseling, post-kwantumhandtekeningen of kwantumbestendige sleutelafspraken?
- Hoe worden wijzigingen in certificaten, tokens, ondertekening en encryptie gecommuniceerd?
- Welke actie wordt van klanten vereist?
- Welke testomgevingen komen beschikbaar?
- Hoe worden prestaties, interoperabiliteit en rollback afgehandeld?
- Zijn cryptografische verantwoordelijkheden vastgelegd in het contract of het gedeelde verantwoordelijkheidsmodel?
- Welke exit- of portabiliteitsopties bestaan als jullie roadmap niet aansluit op onze risicovereisten?
Antwoorden van leveranciers moeten in het risicoregister worden verwerkt. Zwakke antwoorden betekenen niet altijd directe vervanging, maar vereisen wel behandeling. Mogelijk zijn compenserende beheersmaatregelen, contractaanpassingen, meldingsclausules, exitplanning, versterkte monitoring of een herziene sourcingstrategie nodig.
Dit is vooral belangrijk onder DORA- en NIS2-achtige verwachtingen voor operationele weerbaarheid. DORA legt nadruk op ICT-risicobeheer en ICT-risicobeheer voor derde partijen, inclusief toezicht op kritieke afhankelijkheden. NIS2 Article 21 vereist passende en evenredige technische, operationele en organisatorische maatregelen voor beveiligingsrisicobeheer, waaronder beveiliging van de toeleveringsketen, incidentafhandeling, bedrijfscontinuïteit en cryptografie waar passend. GDPR Article 32 vereist beveiliging die passend is bij het risico, waaronder vertrouwelijkheid, integriteit, beschikbaarheid, weerbaarheid en het vermogen om doorlopende bescherming van persoonsgegevens te waarborgen.
De regelgevende taal verschilt, maar de logica van beheersmaatregelen is consistent: ken uw afhankelijkheden, beheer het risico, bewaar bewijsmateriaal en handel voordat weerbaarheid wordt aangetast.
Cross-compliance mapping: één migratieplan, meerdere verplichtingen
Een sterk migratieplan voor post-kwantumcryptografie moet voorkomen dat voor elk raamwerk afzonderlijke bewijssets worden gemaakt. Hetzelfde kernbewijsmateriaal kan meerdere verplichtingen ondersteunen als het correct wordt gestructureerd.
Zenith Controls brengt het cryptografiethema in kaart over ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST, COBIT 2019, GDPR, DORA en NIS2 door te focussen op het doel van de beheersmaatregel in plaats van op het label dat elk raamwerk gebruikt.
| Raamwerk | Hoe het post-kwantumplan naleving ondersteunt |
|---|---|
| ISO/IEC 27001:2022 | Toont risicogebaseerde selectie van beheersmaatregelen, gedocumenteerde informatie, interne audit, directiebeoordeling en voortdurende verbetering |
| ISO/IEC 27002:2022 | Ondersteunt interpretatie van beheersmaatregelen voor 8.24 Use of cryptography, inventaris van bedrijfsmiddelen, classificatie, leveranciersbeveiliging, cloud services, veilige ontwikkeling, monitoring en continuïteit |
| NIST PQC-standaarden | Biedt technische richting voor de overgang naar goedgekeurde post-kwantumalgoritmen en cryptografische planning |
| NIST Cybersecurity Framework 2.0 | Koppelt migratieactiviteiten aan resultaten voor Govern, Identify, Protect, Detect, Respond en Recover |
| COBIT 2019 | Brengt cryptografisch risico in lijn met governance- en managementdoelstellingen zoals APO12 Managed Risk, APO13 Managed Security, APO10 Managed Vendors, DSS05 Managed Security Services en MEA03 Managed Compliance |
| GDPR | Ondersteunt de verwachtingen van Article 32 voor passende beveiliging, vertrouwelijkheid, integriteit, weerbaarheid en verantwoordingsplicht bij de verwerking van persoonsgegevens |
| DORA | Ondersteunt ICT-risicobeheer, ICT-risicobeheer voor derde partijen, weerbaarheidstesten, paraatheid voor incidenten en toezicht door het bestuursorgaan |
| NIS2 | Ondersteunt Article 21-maatregelen voor beveiligingsrisicobeheer, beveiliging van de toeleveringsketen, incidentafhandeling, bedrijfscontinuïteit en governanceverantwoordelijkheid |
Hergebruik van bewijsmateriaal is de sleutel. Een cryptografische inventaris ondersteunt ISO-assetmanagement, NIST Identify-resultaten, DORA-zichtbaarheid van ICT-activa, NIS2-risicobeheer en verantwoordingsplicht onder GDPR. Leveranciersvragenlijsten ondersteunen ISO-beheersmaatregelen voor leveranciers, DORA-risico’s van ICT-derden, NIS2-beveiliging van de toeleveringsketen en COBIT-leveranciersgovernance. Migratietestresultaten ondersteunen veilige wijzigingen, weerbaarheidstesten, auditgereedheid en directiebeoordeling.
Wat auditors zullen vragen
Post-kwantumcryptografie is nog een opkomend auditonderwerp, maar auditors beschikken al over voldoende verwachtingen rond beheersmaatregelen om moeilijke vragen te stellen.
Een ISO/IEC 27001:2022-auditor begint meestal bij risico. Hij of zij zal vragen of kwantumgerelateerd cryptografisch risico binnen het ISMS is geïdentificeerd, beoordeeld, behandeld, gemonitord en herzien. De auditor verwacht bewijsmateriaal dat cryptografische beheersmaatregelen zijn geselecteerd op basis van bedrijfsrisico en dat verantwoordelijkheden zijn gedefinieerd.
Een op NIST gerichte assessor kan zich richten op zichtbaarheid van bedrijfsmiddelen, beschermingsmechanismen, risico’s in de toeleveringsketen, kwetsbaarhedenbeheer en governance-uitkomsten. Hij of zij kan vragen of de organisatie systemen heeft geïdentificeerd die kwetsbare cryptografie met publieke sleutels gebruiken en of migratieplanning aansluit op de richting van NIST.
Een COBIT- of ISACA-auditor zal vaak naar governance vragen. Wie is verantwoordelijk? Hoe ontvangt de raad van bestuur rapportages? Worden investeringen geprioriteerd? Worden leveranciersafhankelijkheden beheerd? Zijn baten, risico’s en middelen in balans?
Een privacyauditor kan zich richten op de vraag of encryptie en sleutelbeheer passend blijven voor de gevoeligheid en bewaartermijn van persoonsgegevens.
Een DORA- of NIS2-gerichte reviewer kijkt naar weerbaarheid, concentratie van ICT-derden, operationele continuïteit en paraatheid voor incidenten.
| Auditperspectief | Waarschijnlijke vragen | Voor te bereiden bewijsmateriaal |
|---|---|---|
| ISO/IEC 27001:2022 | Is post-kwantumrisico opgenomen in het ISMS-risicoproces? Worden cryptografische beheersmaatregelen geselecteerd en beoordeeld? | Risicoregister, behandelplan, Verklaring van Toepasselijkheid, beleidsgoedkeuringen, resultaten van interne audits |
| NIST | Heeft de organisatie cryptografisch gebruik geïnventariseerd en migratie naar goedgekeurde benaderingen gepland? | CBOM, architectuurbesluiten, pilotresultaten, migratiebacklog |
| COBIT 2019 | Wordt de cryptografische transitie bestuurd, gefinancierd en gemonitord? | Bestuursrapportages, governancenotulen, KPI’s, leveranciersrisicodashboards |
| GDPR | Blijft cryptografische bescherming passend voor de gevoeligheid en bewaring van persoonsgegevens? | Gegevensclassificatie, DPIA-verwijzingen, bewaarschema, encryptieontwerp |
| DORA | Zijn ICT- en leveranciersafhankelijkheden bekend en weerbaar? | ICT-assetregister, leveranciersattestaties, testbewijsmateriaal, exitplannen |
| NIS2 | Zijn maatregelen voor beveiligingsrisicobeheer en toeleveringsketen effectief? | Leveranciersbeoordelingen, incidentprocedures, continuïteitsplannen, registraties van risicobehandeling |
Zenith Controls beveelt aan om auditvoorbereiding te behandelen als een bewijspad. Wacht niet tot auditors om schermafbeeldingen en spreadsheets vragen. Bouw een GRC-werkruimte die elk cryptografisch risico verbindt met de eigenaar, getroffen bedrijfsmiddelen, leveranciers, besluiten, tests, uitzonderingen en beoordelingsdatums.
Actualiseer beleid zodat het programma operationeel wordt
De meeste cryptografiebeleidsdocumenten zijn geschreven voor traditionele vereisten rond vertrouwelijkheid en integriteit. Post-kwantummigratie vereist gerichte aanvullingen.
Uw beleid voor cryptografie en sleutelbeheer moet ingaan op goedgekeurde standaarden, beoordelingsfrequentie, gegevensclassificatie, beschermingsduur, algoritme-agility, sleutelgeneratie, sleutelopslag, sleutelrotatie, vernietiging, eigenaarschap, certificaatlevenscyclus, HSM-verantwoordelijkheid, verantwoordelijkheid voor cloud KMS, goedkeuring van uitzonderingen, door leveranciers beheerde cryptografie en monitoring van de post-kwantumtransitie.
Uw beleid voor veilige ontwikkeling moet ingaan op goedkeuring van cryptografische bibliotheken, geen hardcoded algoritmen zonder beoordeling, volgen van afhankelijkheden, beveiligde updatemechanismen, prestatietesten voor grotere sleutels of handtekeningen, achterwaartse compatibiliteit, rollback en dreigingsmodellering voor langlevende producten.
Uw leveranciersbeveiligingsbeleid moet ingaan op cryptografische transparantie, verzoeken om post-kwantumroadmaps, contractuele meldplichten, gedeelde verantwoordelijkheid voor encryptie en sleutelbeheer, exitplanning en portabiliteit.
Uw procedure voor assetmanagement moet ingaan op velden voor de cryptografische inventaris, eigenaarschap, bronnen van bewijsmateriaal, beoordelingsfrequentie en integratie met CMDB, cloudinventaris, certificaatbeheer, HSM-registraties en broncoderepositories.
Hier helpt de beleidsbibliotheek van Clarysec organisaties sneller vooruit. In plaats van vanaf een lege pagina te schrijven, kunnen teams beleidsclausules omzetten naar procedures, registers, vragenlijsten en auditbewijsmateriaal.
Vermijd de meest voorkomende fouten bij post-kwantummigratie
De gevaarlijkste fouten zijn doorgaans governancefouten, geen technische fouten.
Beginnen met algoritmen in plaats van bedrijfsmiddelen. Als u niet weet waar cryptografie wordt gebruikt, helpt algoritmeselectie niet.
De levensduur van gegevens negeren. Kortlevende transactiegegevens en langlevende gevoelige archieven dragen niet hetzelfde risico.
Leveranciers behandelen als een latere fase. Veel cryptografische beheersmaatregelen worden door leveranciers beheerd. Als leveranciers niet vroeg worden betrokken, kan uw plan onrealistisch zijn.
Handtekeningen vergeten. Post-kwantumplanning gaat niet alleen over encryptie. Digitale handtekeningen, codeondertekening, certificaten, identiteitstokens, firmware-updates en documentondertekening vereisen aandacht.
Aannemen dat cloudproviders alles oplossen. Cloudplatformen zullen een grote rol spelen, maar verantwoordelijkheid blijft gedeeld. U moet nog steeds weten welke diensten, configuraties, sleutels, regio’s en integraties worden geraakt.
Geen auditbewijsmateriaal creëren. Een migratieplan dat niet met bewijsmateriaal kan worden onderbouwd, zal management, toezichthouders, klanten of auditors niet overtuigen.
Prestaties en interoperabiliteit niet testen. Post-kwantumalgoritmen kunnen invloed hebben op payloadgrootte, handshakegedrag, latency, opslag, embedded beperkingen en compatibiliteit.
Metrieken die de CISO aan de raad van bestuur moet rapporteren
Bestuursrapportage moet eenvoudig genoeg zijn om te begrijpen en specifiek genoeg om actie te sturen. Vermijd diepgaande algoritmediscussies. Richt u op blootstelling, voortgang, besluiten en restrisico.
| Metriek | Betekenis op bestuursniveau |
|---|---|
| Percentage kritieke diensten met afgeronde cryptografische inventaris | Toont zichtbaarheid |
| Percentage langlevende gevoelige gegevens gekoppeld aan cryptografische beheersmaatregelen | Toont voorbereiding op harvest now, decrypt later |
| Aantal kritieke leveranciers waarvan een post-kwantumroadmap is ontvangen | Toont gereedheid van derden |
| Aantal hoogrisico cryptografische uitzonderingen | Toont onbeheerde blootstelling |
| Percentage kritieke toepassingen beoordeeld op crypto-agility | Toont haalbaarheid van migratie |
| Status van afronding van pilots | Toont praktische voortgang |
| Openstaande behandelingsacties waarvan de vervaldatum is verstreken | Toont uitvoeringsrisico |
| Trend in restrisico | Toont of het programma blootstelling vermindert |
Een bruikbare boodschap aan de raad van bestuur kan als volgt klinken:
“We hebben cryptografische detectie afgerond voor 72 procent van de kritieke diensten. Twee systemen hebben kritieke langetermijnblootstelling op vertrouwelijkheid en drie leveranciers hebben nog geen post-kwantumroadmaps aangeleverd. We zijn gestart met een project voor gereedheid van codeondertekening en een beoordeling van cloud KMS-afhankelijkheden. Vandaag wordt geen noodvervanging aanbevolen, maar onzekerheid bij leveranciers blijft het grootste restrisico.”
Dat is de taal van beheerst cyberrisico.
Een praktische checklist om deze week te starten
U hoeft niet te wachten op volledige zekerheid. Begin met stappen die zichtbaarheid en governance direct verbeteren.
- Wijs een eigenaar aan voor post-kwantumcryptografie.
- Voeg kwantumgerelateerd cryptografisch risico toe aan het ISMS-risicoregister.
- Identificeer de tien belangrijkste diensten met langlevende gevoelige gegevens of hoge impact op integriteit.
- Bouw een minimaal bruikbare CBOM voor deze diensten.
- Vraag kritieke leveranciers om hun post-kwantumroadmap.
- Beoordeel cryptografie-, veilige-ontwikkelings-, leveranciers- en assetbeleid.
- Identificeer systemen met hardcoded algoritmen, verouderde bibliotheken, handmatige certificaatrotatie of zwak eigenaarschap.
- Selecteer één laagrisicopilot voor crypto-agilitytesten.
- Definieer bestuursmetrieken en rapportagefrequentie.
- Plan een interne audit gericht op cryptografische governance en bewijsmateriaal.
De belangrijkste stap is onzekerheid omzetten in beheerst werk. Kwantumrisico kan toekomstgericht zijn, maar cryptografische schuld bestaat vandaag al.
Volgende stappen met Clarysec
Post-kwantummigratie wordt een van de meest complexe beveiligingstransities van het komende decennium, omdat zij identiteit, encryptie, handtekeningen, leveranciers, cloud, software, apparaten, archieven en auditbewijsmateriaal raakt. Organisaties die beginnen met governance en inventarisatie zullen sneller bewegen dan organisaties die wachten op een last-minute vervangingscyclus.
Clarysec kan u helpen een kwantumbestendig migratieplan voor cryptografie op te stellen met:
- Zenith Blueprint: een 30-stappenroadmap voor auditors voor gefaseerde implementatie en auditgereedheid
- Zenith Controls: de gids voor cross-compliance voor mapping van ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST, COBIT 2019, GDPR, DORA en NIS2
- Beleid inzake cryptografie en sleutelbeheer voor governanceready cryptografische regels
- Beleid inzake beveiliging van derde partijen en leveranciers voor leveranciersroadmaps en assurancevereisten
- Beleid inzake veilige ontwikkeling voor crypto-agile engineeringpraktijken
Het beste moment om met post-kwantumplanning te beginnen is vóórdat een toezichthouder, auditor, klant of bestuurslid om bewijsmateriaal vraagt. Begin met de inventaris, koppel die aan risico en bouw het migratiepad besluit voor besluit beheerst op.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
