Ein Kryptokonzept ist ein Dokument, das die Verschlüsselungsstrategie deiner Organisation beschreibt. Es legt fest, welche kryptografischen Algorithmen und Schlüssellängen zugelassen sind, wie Schlüssel erzeugt, verteilt, gespeichert, rotiert und vernichtet werden, und welche Daten verschlüsselt werden müssen. Das Kryptokonzept orientiert sich typischerweise an den BSI-Empfehlungen (TR-02102) oder den Vorgaben von NIST. In deinem ISMS bildet es die Grundlage für alle verschlüsselungsbezogenen Kontrollen aus Annex A. Halte das Konzept aktuell — kryptografische Empfehlungen ändern sich, insbesondere im Hinblick auf Post-Quantum-Kryptografie. Ein veraltetes Kryptokonzept mit schwachen Algorithmen ist schlimmer als kein Konzept.