吾察60余PQC之里程碑于15域。及吾呈此数据于CISO及安卫之长，首问恒为：“善，然孰者实关要？孰者具威？”

此问甚是。凡PQC政策文书，皆见“截止日期”一词，然其义随设之者异，失之则果何如，亦异也。CNSA 2.0采购之关隘与G7网络专家小组路线图之里程碑，皆列于时序。一者将使汝失数十亿美元之市；二者则为其预定之众所默视。

约束与咨询之别，非二分也。PQC之执行，存于谱系，所定截止之期于谱系之位，乃决其于迁移之程中应优先之序。吾已为之序矣。二〇二六至二〇三〇之限期按日期。此文依强制力之序而列。

一级：汝失市易之途

此限期立有立竿见影、可量之财利之果。失之则不能售、不能营、不能参于既定之市。

CNSA 2.0收编之关（二七年初）。产品不达CNSA 2.0之要求，自兹日期后，不可购置于美利坚国家安全系统。其执行之机制，乃采购排除：合同官受命不得采买非合规之密码产品。无罚金，无警告函，无整改之期。汝但未列于核准之册。于国防承包商及技术供应商于国家安全系统供应链中，此乃最重大之PQC截止日期。吾已详述其影响于二零二七年采办之关

悬而未决者，惟政府施之之严也。有豁免之例，适用于PQC功能尚不可得之产品。其豁免之广狭，实定2027年1月为坚壁抑或柔导。其兆将显而速：至2027年中，业界知CNSA 2.0之合规，乃真采买之鉴抑或虚应之务矣。

FIPS 140-2 衰落（2026年9月）。非PQC之截止，乃加密模块之截止，直系PQC之规划。丙申年九月廿一日后。FIPS 140-2证书移至历史档案联邦采购须用FIPS 140-3验证之模块。执行之制同CNSA 2.0：无验证，则无联邦之售。诸组织合其FIPS 140-3之迁，与PQC算法之融，以避触其密码模块二次。

欧盟网络韧性法案（约2027年）。产品含数字之素，不能支持密码之更于其寿，则不克。CRA之要求。不合规之产品，不得加施CE标记，亦不得售于欧盟市场。CRA未指明PQC算法，然其要求架构之能力（密码之灵活），此乃PQC迁移所依。于产品制造者而言，此乃市场准入之规，其力度堪比REACH或GDPR.

层级二：有明执法之法规指令

此限期，出自监管机构，其权责在所针对之组织。不遵从非虚渺之风险，乃与特定监管者之具体对话也。

以色列银行指令二零二五零一（二零二六年一月）每以色列之銀行公司，必須將董事會核准之量子應對計畫，上呈于银行监管部所投之目标，名曰：科技、创新及网络部之长。其计划必先经董事会讨论、核准，而后方得提交。若银行不提交，则其治理记录中，便有监管合规之缺憾。

阿拉伯联合酋长国加密政策（约2026年）。 The 行政规章 须政府机构正式核准之PQC迁移计划。阿联酋网络安全委员会监督其合规性。异于多数PQC指导，此乃基于公法文书，非建议性文件。

欧盟DORA（自2025年1月起施行）。 数字运营韧性法案 未明言PQC，然其要欧盟金融实体掌管ICT之险，兼新兴科技之险。金融监管者（ECB、EBA、EIOPA、各国适格当局）监督其遵行。PQC渐为预期之ICT风险管理基准所含，DORA则设执行之框架，使PQC之要求得入金融界。其机制为监管之检视，非PQC专审也。

三级：系政府之命于审计之迹

此限期适于官署，由内政之责机制所察。于官场虽具约束，然不直制民企之属

加拿大CCC之ITSM.40.001（自2026年四月始）联邦诸署须呈PQC迁转之策 而岁报之。財政委員會 SPIN 購置之權威增矣：日期可考之品質審核要求，入契約之文。供加拿大政府之商販，此誘導執法於購置之途.

美國總統辦公廳 M-23-02 / NSM-10.聯邦機構必須 管理密碼之系統。 並報 CISA 與 OMB。執法之機制，乃內部政府之責任：監察院之審計、國會之報告要求，及 量子計算網絡安全備案法案 之規定。行政之更迭，引致執法之勁氣不確，然法律之義務猶存。吾詳述其狀於文。二零二六年美国全境品控法规之全貌。

EO 14144 TLS 1.3 (2030年1月) 行政之令需立现世之规，遍及联邦系统。此令约束联邦诸司。执行由总统行政管理与预算局（OMB）合规追踪及诸司首席信息官（CIO）之责。

四等：权威之导，塑令行

此限期非法定之要，实源自国家网络安全之权柄，其所示者，即所谓“合理”之安策也。法庭、监管者、保险商及稽查者，皆引以为据，以审度其组织是否尽其护责之职。

英吉利网络安全中心三阶段之序（二零二八、二零三一、二零三五）。国家网络安全中心无权强制执行私营部门网络安全能力评估迁移之法规。然国家网络安全中心之指导乃英国监管者评估网络安全实践之基准。联邦汽车管理局(FCA), PRA、Ofcom及ICO皆引NCSC为权威之来源。若组织遭入侵，而查其曾漠视国家网络安全中心公钥基础设施时间表将面监管者与保险公司之诘问，究其故。

德意志 BSI TR-02102-1 (2030 / 2032)。BSI之指导，定KRITIS之合规，证其果（BSI C5，ISO 27001兼BSI之补遗），亦规德国政府契约之采办。BSI之PQC期限 谓之“权威指引”，然于德意志之规约，其权重犹似软性规约。BSI/KPMG之调查所示，德意志诸组织不及五分之有一有迁徙之策，是故施政之压当增，以弥此隙。

法兰西 ANSSI 之 PQC 之见（约二零三零年欧盟趋同）。 ANSSI 之指引统御 法兰西认证之域(安全首级认证，资格认证)。欲求ANSSI认证之产品，必合其混合PQC之要求。凡欲涉法国政府或国防市场之供应商，ANSSI之指导实为产品之实际要求。

澳大拉西亚ASD ISM（二〇二六 / 二〇二八 / 二〇三〇）。ASD之ISM控制也名实相副之必行 为澳大利亚政府机构之用，渐为 SOCI 法规下关键基础设施之规范所引。2030 年古典密码禁令，今为权威指引，然随澳大利亚关键基础设施法规框架之成熟，恐将成强制之规。

欧盟 NIS 合作小组路线图（2026 年 / 2030 年 / 2035 年）。协导而非强制规约。然路线图将流转入《NIS2实施法案》及至其时，则第二阶段之里程碑（至2030年底达CII标准）遂为二十七国之要务运营者所须遵循之规约日期。

第五级：咨询与行业框架

此二者有势无形，无直接之强制。其塑人心之所向，造无形之压力，盖因行业之常度与同侪之标尺也。

G7 CEG PQC 路线图（二零二六年一月）。 G7 网络专家组之金融业路线图此乃建议，非管制也。G7诸国以其本国之金融监管者，依其自速行之。其力在声名：G7若发协同之导引，则各国监管者用以申其行止。

BIS / FS-ISAC / HKMA / MAS"其"BIS量子准备之路图，FS-ISAC迁移之路图、香港金融管理局量子准备指数、及马来西亚证券委员会建议，皆行业之指导，可影响实践，而不强制之。

日本国家委员会/韩国信息通信技术部/马来西亚国家网络安全局。国家目标(日本2035、韩国2035)。，马来西亚二零二五至二零三零年框架，然执行之器有限。日本之跨部门委员会及金融服务管理局研究小组，或出具有约束之力之要求，然至二零二五年末，此等犹为战略之目标.

何则？导引何以成约束？

五级模型简化一重要动态：柔导固化为硬性预期，此乃三途所为，各独立于立法之外。

保险渠道。 诸保险商始询量子之险于核保问卷。若保险商问曰：“汝已评汝之受量子计算之害乎？”而首席信息安全官对曰：“未也”，则此乃风险之因，将影响保险之条款。NCSC之时间表及BSI之指南，乃保险商用以界定“合理”之准备之基准。若一组织忽视第四级之指南，其后罹量子相关之侵扰，则其索赔或遭争辩。

供链之途。 大银行、国防巨头及政府机构，皆将PQC准备之要求，纳入供应商评估问卷与合同条款。一中等规模之软件公司，本无直接监管之义务，或竟发觉其最大之银行客户，现要求PQC迁移之计划，方得续约。其执行之机制，乃商业而非监管，然财务之后果，则无别也。

偿责之途。 陷隙既生，官府监者必询其组织是否循“业之常法”以御安。NCSC、BSI、ANSSI、ASD、NIST所颁之导，即“业之常法”为何。若组织背此导，则当自辩其故。是使权威之导，化而为实然之律，非以律令相绳，乃以事后之责相制也。

如何使用此

为迁移项目优先级，请将您的截止日期与其实施层级相匹配：

若您面临第一层级截止日期（市场准入）：此规约尔程序之始程。二零二七年一月之CNSA合规非尔所谋之务；或备或未，非可迂回。EU之CRA合规乃产品架构之决断，必于今次设计周期中定之。

若遇二等之期（监管之令）： 将交付成果纳入治理日程。董事会批准之计划、监管提交之物，及审计备查之文书，需时月余方成。自提交截止日溯推，非自欲思其事之时始。

若逢三级时限（政府之命）： 此等事直接关乎政务，间接影响商贾，缘于采购之需。须追踪审计之序，使品控文牍备妥，以应下次检视之期。

若惟遇四等五等之限： 君于时序，虽得从容，然实非若所想之甚也。保险、供应链及责任诸途，已将指示化为预期。于首客询及之前启动PQC之程，较之事后始动，其费省而扰亦轻。

诸组织，莫不承第四或第五级之压。所询者，惟君亦当负第一、二、三级之限耳。全球PQC迁移时间表将每项截止日期与其管辖区域对应，而PQC准备自评记分卡助你评估自身所处位置。当先严行，再及四方.

量子之利&量子风险——已处置

吾司——量子应用 - 助官府、企业、投资者备量子之利弊。 吾等供简明之董事会及投资者简报；解量子计算、感知、通信之惑；为邦国与企业谋略以取先机；化蓝图为实效。助君等减量子之险，行加密库存、加密敏捷实施、后量子加密迁移，及广布量子威胁之御。吾等核供方审慎，证价值试运行，协标准与政策，训员工，助采购，继而督其于众组织之实施。致吾若欲助之。

与吾语 联络应用量子