12.12.2017   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

L 328/123

(1)

Η τυποποίηση διαδραματίζει σημαντικό ρόλο στην υποστήριξη της στρατηγικής «Ευρώπη 2020» (2). Πολλές εμβληματικές πρωτοβουλίες της στρατηγικής «Ευρώπη 2020» υπογραμμίζουν τη σημασία της εθελοντικής τυποποίησης σε αγορές προϊόντων ή υπηρεσιών, ώστε να εξασφαλίζεται η συμβατότητα και η διαλειτουργικότητα μεταξύ προϊόντων και υπηρεσιών, να προωθείται η τεχνολογική ανάπτυξη και να υποστηρίζεται η καινοτομία.

(2)

Τα πρότυπα είναι σημαντικά για την ευρωπαϊκή ανταγωνιστικότητα και καθοριστικά για την καινοτομία και την πρόοδο. Οι ανακοινώσεις της Επιτροπής σχετικά με την ενιαία αγορά (3) και την ψηφιακή ενιαία αγορά (4) επιβεβαιώνουν τη σημασία των κοινών προτύπων για τη διασφάλιση της απαραίτητης διαλειτουργικότητας των δικτύων και των συστημάτων στην ευρωπαϊκή ψηφιακή οικονομία. Αυτό ενισχύεται με την έκδοση της ανακοίνωσης για τις προτεραιότητες τυποποίησης στον τομέα των ΤΠΕ (5), στην οποία η Επιτροπή προσδιορίζει τις τεχνολογίες ΤΠΕ προτεραιότητας για τις οποίες η τυποποίηση θεωρείται κομβικής σημασίας για την ολοκλήρωση της ψηφιακής ενιαίας αγοράς.

(3)

Η ανακοίνωση της Επιτροπής με τίτλο «Ένα στρατηγικό όραμα για τα ευρωπαϊκά πρότυπα: προχωρώντας προς τα εμπρός για την ενίσχυση και την επιτάχυνση της βιώσιμης ανάπτυξης της ευρωπαϊκής οικονομίας έως το 2020» (6) αναγνώρισε την ιδιαιτερότητα της τυποποίησης στον τομέα των τεχνολογιών των πληροφοριών και των επικοινωνιών (ΤΠΕ), στο πλαίσιο της οποίας συχνά αναπτύσσονται λύσεις, εφαρμογές και υπηρεσίες από παγκόσμια φόρουμ και κοινοπραξίες για τις ΤΠΕ που σήμερα αποτελούν ηγετικούς οργανισμούς ανάπτυξης προτύπων ΤΠΕ.

(4)

Ο κανονισμός (ΕΕ) αριθ. 1025/2012 σχετικά με την ευρωπαϊκή τυποποίηση θέσπισε ένα σύστημα βάσει του οποίου η Επιτροπή μπορεί να αποφασίσει να αναγνωρίσει τις σχετικότερες και ευρύτερα αποδεκτές τεχνικές προδιαγραφές των ΤΠΕ που έχουν εκδοθεί από οργανισμούς που δεν είναι ευρωπαϊκοί, διεθνείς ή εθνικοί οργανισμοί τυποποίησης, οι οποίες μπορούν στη συνέχεια να χρησιμοποιηθούν ως προδιαγραφές αναφοράς κυρίως για να εξασφαλιστεί διαλειτουργικότητα στις δημόσιες συμβάσεις. Η δυνατότητα χρήσης του πλήρους φάσματος των τεχνικών προδιαγραφών των ΤΠΕ κατά την προμήθεια υλισμικού, λογισμικού και υπηρεσιών τεχνολογίας των πληροφοριών θα καταστήσει δυνατή τη διαλειτουργικότητα μεταξύ συσκευών, υπηρεσιών και εφαρμογών, θα βοηθήσει τις δημόσιες διοικήσεις να αποφεύγουν εγκλωβισμούς που προκύπτουν όταν ο αγοραστής - δημόσιος φορέας δεν μπορεί να αλλάξει τον πάροχο υπηρεσιών μετά τη λήξη της σύμβασης λόγω της χρήσης ιδιοταγών λύσεων ΤΠΕ και θα ενθαρρύνει τον ανταγωνισμό στον τομέα της προμήθειας διαλειτουργικών λύσεων ΤΠΕ.

(5)

Για να είναι οι τεχνικές προδιαγραφές των ΤΠΕ επιλέξιμες για αναφορά στις δημόσιες συμβάσεις, πρέπει να συμμορφώνονται με τις απαιτήσεις που ορίζονται στο παράρτημα II του κανονισμού (ΕΕ) αριθ. 1025/2012. Η συμμόρφωση με τις απαιτήσεις αυτές εξασφαλίζει για τις δημόσιες αρχές ότι οι τεχνικές προδιαγραφές των ΤΠΕ καθορίζονται σύμφωνα με τις αρχές των ανοιχτών διαδικασιών, της διαφάνειας, της αμεροληψίας και της συναίνεσης που αναγνωρίζονται από τον Παγκόσμιο Οργανισμό Εμπορίου (ΠΟΕ) στον τομέα της τυποποίησης.

(6)

Η απόφαση για την ταυτοποίηση των προδιαγραφών των ΤΠΕ πρόκειται να εκδοθεί ύστερα από διαβούλευση με την ευρωπαϊκή πολυμερή πλατφόρμα φορέων για την τυποποίηση των ΤΠΕ η οποία συγκροτήθηκε με την απόφαση 2011/C 349/04 της Επιτροπής (7), όπως συμπληρώνεται από άλλες μορφές διαβούλευσης με εμπειρογνώμονες του κλάδου.

(7)

Η ευρωπαϊκή πολυμερής πλατφόρμα φορέων για την τυποποίηση των ΤΠΕ αξιολόγησε τις ακόλουθες τεχνικές προδιαγραφές και εξέδωσε θετική γνώμη σχετικά με την ταυτοποίησή τους ως προδιαγραφών αναφοράς για τις δημόσιες συμβάσεις: «SPF-Sender Policy Framework for Authorizing Use of Domains in Email» («SPF»), «STARTTLS-SMTP Service Extension for Secure SMTP over Transport Layer Security (»STARTTLS-SMTP«)» και «DANE- SMTP Security via Opportunistic DNS-Based Authentication of Named Entities Transport Layer Security (»DANE- SMTP«)», που ανέπτυξε η Ομάδα Μελέτης του Διαδικτύου (IETF)· «Structured Threat Information Expression (»STIX 1.2«)» και «Trusted Automated Exchange of Indicator Information (»TAXII 1.1«)», τις οποίες ανέπτυξε ο Οργανισμός για την Προώθηση των Δομημένων Συστημάτων Πληροφοριών («OASIS»). Η αξιολόγηση και η γνώμη της πλατφόρμας φορέων υποβλήθηκε στη συνέχεια σε διαβούλευση με τομεακούς εμπειρογνώμονες, οι οποίοι επιβεβαίωσαν τη θετική γνώμη σχετικά με την ταυτοποίηση των προαναφερόμενων προδιαγραφών.

(8)

Η τεχνική προδιαγραφή «SPF» που ανέπτυξε η IETF είναι ένα ανοικτό πρότυπο που καθορίζει μια τεχνική μέθοδο για να ανιχνεύεται η παραποίηση της διεύθυνσης του αποστολέα. Η SPF προσφέρει την επιλογή ελέγχου ενός ηλεκτρονικού μηνύματος ώστε να εξακριβώνεται αν έχει αποσταλεί από εξυπηρετητή που έχει το δικαίωμα αποστολής του. Συνίσταται σε ένα απλό σύστημα επικύρωσης ηλεκτρονικών μηνυμάτων που έχει σχεδιαστεί έτσι ώστε να ανιχνεύει την παραποίηση δεδομένων χάρη σε έναν μηχανισμό που επιτρέπει στα συστήματα ανταλλαγής εισερχόμενων μηνυμάτων να ελέγχουν ότι τα εν λόγω μηνύματα από έναν τομέα προέρχονται όντως από έναν κεντρικό υπολογιστή ο οποίος έχει λάβει τη σχετική έγκριση από τους διαχειριστές του εν λόγω τομέα. Σκοπός της SPF είναι η πρόληψη των ανεπιθύμητων ηλεκτρονικών μηνυμάτων από πλαστές διευθύνσεις παραλήπτη σε έναν συγκεκριμένο τομέα. Οι παραλήπτες μπορούν να καταφύγουν σε ένα αρχείο SPF για να κρίνουν αν ένα μήνυμα που υποτίθεται ότι έρχεται από τον εν λόγω τομέα προέρχεται όντως από έναν εγκεκριμένο εξυπηρετητή ηλεκτρονικού ταχυδρομείου.

(9)

Η «STARTTLS-SMTP», την οποία ανέπτυξε η IETF, είναι ένας τρόπος ώστε μια υπάρχουσα μη ασφαλής σύνδεση να αναβαθμιστεί σε ασφαλή. Η STARTTLS αποτελεί επέκταση της υπηρεσίας πρωτοκόλλου μεταφοράς απλού ταχυδρομείου («SMTP») που επιτρέπει σε έναν εξυπηρετητή και πελάτη SMTP να χρησιμοποιεί το πρωτόκολλο ασφάλειας επιπέδου μεταφοράς («TLS») για να εξασφαλίζει ιδιωτική επικοινωνία με επαλήθευση ταυτότητας στο διαδίκτυο. Η μη ασφαλής επικοινωνία μέσω ηλεκτρονικού ταχυδρομείου αποτελεί, ιδιαίτερα, ένα μέσο σοβαρών επιθέσεων με σκοπό την παραβίαση των κρατικών δικτύων. Εάν ένας χρήστης στείλει ένα ηλεκτρονικό μήνυμα, ο εξυπηρετητής μηνυμάτων του παρόχου μηνυμάτων του χρήστη θα στείλει το μήνυμα αυτό στον εξυπηρετητή ηλεκτρονικού ταχυδρομείου του παραλήπτη. Η σύνδεση μεταξύ αυτών των εξυπηρετητών ταχυδρομείου μπορεί να προστατευτεί εκ των προτέρων με το πρωτόκολλο TLS. H STARTTLS δίνει τη δυνατότητα να αναβαθμιστεί μια μη κρυπτογραφημένη (απλού κειμένου) σύνδεση σε κρυπτογραφημένη σύνδεση TLS.

(10)

Η «DANE-SMTP», την οποία ανέπτυξε η IETF, αποτελεί μια σειρά πρωτοκόλλων για τη βελτίωση της ασφάλειας στο διαδίκτυο, καθώς επιτρέπει την εγκατάσταση κλειδιών στο σύστημα ονομάτων τομέα («DNS») τα οποία προστατεύονται με τη DNSSEC («DNS Security»). Κατά τη δημιουργία ασφαλούς σύνδεσης με ένα άγνωστο μέρος είναι επιθυμητό να γίνεται ένας ηλεκτρονικός έλεγχος της γνησιότητας του μέρους αποστολής και του προορισμού. Αυτό μπορεί να γίνει με πιστοποιητικά που εκδίδονται από τις αρχές έκδοσης («CAs») εντός του συστήματος PKI ή με αυθυπόγραφα πιστοποιητικά. Η DANE επιτρέπει στον κάτοχο ενός τομέα («καταχωρών») να παράσχει πρόσθετες πληροφορίες πέραν από τα ηλεκτρονικά πιστοποιητικά μέσω του αρχείου DNS που προστατεύεται μέσω DNSSEC. Η DANE είναι, κατά συνέπεια, ιδιαίτερα σημαντική για την καταπολέμηση επαναλαμβανόμενων επιθέσεων.

(11)

Η «STIX 1.2», την οποία ανέπτυξε η OASIS, είναι μια γλώσσα για την περιγραφή των πληροφοριών για κυβερνοαπειλές με τυποποιημένο και διαρθρωμένο τρόπο. Καλύπτει σημαντικά θέματα όσον αφορά τα δεδομένα για τις κυβερνοαπειλές, διευκολύνοντας την ανάλυση και την ανταλλαγή πληροφοριών σχετικά με τις επιθέσεις. Χαρακτηρίζει μια εκτεταμένη δέσμη πληροφοριών για τις κυβερνοαπειλές, συμπεριλαμβανομένων των δεικτών αντίπαλης δραστηριότητας, όπως είναι οι διευθύνσεις IP και οι κατακερματισμοί αρχείων, καθώς και οι πληροφορίες με βάση το περιεχόμενο όσον αφορά τις απειλές, όπως είναι οι αντίπαλες τακτικές, τεχνικές και διαδικασίες («TTPs»)· οι στόχοι εκμετάλλευσης· οι εκστρατείες και τα προγράμματα δράσης («COA»). Στο σύνολό τους όλες αυτές οι πληροφορίες περιγράφουν με ολοκληρωμένο τρόπο τα κίνητρα, τις ικανότητες και τις δραστηριότητες των κυβερνοαντιπάλων και με τον τρόπο αυτό συμβάλλουν στην άμυνα κατά των επιθέσεων.

(12)

Η τεχνική προδιαγραφή «TAXII v1.1», την οποία επίσης ανέπτυξε η OASIS, τυποποιεί την έμπιστη, αυτοματοποιημένη ανταλλαγή πληροφοριών για τις κυβερνοαπειλές. Η TAXII ορίζει τις υπηρεσίες και τις ανταλλαγές μηνυμάτων με σκοπό την κατανομή των πληροφοριών για τις κυβερνοαπειλές που επιτρέπουν την ανάληψη δράσης πέρα από τα όρια οργανισμών, προϊόντων ή υπηρεσιών με σκοπό την ανίχνευση, την πρόληψη και την αντιμετώπιση των κυβερνοαπειλών. Η TAXII δίνει σε οργανισμούς τη δυνατότητα να αυξήσουν τις γνώσεις τους για την κατάσταση των αναδυόμενων απειλών και να μοιράζονται εύκολα τις πληροφορίες με τους εταίρους τους διατηρώντας παράλληλα τον έλεγχο των υφιστάμενων σχέσεων και συστημάτων,