12.12.2017   

SL

Uradni list Evropske unije

L 328/123

(1)

Standardizacija ima pomembno vlogo pri podpiranju strategije Evropa 2020 (2). Več vodilnih pobud strategije Evropa 2020 je poudarilo pomen prostovoljne standardizacije na trgih proizvodov ali storitev, da se zagotovita združljivost in interoperabilnost med proizvodi in storitvami, spodbuja tehnološki razvoj in podpirajo inovacije.

(2)

Standardi so bistveni za evropsko konkurenčnost in ključnega pomena za inovacije in napredek. Komisija v sporočilih o enotnem trgu (3) in enotnem digitalnem trgu (4) potrjuje pomen skupnih standardov pri zagotavljanju potrebne interoperabilnosti omrežij in sistemov v evropskem digitalnem gospodarstvu. To je bilo poudarjeno še s sprejetjem Sporočila o prednostnih nalogah na področju standardizacije IKT (5), v katerem Komisija določa prednostne tehnologije IKT, za katere je standardizacija ključna za dokončanje enotnega digitalnega trga.

(3)

Sporočilo Komisije z naslovom „Strateška vizija za evropske standarde: za boljšo in hitrejšo trajnostno rast evropskega gospodarstva do leta 2020“ (6) priznava specifičnost standardizacije na področju informacijskih in komunikacijskih tehnologij (IKT), kjer rešitve, aplikacije in storitve IKT pogosto razvijajo globalni forumi in konzorciji IKT, ki so danes vodilne organizacije za razvoj standardov IKT.

(4)

Uredba (EU) št. 1025/2012 o evropski standardizaciji je vzpostavila sistem, v katerem se Komisija lahko odloči opredeliti najustreznejše in najbolj razširjene tehnične specifikacije IKT, ki jih izdajajo organizacije, ki niso evropske, mednarodne ali nacionalne organizacije za standardizacijo, in na katere se je nato mogoče sklicevati, predvsem zaradi omogočanja interoperabilnosti pri javnem naročanju. Možnost uporabe celotne palete tehničnih specifikacij IKT pri naročanju strojne in programske opreme ter storitev informacijske tehnologije bo omogočila interoperabilnost med napravami, storitvami in aplikacijami, pomagala javnim upravam preprečevati vezanost na določeno tehniko, do katere pride, kadar javni naročnik po poteku pogodbe zaradi uporabe lastniških rešitev IKT ne more zamenjati ponudnika, in spodbujala konkurenco pri zagotavljanju interoperabilnih rešitev IKT.

(5)

Da bi tehnične specifikacije IKT izpolnjevale pogoje za sklicevanje pri javnem naročanju, morajo izpolnjevati zahteve, določene v Prilogi II k Uredbi (EU) št. 1025/2012. Izpolnjevanje navedenih zahtev javnim organom zagotavlja, da so tehnične specifikacije IKT oblikovane v skladu z načeli odprtosti, preglednosti, pravičnosti, nepristranskosti in soglasja, ki jih priznava Svetovna trgovinska organizacija na področju standardizacije.

(6)

Sklep o opredelitvi specifikacije IKT je treba sprejeti po posvetovanju z evropsko platformo več zainteresiranih strani o standardizaciji IKT, ustanovljeno s Sklepom Komisije 2011/C 349/04 (7), ki jo je treba dopolniti z drugimi oblikami posvetovanja s sektorskimi strokovnjaki.

(7)

Evropska platforma več zainteresiranih strani o standardizaciji IKT je ocenila opredelitev naslednjih tehničnih specifikacij za sklicevanje pri javnem naročanju in glede njih dala pozitivno mnenje: „SPF-Sender Policy Framework for Authorizing Use of Domains in Email“ (SPF), „STARTTLS-SMTP Service Extension for Secure SMTP over Transport Layer Security“ (STARTTLS-SMTP) in „DANE-SMTP Security via Opportunistic DNS-Based Authentication of Named Entities Transport Layer Security“ (DANE- SMTP), ki jih je razvila delovna skupina za internetsko inženirstvo (IETF); „Structured Threat Information Expression“ (STIX 1.2) in „Trusted Automated Exchange of Indicator Information“ (TAXII 1.1), ki jih je razvila Organizacija za spodbujanje strukturiranih informacijskih standardov (OASIS). Ocena in mnenje platforme sta bila nato predložena v posvetovanje s sektorskimi strokovnjaki, ki so potrdili pozitivno mnenje o njihovih opredelitvah.

(8)

Tehnična specifikacija SPF, ki jo je razvila IETF, je odprt standard, ki podrobno določa tehnično metodo za odkrivanje ponarejanja naslova pošiljatelja. S SPF se lahko preveri, ali je sporočilo poslano s strežnika, ki mu ga je dovoljeno poslati. To je enostaven sistem za preverjanje elektronske pošte, ki je namenjen za odkrivanje slepljenja, tako da prejemnik elektronske pošte lahko z mehanizmom preveri, ali dohodna pošta z domene prihaja od gostitelja, ki ima za to dovoljenje od skrbnikov navedene domene. Namen SPF je pošiljateljem neželene elektronske pošte preprečiti pošiljanje sporočil z določene domene s ponarejenimi „From-addresses“. Prejemniki lahko pogledajo zapis SPF, da bi preverili, ali sporočilo, za katero se zdi, da je z navedene domene, dejansko prihaja z dovoljenega poštnega strežnika.

(9)

S „STARTTLS-SMTP“, ki ga je razvila IETF, se lahko obstoječa tvegana povezava pretvori v varno. STARTTLS je razširitev internetnega protokola za prenos elektronske pošte („SMTP“), ki strežniku SMTP in odjemalcu omogoča uporabo sloja varnih vtičnic (Transport Layer Security; TLS), da se zagotovi avtenticirana komunikacija prek interneta. Zlasti nezavarovana komunikacija po elektronski pošti pomeni pomemben vektor za napade na vladna omrežja. Če uporabnik pošlje elektronsko sporočilo, poštni strežnik uporabnikovega ponudnika elektronske pošte to elektronsko sporočilo pošlje na poštni strežnik prejemnika. Povezava med temi poštnimi strežniki se lahko vnaprej zavaruje s TLS. STARTTLS ponuja način za pretvorbo nešifrirane (golo besedilne) povezave v šifrirano povezavo TLS.

(10)

„DANE-SMTP“, ki ga je pripravila IETF, je sklop protokolov, s katerim se za boljšo internetno varnost ključi lahko uvrstijo v sistem domenskih imen („DNS“) in zavarujejo z DNSSEC („DNS Security“). Pri vzpostavitvi varne povezave z neznano stranjo je zaželeno, da se spletno preveri pristnost pošiljatelja in naslovnika. To se lahko stori s potrdili, ki jih izdajo certifikacijski organi v okviru sistema infrastrukture javnih ključev ali s samopodpisanimi potrdili. DANE imetniku domene („registrarju“) z zapisom DNS, zavarovanim z DNSSEC, omogoča zagotavljanje dodatnih informacij poleg spletnih potrdil. DANE je zato posebej pomemben za boj proti aktivnim napadalcem.

(11)

„STIX 1.2“, ki jo je razvila OASIS, je jezik za standardiziran in strukturiran opis informacij o kibernetskih grožnjah. V zvezi s podatki o kibernetskih grožnjah zajema glavne teme in olajšuje analizo ter izmenjavo podatkov o napadih. Podaja širok nabor informacij o kibernetskih grožnjah, vključno s kazalniki sovražne dejavnosti, kot so naslovi IP in razprševanje datotek, ter spremnih informacij o grožnjah, kot so taktike, tehnike in postopki napadalcev („TTP“); cilji ukan; kampanje in načini ukrepanja (Courses of Action: „COA“). Te informacije skupaj v celoti opisujejo motive, sposobnosti in dejavnosti kibernetskih napadalcev in tako prispevajo k obrambi pred napadi.

(12)

S tehnično specifikacijo „TAXII v1.1“, ki jo je prav tako razvila OASIS, se standardizira zaupanja vredna, avtomatizirana izmenjava informacij o kibernetskih grožnjah. TAXII opredeljuje storitve in izmenjave sporočil, s katerimi se lahko izmenjujejo uporabne informacije o kibernetskih grožnjah med različnimi organizacijami, izdelki ali storitvami, da se kibernetske grožnje odkrijejo, preprečijo ali omilijo. TAXII organizacijam daje možnost za boljše situacijsko zavedanje porajajočih se groženj in jim omogoča enostavno izmenjavo informacij s partnerji ter izkoriščanje obstoječih razmerij in sistemov –