„Допълнение 3

Процедура за одобряване и упълномощаване на независими оператори за достъп до елементите за сигурност на превозното средство (*5)

1.   Обхват

Настоящото допълнение съдържа изискванията за целите на одобряването и упълномощаването на независими оператори, които изискват достъп до информация за ремонта и техническото обслужване на превозното средство, свързана със сигурността (RMI).

В него се описват подробно процесът и органите, от които се изисква да одобрят и упълномощят независимите оператори, които трябва да получат достъп до информация за ремонта и техническото обслужване, свързана със сигурността, по отношение на леки пътнически и търговски превозни средства и тежкотоварни превозни средства.

2.   Определения, символи и съкращения

2.1.   Определения

За целите на настоящото допълнение се прилагат следните определения:

2.1.1.   „Акредитация“

„акредитация“ означава акредитация съгласно определението в член 2, точка 10 от Регламент (ЕО) № 765/2008

2.1.2.   „Служител на НО“

„Служител на НО“ означава служител на одобрен независим оператор (НО), който след упълномощаване от компетентния орган за оценяване на съответствието (ООС) ще получи достъп до RMI, свързана със сигурността;

2.1.3.   „Информация за ремонт и техническо обслужване, свързана със сигурността“ или „RMI, свързана със сигурността“

„информация за ремонт и техническо обслужване, свързана със сигурността“ или „RMI, свързана със сигурността“ означава информацията, софтуерът, функциите и услугите, които са необходими за ремонта и техническото обслужване на елементите, включени в превозното средство от производителя с цел предотвратяване на кражба или откарване на превозното средство, както и с цел проследяване и връщане на превозното средство.

2.1.4.   „Сертификат от проверка за одобрение“

„сертификат от проверка за одобрение“ означава сертификат, издаден от ООС на НО, който отговаря на критериите за одобрение, определени в настоящото допълнение, и потвърждаващ, че въпросните НО са одобрени и че служителите на НО могат да поискат упълномощаване за достъп до RMI, свързана със сигурността.

2.1.5.   „Сертификат от проверка за упълномощаване“

„сертификат от проверка за упълномощаване“ означава сертификат, издаден от ООС на служители на НО, които отговарят на критериите за упълномощаване, определени в настоящото допълнение, и потвърждаващ, че тези служители са упълномощени да осъществяват достъп до RMI, свързана със сигурността, на уебсайта на производителя на превозни средства.

2.1.6.   „Доверителен център“ или „ДЦ“

„доверителен център“ или „ДЦ“ означава органът, определен от SERMI и одобрен от Комисията, който отговаря за:

а)	управление на електронните сертификати и статуса на упълномощаване на служителите на НО и за предоставяне на ООС на необходимите токени за сигурност и електронни сертификати за упълномощени служители на НО;

б)	предоставяне на информация на производителите на превозни средства относно статуса на упълномощаване на служителите на НО.

2.1.7.   „Токен за сигурност“

„токен за сигурност“ означава устройство, което позволява сигурно удостоверяване на автентичността на НО.

2.1.8.   „Електронен сертификат“

„електронен сертификат“ означава електронен сертификат, който изисква електронен подпис на издаващия доверителен център с цел обвързване на публичен ключ със самоличността на служителя на НО в съответствие със стандарт ISO 9594.

2.1.9.   „База данни за упълномощаване“

„база данни за упълномощаване“ означава база данни, поддържана от доверителния център, която съдържа данните за упълномощаване на анонимизираните упълномощени служители на НО и за регистрацията на одобрените НО.

2.1.10.   „База данни за сертифициране“

„база данни за сертифициране“ означава база данни, която се поддържа от доверителния център във връзка с управлението на валидността на електронните сертификати и идентификаторите на упълномощените служители на НО.

2.1.11.   „Европейска организация за акредитация“ или „EA“

„Европейска организация за акредитация“ или „EA“ означава органът, признат от Комисията в съответствие с член 14 от Регламент (ЕО) № 765/2008, който отговаря за разработването, поддържането и прилагането на акредитация в Съюза.

2.1.12.   „Форум за достъп до RMI на превозното средство, свързана със сигурността“ или „SERMI“

„форумът за достъп до RMI на превозното средство, свързана със сигурността“ или „SERMI“ означава организацията, която отговаря за координацията и съветването на Комисията във връзка с прилагането на процедурите за акредитация, одобряване и упълномощаване с цел достъп до RMI, свързана със сигурността.

2.1.13.   „Компетентни органи“

„компетентни органи“ означава публичните органи, които имат законови правомощия да предприемат действия в областта на защитата, разследването и наказателното преследване на престъпления, свързани със сигурността на превозните средства.

3.   Акредитиране на ООС, одобряване на НО и упълномощаване на служители на НО

Само ООС, които са акредитирани от националния орган по акредитация (НОА) на държавата членка, в която са установени, както е определен в член 2, точка 11 от Регламент (ЕО) № 765/2008, издават сертификати от проверка за одобрение, удостоверяващи, че НО е одобрен, и сертификати от проверка за упълномощаване, удостоверяващи, че съответният служител на НО получава достъп до RMI, свързана със сигурността.

Одобрението на НО и упълномощаването на служител на НО са валидни за срок от 60 месеца, считано от датата на издаване на съответните сертификати от проверка.

НО, които желаят да получат RMI, свързана със сигурността, се сдобиват със сертификат от проверка за одобрение от ООС, акредитиран от НОА на държавата членка, в която е установен НО.

Служителите на НО, които трябва да работят с RMI, свързана със сигурността, получават сертификат от проверка за упълномощаване от ООС, акредитиран от НОА на държавата членка, в която пребивава служителят на НО.

ООС информират ДЦ за всички издадени сертификати от проверки за одобрение или сертификати от проверки за упълномощаване, въз основа на които ДЦ създават запис за упълномощаване и издават токен за сигурност и електронен сертификат, съдържащ данни, които позволяват служителите на НО да се идентифицират еднозначно на уебсайта за RMI на производителя на превозни средства. ООС предоставят на отделните служители на НО токен за сигурност и електронен сертификат.

Производителите на превозни средства могат да изискват такса за регистрацията на служители на НО на уебсайтовете за RMI на тези производители на превозни средства, както и за достъп до RMI, свързана със сигурността. Тази такса е пропорционална на разходите за регистрация и предоставяне на достъп. Дължимите такси се посочват на уебсайтовете за RMI на производителите на превозни средства. Всяко предаване на цифрови данни между НО, ДЦ и ООС се извършва чрез трансакции между предприятия (B2B) своевременно и като се използват протоколи за сигурност.

НО, който отправя искане за упълномощаване от ООС, подписва декларация, с която удостоверява, че извършва законна стопанска дейност, както е посочено в точка 6.3 от настоящото приложение. НО се одобрява единствено след проверка от страна на ООС, чиято цел е да се провери дали тази декларация е подписана и да се прецени дали НО и отделните му служители отговарят на изискванията, определени в настоящото допълнение.

Отделни служители на НО се упълномощават само след инспекция от ООС. ООС преглеждат представените документи и проверяват дали съответният служител на НО вече е отправил искане за упълномощаване, което е било отхвърлено от съответния ООС или от друг ООС на равнището на Съюза.

ООС изпращат всички необходими данни на ДЦ, за да може той да изготви електронния сертификат и токена за сигурност, които ООС изпраща на служителите на НО.

Упълномощените служители на НО получават от своите ООС PIN кода, свързан с електронния сертификат.

3.1.   Преглед на достъпа до RMI, свързана със сигурността

Производителите на превозни средства предоставят достъп до RMI, свързана със сигурността, чрез своя уебсайт за RMI, при условие че служителите на НО са упълномощени и са в състояние да представят сертификата от проверка за упълномощаване, както и ако НО, от чието име работят служителите на НО, притежава сертификат от проверка за одобрение.

Производителите може да предложат на упълномощени служители на НО, които работят за одобрени НО, достъп до онлайн система за поръчки на части, свързани със сигурността, като използват специализирано приложение, свързано с уебсайта за RMI.

При получаване на искане за достъп до уебсайт за RMI уебсайтовете на производителите на превозни средства изискват идентификация чрез уникалния идентификатор на служителя на НО, както и удостоверяване на автентичността. Удостоверяването на автентичността за служителите на НО се извършва изключително посредством електронни сертификати. При получаване на електронен сертификат уебсайтовете за RMI на производителя на превозни средства проверяват уникалния идентификатор на служителя на НО и настоящия статус на електронния сертификат и на упълномощаването, като комуникират с доверителния център, посочен в електронния сертификат.

Всяко предаване на цифрови данни между НО, производителите на превозни средства, ДЦ и ООС се извършва чрез трансакции между предприятия (B2B) своевременно и като се използват протоколи за сигурност. След проверка на уникалния идентификатор и на статуса на упълномощаване на служителя на НО производителят на превозни средства предоставя достъп чрез своя уебсайт до необходимата RMI, свързана със сигурността.

4.   Подробни правила относно достъпа до RMI, свързана със сигурността

4.1.   Роля на SERMI

4.1.1.   Отговорности и задължения

SERMI наблюдава прилагането на процеса на акредитация във всички държави членки и информира Комисията за това. SERMI съветва Комисията по отношение на искания за промени в процеса на акредитация.

а)	SERMI съветва Комисията по отношение на искания за промени в процеса на акредитация. SERMI наблюдава прилагането на процеса на акредитация във всички държави членки и информира Комисията за това;

б)	SERMI се консултира с Комисията относно създаването на критериите за подбор на ДЦ;

в)	SERMI съветва Комисията относно въвеждането на технически насоки за изпълнение по отношение на взаимодействието между субектите, участващи в процеса;

г)	SERMI следва правилата на EA относно отговорността за схемата;

д)	членовете на SERMI се представляват от заинтересованите страни, участващи в процеса на акредитация, одобряване и упълномощаване с цел достъп до RMI, свързани със сигурността.

4.1.2.   Подбор на доверителен център

ДЦ се избира от SERMI и се съобщава на Комисията за одобрение.

Избраният ДЦ отговаря на стандарт ETSI TS 319 411-3 и изпълнява изискванията относно електронните подписи, определени в Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета (*6), и изискванията, определени в точка 4.6 от настоящото допълнение.

Освен това ДЦ:

—	разполага с техническа и управленска компетентност, както и с финансова жизнеспособност и опит, свързани с процеса на акредитация;

—	разполага с наличен ключов персонал, който притежава уменията и опита, необходими за процеса на акредитация;

—	може да извършва дейност във всички държави членки;

—	е въвел процес за осигуряване на качеството на оперативно равнище.

4.2.   Роля на НОА

НОА отговаря за акредитацията на ООС за целите на одобряването на НО и упълномощаването на служители на НО за достъп до RMI, свързана със сигурността.

4.2.1.   Отговорности и изисквания

Отговорностите и изискванията по отношение на НОА са посочени в членове 8—12 от Регламент (ЕО) № 765/2008.

4.2.2.   Критерии за акредитация на ООС

ООС се акредитират като контролни органи от тип А в съответствие с ISO/IEC 17020:2012. ООС отговарят на изискванията за най-високата степен на независимост.

Освен това по време на процеса на акредитация НОА оценява способността на ООС да изпълнят изискванията, определени в точки 4.3.1 до 4.3.4.

Персоналът, отговарящ за проверките на НО, демонстрира равнище на познания в областта на ремонта и техническото обслужване на моторни превозни средства и специфичните особености на следпродажбеното обслужване на автомобили, което е подходящо за изпълняваните от него задачи.

4.3.   Роля на ООС

ООС отговаря за проверката на НО и съответните служители на НО, за издаването на сертификати от проверки за одобрение и упълномощаване в съответствие с настоящото допълнение, както и за отменянето на такива сертификати.

4.3.1.   Отговорности и изисквания

а)	ООС съхраняват представените за одобряване на НО данни;

б)	ООС установяват сигурен канал за комуникация с ДЦ и му предоставят резултатите от проверката с цел издаване на токена за сигурност с електронен сертификат;

в)	ООС уведомяват служителите на НО 6 месеца преди изтичането на валидността на тяхното упълномощяване;

г)	ООС поддържат база данни, съдържаща данните, представени за упълномощаване на служителите на НО;

д)	ООС, които отказват да одобрят НО или да упълномощят служител на НО, съобщават на ДЦ резултатите от проверката на съответния НО или на съответния служител;

е)	ООС събират и използват само данните, необходими за процеса на одобряване или упълномощаване;

ж)	ООС запазват поверителността на всички данни, отнасящи се до НО и до служителите на НО, и гарантират, че само упълномощени служители имат достъп до тези данни;

з)	веднъж годишно ООС предоставят на SERMI и на Комисията статистически данни за броя на издадените одобрения и упълномощавания, както и за броя на отказите;

и)	ООС съхраняват сигурни записи от проверките за одобрение и упълномощаване за срок от 5 години;

й)	ООС информират всички други ООС в държавата членка, в която са установени, за отрицателните резултати от проверка на НО;

к)

НО и служителите на НО, които са получили отрицателен резултат от проверка, могат да предоставят на ООС допълнителна информация за отстраняване на незначителни пропуски в срок от 15 работни дни от получаването на отрицателния резултат от проверката. В съответствие с това ООС преценяват дали резултатът от проверката трябва да бъде променен;

л)	ООС уведомяват НО 6 месеца преди изтичането на валидността на одобрението им;

м)	ООС извършват случайни и необявени проверки на място на НО в рамките на 60-месечния срок на валидност на одобрението и подлагат всеки одобрен НО на поне една случайна проверка на място в рамките на 60-месечния срок на валидност на одобрението;

н)	Въз основа на жалба срещу одобрен НО или упълномощен служител на НО ООС проверява дали съответният НО или служител на НО отговаря на критериите, съгласно които е бил съответно одобрен или упълномощен. По време на разследването ООС преценява дали е необходима проверка на място;

о)	За целите на проверките на място ООС може да поискат съдействие от органите за надзор на пазара от държавата членка, в която са установени;

п)

ООС отменят одобренията на НО и упълномощаванията на служителите на НО, когато те вече не отговарят на критериите, съгласно които са били съответно одобрени или упълномощени. В съответствие с това ООС изискват от ДЦ да преустанови действието на и да отмени електронния сертификат на съответните служители на НО.

4.3.2.   Подновяване на одобрението

По искане на НО или 6 месеца преди изтичането на валидността на одобрението ООС извършват проверка на място и, в случай на положителен резултат от проверката, подновяват одобрението.

ООС издават нов сертификат от проверка за одобрение на НО, който отговаря на критериите за одобрение.

ООС разглеждат заявленията за подновяване на упълномощавания и издават сертификат от проверка за упълномощаване на служителите на НО, които отговарят на критериите за упълномощаване.

4.3.3.   Критерии на ООС за одобрение на НО

Преди да одобрят даден НО и при всяка проверка на място по време на срока на валидност на одобрението, ООС проверяват следното:

а)	документирания собственик на НО и името на изпълнителния директор;

б)	предоставения от НО списък на служителите, които трябва да бъдат упълномощени;

в)	информация относно отговорностите и функциите на служителите, посочени в буква а);

г)	дали НО има застраховка „Гражданска отговорност“ с минимален размер на покритието от 1 милион евро за телесни повреди и 0,5 милиона евро за имуществени вреди;

д)	дали одобрението на НО е било отменено поради злоупотреба;

е)	дали НО е предоставил доказателство за дейност в автомобилния сектор;

ж)	дали декларацията, удостоверяваща, че НО извършва законна стопанска дейност, както е посочено в точка 6.3, е подписана от НО, като при проверка на място се установява дали НО действително извършва законна стопанска дейност;

з)	дали НО или служителите на НО имат чисто съдебно минало;

и)	дали законният представител на НО е подписал декларация, че спазването на процедурните изисквания, определени в точка 4.3.4, е гарантирано за всички операции, свързани със сигурността на превозните средства;

4.3.4.   Критерии на ООС за упълномощаване на служители на НО

Преди да упълномощят даден служител като служител на НО и при всяка проверка на място по време на срока на валидност на упълномощаването, ООС проверяват следното

а)	че не е имало предишно упълномощаване на съответния служител, което е било отменено поради злоупотреба;

б)	че служителят има чисто съдебно минало;

в)	че съответният служител и одобреният НО са сключили трудов договор;

г)	че съответният служител притежава валидна лична карта за конкретната държава или равностоен документ.

4.4.   Роля на НО

4.4.1.   Отговорности и изисквания

а)	НО отправят искане за проверка от техния ООС, за да получат одобрение;

б)	НО информират техния ООС за промени в данните си за връзка;

в)	НО информират техния ООС, когато стопанската им дейност бъде прекратена;

г)	НО отбелязват всяка трансакция и операция с RMI, свързана със сигурността;

д)	НО информират техния ООС за всяко прекратяване на трудовото правоотношение с техен упълномощен служител;

е)	НО докладват на съответните органи за всяко нарушение или неправомерно поведение, извършено от техните упълномощени служители и отнасящо се до RMI, свързана със сигурността;

ж)	НО гарантират, че техните упълномощени служители използват единствено своите собствени сертификати от проверки за упълномощаване;

з)	НО гарантират, че са платени всички такси, свързани с упълномощаването на техните служители;

и)	НО гарантират, че техните служители са обучени за ремонтни дейности, свързани с техническото обслужване, препрограмирането и функциите по сигурност и безопасност на автомобилите;

й)	НО отправят искане до техния ООС за проверка на място в рамките на шест месеца преди изтичането на валидността на сертификата им от проверка за одобрение.

4.5.   Роля на служителите на НО

4.5.1.   Отговорности и изисквания

а)	служителите на НО отправят искане за упълномощаване до техния ООС;

б)	служителите на НО се регистрират в системата за RMI на производителя на превозни средства;

в)	служителите на НО осъществяват достъп до RMI, свързана със сигурността, в съответствие със стандарт EN ISO 18541 – 2014;

г)	служителите на НО гарантират, че всички записи на RMI, свързана със сигурността, които са изтеглени от системата за RMI на производителя на превозни средства, не се съхраняват за по-дълго време, отколкото е необходимо за извършване на операцията, за която е необходима информацията;

д)	когато е приложимо, служителите на НО уведомяват своя работодател НО, че техният електронен сертификат вече не е необходим;

е)	служителите на НО не споделят с трети страни токена за сигурност, електронния сертификат или PIN кода;

ж)	служителите на НО отговарят за правилното използване на личния токен за сигурност и PIN кода;

з)	служителите на НО информират техния НО и техния ДЦ за всяка загуба или злоупотреба с техния токен за сигурност в рамките на 24 часа от настъпването на такава загуба или злоупотреба;

и)	служителите на НО докладват на съответните органи за всяко искане или действие от други служители на НО във връзка с RMI, свързана със сигурността, което не представлява законна стопанска дейност, както е посочено в точка 6.3 от настоящото приложение.

4.6.   Роля на доверителния център

ДЦ създават и изпращат електронните сертификати на НО чрез съответните ООС на НО и служителите на НО. ДЦ поддържат база данни на издадените сертификати от проверки за одобрение. ДЦ предоставят на производителите на превозни средства достъп до интерфейс за проверка на статуса на електронните сертификати и сертификатите от проверки за одобрение.

ДЦ съхраняват информацията относно служителите на НО в базата данни за упълномощаване за допълнителен период от максимум 60 месеца. Този период не може да бъде по-дълъг от оставащия срок на валидност на одобрението, издадено на НО, в който работи служителят на НО.

4.6.1.   Отговорности и изисквания

а)	ДЦ могат да преустановят действието на и да отменят електронни сертификати по искане на ООС;

б)	ДЦ предоставят на НО и служителите на НО софтуера за използване на електронните сертификати;

в)	ДЦ работят 24 часа в денонощието, 7 дни в седмицата;

4.7.   Роля на производителите на превозни средства

Производителите на превозни средства предоставят на всички одобрени НО и упълномощени служители на НО достъп до информация за ремонта и техническото обслужване, свързана със сигурността. Производителите на превозни средства комуникират с ДЦ, за да проверят статуса на упълномощаване и удостоверяване на автентичността за служителите на НО, които искат достъп до тази информация.

4.7.1.   Отговорности и изисквания

а)	производителите на превозни средства гарантират, че техните уебсайтове са адаптирани, така че да поддържат достъпа на НО до RMI, свързана със сигурността;

б)	производителите на превозни средства гарантират, че са изтеглили техническите спецификации, публикувани на уебсайта на SERMI.

4.7.2.   Процедурни изисквания за производителите на превозни средства

Производителите на превозни средства не предоставят достъп до RMI, свързана със сигурността, освен ако не са изпълнени всички следни процедурни изисквания:

1)

Процедурни изисквания за откраднати превозни средства Производителите на превозни средства поддържат регистър на всички превозни средства от своята марка, за които органите са съобщили, че са откраднати. Производителите на превозни средства внедряват процес, който осигурява ясна проследимост и отчетност и дава възможност на съответните органи да проследят данните, предоставени от производителя на превозни средства на служителя на НО, на когото е бил предоставен достъп до информацията, свързана с откраднатото превозно средство.

2)

Процедурни изисквания за съхранение на информация Производителите на превозни средства съхраняват следната информация за всеки случай, в който е предоставен достъп до информация за ремонта и техническото обслужване, свързана със сигурността: а) идентификационния номер на превозното средство (VIN), за което е поискана информацията; б) датата, на която е отправено искането; в) регистрационния номер на превозното средство, за което е поискана информацията, когато е наличен; г) варианта на типа на превозното средство, за което е поискана информацията, и версията на това превозно средство, когато са налични. Производителите на превозни средства съхраняват тези данни в продължение на 5 години.