This document is an excerpt from the EUR-Lex website
Document 42021X0387
UN Regulation No 155 – Uniform provisions concerning the approval of vehicles with regards to cybersecurity and cybersecurity management system [2021/387]
ANO Noteikumi Nr. 155 – Vienoti noteikumi par transportlīdzekļu apstiprināšanu attiecībā uz kiberdrošību un kiberdrošības pārvaldības sistēmu [2021/387]
ANO Noteikumi Nr. 155 – Vienoti noteikumi par transportlīdzekļu apstiprināšanu attiecībā uz kiberdrošību un kiberdrošības pārvaldības sistēmu [2021/387]
PUB/2020/798
OV L 82, 9.3.2021, p. 30–59
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
9.3.2021 |
LV |
Eiropas Savienības Oficiālais Vēstnesis |
L 82/30 |
Saskaņā ar starptautisko publisko tiesību normām juridisks spēks ir tikai ANO EEK dokumentu oriģināliem. Šo noteikumu statuss un spēkā stāšanās datums būtu jāpārbauda ANO EEK statusa dokumenta TRANS/WP.29/343 jaunākajā redakcijā, kas pieejama tīmekļa vietnē: http://www.unece.org/trans/main/wp29/wp29wgs/wp29gen/wp29fdocstts.html
ANO Noteikumi Nr. 155 – Vienoti noteikumi par transportlīdzekļu apstiprināšanu attiecībā uz kiberdrošību un kiberdrošības pārvaldības sistēmu [2021/387]
Spēkā stāšanās datums: 2021. gada 22. janvāris
Šis dokuments ir domāts tikai kā dokumentēšanas rīks. Autentiski un juridiski saistoši dokumenti ir:
— |
ECE/TRANS/WP.29/2020/79 |
— |
ECE/TRANS/WP.29/2020/94 un |
— |
ECE/TRANS/WP.29/2020/97 |
SATURS
NOTEIKUMI
1. |
Darbības joma |
2. |
Definīcijas |
3. |
Apstiprinājuma pieteikums |
4. |
Marķējumi |
5. |
Apstiprinājums |
6. |
Kiberdrošības pārvaldības sistēmas atbilstības sertifikāts |
7. |
Specifikācijas |
8. |
Transportlīdzekļa tipa pārveidojums un tipa apstiprinājuma paplašināšana |
9. |
Ražošanas atbilstība |
10. |
Sankcijas par ražošanas neatbilstību |
11. |
Ražošanas pilnīga izbeigšana |
12. |
Par apstiprināšanas testu veikšanu atbildīgo tehnisko dienestu un tipa apstiprinātāju iestāžu nosaukumi un adreses |
PIELIKUMI
1. |
Informācijas dokuments |
2. |
Paziņojums |
3. |
Apstiprinājuma marķējuma zīmes izkārtojums |
4. |
CSMS atbilstības sertifikāta paraugs |
5. |
Apdraudējumu un attiecīgo mazināšanu uzskaitījums |
1. DARBĪBAS JOMA
1.1. |
Šos noteikumus attiecībā uz kiberdrošību piemēro M un N kategorijas transportlīdzekļiem.
Šos noteikumus piemēro arī O kategorijas transportlīdzekļiem, ja tie aprīkoti ar vismaz vienu elektroniskās vadības ierīci. |
1.2. |
Šos noteikumus piemēro arī L6 un L7 kategorijas transportlīdzekļiem, ja tie aprīkoti ar 3. un augstāka līmeņa automatizētas vadīšanas funkcijām, kā noteikts “WP.29 atsauces dokumentā ar automatizētās vadīšanas definīcijām un ANO noteikumu par automatizētiem transportlīdzekļiem izstrādes vispārīgajos principos” (ECE/TRANS/WP.29/1140). |
1.3. |
Šie noteikumi neskar citus ANO noteikumus, reģionālos vai nacionālos tiesību aktus, kas reglamentē pilnvaroto pušu piekļuvi transportlīdzeklim, tā datiem, funkcijām un resursiem, un šādas piekļuves nosacījumus. Tie neskar arī nacionālo un reģionālo tiesību aktu piemērošanu attiecībā uz privātumu un fizisko personu aizsardzību saistībā ar viņu persondatu apstrādi. |
1.4. |
Šie noteikumi neskar citus ANO noteikumus, nacionālos vai reģionālos tiesību aktus, kas reglamentē fizisku un digitālu maiņas daļu un sastāvdaļu izstrādi un uzstādīšanu/sistēmas integrāciju attiecībā uz kiberdrošību. |
2. DEFINĪCIJAS
Šajā regulā piemēro šādas definīcijas:
2.1. |
“transportlīdzekļa tips” ir transportlīdzekļi, kas neatšķiras vismaz šādos būtiskos aspektos:
|
2.2. |
“kiberdrošība” ir stāvoklis, kurā ceļu transportlīdzekļi un to funkcijas ir aizsargātas pret kiberdraudiem elektriskām vai elektroniskām sastāvdaļām; |
2.3. |
“kiberdrošības pārvaldības sistēma (CSMS)” ir sistemātiska, riskos balstīta pieeja, kas apraksta organizatoriskus procesus, pienākumus un pārvaldību, lai novērstu risku, kas saistīts ar kiberdraudiem transportlīdzekļiem, un pasargātu tos no kiberuzbrukumiem; |
2.4. |
“sistēma” ir sastāvdaļu un/vai apakšsistēmu kopums, kas īsteno kādu funkciju vai funkcijas; |
2.5. |
“izstrādes fāze” ir laikposms pirms transportlīdzekļa tipam piešķir tipa apstiprinājumu; |
2.6. |
“ražošanas fāze” attiecas uz transportlīdzekļa tipa ražošanas laikposmu; |
2.7. |
“pēcražošanas fāze” attiecas uz laikposmu no transportlīdzekļa tipa ražošanas izbeigšanas līdz visu transportlīdzekļa tipa transportlīdzekļu nolietošanai. Transportlīdzekļi, kas ietver konkrētu transportlīdzekļa tipu, šīs fāzes laikā tiks ekspluatēti, bet tie vairs netiks ražoti. Fāze beidzas, kad vairs nav konkrētā transportlīdzekļa tipa neviena ekspluatējama transportlīdzekļa; |
2.8. |
“mazināšana” ir risku mazinošs pasākums; |
2.9. |
“risks” ir potenciāls, ka dotais apdraudējums izmantos transportlīdzekļa ievainojamību un tādējādi nodarīs kaitējumu organizācijai vai personai; |
2.10. |
“riska novērtējums” ir vispārīgs process, kurā konstatē, atpazīst un apraksta riskus (risku identificēšana), lai izprastu riska raksturu un noteiktu riska līmeni (riska analīze), un kurā riska analīzes rezultātus salīdzina ar riska kritērijiem, lai noteiktu, vai risks un/vai tā apmērs ir pieņemams vai pieļaujams (riska izvērtējums); |
2.11. |
“riska pārvaldība” ir koordinētas darbības, lai virzītu un vadītu organizāciju attiecībā uz risku; |
2.12. |
“apdraudējums” ir nevēlama incidenta, kas var radīt kaitējumu sistēmai, organizācijai vai indivīdam, potenciālais cēlonis; |
2.13. |
“ievainojamība” ir lietas vai mazināšanas vājā vieta, ko var izmantot viens vai vairāki apdraudējumi. |
3. APSTIPRINĀJUMA PIETEIKUMS
3.1. |
Transportlīdzekļa tipa apstiprinājuma pieteikumu attiecībā uz kiberdrošību iesniedz transportlīdzekļa ražotājs vai tā pienācīgi pilnvarots pārstāvis. |
3.2. |
Pieteikumam pievieno turpmāk minētos dokumentus trijos eksemplāros un šādas ziņas: |
3.2.1. |
transportlīdzekļa tipa apraksts attiecībā uz šo noteikumu 1. pielikumā norādītajiem elementiem; |
3.2.2. |
ja ir norādīts, ka uz šādu informāciju attiecas intelektuālā īpašuma tiesības, vai ka tā ir ražotāja vai viņa piegādātāju specifiska zinātība, ražotājs vai viņa piegādātāji sniedz pietiekamu informāciju, kas ļauj pienācīgi veikt šajos noteikumos minētās pārbaudes. Šādu informāciju apstrādā konfidenciāli; |
3.2.3. |
CSMS atbilstības sertifikātu saskaņā ar šo noteikumu 6. punktu. |
3.3. |
Dokumentāciju dara pieejamu divās daļās:
|
4. MARĶĒJUMS
4.1. |
Uz katra transportlīdzekļa, kas atbilst saskaņā ar šiem noteikumiem apstiprinātam transportlīdzekļa tipam, skaidri redzamā un viegli pieejamā vietā, kas norādīta apstiprinājuma veidlapā, liek starptautisku apstiprinājuma marķējuma zīmi, ko veido: |
4.1.1. |
aplis, kas aptver burtu “E”, kam seko tās valsts pazīšanas numurs, kura piešķīrusi apstiprinājumu; |
4.1.2. |
pa labi no 4.1.1. punktā noteiktā apļa – šo noteikumu numurs, aiz tā burts “R”, domuzīme un apstiprinājuma numurs. |
4.2. |
Ja transportlīdzeklis atbilst transportlīdzekļa tipam, kas apstiprināts saskaņā ar vienu vai vairākiem citiem noteikumiem, kuri pievienoti Nolīgumam kā pielikumi, tad valstī, kas piešķīrusi apstiprinājumu saskaņā ar šiem noteikumiem, 4.1.1. punktā noteikto simbolu neatkārto; šādā gadījumā noteikumu un apstiprinājuma numurus un visus papildu simbolus no noteikumiem, saskaņā ar kuriem piešķirts apstiprinājums valstī, kas piešķīrusi apstiprinājumu saskaņā ar šiem noteikumiem, novieto vertikālās slejās pa labi no 4.1.1. punktā noteiktā simbola. |
4.3. |
Apstiprinājuma marķējuma zīmei ir jābūt skaidri salasāmai un neizdzēšamai. |
4.4. |
Apstiprinājuma marķējuma zīmi liek uz ražotāja piestiprinātās transportlīdzekļa datu plāksnītes vai tās tuvumā. |
4.5. |
Apstiprinājuma marķējuma zīmes izkārtojuma paraugi doti šo noteikumu 3. pielikumā. |
5. APSTIPRINĀJUMS
5.1. |
Apstiprinātājas iestādes attiecīgi piešķir tipa apstiprinājumu attiecībā uz kiberdrošību tikai tiem transportlīdzekļa tipiem, kas atbilst šo noteikumu prasībām. |
5.1.1. |
Apstiprinātāja iestāde vai tehniskais dienests dokumentu pārbaudes ceļā verificē, ka transportlīdzekļa ražotājs ir veicis nepieciešamos pasākumus saistībā ar transportlīdzekļa tipu, lai:
|
5.1.2. |
Apstiprinātāja iestāde vai tehniskais dienests, testējot transportlīdzekļa tipa transportlīdzekli, verificē, ka transportlīdzekļa ražotājs ir īstenojis tā dokumentētos kiberdrošības pasākumus. Testus, ņemot paraugus, veic apstiprinātāja iestāde vai tehniskais dienests pats, vai sadarbībā ar transportlīdzekļa ražotāju. Paraugu ņemšanai ir jābūt koncentrētai uz, taču ne aprobežotai ar, riskiem, kas riska novērtēšanas laikā novērtēti kā augsti. |
5.1.3. |
Apstiprinātāja iestāde vai tehniskais dienests atsakās piešķirt tipa apstiprinājumu attiecībā uz kiberdrošību, ja transportlīdzekļa ražotājs nav izpildījis vienu vai vairākas prasības, kas minētas 7.3. punktā, proti:
|
5.1.4. |
Apstiprinātāja iestāde atsakās piešķirt tipa apstiprinājumu attiecībā uz kiberdrošību arī tad, ja apstiprinātāja iestāde vai tehniskais dienests nav saņēmis no transportlīdzekļa ražotāja pietiekamu informāciju, lai novērtētu transportlīdzekļa tipa kiberdrošību. |
5.2. |
Paziņojumu par transportlīdzekļa tipa apstiprinājumu, apstiprinājuma paplašinājumu vai atteikumu atbilstīgi šiem noteikumiem nosūta šos noteikumus piemērojošajām 1958. gada Nolīguma pusēm, izmantojot šo noteikumu 2. pielikumā dotajam paraugam atbilstošu veidlapu. |
5.3. |
Apstiprinātājas iestādes nevienam tipam nepiešķir tipa apstiprinājumu, nepārliecinājušās, ka ražotājs ir ieviesis apmierinošus pasākumus un procedūras, lai pienācīgi pārvaldītu kiberdrošības aspektus, kā noteikts šajos noteikumos. |
5.3.1. |
Apstiprinātāja iestāde un tās tehniskie dienesti papildus 1958. gada Nolīguma 2. pielikumā noteiktajiem kritērijiem nodrošina, ka tai(-iem) ir:
|
5.3.2. |
Katra šos noteikumus piemērojošā Nolīguma puse ar tās apstiprinātājas iestādes starpniecību apziņo un informē pārējo šos ANO noteikumus piemērojošo Nolīguma pušu apstiprinātājas iestādes par metodi un kritērijiem, kas paziņojošajai iestādei kalpojuši par pamatu, lai novērtētu saskaņā ar šiem noteikumiem, un, jo īpaši, ar 5.1., 7.2. un 7.3. punktu, veikto pasākumu piemērotību.
Šo informāciju kopīgo: a) tikai pirms pirmo reizi piešķirt apstiprinājumu atbilstīgi šiem noteikumiem un b) ikreiz, kad tiek atjaunināta novērtēšanas metode vai kritēriji. Šo informāciju ir paredzēts kopīgot, lai apkopotu un analizētu labāko praksi un lai nodrošinātu, ka visas apstiprinātājas iestādes, kas piemēro šos noteikumus, tos piemērotu vienveidīgi. |
5.3.3. |
Angļu valodā sniegtu informāciju, kas minēta 5.3.2. punktā, savlaicīgi un ne vēlāk kā 14 dienas pirms apstiprinājuma piešķiršanas pirmo reizi atbilstoši attiecīgajām novērtēšanas metodēm un kritērijiem augšupielādē drošajā interneta datubāzē “DETA” (2), ko izveidojusi Apvienoto Nāciju Organizācijas Eiropas Ekonomikas komisija. Informācijai ir jābūt pietiekamai, lai saprastu, kādu minimālo veiktspējas līmeni apstiprinātāja iestāde ir pieņēmusi attiecībā uz katru konkrēto prasību, kas minēta 5.3.2. punktā, kā arī procesus un pasākumus, ko tā piemēro, lai verificētu, ka šie minimālie veiktspējas līmeņi ir ievēroti (3). |
5.3.4. |
Apstiprinātājas iestādes, kas saņem 5.3.2. punktā minēto informāciju, drīkst paziņojošajai apstiprinātājai iestādei iesniegt komentārus, augšupielādējot tos DETA 14 dienu laikā pēc paziņošanas dienas. |
5.3.5. |
Ja piešķirošajai apstiprinātājai iestādei nav iespējams ņemt vērā saskaņā ar 5.3.4. punktu saņemtos komentārus, apstiprinātāja iestāde, kas nosūtījusi komentārus, un piešķirošā apstiprinātāja iestāde meklē turpmākus skaidrojumus saskaņā ar 1958. gada nolīguma 6. pielikumu. Transportlīdzekļu noteikumu harmonizācijas Pasaules foruma (WP.29) attiecīgā darba grupa (4), kas nodarbojas ar šiem noteikumiem, vienojas par novērtēšanas metožu un kritēriju vienotu interpretāciju (5). Šai vienotajai interpretācijai ir jābūt īstenotai, un visām apstiprinātājām iestādēm ir attiecīgi jāizdod tipa apstiprinājumi atbilstīgi šiem noteikumiem. |
5.3.6. |
Katra apstiprinātāja iestāde, kas piešķir tipa apstiprinājumu atbilstīgi šiem noteikumiem, informē citas apstiprinātājas iestādes par piešķirto apstiprinājumu. Apstiprinātāja iestāde 14 dienu laikā pēc apstiprinājuma piešķiršanas dienas DETA angļu valodā augšupielādē tipa apstiprinājumu kopā ar papildinošo dokumentāciju (6). |
5.3.7. |
Nolīguma puses drīkst pētīt apstiprinājumus, kas piešķirti, pamatojoties uz informāciju, kura augšupielādēta saskaņā ar 5.3.6. punktu. Nolīguma pušu jebkādu atšķirīgu viedokļu gadījumā tos risina saskaņā ar 1958. gada Nolīguma 6. pielikumu un 10. pantu. Nolīguma puses informē par 1958. gada Nolīguma 6. pielikuma izpratnē atšķirīgajām interpretācijām arī Transportlīdzekļu noteikumu harmonizācijas Pasaules foruma (WP.29) attiecīgo darba grupu. Attiecīgā darba grupa atbalsta atšķirīgo viedokļu noregulēšanu un saistībā ar to drīkst konsultēties ar WP.29, ja tas vajadzīgs. |
5.4. |
Šo noteikumu 7.2. punkta vajadzībām ražotājs nodrošina, ka tiek ieviesti šo noteikumu aptvertie kiberdrošības aspekti. |
6. KIBERDROŠĪBAS PĀRVALDĪBAS SISTĒMAS ATBILSTĪBAS SERTIFIKĀTS
6.1. |
Nolīguma puses norīko apstiprinātāju iestādi veikt ražotāja novērtēšanu un izdot CSMS atbilstības sertifikātu. |
6.2. |
Kiberdrošības pārvaldības sistēmas atbilstības sertifikāta pieteikumu iesniedz transportlīdzekļa ražotājs vai tā pienācīgi pilnvarots pārstāvis. |
6.3. |
Tam pievieno turpmāk minētos dokumentus trijos eksemplāros un šādas ziņas: |
6.3.1. |
kiberdrošības pārvaldības sistēmu aprakstošus dokumentus; |
6.3.2. |
parakstītu deklarāciju, kas atbilst 1. pielikuma 1. papildinājumā dotajam paraugam. |
6.4. |
Novērtēšanas kontekstā ražotājs, izmantojot 1. pielikuma 1. papildinājumā doto paraugu, deklarē un pierāda apstiprinātājai iestādei vai tās tehniskajam dienestam, ka tā rīcībā ir procesi, kas nepieciešami, lai izpildītu visas šo noteikumu kiberdrošības prasības. |
6.5. |
Kad šī novērtēšana ir sekmīgi pabeigta un no ražotāja ir saņemta parakstīta deklarācija, kas atbilst 1. pielikuma 1. papildinājumā dotajam paraugam, ražotājam piešķir sertifikātu ar nosaukumu “CSMS atbilstības sertifikāts”, kā aprakstīts šo noteikumu 4. pielikumā (turpmāk tekstā “CSMS atbilstības sertifikāts”). |
6.6. |
Apstiprinātāja iestāde vai tās tehniskais dienests CSMS atbilstības sertifikātam izmanto šo noteikumu 4. pielikumā doto paraugu. |
6.7. |
CSMS atbilstības sertifikāts saglabā derīgumu ne ilgāk kā trīs gadus no sertifikāta izsniegšanas dienas, ja tas netiek anulēts. |
6.8. |
Apstiprinātāja iestāde, kas piešķīrusi CSMS atbilstības sertifikātu, drīkst jebkurā laikā pārliecināties, ka tam noteiktās prasības joprojām tiek izpildītas. Apstiprinātāja iestāde anulē CSMS atbilstības sertifikātu, ja šajos noteikumos noteiktas prasības vairs netiek izpildītas. |
6.9. |
Ražotājs informē apstiprinātāju iestādi vai tās tehnisko dienestu par jebkādām izmaiņām, kas ietekmēs CSMS atbilstības sertifikāta atbilstību. Apspriedusies ar ražotāju, apstiprinātāja iestāde vai tās tehniskais dienests pieņem lēmumu par jaunu pārbaužu nepieciešamību. |
6.10. |
Ražotājs savlaicīgi iesniedz pieteikumu jaunam CSMS atbilstības sertifikātam vai tā termiņa pagarināšanai, ļaujot apstiprinātājai iestādei pabeigt novērtēšanu pirms CSMS atbilstības sertifikāta derīguma termiņa beigām. Pozitīva novērtējuma gadījumā apstiprinātāja iestāde izdod jaunu CSMS atbilstības sertifikātu vai pagarina tā derīguma termiņu uz turpmāko trīs gadu periodu. Apstiprinātāja iestāde pārliecinās, ka CSMS joprojām atbilst šo noteikumu prasībām. Apstiprinātāja iestāde izdod jaunu sertifikātu gadījumos, kad par izmaiņām ir paziņots apstiprinātājai iestādei vai tās tehniskajam dienestam un izmaiņas ir atkārtoti pozitīvi novērtētas. |
6.11. |
Ražotāja CSMS atbilstības sertifikāta derīguma termiņa izbeigšanos vai anulēšanu attiecībā uz transportlīdzekļa tipiem, uz kuriem attiecas dotā CSMS, uzskata par apstiprinātās lietas pārveidojumu, kā minēts 8. punktā, kas var ietvert apstiprinājuma anulēšanu, ja apstiprinājuma piešķiršanas nosacījumi vairs nav izpildīti. |
7. SPECIFIKĀCIJAS
7.1. |
Vispārīgas specifikācijas |
7.1.1. |
Šo noteikumu prasības neierobežo citu ANO noteikumu nosacījumus vai prasības. |
7.2. |
Prasības kiberdrošības pārvaldības sistēmai |
7.2.1. |
Novērtēšanas nolūkā apstiprinātāja iestāde vai tās tehniskais dienests pārliecinās, ka transportlīdzekļa ražotājam ir kiberdrošības pārvaldības sistēma, un verificē tās atbilstību šiem noteikumiem. |
7.2.2. |
Kiberdrošības pārvaldības sistēmai jāaptver šādi aspekti. |
7.2.2.1. |
Transportlīdzekļa ražotājam ir jāpierāda apstiprinātājai iestādei vai tehniskajam dienestam, ka tā kiberdrošības pārvaldības sistēmu piemēro šādām fāzēm:
|
7.2.2.2. |
Transportlīdzekļa ražotājs pierāda, ka tā kiberdrošības pārvaldības sistēmas drošības nodrošināšanas procesi ir pienācīgi ņemti vērā, tostarp riski un mazināšanas, kā uzskaitīts 5. pielikumā. Proti:
|
7.2.2.3. |
Transportlīdzekļa ražotājs pierāda, ka kiberdrošības pārvaldības sistēmas procesi nodrošinās to, ka, pamatojoties uz 7.2.2.2. punkta c) apakšpunktā un 7.2.2.2. punkta g) apakšpunktā minēto kategorizāciju, kiberdraudi un ievainojamības, kas prasa transportlīdzekļa ražotāja reakciju, tiks mazinātas saprātīgā termiņā. |
7.2.2.4. |
Transportlīdzekļa ražotājs pierāda, ka kiberdrošības pārvaldības sistēmas procesi nodrošinās to, ka 7.2.2.2. punkta g) apakšpunktā minētā pārraudzība ir nepārtraukta. Tas:
|
7.2.2.5. |
Transportlīdzekļa ražotājam tiek prasīts pierādīt, kā kiberdrošības pārvaldības sistēma pārvaldīs atkarības, kādas varētu rasties no nolīgtajiem piegādātājiem, pakalpojumu sniedzējiem vai ražotāja apakšorganizācijām saistībā ar 7.2.2.2. punkta prasībām. |
7.3. |
Prasības transportlīdzekļu tipiem |
7.3.1. |
Ražotājam ir jābūt derīgam kiberdrošības pārvaldības sistēmas atbilstības sertifikātam, kas attiecas uz apstiprināmo transportlīdzekļa tipu.
Tomēr attiecībā uz tipa apstiprinājumiem pirms 2024. gada 1. jūlija transportlīdzekļa ražotājs pierāda, ka kiberdrošība tikusi pienācīgi ņemta vērā dotā transportlīdzekļa tipa izstrādes fāzē, ja transportlīdzekļa ražotājs var pierādīt, ka transportlīdzekļa tips nevarēja tikt izstrādāts atbilstoši CSMS. |
7.3.2. |
Transportlīdzekļa ražotājs identificē un pārvalda ar piegādātāju saistītos riskus attiecībā uz apstiprināmo transportlīdzekļa tipu. |
7.3.3. |
Transportlīdzekļa ražotājs identificē transportlīdzekļa tipa kritiskos elementus un veic transportlīdzekļa tipa izsmeļošu riska novērtējumu, un pienācīgi apstrādā/pārvalda identificētos riskus. Riska novērtējumā ņem vērā transportlīdzekļa tipa atsevišķos elementus un to mijiedarbību. Riska novērtējumā ņem vērā arī mijiedarbību ar jebkādām ārējām sistēmām. Novērtējot riskus, transportlīdzekļa ražotājs ņem vērā riskus, kas saistīti ar visiem 5. pielikuma A daļā minētajiem apdraudējumiem, kā arī jebkādus citus attiecīgos riskus. |
7.3.4. |
Transportlīdzekļa ražotājs aizsargā transportlīdzekļa tipu pret riskiem, kas identificēti transportlīdzekļa ražotāja riska novērtējumā. Transportlīdzekļa tipa aizsargāšanai īsteno samērīgas mazināšanas. Īstenotajām mazināšanām ir jāietver visas 5. pielikuma B un C daļā minētās mazināšanas, kas attiecas uz identificētajiem riskiem. Tomēr, ja 5. pielikuma B un C daļā minētā mazināšana nav būtiska vai nav pietiekama attiecībā uz identificēto risku, transportlīdzekļa ražotājs nodrošina citas, piemērotas mazināšanas īstenošanu.
Jo īpaši attiecībā uz tipa apstiprinājumiem pirms 2024. gada 1. jūlija transportlīdzekļa ražotājs nodrošina citas mazināšanas īstenošanu, ja 5. pielikuma B un C daļā minētā mazināšana nav tehniski iespējama. Ražotājs apstiprinātājai iestādei iesniedz attiecīgu tehniskās iespējamības novērtējumu. |
7.3.5. |
Transportlīdzekļa ražotājs ievieš piemērotus un samērīgus pasākumus, lai transportlīdzekļa tipā droši iekļautu atvēlētas vides (ja tādas ir nodrošinātas), kur uzglabā un darbina pēcpārdošanas tirgū esošu programmatūru, pakalpojumus, lietotnes vai datus. |
7.3.6. |
Transportlīdzekļa ražotājs pirms tipa apstiprināšanas veic atbilstīgu un pietiekamu testēšanu, lai verificētu īstenoto drošības pasākumu efektivitāti. |
7.3.7. |
Transportlīdzekļa ražotājs attiecībā uz transportlīdzekļa tipu īsteno pasākumus, lai:
|
7.3.8. |
Šo noteikumu vajadzībām izmantotajiem kriptogrāfiskajiem moduļiem jāatbilst vispārpieņemtiem standartiem. Ja kriptogrāfiskie moduļi neatbilst vispārpieņemtiem standartiem, transportlīdzekļa ražotājam ir jāpamato to izmantošana. |
7.4. |
Ziņošanas noteikumi |
7.4.1. |
Vismaz reizi gadā vai attiecīgā gadījumā biežāk transportlīdzekļa ražotājs ziņo apstiprinātājai iestādei vai tehniskajam dienestam par to pārraudzības darbību rezultātiem, kuras noteiktas 7.2.2.2. punkta g) apakšpunktā, iekļaujot attiecīgu informāciju par jauniem kiberuzbrukumiem. Transportlīdzekļa ražotājs arī ziņo un apstiprina apstiprinātājai iestādei vai tehniskajam dienestam, ka tā transportlīdzekļa tipiem īstenotās, ar kiberdrošību saistītās mazināšanas joprojām ir efektīvas, kā arī veiktās papildu darbības. |
7.4.2. |
Apstiprinātāja iestāde vai tehniskais dienests verificē sniegto informāciju un nepieciešamības gadījumā pieprasa transportlīdzekļa ražotājam novērst konstatēto neefektivitāti.
Ja ziņojums vai atbilde nav pietiekama, apstiprinātāja iestāde drīkst nolemt anulēt CSMS atbilstoši 6.8. punktam. |
8. TRANSPORTLĪDZEKĻA TIPA PĀRVEIDOJUMS UN TIPA APSTIPRINĀJUMA PAPLAŠINĀŠANA
8.1. |
Par jebkādu transportlīdzekļa tipa pārveidojumu, kas ietekmē tā tehnisko veiktspēju attiecībā uz kiberdrošību un/vai šajos noteikumos prasīto dokumentāciju, ziņo apstiprinātājai iestādei, kas apstiprinājusi transportlīdzekļa tipu. Apstiprinātāja iestāde tad drīkst vai nu: |
8.1.1. |
uzskatīt, ka veiktie pārveidojumi joprojām atbilst esošā tipa apstiprinājuma prasībām un dokumentācijai, vai |
8.1.2. |
uzsākt nepieciešamo papildu novērtēšanu atbilstīgi 5. punktam un attiecīgā gadījumā pieprasīt jaunu testa ziņojumu no tehniskā dienesta, kas ir atbildīgs par testu veikšanu. |
8.1.3. |
Par apstiprinājuma apliecināšanu, paplašināšanu vai atteikumu, norādot izmaiņas, paziņo, izmantojot šo noteikumu 2. pielikumā dotajam paraugam atbilstošu paziņojuma veidlapu. Apstiprinājuma paplašinājumu piešķirošā apstiprinātāja iestāde piešķir šādam paplašinājumam sērijas numuru un par to informē pārējās šos noteikumus piemērojošās 1958. gada Nolīguma puses, izmantojot šo noteikumu 2. pielikumā dotajam paraugam atbilstošu paziņojuma veidlapu. |
9. RAŽOŠANAS ATBILSTĪBA
9.1. |
Ražošanas atbilstības procedūrām ir jāatbilst 1958. gada nolīguma 1. pielikumā (E/ECE/TRANS/505/Rev.3) noteiktajām, ievērojot šādas prasības. |
9.1.1. |
Apstiprinājuma turētājam jānodrošina, ka ražošanas atbilstības testu rezultāti tiek reģistrēti un ka pievienotie dokumenti paliek pieejami laikposmā, par kādu vienojas ar apstiprinātāju iestādi vai tās tehnisko dienestu. Šis laikposms nedrīkst pārsniegt 10 gadus, ko skaita no laika, kad ražošana ir pilnībā izbeigta. |
9.1.2. |
Tipa apstiprinājumu piešķīrusī apstiprinātāja iestāde drīkst jebkurā laikā verificēt atbilstības kontroles metodes, ko piemēro katrā ražotnē. Šādu verifikāciju normāls biežums ir reize trīs gados. |
10. SANKCIJAS PAR RAŽOŠANAS NEATBILSTĪBU
10.1. |
Atbilstīgi šiem noteikumiem piešķirto transportlīdzekļa tipa apstiprinājumu drīkst anulēt, ja nav izpildītas šajos noteikumos noteiktās prasības vai ja parauga transportlīdzekļi neatbilst šo noteikumu prasībām. |
10.2. |
Ja apstiprinātāja iestāde anulē tās iepriekš piešķirtu apstiprinājumu, tā nekavējoties par to informē pārējās šos noteikumus piemērojošās Nolīguma puses, izmantojot šo noteikumu 2. pielikumā dotajam paraugam atbilstošu paziņojuma veidlapu. |
11. RAŽOŠANAS PILNĪGA IZBEIGŠANA
11.1. |
Ja apstiprinājuma turētājs pilnīgi izbeidz atbilstīgi šiem noteikumiem apstiprināta transportlīdzekļa tipa ražošanu, viņam par to jāinformē iestāde, kas apstiprinājumu piešķīrusi. Saņēmusi attiecīgu paziņojumu, šī iestāde par to informē citas šos noteikumus piemērojošās Nolīguma puses, izmantojot apstiprinājuma veidlapas kopiju, kuras beigās lieliem burtiem rakstīts, parakstīts un datēts paziņojums “RAŽOŠANA IZBEIGTA” (“PRODUCTION DISCONTINUED”). |
12. PAR APSTIPRINĀŠANAS TESTU VEIKŠANU ATBILDĪGO TEHNISKO DIENESTU UN TIPA APSTIPRINĀTĀJU IESTĀŽU NOSAUKUMI UN ADRESES
12.1. |
Nolīguma puses, kas piemēro šos noteikumus, paziņo Apvienoto Nāciju Organizācijas Sekretariātam to tehnisko dienestu nosaukumus un adreses, kas ir atbildīgi par apstiprināšanas testu veikšanu, un to tipa apstiprinātāju iestāžu nosaukumu un adresi, kuras piešķir apstiprinājumu un kurām jānosūta veidlapas, kas apliecina citās valstīs izdotu apstiprinājumu vai apstiprinājuma paplašināšanu, atteikumu vai anulēšanu. |
(1) Piem., ISO 26262-2018, ISO/PAS 21448, ISO/SAE 21434.
(2) https://www.unece.org/trans/main/wp29/datasharing.html
(3) Norādes par augšupielādējamo detalizēto informāciju (piem., metode, kritēriji, veiktspējas līmenis) un tās formātu sniedz interpretācijas dokumentā, ko Kiberdrošības un bezvadu sakaru darba grupa gatavo GRVA septītajai sesijai.
(4) Automatizēto/autonomo un satīkloto transportlīdzekļu darba grupa (GRVA).
(5) Šo interpretāciju atspoguļo interpretācijas dokumentā, kas minēts 5.3.3. punkta zemsvītras piezīmē.
(6) Turpmāku informāciju par prasību minimumu dokumentācijas paketei izstrādās GRVA tās septītajā sesijā.
1. PIELIKUMS
Informācijas dokuments
Turpmāk norādīto informāciju attiecīgā gadījumā iesniedz trīs eksemplāros kopā ar satura rādītāju. Jebkādiem rasējumiem jābūt pienācīgā mērogā un pietiekami detalizētiem, A4 izmēra vai salocītiem līdz A4 formātam. Fotoattēliem, ja tādi ir, jābūt pietiekami detalizētiem.
1.
Marka (ražotāja tirdzniecības nosaukums): …
2.
Tips un vispārīgs komercapraksts(-i): …
3.
Tipa identifikācijas līdzekļi, ja marķēti uz transportlīdzekļa: …
4.
Šā marķējuma atrašanās vieta: …
5.
Transportlīdzekļa kategorija(-as): …
6.
Ražotāja/ ražotāja pārstāvja nosaukums un adrese: …
7.
Montāžas rūpnīcas(-u) nosaukums(-i) un adrese(s): …
8.
Reprezentējoša transportlīdzekļa fotogrāfija(-s) un/vai rasējums(-i): …
9.
Kiberdrošība
9.1.
Transportlīdzekļa tipa vispārīgi konstrukcijas raksturlielumi, tostarp:
a) |
transportlīdzekļa sistēmas, kas saistītas ar transportlīdzekļa tipa kiberdrošību; |
b) |
šo sistēmu sastāvdaļas, kas saistītas ar kiberdrošību; |
c) |
šo sistēmu mijiedarbība ar citām transportlīdzekļa tipa sistēmām un ārējām saskarnēm. |
9.2.
Transportlīdzekļa tipa shematisks attēlojums
9.3.
CSMS atbilstības sertifikāta numurs: …
9.4.
Dokumenti par apstiprināmo transportlīdzekļa tipu, kas apraksta tā riska novērtējuma iznākumu un identificētos riskus: …
9.5.
Dokumenti par apstiprināmo transportlīdzekļa tipu, kas apraksta uzskaitītajās sistēmās vai attiecībā uz transportlīdzekļa tipu īstenotās mazināšanas un kā tās ietekmē norādītos riskus: …
9.6.
Dokumenti par apstiprināmo transportlīdzekļa tipu, kas apraksta, kā tiek aizsargātas pēcpārdošanas tirgū esošajām programmatūrām, pakalpojumiem, lietotnēm vai datiem atvēlētās vides; …
9.7.
Dokumenti par apstiprināmo transportlīdzekļa tipu, kas apraksta, kādi testi izmantoti, lai verificētu transportlīdzekļa tipa un tā sistēmu kiberdrošību, un šo testu iznākums: …
9.8.
Piegādes ķēdes apraksts ar apsvērumiem attiecībā uz kiberdrošību: …
1. pielikuma 1. papildinājums
Ražotāja deklarācijas par CSMS atbilstību paraugs
Ražotāja deklarācija par kiberdrošības pārvaldības sistēmas atbilstību prasībām
Ražotāja nosaukums: …
Ražotāja adrese: …
… (Ražotāja nosaukums) apliecina, ka procesi, kas nepieciešami, lai izpildītu ANO Noteikumu Nr. 155 7.2. punktā noteiktās prasības kiberdrošības pārvaldības sistēmai, ir ieviesti un tiks uzturēti.………
Izdota: … (vieta)
Datums: …
Parakstītāja vārds, uzvārds: …
Parakstītāja amats: …
…
(Ražotāja pārstāvja zīmogs un paraksts)
2. PIELIKUMS
Paziņojums
(Maksimālais formāts: A4 (210 × 297 mm))
(1) |
Izdevējs: |
Iestādes nosaukums: … … … |
par (2) |
apstiprinājuma piešķiršanu, apstiprinājuma paplašināšanu, apstiprinājuma anulēšanu, sākot ar dd/mm/gggg, apstiprinājuma atteikšanu, ražošanas pilnīgu izbeigšanu |
transportlīdzekļa tipam atbilstīgi ANO Noteikumiem Nr. 155
Apstiprinājuma Nr.: …
Paplašinājuma Nr.: …
Paplašinājuma iemesls: …
1.
Marka (ražotāja tirdzniecības nosaukums): …
2.
Tips un vispārīgs(-i) komercapraksts(-i): …
3.
Tipa identifikācijas līdzekļi, ja marķēti uz transportlīdzekļa: …
3.1.
Šā marķējuma atrašanās vieta: …
4.
Transportlīdzekļa kategorija(-as): …
5.
Ražotāja/ ražotāja pārstāvja nosaukums un adrese: …
6.
Montāžas rūpnīcas(-u) nosaukums(-i) un adrese(-es): …
7.
Kiberdrošības pārvaldības sistēmas atbilstības sertifikāta numurs: …
8.
Par testu veikšanu atbildīgais tehniskais dienests: …
9.
Testa ziņojuma datums: …
10.
Testa ziņojuma numurs: …
11.
Piezīmes: (ja ir). …
12.
Vieta: …
13.
Datums: …
14.
Paraksts: …
15.
Apstiprinātājai iestādei iesniegtās informācijas paketes, kuru var saņemt pēc pieprasījuma, satura rādītājs dots pielikumā.
(1) Tās valsts pazīšanas numurs, kas piešķīrusi/paplašinājusi/atteikusi/anulējusi apstiprinājumu (apstiprinājuma prasības skatīt noteikumos).:
(2) Nevajadzīgo svītrot.
3. PIELIKUMS
Apstiprinājuma marķējuma zīmes izkārtojums
A PARAUGS
(Skatīt šo noteikumu 4.2. punktu)
a = min. 8 mm
Šāda apstiprinājuma marķējuma zīme uz transportlīdzekļa rāda, ka attiecīgais ceļa transportlīdzekļa tips ir apstiprināts Nīderlandē (E4) atbilstīgi Noteikumiem Nr. 155, un apstiprinājuma numurs ir 001234. Pirmie divi apstiprinājuma numura cipari norāda, ka apstiprinājums piešķirts saskaņā ar šo noteikumu prasībām to sākotnējā redakcijā (00).
4. PIELIKUMS
CSMS atbilstības sertifikāta paraugs
Kiberdrošības pārvaldības sistēmas atbilstības sertifikāts
ANO Noteikumiem Nr. 155
Sertifikāta numurs [atsauces numurs]
[……. Apstiprinātāja iestāde]
apliecina, ka
ražotājs: …
Ražotāja adrese: …
atbilst Noteikumu Nr. 155 7.2. punkta noteikumiem.
Pārbaudes veica: [datums] …
(apstiprinātājas iestādes vai tehniskā dienesta nosaukums un adrese): …
Ziņojuma numurs: …
Sertifikāts ir derīgs līdz […………………………………………………datums].
Izdots […………………………………………………vieta]
[…………………………………………………datums]
[…………………………………………………paraksts]
Pievienotie dokumenti: ražotāja sagatavots kiberdrošības pārvaldības sistēmas apraksts.
5. PIELIKUMS
Apdraudējumu un attiecīgo mazināšanu uzskaitījums
1.
Šis pielikums sastāv no trim daļām. Šī pielikuma A daļā ir aprakstīti pamatdati par apdraudējumiem, ievainojamībām un uzbrukumu metodēm. Šī pielikuma B daļā aprakstītas apdraudējumu mazināšanas, kas paredzētas transportlīdzekļu tipiem. Šī pielikuma C daļā aprakstītas apdraudējumu mazināšanas, kas paredzētas vietām ārpus transportlīdzekļiem, piem., IT aizmugursistēmām.
2.
A daļu, B daļu un C daļu ņem vērā riska novērtēšanā un mazināšanās, ko īsteno ražotājs.
3.
Augsta līmeņa ievainojamības un to attiecīgie piemēri ir indeksēti A daļā. Uz to pašu indeksējumu izdarītas atsauces B un C daļas tabulās, lai sasaistītu katru uzbrukumu/ievainojamību ar atbilstošo mazināšanu sarakstu.
4.
Apdraudējumu analīzē ņem vērā arī uzbrukumu iespējamo ietekmi. Tā varētu palīdzēt noskaidrot riska nopietnību un identificēt papildu riskus. Uzbrukuma iespējamā ietekme var ietvert:
a) |
skartā transportlīdzekļa drošu darbību; |
b) |
transportlīdzekļa funkciju darbības apturēšanu; |
c) |
izmaiņas programmatūrā, izmainītu veiktspēju; |
d) |
programmatūras darbības izmaiņas, bet bez sekām attiecībā uz darbību; |
e) |
datu integritātes pārkāpumu; |
f) |
datu konfidencialitātes pārkāpumu; |
g) |
datu pieejamības zudumu; |
h) |
citu ietekmi, tostarp krimināltiesisku. |
A daļa. Ievainojamības vai uzbrukuma metode saistībā ar apdraudējumiem
1. |
Apdraudējumu un ar tiem saistīto ievainojamību vai uzbrukuma metožu augsta līmeņa apraksti uzskaitīti A1. tabulā.
A1. tabula Ar apdraudējumiem saistīto ievainojamību vai uzbrukuma metožu uzskaitījums
|
B daļa Uz transportlīdzekli mērķēto apdraudējumu mazināšanas
1. |
Mazināšana attiecībā uz “transportlīdzekļa sakaru kanāliem”
Ar “transportlīdzekļa sakaru kanāliem” saistīto apdraudējumu mazināšanas ir uzskaitītas B1. tabulā. B1. tabula Ar “transportlīdzekļa sakaru kanāliem” saistīto apdraudējumu mazināšanas
|
2. |
Mazināšanas attiecībā uz “atjaunināšanas procesu”
Ar “atjaunināšanas procesu” saistīto apdraudējumu mazināšanas ir uzskaitītas B2. tabulā. B2. tabula Ar “atjaunināšanas procesu” saistīto apdraudējumu mazināšanas
|
3. |
Mazināšanas attiecībā uz “kiberuzbrukumu veicinošām netīšām cilvēka darbībām”
Ar “kiberuzbrukumu veicinošām netīšām cilvēka darbībām” saistīto apdraudējumu mazināšanas ir uzskaitītas B3. tabulā. B3. tabula Ar “kiberuzbrukumu veicinošām netīšām cilvēka darbībām” saistīto apdraudējumu mazināšanas
|
4. |
Mazināšanas attiecībā uz “ārējo savienojamību un savienojumiem”
Ar “ārējo savienojamību un savienojumiem” saistīto apdraudējumu mazināšanas ir uzskaitītas B4. tabulā. B4. tabula Ar “ārējo savienojamību un savienojumiem” saistīto apdraudējumu mazināšanas
|
5. |
Mazināšanas attiecībā uz “uzbrukuma potenciālajiem mērķiem vai motivācijām”
Ar “uzbrukuma potenciālajiem mērķiem vai motivācijām” saistīto apdraudējumu mazināšanas ir uzskaitītas B5. tabulā. B5. tabula Ar “uzbrukuma potenciālajiem mērķiem vai motivācijām” saistīto apdraudējumu mazināšanas
|
6. |
“Potenciālo ievainojamību, kuras varētu izmantot, ja tās nav pietiekami aizsargātas vai nostiprinātas” mazināšanas
Ar “potenciālajām ievainojamībām, kuras varētu izmantot, ja tās nav pietiekami aizsargātas vai nostiprinātas” saistīto apdraudējumu mazināšanas ir uzskaitītas B6. tabulā. B6. tabula Ar “potenciālajām ievainojamībām, kuras varētu izmantot, ja tās nav pietiekami aizsargātas vai nostiprinātas” saistīto apdraudējumu mazināšanas
|
7. |
“Transportlīdzekļa datu zudumu / datu drošības pārkāpumu” mazināšanas
Ar “transportlīdzekļa datu zudumu / datu drošības pārkāpumu” saistīto apdraudējumu mazināšanas ir uzskaitītas B7. tabulā. B7. tabula Ar “transportlīdzekļa datu zudumu / datu drošības pārkāpumu” saistīto apdraudējumu mazināšanas
|
8. |
“Uzbrukumu pieļaujošas sistēmu fiziskas manipulācijas” mazināšanas
Ar “uzbrukumu pieļaujošām sistēmu fiziskām manipulācijām” saistīto apdraudējumu mazināšanas ir uzskaitītas B8. tabulā. B8. tabula Ar “uzbrukumu pieļaujošām sistēmu fiziskām manipulācijām” saistīto apdraudējumu mazināšanas
|
C daļa. Ārpus transportlīdzekļa esošu apdraudējumu mazināšanas
1. |
Mazināšanas attiecībā uz “aizmugurserveriem”
Ar “aizmugurserveriem” saistīto apdraudējumu mazināšanas ir uzskaitītas C1. tabulā. |
C1. tabula
Ar “aizmugurserveriem” saistīto apdraudējumu mazināšanas
Atsauce uz A1. tabulu |
“Aizmugurserveru” apdraudējumi |
Ats. |
Mazināšana |
1.1. & 3.1. |
Darbinieku pilnvaru ļaunprātīga izmantošana (uzbrukums no iekšienes) |
M1 |
Lai mazinātu uzbrukuma no iekšienes risku, aizmugursistēmām piemēro drošības kontroli |
1.2. & 3.3. |
Nesankcionēta piekļuve serverim caur internetu (ko iespējo, piemēram, slepenpiekļuve, sistēmas programmatūras nelabotas ievainojamības, SQL uzbrukumi vai citi līdzekļi) |
M2 |
Lai mazinātu nesankcionētu piekļuvi, aizmugursistēmām piemēro drošības kontroli Drošības kontroles piemēru var atrast OWASP |
1.3. & 3.4. |
Nesankcionēta fiziska piekļuve serverim (kas notiek, piemēram, USB zibatmiņām vai citiem datu nesējiem savienojoties ar serveri) |
M8 |
Sistēmas uzbūvei un piekļuves kontrolei jābūt tādai, lai nepilnvarotiem darbiniekiem nebūtu iespējas piekļūt personas vai sistēmas kritiskiem datiem. |
2.1. |
Uzbrukums aizmugurserverim aptur tā darbību, piemēram, neļauj tam mijiedarboties ar transportlīdzekļiem un nodrošināt nepieciešamos pakalpojumus |
M3 |
Drošības kontroli piemēro aizmugursistēmām. Ja aizmugurserveri ir kritiski svarīgi pakalpojuma sniegšanai, ir atkopšanas pasākumi sistēmas darbības pārtraukšanas gadījumā. Drošības kontroles piemēru var atrast OWASP |
3.2. |
Informācijas zudums mākonī. Sensitīvus datus var pazaudēt uzbrukumu vai negadījumu dēļ, kad datus glabā trešās puses mākoņdatošanas pakalpojumu sniedzēji |
M4 |
Piemēro drošības kontroli, lai mazinātu ar mākoņdatošanu saistītos riskus. Drošības kontroles piemēru var atrast OWASP un norādēs par NCSC mākoņdatošanu |
3.5. |
Informācijas drošības pārkāpums, netīši kopīgojot datus (piem., administratora kļūdas, datu uzglabāšana autoremontdarbnīcu serveros) |
M5 |
Lai nepieļautu datu drošības pārkāpumus, aizmugursistēmām piemēro drošības kontroli Drošības kontroles piemēru var atrast OWASP |
2. |
Mazināšanas attiecībā uz “netīšu cilvēka darbību”
Ar “netīšām cilvēka darbībām” saistīto apdraudējumu mazināšanas ir uzskaitītas C2. tabulā. C2. tabula Ar “netīšām cilvēka darbībām” saistīto apdraudējumu mazināšanas
|
3. |
“Datu fiziska zuduma” mazināšana
Ar “datu fizisku zudumu” saistīto apdraudējumu mazināšanas ir uzskaitītas C3. tabulā. C3. tabula Ar “datu fizisku zudumu” saistīto apdraudējumu mazināšanas
|