BIJLAGE

Bijlage X bij Verordening (EU) 2018/858 wordt als volgt gewijzigd:

punt 1 wordt vervangen door:

“1.	Inleiding Deze bijlage bevat technische voorschriften voor de toegang tot OBD-informatie en reparatie- en onderhoudsinformatie van voertuigen, ongeacht het type aandrijflijn van het voertuig.”;

in punt 2.1 wordt de tweede zin vervangen door:

“Bij overeenstemming met deel 1 “Algemene informatie en definitie van gebruik”, deel 2 “Technische voorschriften”, deel 3 “Eisen voor de functionele gebruikersinterface”, deel 4 “Beproeving van conformiteit” van norm EN ISO 18541 — 2021, en deel 5 “Specifieke eisen voor zware voertuigen” van “Wegvoertuigen — Gestandaardiseerde toegang tot autoreparatie- en onderhoudsinformatie (RMI)” van norm EN ISO 18541 — 2018 wordt de verplichting voor fabrikanten om informatie over het OBD-systeem van voertuigen en reparatie- en onderhoudsinformatie van voertuigen in een gestandaardiseerd formaat op hun website te verstrekken, verondersteld te zijn nageleefd.”;

punt 2.5 wordt vervangen door:

“2.5.

De reparatie- en onderhoudsinformatie van het voertuig bevat de volgende elementen:”;

punt 2.5.1 wordt vervangen door:

“2.5.1.

een eenduidige identificatie van het voertuig en de daaruit voortvloeiende lijst van fabrieksgemonteerde opties, alsook van systemen, onderdelen, technische eenheden, voertuigdelen of uitrustingsstukken waarvoor de fabrikant verantwoordelijk is;”;

punt 2.5.4 wordt vervangen door:

“2.5.4.

informatie over systemen, onderdelen, technische eenheden, voertuigdelen, uitrustingsstukken en diagnose (met inbegrip van theoretische minimale en maximale meetwaarden), waaronder informatie over de functies en capaciteiten die nodig zijn voor de kalibratie en reparatie van geavanceerde rijhulpsystemen (“Advanced Driver Assistance Systems” — ADAS) of rijassistentiesystemen (“Driver Control Assistance Systems” — DCAS) en bijbehorende onderdelen);”;

punt 2.5.7 wordt vervangen door:

“2.5.7.

informatie die vereist is om te bepalen of een software-update of codering van varianten nodig is voor een specifieke reparatie- en onderhoudsactiviteit;”;

het volgende punt 2.5.7 bis wordt ingevoegd:

“2.5.7 bis.

informatie die vereist is voor de vaststelling van de juiste software-update of codering van varianten voor ieder(e) systeem, onderdeel, technische eenheid, voertuigdeel of uitrustingsstuk die of dat een software-update vereist.

In afwijking van punt 2.1 is de fabrikant, indien de vaststelling van de juiste softwareversie of codering van varianten een backend-verbinding vereist, niet verplicht om op zijn website de informatie te publiceren die vereist is voor de vaststelling van de juiste software-update of codering van varianten voor ieder(e) systeem, onderdeel, technische eenheid, voertuigdeel of uitrustingsstuk die of dat een software-update vereist;”;

punt 2.5.8 wordt vervangen door:

“2.5.8.

over en door middel van eigen instrumenten en apparatuur verstrekte informatie, met inbegrip van door middel van aanvullende instrumenten en apparatuur verstrekte informatie en de gebruiksinstructies, die vereist zijn voor de uitvoering van de kalibratie van een onderdeel of een systeem;”;

de volgende punten 2.5.12 en 2.5.13 worden toegevoegd:

“2.5.12.

informatie die de fabrikant aan zijn erkende partners, dealers en reparateurs verstrekt of door de fabrikant met het oog op reparatie en onderhoud wordt gebruikt, die nodig is voor diagnose en, in voorkomend geval, voor de reparatie van systemen voor tractiebatterijen, alsook de verwisselbare eenheden daarvan, met inbegrip van batterijmodules;

2.5.13.

informatie betreffende het specifieke voertuigtype, die nodig is voor de veilige hantering van voertuigdelen en onderdelen, meer in het bijzonder informatie die nodig is voor de bescherming tegen elektrische, thermische en chemische gevaren in verband met tractiebatterijen, voor zover de voertuigfabrikant of zijn partners hier de beschikking over hebben.”;

10)

punt 2.6.2 wordt vervangen door:

“2.6.2.

de volgende informatie:

beschrijving van de diagnostische gegevens als bedoeld in punt 3 van aanhangsel 2. De fabrikant ziet erop toe dat deze gegevens aan de volgende voorschriften voldoen:

i)	de gegevens worden gepresenteerd in de vorm van elektronisch rechtstreeks verwerkbare gegevensbestanden;

ii)	de gegevens worden gepresenteerd met dezelfde mate van detail als die van de gegevens die worden gebruikt in de eigen diagnoseapparatuur van de voertuigfabrikant;

iii)	de gegevens zijn uitvoerig gedocumenteerd;

b)	beschrijvingen van de interacties binnen en buiten het voertuig die nodig zijn voor het voltooien van reparatie- en onderhoudswerkzaamheden.

De voertuigfabrikant stelt de in punt a) bedoelde gegevens uitsluitend ter beschikking voor voertuigtypen waarvoor het typegoedkeuringscertificaat na 1 september 2020 voor het eerst is afgegeven.”;

11)

het volgende punt 2.6.3 wordt toegevoegd:

“2.6.3.

informatie over het verkrijgen van eigen instrumenten en apparatuur.”;

12)

de volgende punten 2.6 bis en 2.6 ter worden ingevoegd:

“2.6 bis.

De fabrikant verstrekt fabrikanten van reparatieapparatuur en generieke diagnoseapparatuur alle informatie, technische specificaties en gebruiksinstructies die nodig zijn voor de reparatie, het onderhoud en de diagnose van ADAS-/DCAS-systemen door middel van diagnoseapparatuur.

2.6 ter.

De in de punten 2.6 en 2.6 bis bedoelde informatie wordt verstrekt in overeenstemming met de door de fabrikant vastgestelde voorwaarden overeenkomstig deze verordening, onder meer wat betreft de betalingsvoorwaarden of de gebruiksbeperkingen en vergoedingen uit hoofde van artikel 63, lid 1.”;

13)

punt 2.9 wordt vervangen door:

“2.9.

Met het oog op toegang tot OBD-informatie, diagnostiek, reparatie, onderhoud, monitoring en inspectie van het voertuig, maakt de voertuigfabrikant de bidirectionele toegang tot de gegevensstroom van het voertuig mogelijk met behulp van alle onderstaande middelen:

de seriële gegevenspoort op de gestandaardiseerde connector voor gegevensverbinding als gespecificeerd in aanhangsel 1, punt 6.5.3, van bijlage C5 bij VN-Reglement nr. 154 (*1), respectievelijk overeenkomstig punt 4.7.3 van bijlage 9B bij VN-Reglement nr. 49 (*2), en de referentiestandaarddocumenten van aanhangsel 6 van die bijlage;

andere middelen voor toegang tot OBD-informatie die de fabrikant ter beschikking stelt van zijn erkende partners, dealers en reparateurs of die door de fabrikant met het oog op reparatie en onderhoud worden gebruikt, met inbegrip van ethernetconnectoren, niet-gestandaardiseerde pinnen op de gestandaardiseerde OBD-poort, applicatieprogramma-interfaces voor de integratie van aftermarketdiensten, en draadloze lokale netwerken;

iedere voorziening die de fabrikant ter beschikking stelt van zijn erkende partners, dealers en reparateurs of die door de fabrikant met het oog op reparatie en onderhoud wordt gebruikt om de toegang op afstand tot de OBD-informatie van het voertuig mogelijk te maken, waaronder monitoring en inspectie (voor zover monitoring en inspectie worden verricht met het oog op reparatie en onderhoud) of reparatie- en diagnostische diensten op afstand.

De fabrikant kan ervoor kiezen de datastroom, wanneer het voertuig in beweging is, alleen voor read-onlyfuncties beschikbaar te stellen, op voorwaarde dat de fabrikant dezelfde beperking toepast op zijn eigen erkende partners, handelaren en reparatiebedrijven.

De fabrikant kan voorwaarden stellen aan het verkrijgen van toegang tot de gegevensstroom van het voertuig, voor zover dit noodzakelijk en evenredig is voor de naleving van artikel 4, lid 5, punt d), van Verordening (EU) 2019/2144 en lijn D4 van bijlage II bij die verordening, en artikel 4, leden 7 en 8, en artikel 6, lid 3, van Verordening (EU) 2024/1257. Wat betreft toegang met behulp van de in de punten 2.9, a) en b), beschreven middelen, mogen die voorwaarden niet verder gaan dan de voorwaarden die de fabrikant uit hoofde van aanhangsel 4 van deze bijlage mag toepassen.

(*1) Reglement nr. 154 van de Economische Commissie voor Europa van de Verenigde Naties (VN/ECE) — Uniforme voorschriften voor de goedkeuring van lichte personen- en bedrijfsvoertuigen wat de gereguleerde emissies, kooldioxide-emissies en het brandstofverbruik en/of het meten van het elektriciteitsverbruik en de elektrische actieradius betreft (WLTP) [2021/2039] (PB L 423 van 26.11.2021, blz. 1, ELI: http://data.europa.eu/eli/reg/2021/2039/oj)."

(*2) Reglement nr. 49 van de Economische Commissie voor Europa van de Verenigde Naties (VN/ECE) — Uniforme bepalingen met betrekking tot de maatregelen tegen de emissie van verontreinigende gassen en deeltjes door voor voertuigen bestemde compressieontstekingsmotoren en elektrische-ontstekingsmotoren [2023/64] (PB L 14 van 16.1.2023, blz. 1, ELI: http://data.europa.eu/eli/reg/2023/64/oj).”;"

() Reglement nr. 154 van de Economische Commissie voor Europa van de Verenigde Naties (VN/ECE) — Uniforme voorschriften voor de goedkeuring van lichte personen- en bedrijfsvoertuigen wat de gereguleerde emissies, kooldioxide-emissies en het brandstofverbruik en/of het meten van het elektriciteitsverbruik en de elektrische actieradius betreft (WLTP) [2021/2039] (PB L 423 van 26.11.2021, blz. 1, ELI: http://data.europa.eu/eli/reg/2021/2039/oj).

() Reglement nr. 49 van de Economische Commissie voor Europa van de Verenigde Naties (VN/ECE) — Uniforme bepalingen met betrekking tot de maatregelen tegen de emissie van verontreinigende gassen en deeltjes door voor voertuigen bestemde compressieontstekingsmotoren en elektrische-ontstekingsmotoren [2023/64] (PB L 14 van 16.1.2023, blz. 1, ELI: http://data.europa.eu/eli/reg/2023/64/oj).”;

14)

punt 6.1 wordt vervangen door:

“6.1.

Bij overeenstemming met de in punt 2.1 vermelde delen van de normen EN ISO 18541-1:2021 tot en met EN ISO 18541-4:2021 en ISO 18541-5:2018 wordt de verplichting voor fabrikanten om reparatie- en onderhoudsinformatie van voertuigen in een gestandaardiseerd formaat op hun website te verstrekken, verondersteld te zijn nageleefd.

Wie het recht wil om dergelijke informatie te dupliceren of te herpubliceren, onderhandelt daartoe rechtstreeks met de desbetreffende fabrikant. Ook wordt informatie over opleidingsmateriaal beschikbaar gesteld, die via andere media dan websites kan worden aangeboden.

6.1.1.

Met het oog op de publicatie van reparatie- en onderhoudsinformatie maakt de fabrikant de informatie beschikbaar in de vorm van bestanden in een formaat dat de directe elektronische verwerking van de in die bestanden opgenomen gegevensbestanden mogelijk maakt. De informatie wordt gepresenteerd met dezelfde mate van detail als die van de informatie die door de fabrikant wordt gebruikt voor reparatie en onderhoud. De informatie wordt voor interpretatiedoeleinden gedocumenteerd en wordt geactualiseerd met de frequentie die met de onafhankelijke marktdeelnemer is overeengekomen. De updates worden met dezelfde frequentie en tijdschema’s ter beschikking gesteld als die welke gelden voor erkende dealers en reparateurs. De informatie wordt gepresenteerd in de vorm van pakketten op basis van technische informatie per gebruikssituatie die de fabrikant ter beschikking staat. De in de eerste zin van dit punt bedoelde informatie wordt verstrekt in overeenstemming met de door de fabrikant vastgestelde voorwaarden overeenkomstig deze verordening, waaronder de betalingsvoorwaarden en daarmee verenigbare voorwaarden of gebruiksbeperkingen en vergoedingen uit hoofde van artikel 63, lid 1, van deze verordening. De informatiepakketten die zijn vastgesteld op basis van criteria overeenkomstig de informatievereisten met betrekking tot gebruikssituatie 5.1.1, gebruikssituatie 5.1.2, gebruikssituatie 5.2, gebruikssituatie 5.3, gebruikssituatie 5.4, gebruikssituatie 5.5, gebruikssituatie 5.7, gebruikssituatie 5.8, gebruikssituatie 5.9, gebruikssituatie 8 en gebruikssituatie 11 in norm EN ISO 18541-1:2021, worden verondersteld verenigbaar te zijn.

De fabrikant verstrekt met ingang van 23 juni 2027 uitsluitend informatiepakketten die zijn vastgesteld op basis van criteria die overeenkomen met de informatievereisten met betrekking tot gebruikssituatie 5.3 en gebruikssituatie 5.4 in norm EN ISO 18541-1:2021, die alleen beschikbaar zijn aan de hand van het voertuigidentificatienummer (VIN), indien een onafhankelijke reparateur hiertoe een verzoek indient via een applicatie-programma-interface (API (*3)). In dergelijke gevallen verstuurt de onafhankelijke reparateur een VIN-specifiek verzoek aan de fabrikant via een derde partij die handelt op basis van een overeenkomst met de fabrikant.

Indien de informatiepakketten zijn vastgesteld op basis van criteria die overeenkomen met de informatievereisten met betrekking tot gebruikssituatie 8 in norm EN ISO 18541-1:2021, stelt de fabrikant de derde partij, met ingang van 23 juni 2027, een API ter beschikking waarmee de onafhankelijke reparateur de onderhoudsgeschiedenis in elektronische vorm kan inzien en actualiseren aan de hand van de in de ISO-norm vastgestelde aanvullende voorwaarden en, in voorkomend geval, de voorwaarden en processen die de fabrikant heeft gebruikt in het kader van de overeenkomst met de klant. De fabrikant hanteert hierbij dezelfde of gelijkwaardige processen en vereiste informatie als die welke gelden voor zijn website met reparatie- en onderhoudsinformatie. In dergelijke gevallen kan de onafhankelijke reparateur, met toestemming van de klant, via een derde partij die handelt op basis van een overeenkomst met de fabrikant, de fabrikant een verzoek doen toekomen om een geactualiseerde versie van de onderhouds- en reparatiegegevens. Voor het identificeren van de onafhankelijke reparateur kan een certificaat worden gebruikt dat voldoet aan aanbeveling ITU-T X.509 van de Internationale Unie voor Telecommunicatie.

De toegang tot dergelijke API’s, waaronder voor het bijwerken van het elektronische logboek van de onderhoudsgeschiedenis, is onderworpen aan artikel 63, lid 1.

De informatie wordt zodanig ingedeeld dat de informatie in het pakket naderhand kan worden doorzocht en gefilterd aan de hand van indelingscriteria met betrekking tot het modeltype en andere indelingscriteria die worden gehanteerd in het eigen netwerk van de fabrikant.

6.1.2.

Informatie over alle voertuigonderdelen waarmee het voertuig, zoals aangeduid door het VIN en door eventuele aanvullende criteria zoals wielbasis, motorvermogen, uitrustingsniveau of opties, door de voertuigfabrikant is uitgerust en die kunnen worden vervangen door reserveonderdelen die door de voertuigfabrikant aan zijn erkende reparateurs of dealers of aan derden worden aangeboden met verwijzing naar de onderdeelnummers van de originele uitrustingsstukken, wordt in de vorm van machineleesbare en elektronisch verwerkbare gegevensbestanden ter beschikking gesteld in een databank die voor onafhankelijke marktdeelnemers gemakkelijk toegankelijk is.

Die databank omvat het VIN, de onderdeelnummers van de originele uitrustingsstukken, de originele benaming van de onderdelen, geldigheidsattributen (datum begin en einde geldigheid), montagekenmerken en, indien van toepassing, structurele eigenschappen.

De informatie in de databank wordt geregeld geactualiseerd. Indien deze informatie beschikbaar is voor erkende dealers, omvat de actualisering alle wijzigingen die aan individuele voertuigen zijn aangebracht na productie.

(*3) Zoals bepaald in artikel 2 van Uitvoeringsverordening (EU) 2023/138 van de Commissie van 21 december 2022 tot vaststelling van een lijst met specifieke hoogwaardige datasets en de regelingen voor publicatie en hergebruik van die gegevens (PB L 19 van 20.1.2023, blz. 43, ELI: http://data.europa.eu/eli/reg_impl/2023/138/oj).”;"

() Zoals bepaald in artikel 2 van Uitvoeringsverordening (EU) 2023/138 van de Commissie van 21 december 2022 tot vaststelling van een lijst met specifieke hoogwaardige datasets en de regelingen voor publicatie en hergebruik van die gegevens (PB L 19 van 20.1.2023, blz. 43, ELI: http://data.europa.eu/eli/reg_impl/2023/138/oj).”;

15)

punt 6.2.2 wordt vervangen door:

“6.2.2.

de norm https//ssl-tls (RFC5246) of de opvolger hiervan wordt toegepast;”;

16)

punt 6.2.3 wordt vervangen door:

“6.2.3.

voor de wederzijdse authenticatie van onafhankelijke marktdeelnemers en fabrikanten wordt gebruikgemaakt van beveiligingscertificaten overeenkomstig internationale norm NEN-ISO/IEC 9594-8:2020;”;

17)

punt 6.4 wordt vervangen door:

“6.4.

De herprogrammering van regeleenheden, codering van varianten en de inwerkingstelling van reserveonderdelen worden uitgevoerd met behulp van niet aan eigendomsrechten gebonden hardware, zonder afhankelijk te zijn van hardware van de fabrikant, in overeenstemming met:

a)	internationale norm ISO 22900-2;

b)	SAE J2534-1;

c)	SAE J2534-2;

d)	TMC RP1210B;

e)	SOVD-norm ISO/DIS 17978-1.

De herprogrammering van regeleenheden, codering van varianten en de inwerkingstelling van reserveonderdelen via ethernet, worden uitgevoerd overeenkomstig norm ISO 22900-2 of J2534-2.

Voor de validering van de compatibiliteit van de fabrikantspecifieke toepassing en de voertuigcommunicatie-interfaces (VCI’s) overeenkomstig internationale norm ISO 22900-2, SAE J2534-1, SAE J2534-2 of TMC RP1210B, biedt de fabrikant een validering aan van onafhankelijk ontwikkelde VCI’s, of verstrekt hij de vereiste informatie en geeft hij de eventueel vereiste speciale hardware in bruikleen waarmee een VCI-fabrikant deze validering kan uitvoeren.

De fabrikant mag een redelijke en evenredige vergoeding vragen voor dergelijke valideringen of dergelijke informatie en hardware. Die vergoedingen mogen het gebruik van dergelijke valideringen of dergelijke informatie en hardware niet ontmoedigen.”;

18)

het volgende punt 6.4 bis wordt ingevoegd:

“6.4 bis.

Vanaf … stelt de voertuigfabrikant de onafhankelijke fabrikant van diagnoseapparatuur de volgende software of informatie ter beschikking voor voertuigtypen waarvoor het typegoedkeuringscertificaat na 1 september 2020 voor het eerst is afgegeven:

software- of webservice-interfaces voor onafhankelijke fabrikanten van diagnoseapparatuur met het oog op de integratie ervan, die codering van varianten mogelijk maakt, alsook koppeling tussen een voertuig en een origineel reserveonderdeel (met inbegrip van een met de software en hardware compatibel — zoals door de voertuigfabrikant vastgesteld — geherproduceerd of hergebruikt onderdeel) of een door de voertuigfabrikant toegestaan reserveonderdeel, alsmede de herprogrammering van regeleenheden middels de software van de originele uitrustingsstukken van het voertuig, overeenkomstig de instructies van de voertuigfabrikant, of

b)	de informatie, processen en middelen die nodig zijn voor de codering van varianten en herprogrammering met behulp van de onafhankelijke diagnoseapparatuur van de onafhankelijke fabrikant van de diagnoseapparatuur.

In afwijking van de in de eerste zin van dit punt genoemde termijn, stelt de voertuigfabrikant de in de punten a) en b) hierboven bedoelde software of informatie echter ter beschikking vanaf de volgende data:

i)	… voor voertuigen waarvoor het typegoedkeuringscertificaat na 1 september 2020 maar vóór 6 juli 2022 voor het eerst is afgegeven;

ii)	… voor activiteiten die betrekking hebben op of afhankelijk zijn van de uitvoering van software-updates.”;

19)

het volgende punt 6.4 ter wordt ingevoegd:

“6.4 ter.

Tot het moment waarop de voertuigfabrikant de software of informatie voor het in punt 6.4 bis bedoelde voertuigtype ter beschikking stelt, en gedurende een termijn van twee jaar na die datum, gelden voor het gebruik van de diagnostische hardware en diagnostische software van de voertuigfabrikant door aanbieders van diensten op afstand, als bedoeld in punt 1.2 van aanhangsel 4, wat betreft herprogrammering, codering van varianten en de inwerkingstelling van voertuigdelen, dezelfde vergoedingen en betalingsvoorwaarden als die welke van toepassing zijn op onafhankelijke reparateurs, ongeacht of de diagnoseapparatuur op afstand wordt gebruikt.

Daarnaast deelt de voertuigfabrikant de volgende informatie met belangstellende fabrikanten van diagnoseapparatuur, zodra deze beschikbaar komt:

de informatie die nodig is voor de werking van de API tussen de systemen van de desbetreffende voertuigfabrikant en die van de desbetreffende fabrikanten van diagnoseapparatuur:

i)	uiterlijk op … voor activiteiten die betrekking hebben op of afhankelijk zijn van de uitvoering van software-updates, en

ii)	voor andere activiteiten, uiterlijk op …, of

iii)	voor voertuigen waarvoor het typegoedkeuringscertificaat vóór 6 juli 2022 voor het eerst is afgegeven, uiterlijk op …;

b)	uiterlijk op … de informatie die nodig is voor het testen van de updatefunctionaliteit en hardware-interactie voor activiteiten die betrekking hebben op of afhankelijk zijn van de uitvoering van software-updates.”;

20)

het volgende punt 6.4 quater wordt ingevoegd:

“6.4 quater.

De ontkoppeling van onderdelen, technische eenheden, voertuigdelen en uitrustingsstukken, met uitzondering van die welke oorspronkelijk zijn ontworpen om niet te worden ontkoppeld, gebeurt volgens het in dit punt beschreven proces. Er mogen geen andere dan de in dit punt genoemde voorwaarden aan worden verbonden.

De fabrikant voert een proces in voor het ontkoppelen van onderdelen, technische eenheden, voertuigdelen en uitrustingsstukken. Met het oog op de installatie van een hergebruikt(e) onderdeel, technische eenheid, voertuigdeel of uitrustingsstuk kunnen de door de voertuigfabrikant ingevoerde processen de vereiste omvatten het unieke identificatienummer (met inbegrip van, in voorkomend geval, het serienummer van een eenheid) van dit onderdeel, deze technische eenheid, dit voertuigdeel of dit uitrustingsstuk en het VIN van het voertuig te verstrekken, alsook een vereiste om toestemming te verkrijgen van de eigenaar of de lessee van het voertuig, indien deze identificeerbaar zijn. Indien instemming vereist is, kan deze asynchroon van de ontkoppeling van het onderdeel worden verstrekt.

Met het oog op herproductie in een industrieel proces, waarbij een versleten of defect(e) onderdeel, technische eenheid, voertuigdeel of uitrustingsstuk weer tot de oorspronkelijke specificatie wordt hersteld, is het VIN van het oorspronkelijke voertuig niet vereist voor ontkoppeling van het oorspronkelijke voertuig. In dat geval kan de unieke identificatiecode van het onderdeel en de instemming van de eigenaar of de lessee van het voertuig, indien deze identificeerbaar zijn, vereist zijn.

Alle onafhankelijke marktdeelnemers, met inbegrip van herproducenten en opknapbedrijven, die overeenkomstig de eisen van aanhangsel 4 zijn geauthenticeerd, hebben gelijke toegang tot deze processen.

Met het oog op de authenticatie van een dergelijke marktdeelnemer worden, wanneer het ontkoppelingsproces van de voertuigfabrikant op de platforms buiten het voertuig moet worden voltooid, authenticatiegegevens aanvaard die zijn afgegeven overeenkomstig punt 9.2 van aanhangsel 4 of die worden gebruikt voor toegang tot de RMI-website van de voertuigfabrikant.”;

21)	de punten 7.2 en 7.3 worden geschrapt;

22)

punt 7.4 wordt vervangen door:

“7.4.

De goedkeuringsinstantie mag op basis van een ingevuld certificaat inzake de toegang tot OBD-informatie en reparatie- en onderhoudsinformatie van het voertuig aannemen dat de fabrikant wat de toegang tot OBD-informatie en reparatie- en onderhoudsinformatie van het voertuig betreft, afdoende regelingen en procedures tot stand heeft gebracht, mits er geen klachten waren.”;

23)

het volgende punt 7.5 wordt toegevoegd:

“7.5.

De OBD-informatie en reparatie- en onderhoudsinformatie van het voertuig worden uiterlijk op de datum waarop het voertuig in de handel wordt gebracht, aan de onafhankelijke marktdeelnemers verstrekt.”;

24)

in aanhangsel 2 wordt punt 3 vervangen door:

“3.

Vereiste informatie voor de fabricage van diagnoseapparatuur

Om de levering van generieke diagnoseapparatuur voor multimerkenreparateurs te vereenvoudigen, stelt de voertuigfabrikant de in de punten 3.1, 3.2 en 3.3 bedoelde informatie ter beschikking. Die informatie omvat alle functies van de diagnoseapparatuur en alle links naar reparatie-informatie en instructies voor het opsporen en oplossen van fouten. Voor de toegang tot de informatie kan een redelijke vergoeding worden gevraagd.”;

25)

aanhangsel 3 wordt als volgt gewijzigd:

aan punt 2 worden de volgende punten 2.1.14 en 2.1.15 toegevoegd:

“2.1.14.

“Aanbieder van diensten op afstand (ADoA)”

“aanbieder van diensten op afstand (ADoA)”: een dienstverlener die diensten op afstand verleent aan de OM in de context van zijn aan SERMI gerelateerde activiteiten, het programmeren, monteren of in werking stellen van voertuigdelen en uitrustingsstukken;

2.1.15.

“ADoA-werknemer”

“ADoA-werknemer”: de werknemer van een erkende ADoA die, na machtiging door de CBI, toegang heeft tot veiligheidsgerelateerde RMI.”;

in punt 3 worden de derde en vierde alinea vervangen door:

“Onafhankelijke marktdeelnemers die veiligheidsgerelateerde RMI wensen te ontvangen, verkrijgen een inspectiecertificaat van goedkeuring via een geaccrediteerde CBI.

OM-werknemers die met veiligheidsgerelateerde RMI moeten werken, verkrijgen een inspectiecertificaat van machtiging via een geaccrediteerde CBI.”;

aan punt 4.1.1 wordt het volgende punt f) toegevoegd:

“f)	SERMI beheert een lijst van goedgekeurde interpretaties die uitsluitend mogen worden gebruikt voor de interpretatie van de regeling.”;

het volgende punt 4.4.2 wordt toegevoegd:

“4.4.2.

De ADoA is gehouden aan de in punt 4.4.1 uiteengezette verantwoordelijkheden en vereisten.”;

het volgende punt 4.5.2 wordt toegevoegd:

“4.5.2.

De ADoA-werknemer is gehouden aan de in punt 4.5.1 uiteengezette verantwoordelijkheden en vereisten.”;

26)

het volgende aanhangsel 4 wordt toegevoegd:

“

Aanhangsel 4

Voorwaarden en procedures voor de toegang tot de OBD-informatie van het voertuig

Toepassingsgebied

1.1.

Dit aanhangsel bevat de toegangsvoorwaarden die de fabrikant uitsluitend mag vaststellen, en de procedures die de voertuigfabrikant moet toepassen of waarvan de toepassing uitsluitend door de fabrikant aan andere partijen kan worden voorgeschreven in het kader van de toepassing van beveiligingsmaatregelen met betrekking tot de toegang tot OBD-informatie als bedoeld in punt 2.9, a) en b), van deze bijlage.

1.2.

Iedere verwijzing in dit aanhangsel naar onafhankelijke marktdeelnemers of erkende partners, dealers en reparateurs van de fabrikant, alsook naar voertuigfabrikanten die in het kader van dit aanhangsel reparatie- en onderhoudswerkzaamheden verrichten, heeft betrekking op iedere persoon of marktdeelnemer die namens hen optreedt, waaronder aanbieders die diensten op afstand verlenen aan de onafhankelijke marktdeelnemer, het programmeren, monteren of in werking stellen van voertuigdelen en uitrustingsstukken (aanbieders van diensten op afstand).

Verplichtingen van de fabrikant

2.1.

Het valt onder de verantwoordelijkheid van de voertuigfabrikant om te waarborgen dat alle technische vereisten voor de toepassing van de in dit aanhangsel bedoelde procedures zijn vastgesteld, met inbegrip van inloggegevens in de vorm van bijvoorbeeld certificaten of softwaretokens en de nodige overeenkomsten met fabrikanten van diagnoseapparatuur.

2.2.

De voertuigfabrikant moet, in overeenstemming met de voorschriften van dit aanhangsel, aan de goedkeuringsinstantie kunnen aantonen dat het ontwerp van het voertuig de toegang tot OBD-informatie mogelijk maakt met behulp van niet-merkgebonden diagnoseapparatuur.

2.3.

De voertuigfabrikant verstrekt fabrikanten van diagnoseapparatuur de in punt 11 van dit aanhangsel bedoelde informatie.

2.4.

De voertuigfabrikant zorgt ervoor dat zijn server die wordt gebruikt voor het verschaffen van toegang uit hoofde van punt 2.9 van deze bijlage, onafhankelijke marktdeelnemers op niet-discriminerende wijze voorziet van dezelfde mate van beschikbaarheid en prestaties van het informatiesysteem die hij zijn erkende partners, dealers en reparateurs biedt of die daartoe door de voertuigfabrikant wordt gebruikt.

De voertuigfabrikant zorgt ervoor dat iedere server die onafhankelijke marktdeelnemers toegang verschaft uit hoofde van punt 2.9 van deze bijlage, ononderbroken toegankelijk is, behalve in uitzonderlijke en onvoorziene omstandigheden waar de voertuigfabrikant geen invloed op heeft en die niet aan nalatigheid van zijn kant te wijten zijn, of in het geval van onderhoudswerkzaamheden aan het informatiesysteem. In geval van onderhoud mag de periode van onbeschikbaarheid niet langer duren dan de onderhoudsperiode van enig andere server die door de fabrikant wordt gebruikt om toegang voor de in punt 2.9 van deze bijlage genoemde doeleinden mogelijk te maken. De informatie over het geplande onderhoud wordt ruim van tevoren voor de fabrikanten van diagnoseapparatuur beschikbaar gemaakt.

De voertuigfabrikant verstrekt de goedkeuringsinstantie op diens verzoek jaarlijks statistische informatie over de beschikbaarheid van de server. Gevallen van onbeschikbaarheid van servers worden door de voertuigfabrikant onmiddellijk gemeld aan het in punt 12 gedefinieerde OBD-forum.

2.5.

De voertuigfabrikant mag de toegang tot OBD-informatie niet beperken op een wijze die verder gaat dan de in dit aanhangsel genoemde beperkingen, tenzij in deze verordening uitdrukkelijk anders is bepaald. Daarnaast mag de voertuigfabrikant de toegang tot OBD-informatie voor onafhankelijke marktdeelnemers niet beperken op een wijze die verder gaat dan de beperkingen die van toepassing zijn op zijn erkende partners, dealers en reparateurs of op de voertuigfabrikant die toegang verkrijgt tot de OBD-informatie met het oog op reparatie en onderhoud.

2.6.

De voertuigfabrikant ziet erop toe dat de door hem toegepaste maatregelen op het gebied van cyberbeveiliging, met inbegrip van de in punt 6.2 bedoelde compatibiliteitsvoorschriften, niet leiden tot de beperking of belemmering van de toegang tot OBD-informatie uit hoofde van dit aanhangsel, op een wijze die verder gaat dan wat noodzakelijk en evenredig is om te voldoen aan artikel 4, lid 5, punt d), van Verordening (EU) 2019/2144 en afdeling D4 van bijlage II bij die verordening. Deze maatregelen kunnen gericht zijn op de aanpak van toekomstige risico’s en bedreigingen voor zover de voertuigfabrikant de impact en waarschijnlijkheid ervan kan aantonen.

2.7.

De maatregelen die de voertuigfabrikant toepast ter voorkoming van de manipulatie van emissiebeperkingssystemen en kilometertellers mogen niet leiden tot de beperking of belemmering van de toegang tot OBD-informatie op een wijze die verder gaat dan wat noodzakelijk en evenredig is om te voldoen aan artikel 4, leden 7 en 8, van Verordening (EU) 2024/1257 van het Europees Parlement en de Raad (*4).

Authenticatie

3.1.

Als voorwaarde voor het verstrekken van de inloggegevens kan de voertuigfabrikant de authenticatie vereisen van de fabrikant van de diagnoseapparatuur en van de gebruikte diagnoseapparatuur, behalve voor de volgende reparatie- en onderhoudswerkzaamheden:

a)	het uitlezen van diagnostische foutcodes;

b)	het uitlezen van het voertuigidentificatienummer (VIN);

het uitlezen en wissen van diagnostische foutcodes wanneer de onbeperkte toegang middels een generieke of OBD-scanner vereist is uit hoofde van Verordening (EU) 2017/1151 of Verordening (EU) 2024/1257, of uit hoofde van VN-Reglement nr. 49, VN-Reglement nr. 83 (*5), VN-Reglement nr. 168 (*6) of VN-Reglement nr. 154.

3.2.

Wanneer de toegang tot OBD-gegevens wijzigingen van het voertuig vergt, kan de voertuigfabrikant, als voorwaarde voor het verstrekken van de inloggegevens, de authenticatie van de marktdeelnemer vereisen. In het geval van voorzieningen die worden gebruikt met het oog op monitoring, waarbij gegevens alleen worden uitgelezen en op autonome wijze, zonder menselijke interactie, naar de server van de fabrikant van de diagnoseapparatuur worden verstuurd, vereist de voertuigfabrikant geen authenticatie van de marktdeelnemer.

3.3.

Indien toegang tot OBD-informatie een wijziging van de software van het voertuig vergt of van de configuratie/parameters ervan die de herprogrammering van de softwarecode van het voertuig inhoudt, met een verandering van het beoogde gedrag van het voertuig tot gevolg die na de reparatie- en onderhoudswerkzaamheden aanhoudt, zodat deze alleen kan worden teruggedraaid of overschreven door het uitvoeren van een gelijkwaardige verrichting, kan de voertuigfabrikant de authenticatie vereisen van de werknemer van de marktdeelnemer die toegang tot de OBD-informatie wenst, tenzij de fabrikant van de diagnoseapparatuur officieel aan de voertuigfabrikant verklaart dat uit de resultaten van een onafhankelijke controle die maximaal drie jaar voorafgaand aan het verzoek is uitgevoerd, is gebleken dat de marktdeelnemer over een systeem beschikt dat de ondubbelzinnige identificatie mogelijk maakt van de werknemer die toegang wenst.

3.4.

De in punt 3.2 bedoelde gevallen van toegang omvatten onder meer reparatie- en onderhoudswerkzaamheden zoals de inwerkingstelling van actuatoren, de uitvoering van functionele testprocedures, het wissen van diagnostische foutcodes, het resetten van onderhoudsverklikkerlichten, het resetten van adaptieve leerparameters en de vervanging van voertuigdelen, met inbegrip van de initialisatie van niet-slimme componenten en het uitlezen van gegevens aan de hand van een identificatiecode, tenzij deze worden gebruikt voor een periodieke technische keuring met waarden die vergelijkbaar zijn met de waarden die zijn vastgesteld in bijlage B bij norm EN ISO 20730-3 als die waarden in het voertuig beschikbaar zijn.

3.5.

De in punt 3.2 bedoelde gevallen van toegang hebben onder meer betrekking op kalibratie, waaronder wordt verstaan het aanpassen of in overeenstemming brengen van de software- en hardwareparameters van het voertuig zoals voorgeschreven door de voertuigfabrikant, zonder codering van varianten of aanpassing van de software van het voertuig.

3.6.

Met het oog op de in de punten 3.1, 3.2 en 3.3 bedoelde authenticatie kan de voertuigfabrikant van de fabrikant van de apparatuur voor toegang tot OBD-informatie verlangen de volgende aspecten te bevestigen:

a)	de identificatiegegevens van de diagnoseapparatuur;

indien de toegang tot OBD-informatie wijzigingen van het voertuig vergt zoals bedoeld in punt 3.2, de identificatiegegevens van de diagnoseapparatuur en de gepseudonimiseerde identiteit van de marktdeelnemer, alsook de naleving door de marktdeelnemer van de in punt 8.1 bedoelde machtigingsvereisten;

indien de toegang tot OBD-informatie een wijziging van de software van het voertuig vergt of van de configuratie/parameters ervan die de herprogrammering van de softwarecode van het voertuig inhoudt, met een verandering van het beoogde gedrag van het voertuig tot gevolg die na de reparatie- en onderhoudswerkzaamheden aanhoudt, zodat deze alleen kan worden teruggedraaid of overschreven door het uitvoeren van een gelijkwaardige verrichting, zoals bedoeld in punt 3.3, de gepseudonimiseerde identiteit van de werknemer van de marktdeelnemer, alsook de naleving door deze werknemer van de in punt 8.2 bedoelde machtigingsvereisten.

3.7.

In de in punt 3.6, b) en c), bedoelde gevallen worden de identiteit van de marktdeelnemer en, in voorkomend geval, van de werknemer van de marktdeelnemer, alsook hun naleving van de in de punten 8.1 en 8.2 bedoelde machtigingsvereisten, door de fabrikant van de diagnoseapparatuur die wordt gebruikt voor de toegang tot OBD-informatie geverifieerd of vastgesteld op basis van een in punt 9.2 bedoeld machtigingscertificaat.

3.8.

De voertuigfabrikant brengt geen vergoedingen in rekening voor het verlenen van toegang uit hoofde van punt 2.9 van bijlage X. De voertuigfabrikant kan echter gerechtvaardigde en evenredige vergoedingen in rekening brengen voor het gebruik van de in punt 2.9, c), bedoelde niet-plaatsgebonden structuur.

Verbindingsvereisten

4.1.

Behalve voor de in de punt 3.1, a), b) en c), bedoelde gevallen van toegang kan de voertuigfabrikant voor het ontvangen van de inloggegevens een eenmalige onlineverbinding met de diagnoseapparatuur vereisen via de server van de fabrikant van de diagnoseapparatuur en de server van de voertuigfabrikant. Nadat de inloggegevens zijn verstrekt, mag er voor toegang geen onlineverbinding meer nodig zijn.

4.2.

Indien toegang tot OBD-informatie een wijziging van de software van het voertuig vergt of van de configuratie/parameters ervan die een verandering van het beoogde gedrag van het voertuig tot gevolg heeft die tot na de reparatie- en onderhoudswerkzaamheden aanhoudt en alleen kan worden teruggedraaid of overschreven door het uitvoeren van een gelijkwaardige verrichting, kan de voertuigfabrikant bij het uitvoeren van de reparatie een ononderbroken onlineverbinding vereisen tussen de diagnoseapparatuur en de server van de fabrikant van de diagnoseapparatuur, alsook tussen de server van de fabrikant van de diagnoseapparatuur en de server van de voertuigfabrikant.

4.3.

De in punt 4.2 bedoelde gevallen van toegang omvatten onder meer:

reparatie- en onderhoudswerkzaamheden, zoals het instellen van vervangingsonderdelen en voorkeur van de klant, identificatie van de elektronische regeleenheid (ECU) en codering van varianten, initialisatie van een ECU en een voertuigdeel, codering van varianten bij het vervangen van bestaande voertuigdelen, en codering van varianten bij het toevoegen van een nieuw voertuigdeel;

b)	de in punt 5.5 bedoelde reparatie- en onderhoudswerkzaamheden.

4.4.

De in punt 4.2 bedoelde gevallen van toegang hebben geen betrekking op de in de punten 3.4 en 3.5 opgesomde reparatie- en onderhoudswerkzaamheden.

4.5.

In afwijking van punt 4.4 hebben de in punt 4.2 bedoelde gevallen van toegang daarentegen wel betrekking op de in de punt 3.5 bedoelde reparatie- en onderhoudswerkzaamheden wanneer de kalibratiewaarden die onder de wettelijke eisen vallen, moeten worden gevalideerd, of wanneer de kalibratie niet kan worden voltooid zonder specifiek op individuele voertuigdelen of technische eenheden gerichte gegevens die nodig zijn om het reparatieproces te voltooien, en die afkomstig zijn van de server van de fabrikant als onderdeel van het coderen van varianten.

Traceerbaarheidsvoorschriften

5.1.

Behalve voor de in de punt 3.1, a), b) en c), bedoelde gevallen van toegang kan de voertuigfabrikant van de fabrikant van de diagnoseapparatuur verlangen het voertuigidentificatienummer (VIN) en de unieke identificatiecode van de diagnoseapparatuur te verzamelen en op te slaan.

5.2.

Indien toegang tot OBD-informatie wijzigingen van het voertuig vergt, kan de voertuigfabrikant van de fabrikant van de diagnoseapparatuur verlangen informatie over alle uitgevoerde diagnostische werkzaamheden (bv. service-identificatiecode en subfunctie) en de gebruikte parameters/attributen, waaronder de UTC-datum en -tijd, voor elke interactie met het voertuig te verzamelen en op te slaan.

5.3.

De in punt 5.2 bedoelde gevallen van toegang omvatten onder meer de in de punten 3.4, 3.5, 4.3 en 4.5 bedoelde reparatie- en onderhoudswerkzaamheden.

5.4.

Indien toegang tot OBD-informatie een wijziging van de software van het voertuig vergt of van de configuratie/parameters ervan die een verandering van het beoogde gedrag van het voertuig tot gevolg heeft die na de reparatie- en onderhoudswerkzaamheden aanhoudt, zodat deze alleen kan worden teruggedraaid of overschreven door het uitvoeren van een gelijkwaardige verrichting, kan de voertuigfabrikant van de fabrikant van de diagnoseapparatuur verlangen de resultaten te verzamelen en te verstrekken betreffende de inspectie van de netwerktopologie, de initiële toestand van het voertuig bij verbinding, met inbegrip van de hardware- en softwareversies van alle in het voertuig gemonteerde elektronische regeleenheden, de resultaten van alle interacties en verrichte procedures met betrekking tot de modules (bijvoorbeeld prestatieparameters) en de resultaten van de definitieve controle van de status van het voertuig na reparatie.

5.5.

De in punt 5.4 bedoelde gevallen van toegang omvatten onder meer reparatie- en onderhoudswerkzaamheden zoals de koppeling tussen het voertuig en een origineel reserveonderdeel (met inbegrip van een met de software en hardware compatibel — zoals door de voertuigfabrikant vastgesteld — geherproduceerd of hergebruikt onderdeel) of een door de voertuigfabrikant toegestaan reserveonderdeel middels onafhankelijke diagnoseapparatuur, en het herprogrammeren van een module met behulp van de originele software van het voertuig en de programmeringssoftware van de originele uitrustingsstukken, overeenkomstig de instructies van de voertuigfabrikant. Het omvat ook gevallen waarin een onderdeel van een voertuig wordt losgekoppeld of de registratie ervan wordt geschrapt.

5.6.

De in punt 5.4 bedoelde gevallen van toegang hebben geen betrekking op de in de punten 3.4, 3.5, 4.3 en 4.5 bedoelde reparatie- en onderhoudswerkzaamheden.

Cyberbeveilingsvoorschriften voor diagnoseapparatuur

6.1.

Behalve voor de in de punt 3.1, a), b) en c), bedoelde gevallen van toegang, kan de voertuigfabrikant vereisen dat de diagnoseapparatuur die wordt gebruikt voor de toegang tot OBD-informatie voldoet aan de desbetreffende bepalingen van Verordening (EU) 2024/2847 van het Europees Parlement en de Raad (*7), en dat de fabrikant van de diagnoseapparatuur voldoet aan de voorschriften van de Trusted Information Security Assessment Exchange (TISAX) op het niveau dat door de voertuigfabrikant is vastgesteld overeenkomstig punt 2.5, of aan norm ISO 27001.

6.2.

Indien toegang tot OBD-informatie wijzigingen van het voertuig vergt als bedoeld in punt 3.2, kan de voertuigfabrikant vereisen dat de diagnoseapparatuur die wordt gebruikt voor de toegang tot OBD-informatie en de fabrikant van de diagnoseapparatuur voldoen aan de beveiligingsmaatregelen van de voertuigfabrikant.

6.3.

De beveiligingsmaatregelen van de voertuigfabrikant mogen niet verder gaan dan die welke gelden voor de diagnoseapparatuur van de voertuigfabrikant zelf, voor de leveranciers van de apparatuur en voor de eigen organisatie, en moeten op niet-discriminerende basis worden toegepast.

6.4.

De voertuigfabrikant kan van de fabrikant van de diagnoseapparatuur verlangen dat deze tests verricht om te verifiëren of de diagnoseapparatuur voldoet aan de vastgestelde voorschriften. Een dienstenniveauovereenkomst moet ervoor zorgen dat de resultaten van deze door de voertuigfabrikant uitgevoerde tests tijdig worden geverifieerd. In het geval de naleving door de fabrikant van de diagnoseapparatuur van de voorschriften in afdeling niet kan worden bevestigd, moet de voertuigfabrikant een duidelijke motivering voor de redenen voor niet-naleving verstrekken, samen met de maatregelen die de fabrikant van de diagnoseapparatuur moet treffen.

6.5.

De in punt 6.2 bedoelde gevallen van toegang omvatten onder meer de in de punten 3.4 en 3.5 bedoelde reparatie- en onderhoudswerkzaamheden.

6.6.

Indien toegang tot OBD-informatie een wijziging van de software van het voertuig vergt of van de configuratie/parameters ervan die een verandering van het beoogde gedrag van het voertuig tot gevolg heeft die tot na de reparatie- en onderhoudswerkzaamheden aanhoudt, zodat deze alleen kan worden teruggedraaid of overschreven door het uitvoeren van een gelijkwaardige verrichting, kan de voertuigfabrikant vereisen dat de diagnoseapparatuur die wordt gebruikt voor de toegang tot OBD-informatie voldoet aan de relevante voorschriften van de voertuigfabrikant zoals vastgelegd in het beheersysteem voor software-updates (overeenkomstig VN-Reglement nr. 156 (*8)). Die voorschriften mogen niet verder gaan dan die welke gelden voor de diagnoseapparatuur van de voertuigfabrikant zelf, voor de leveranciers van de apparatuur en voor de eigen organisatie, en moeten op niet-discriminerende basis worden toegepast.

6.7.

De in punt 6.6 bedoelde gevallen van toegang omvatten onder meer de in de punten 4.3, 4.5 en 5.5 bedoelde reparatie- en onderhoudswerkzaamheden, en niet de in de punten 3.4 en 3.5 bedoelde werkzaamheden.

Inloggegevens

7.1.

Indien aan alle in de afdelingen 3, 4 en 6 bedoelde voorwaarden is voldaan, verstrekt de voertuigfabrikant de fabrikant van de diagnoseapparatuur onverwijld de inloggegevens die nodig zijn voor toegang tot de gevraagde OBD-informatie.

7.2.

Inloggegevens kunnen VIN-specifiek zijn.

7.3.

Inloggegevens moeten tot minstens dertig dagen na de datum van verstrekking geldig zijn.

7.4.

Wanneer de toegang tot OBD-gegevens een wijziging van het voertuig vergt, kan de voertuigfabrikant de geldigheid van de inloggegevens echter tot 24 uur beperken.

7.5.

De in punt 7.4 bedoelde gevallen van toegang omvatten onder meer de in de punten 3.4, 3.5, 4.3, 4.5 en 5.5 bedoelde reparatie- en onderhoudswerkzaamheden.

Machtigingscriteria en -certificaten

8.1.

In de in punt 3.2 bedoelde gevallen mag de voertuigfabrikant weigeren de inloggegevens te verstrekken indien de fabrikant van de diagnoseapparatuur die wordt gebruikt voor de toegang tot de OBD-informatie, niet officieel verklaart dat de marktdeelnemer die toegang tot de OBD-informatie wenst:

a)	een aansprakelijkheidsverzekering heeft met een minimumdekking van 1 miljoen EUR voor lichamelijk letsel en 0,5 miljoen EUR voor schade aan eigendommen;

b)	legitieme handelsactiviteiten verricht in de autosector als bedoeld in punt 6.3 van deze bijlage.

Naast de in de punten a) en b) genoemde voorwaarden voor het verstrekken van inloggegevens mag de voertuigfabrikant geen andere voorwaarden opleggen.

8.2.

In de in punt 5.4 bedoelde gevallen waarin de voertuigfabrikant de authenticatie vereist van de werknemer van de marktdeelnemer, en tenzij de fabrikant van de diagnoseapparatuur overeenkomstig de in punt 3.3 bedoelde voorwaarden officieel aan de voertuigfabrikant verklaart dat de marktdeelnemer over een systeem beschikt dat de ondubbelzinnige identificatie mogelijk maakt van de werknemer die toegang wenst, mag de voertuigfabrikant weigeren inloggegevens te verstrekken indien de fabrikant van de diagnoseapparatuur die wordt gebruikt voor de toegang tot de OBD-informatie, naast te voldoen aan de in punt 8.1 bedoelde voorwaarden, niet officieel verklaart dat de werknemer die toegang tot de OBD-informatie wenst een arbeidsovereenkomst heeft met de marktdeelnemer die toegang tot de OBD-informatie wenst, en dat de betrokken werknemer in het bezit is van een geldige, landspecifieke identiteitskaart of een gelijkwaardig document.

8.3.

Om in aanmerking te komen voor de authenticatieprocedure in het kader van dit aanhangsel, moet de fabrikant van de diagnoseapparatuur in de algemene voorwaarden van de overeenkomsten met marktdeelnemers zich ertoe hebben verbonden om op verzoek van de onafhankelijke marktdeelnemer, met het oog op het bevestigen van de naleving van de in de punten 8.1 en 8.2 bedoelde voorschriften, een certificaat als bedoeld in punt 9.2 van dit aanhangsel te aanvaarden, dat niet eerder dan zestig maanden voor het verzoek om toegang is afgegeven. Indien de marktdeelnemer echter niet vraagt om authenticatie op basis van een dergelijk certificaat, kan de fabrikant van diagnoseapparatuur er met het oog op authenticatie voor kiezen om de identiteit van de marktdeelnemer of de werknemer van de marktdeelnemer en de naleving van de machtigingscriteria met zijn eigen processen te verifiëren.

Conformiteitsbeoordelingsinstantie en trust centre

9.1.

De in de punten 3.7 en 8.3 bedoelde certificaten worden afgegeven door een in punt 2.1.6 van aanhangsel 3 bedoeld trust centre op basis van de bevindingen van een conformiteitsbeoordelingsinstantie als bedoeld in punt 4.2.2 van aanhangsel 3 met betrekking tot de in punt 9.2 bedoelde omstandigheden.

9.2.

Met het oog op de afgifte van machtigingscertificaten door een trust centre, moet de conformiteitsbeoordelingsinstantie:

a)	voldoen aan de vereisten uit hoofde van van aanhangsel 3, punt 4.3.1, a), b), d), e), f), g), h), i), k), l), n) en p), van bijlage X;

de omstandigheden als bedoeld in punt 4.3.3, d) en g), van aanhangsel 3 van bijlage X, controleren en bevestigen. In de in punt 5.4 bedoelde gevallen waarin de voertuigfabrikant de authenticatie vereist van de werknemer van de marktdeelnemer, moeten de controle en bevestiging van die omstandigheden betrekking hebben op de werknemer van de marktdeelnemer.

9.3.

Met het oog op de afgifte van de in punt 9.1 bedoelde machtigingscertificaten, moet het trust centre:

a)	voldoen aan de vereisten uit hoofde van punt 4.6 van aanhangsel 3;

b)	de fabrikant van de diagnoseapparatuur alle vereiste informatie verstrekken voor het integreren van de certificaten in zijn diagnoseapparatuur.

10.

Toegang van de voertuigfabrikant tot informatie met betrekking tot de marktdeelnemer

10.1.

De voertuigfabrikant verkrijgt, op verzoek, van de fabrikant van de diagnoseapparatuur uitsluitend toegang tot de informatie betreffende een individuele reparatie- of onderhoudsactiviteit die is vastgelegd overeenkomstig afdeling 5, voor zover dit noodzakelijk is voor het verrichten van reparatie- of onderhoudswerkzaamheden aan een individueel voertuig om:

a)	te kunnen reageren op een redelijke verdenking van ernstig misbruik met betrekking tot de toegang tot het voertuig;

b)	onderzoeken uit te voeren met betrekking tot productaansprakelijkheid en garantieaanspraken;

c)	cyberbeveiligingsincidenten of incidenten met betrekking tot het illegaal manipuleren van voorzieningen te onderzoeken, en vragen te beantwoorden van de eigenaar van het voertuig of een overheidsinstantie.

In de in de punten b) en c) bedoelde gevallen heeft deze informatie, in voorkomend geval, ook betrekking op de marktdeelnemer en/of zijn werknemer. In het geval de fabrikant van de diagnoseapparatuur voor de authenticatie gebruik heeft gemaakt van een door het trust centre afgegeven certificaat, verstrekt de desbetreffende conformiteitsbeoordelingsinstantie de vereiste informatie op basis van haar beoordeling van een gedocumenteerd verzoek van de voertuigfabrikant.

De voertuigfabrikant ziet erop toe dat de informatie betreffende een individuele reparatie- of onderhoudsactiviteit waartoe toegang is verkregen uit hoofde van de punten a), b) en c), niet voor andere doeleinden wordt gebruikt.

10.2.

In de in punt 10.1 bedoelde gevallen stelt de fabrikant van de diagnoseapparatuur de onafhankelijke marktdeelnemer en, in voorkomend geval, de werknemer van de onafhankelijke marktdeelnemer onverwijld in kennis van de toegang tot de informatie betreffende een individuele reparatie- of onderhoudsactiviteit of tot de informatie betreffende de marktdeelnemer en/of zijn werknemers.

10.3.

In de in de punten a) en c) van punt 10.1 bedoelde gevallen, en wanneer dit noodzakelijk en evenredig is voor het voorkomen van verder misbruik of het aanpakken van cyberbeveiligingsrisico’s, kan de voertuigfabrikant de toegang tot de betrokken diagnoseapparatuur tijdelijk opschorten of beperken, of van de betrokken fabrikant van de diagnoseapparatuur verlangen onmiddellijk maatregelen te nemen om de toegang tot de OBD-informatie door de betrokken marktdeelnemer, diagnoseapparatuur of werknemer met betrekking tot de voertuigen van deze fabrikant, tijdelijk te beperken.

10.4.

In uitzonderlijke gevallen kan een voertuigfabrikant in reactie op een ernstig bestaand of dreigend cyberbeveiligingsincident de toegang tot de OBD-informatie opschorten, op een zo gedetailleerd mogelijk niveau, indien dit noodzakelijk en evenredig is om op het desbetreffende incident te reageren.

10.5.

In de in de punten 10.3 en 10.4 bedoelde gevallen stelt de voertuigfabrikant de goedkeuringsinstantie tegelijkertijd in kennis van de opschorting, samen met de redenen voor de opschorting en al het relevante bewijsmateriaal. De opschorting wordt opgeheven wanneer het incident is afgehandeld of wanneer de goedkeuringsinstantie de voertuigfabrikant daarom verzoekt.

De goedkeuringsinstantie beoordeelt de gronden voor de opschorting binnen tien dagen na ontvangst van de kennisgeving en indien de opschorting duidelijk ongerechtvaardigd of onevenredig is, verzoekt zij de voertuigfabrikant of de betrokken fabrikant van diagnoseapparatuur de toegang te herstellen.

De goedkeuringsinstantie kan de voertuigfabrikant en de betrokken fabrikant van de diagnoseapparatuur te allen tijde verzoeken de toegang te herstellen indien zij van mening is dat de gronden voor de opschorting niet langer van toepassing zijn.

11.

Aan fabrikanten van diagnoseapparatuur te verstrekken informatie

11.1.

Het RMI-systeem van de voertuigfabrikant verstrekt contactgegevens en procesgerelateerde informatie over de wijze waarop de gevraagde informatie kan worden verkregen, zoals uiteengezet in de punten a), b), c) en d), wat betreft de integratie van de diagnoseapparatuur op het moment van de typegoedkeuring:

a)	contactinformatie voor technische en commerciële vragen;

b)	beschrijving van het integratieproces, met inbegrip van een indicatief tijdschema;

c)	algemene voorwaarden voor de integratie van diagnoseapparatuur door de fabrikant van de diagnoseapparatuur;

d)	schema van vergoedingen voor aan integratie gerelateerde diensten.

11.2.

Onder voorbehoud van sluiting van een geheimhoudingsovereenkomst verstrekt de voertuigfabrikant, op verzoek, de volgende informatie aan een onafhankelijke marktdeelnemer die voldoet aan de TISAX-voorschriften op het door de voertuigfabrikant overeenkomstig punt 2.5 vastgestelde niveau, of aan norm ISO 27001:

a)	ter referentie, een modelovereenkomst betreffende de integratie van beveiligingselementen, met duidelijke vermelding van de voorwaarden die in dit kader in alle overeenkomsten tussen de voertuigfabrikant en de fabrikanten van diagnoseapparatuur moeten worden opgenomen;

b)	een beschrijving van de vereisten en processen met betrekking tot de veilige integratie van de diagnoseapparatuur, met inbegrip van het indicatieve tijdschema.

11.3.

Op het moment van de sluiting van een overeenkomst betreffende de integratie van de diagnoseapparatuur stelt de voertuigfabrikant de volgende informatie en diensten ter beschikking van de fabrikant van de diagnoseapparatuur:

a)	gedetailleerde en tijdig geactualiseerde voorschriften, processen en technische specificaties voor de veilige integratie van de diagnoseapparatuur, met inbegrip van de beveiligingsmaatregelen;

b)	tegen een redelijke vergoeding, zoals uiteengezet in punt 2.3, onmiddellijke technische ondersteuning betreffende de integratie van beveiligingselementen en de verificatie van diagnoseapparatuur.

11.4.

De in punt 11.3 bedoelde beveiligingsmaatregelen gaan vergezeld van een toelichting van de redenen voor deze vereiste. In de volgende uitzonderlijke gevallen kan de voertuigfabrikant uitsluitend de noodzakelijke voorschriften verstrekken, zonder uitvoerige toelichting:

a)	door de openbaarmaking van de specifieke doelstellingen die aan het voorschrift ten grondslag liggen, zouden door eigendomsrechten beschermde informatie of handelsgeheimen in het gedrang kunnen komen, of

b)	de openbaarmaking van de motivering zou leiden tot de bekendmaking van een bredere cyberbeveiligingsstrategie die voor het behoud van de integriteit van het systeem vertrouwelijk moet blijven.

11.5.

De in de punten 11.1, 11.2 en 11.3 bedoelde informatie wordt samen met de aanvraag voor typegoedkeuring verstrekt.

12.

OBD-forum

12.1.

Het forum betreffende toegang tot voertuiginformatie (OBD-forum) is verantwoordelijk voor het coördineren en monitoren van de uitvoering van procedures voor:

a)	de authenticatie en machtiging van onafhankelijke marktdeelnemers, zoals uiteengezet in de punten 3 en 8 van dit aanhangsel, met inbegrip van de processen die de fabrikanten van diagnoseapparatuur hanteren voor de verificatie van machtigingscriteria, zoals uiteengezet in punt 3 van dit aanhangsel;

b)	het verstrekken van inloggegevens, zoals uiteengezet in punt 7 van dit aanhangsel, met inbegrip van het voldoen aan de voorschriften betreffende traceerbaarheid en connectiviteit;

c)	de openbaarmaking van de informatie betreffende toegang en de opschorting of beperking van toegang, zoals uiteengezet in punt 10 van dit aanhangsel.

12.2.

Het forum:

a)	adviseert de Commissie over de uitvoering van dit aanhangsel;

b)	adviseert de goedkeuringsinstanties over geschillen betreffende de interpretatie en uitvoering van dit aanhangsel;

adviseert de voertuigfabrikanten, fabrikanten van diagnoseapparatuur en onafhankelijke marktdeelnemers over:

i)	de interpretatie van het aanhangsel;

ii)	de praktische aspecten van de in punt 12.1 bedoelde procedures;

iii)	de richtsnoeren voor het beslechten van geschillen betreffende de uitvoering van de in punt 12.1 bedoelde procedures.

12.3.

De leden van het OBD-forum worden vertegenwoordigd door voertuigfabrikanten en onafhankelijke marktdeelnemers die zich bezighouden met de uitvoering en het gebruik van de in punt 12.1 bedoelde procedures en processen.

12.4.

Het OBD-forum gaat te werk in overeenstemming met een gemeenschappelijke juridische en organisatorische structuur, zoals het in punt 2.1.12 van aanhangsel 3 bedoelde “forum betreffende toegang tot veiligheidsgerelateerde reparatie- en onderhoudsinformatie”.

”

(*4) Verordening (EU) 2024/1257 van het Europees Parlement en de Raad van 24 april 2024 betreffende de typegoedkeuring van motorvoertuigen en motoren en van systemen, onderdelen en technische eenheden die voor dergelijke voertuigen zijn bestemd, met betrekking tot hun emissies en de duurzaamheid van batterijen (Euro 7), tot wijziging van Verordening (EU) 2018/858 van het Europees Parlement en de Raad en tot intrekking van de Verordeningen (EG) nr. 715/2007 en (EG) nr. 595/2009 van het Europees Parlement en de Raad, Verordeningen (EU) nr. 582/2011, (EU) 2017/1151 en (EU) 2017/2400 van de Commissie en Uitvoeringsverordening (EU) 2022/1362 van de Commissie (PB L, 2024/1257, 8.5.2024, ELI: http://data.europa.eu/eli/reg/2024/1257/oj)."

(*5) Reglement nr. 83 van de Economische Commissie voor Europa van de Verenigde Naties (VN/ECE) — Uniforme bepalingen voor de goedkeuring van voertuigen wat de emissie van verontreinigende stoffen naargelang de motorbrandstofvereisten betreft (PB L 42 van 15.2.2012, blz. 1, ELI: http://data.europa.eu/eli/reg/2012/83/oj)."

(*6) Reglement nr. 168 van de Economische Commissie voor Europa van de Verenigde Naties (VN/ECE) — Uniforme bepalingen betreffende de goedkeuring van lichte personen- en bedrijfsvoertuigen wat de emissies onder reële rijomstandigheden betreft [2024/211] (PB L, 2024/211, 12.1.2024, ELI: http://data.europa.eu/eli/reg/2024/211/oj)."

(*7) Verordening (EU) 2024/2847 van het Europees Parlement en de Raad van 23 oktober 2024 betreffende horizontale cyberbeveiligingsvereisten voor producten met digitale elementen en tot wijziging van Verordeningen (EU) nr. 168/2013 en (EU) 2019/1020 en Richtlijn (EU) 2020/1828 (Verordening cyberweerbaarheid) (PB L, 2024/2847, 20.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2847/oj)."

(*8) Reglement nr. 156 van de Economische Commissie voor Europa van de Verenigde Naties (VN/ECE) — Uniforme bepalingen voor de goedkeuring van motorvoertuigen wat betreft software-updates en het beheersysteem voor software-updates [2021/388] (PB L 82 van 9.3.2021, blz. 60, ELI; http://data.europa.eu/eli/reg/2021/388/oj)."

() Verordening (EU) 2024/1257 van het Europees Parlement en de Raad van 24 april 2024 betreffende de typegoedkeuring van motorvoertuigen en motoren en van systemen, onderdelen en technische eenheden die voor dergelijke voertuigen zijn bestemd, met betrekking tot hun emissies en de duurzaamheid van batterijen (Euro 7), tot wijziging van Verordening (EU) 2018/858 van het Europees Parlement en de Raad en tot intrekking van de Verordeningen (EG) nr. 715/2007 en (EG) nr. 595/2009 van het Europees Parlement en de Raad, Verordeningen (EU) nr. 582/2011, (EU) 2017/1151 en (EU) 2017/2400 van de Commissie en Uitvoeringsverordening (EU) 2022/1362 van de Commissie (PB L, 2024/1257, 8.5.2024, ELI: http://data.europa.eu/eli/reg/2024/1257/oj).

() Reglement nr. 83 van de Economische Commissie voor Europa van de Verenigde Naties (VN/ECE) — Uniforme bepalingen voor de goedkeuring van voertuigen wat de emissie van verontreinigende stoffen naargelang de motorbrandstofvereisten betreft (PB L 42 van 15.2.2012, blz. 1, ELI: http://data.europa.eu/eli/reg/2012/83/oj).

() Reglement nr. 168 van de Economische Commissie voor Europa van de Verenigde Naties (VN/ECE) — Uniforme bepalingen betreffende de goedkeuring van lichte personen- en bedrijfsvoertuigen wat de emissies onder reële rijomstandigheden betreft [2024/211] (PB L, 2024/211, 12.1.2024, ELI: http://data.europa.eu/eli/reg/2024/211/oj).

() Verordening (EU) 2024/2847 van het Europees Parlement en de Raad van 23 oktober 2024 betreffende horizontale cyberbeveiligingsvereisten voor producten met digitale elementen en tot wijziging van Verordeningen (EU) nr. 168/2013 en (EU) 2019/1020 en Richtlijn (EU) 2020/1828 (Verordening cyberweerbaarheid) (PB L, 2024/2847, 20.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2847/oj).

() Reglement nr. 156 van de Economische Commissie voor Europa van de Verenigde Naties (VN/ECE) — Uniforme bepalingen voor de goedkeuring van motorvoertuigen wat betreft software-updates en het beheersysteem voor software-updates [2021/388] (PB L 82 van 9.3.2021, blz. 60, ELI; http://data.europa.eu/eli/reg/2021/388/oj).