MOTIVERING
1.BAKGRUND TILL DEN DELEGERADE AKTEN
Enligt förordning (EU) 2018/858 ska tillverkare ge oberoende aktörer obegränsad, standardiserad och icke-diskriminerande tillgång till information från system för omborddiagnos (OBD-information), diagnosutrustning och annan utrustning samt verktyg, inbegripet fullständiga referenser till, och tillgängliga nedladdningar av, tillämplig programvara, och information om reparation och underhåll av fordon. De särskilda kraven och de tillämpliga arrangemangen för denna tillgång fastställs i bilaga X till den förordningen.
Å andra sidan kräver förordning (EU) 2019/2144 att tillverkare ska säkerställa att fordon, system, komponenter och separata tekniska enheter uppfyller de tillämpliga kraven på skydd mot cyberattacker. De relevanta kraven har införts genom kommissionens delegerade förordning (EU) 2022/1398 genom hänvisning till FN-föreskrift nr 155. I den FN-föreskriften föreskrivs dock uttryckligen att den inte påverkar regional eller nationell lagstiftning som styr behöriga parters tillgång till fordonet, dess data, funktioner och resurser samt villkoren för denna tillgång. Tillämpningen av dessa cybersäkerhetsregler kan därför inte motivera någon åtgärd som leder till någon begränsning av tillgången till OBD-information som inte uttryckligen föreskrivs i förordning (EU) 2018/858.
I sin dom i mål C-296/22, A.T.U. Auto-Teile-Unger och Carglass, av den 5 oktober 2023 bekräftade Europeiska unionens domstol denna tolkning och slog fast att fordonstillverkare inte får ställa andra villkor för tillgång till OBD-information än de som anges i förordning (EU) 2018/858. Domstolen har också bekräftat att de tekniska krav som är tillämpliga på fordons cybersäkerhet (FN-föreskrift nr 155) inte påverkar krav för typgodkännande avseende tillgång till fordonsuppgifter, såsom bilaga X till förordning (EU) 2018/858.
Den befintliga lagstiftningen hindrar fordonstillverkare från att vidta effektiva åtgärder för att skydda fordon mot cyberattacker i samband med tillgång till OBD-information. Bilaga X till den förordningen måste därför ändras för att säkerställa säker tillgång till OBD-information genom att ange de åtgärder som fordonstillverkare får vidta i detta syfte, med beaktande av de cybersäkerhetskrav som föreskrivs i förordning (EU) 2019/2144.
Dessutom bör bestämmelserna i bilaga X uppdateras och förtydligas för att ta hänsyn till den tekniska utvecklingen och särskilt för att underlätta snabbare programvaruuppdateringar av oberoende aktörer och reparation och underhåll av fordonsbatterier och fordon med avancerade förarstödsystem, samt för att säkerställa lika tillgång till OBD-information på annat sätt än genom det standardiserade anslutningsdonet. De nya åtgärderna förväntas avsevärt förbättra reparerbarheten och minska reparationskostnaderna för elfordon. Detta initiativ har tillkännagivits i den nyligen antagna handlingsplanen för Europas fordonsindustri som syftar till att påskynda användningen av utsläppsfria fordon.
2.SAMRÅD SOM FÖREGÅTT ANTAGANDET AV AKTEN
Vid utarbetandet av denna akt samrådde kommissionen med medlemsstaterna och berörda parter, inbegripet relevanta EU-organisationer för oberoende aktörer, vid mötena i arbetsgruppen för motorfordon den 17 mars 2025, den 12 juni 2025 och den 19 januari 2026.
Medlemsstaternas företrädare godkände utkastet till akt vid mötet i medlemsstaternas expertgrupp den 28 januari 2026.
I enlighet med reglerna om bättre lagstiftning offentliggjordes denna delegerade akt på portalen ”Kom med synpunkter” under en fyra veckors återkopplingsperiod mellan den 4 november 2025 och den 2 december 2025. Sammanlagt lämnade 54 berörda parter synpunkter. Kommissionen beaktade noga alla synpunkter som inkom.
3.DEN DELEGERADE AKTENS RÄTTSLIGA ASPEKTER
Den rättsliga grunden för denna delegerade akt är artikel 61.11 i förordning (EU) 2018/858.
Genom den delegerade förordningen ändras punkterna 1, 2, 6 och 7 i bilaga X för att förtydliga och specificera de informationskrav som krävs för reparation och underhåll av fordonsbatterier och avancerade förarstödsystem, kraven på utbyte av relevant information med utgivare av teknisk information. Den gör det också möjligt att omprogrammera kontrollenheterna och göra OBD-information tillgänglig på annat sätt än genom OBD-porten.
Den innehåller också ändringar av de nuvarande tilläggen 2 och 3 och inför ett nytt tillägg 4 som bland annat fastställer villkoren och förfarandena för tillämpning av säkerhetsåtgärder avseende tillgång till OBD-information.
KOMMISSIONENS DELEGERADE FÖRORDNING (EU) …/…
av den 23.3.2026
om ändring av Europaparlamentets och rådets förordning (EU) 2018/858 vad gäller standardiserad tillgång till information från system för omborddiagnos och information om reparation och underhåll samt krav och förfaranden för säker tillgång till information från system för omborddiagnos
(Text av betydelse för EES)
EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING
med beaktande av fördraget om Europeiska unionens funktionssätt,
med beaktande av Europaparlamentets och rådets förordning (EU) 2018/858 av den 30 maj 2018 om godkännande av och marknadskontroll över motorfordon och släpfordon till dessa fordon samt av system, komponenter och separata tekniska enheter som är avsedda för sådana fordon, om ändring av förordningarna (EG) nr 715/2007 och (EG) nr 595/2009 samt om upphävande av direktiv 2007/46/EG, särskilt artikel 61.11, och
av följande skäl:
(1)Enligt förordning (EU) 2018/858 måste fordonstillverkare ge oberoende aktörer obegränsad, standardiserad och icke-diskriminerande tillgång till information från system för omborddiagnos (OBD-information), diagnosutrustning och annan utrustning samt verktyg, inbegripet fullständiga referenser till, och tillgängliga nedladdningar av, tillämplig programvara, och information om reparation och underhåll av fordon.
(2)I artikel 4.5 d i Europaparlamentets och rådets förordning (EU) 2019/2144 (unionens cybersäkerhetsregler) föreskrivs att tillverkare ska uppfylla de tillämpliga kraven om skydd av fordon mot it-attacker. De tekniska krav och provningsförfaranden som antagits för detta ändamål hänvisar till kraven i FN-föreskrift nr 155.
(3)Enligt FN-föreskrift nr 155 påverkar dock inte de tekniska krav och provningsförfaranden som föreskrivs däri tillämpningen av den unionslagstiftning som styr behöriga parters tillgång till fordonet, dess data, funktioner och resurser samt villkoren för denna tillgång.
(4)Genom förordning (EU) 2018/858 hindras en fordonstillverkare från att ge oberoende aktörer tillgång till information om reparation och underhåll av fordon samt OBD-information, inbegripet skrivåtkomst till denna information, på andra villkor än de som fastställs däri, såsom de som motiveras av cybersäkerhet.
(5)Unionens rättsliga ram för cybersäkerhetsåtgärder som tillämpas avseende tillgång till OBD-information är inte fullständig. Unionens cybersäkerhetsregler kräver att tillverkarna skyddar fordon mot cyberattacker men begränsa effekten av de tekniska krav som specificerar tillämpliga åtgärder när det gäller tillgång till fordonsdata. Å andra sidan tar reglerna för tillgång till OBD-information inte tillräcklig hänsyn till cybersäkerhet. Till följd av detta ställs fordonstillverkare inför betydande rättsliga begränsningar som hindrar dem från att vidta effektiva åtgärder för att skydda fordonet mot cyberattacker i samband med tillgång till OBD-information.
(6)Det är därför nödvändigt att säkerställa att biltillverkare får vidta effektiva och proportionella cybersäkerhetsåtgärder samtidigt som de ger tillgång till OBD-information.
(7)Ökningen av cybersäkerhetshot och det därmed sammanhängande antagandet av unionsregler som ålägger fordonstillverkare att skydda fordon mot cyberattacker utgör en teknisk och regleringsmässig utveckling som motiverar sådana ändringar av bilaga X.
(8)För att göra det möjligt för tillverkare att hantera dessa hot och samtidigt upprätthålla oberoende aktörers faktiska tillgång till OBD-information bör förordning (EU) 2018/858 innehålla de villkor och förfaranden som fordonstillverkare får tillämpa för att säkerställa säker tillgång till OBD-information för oberoende aktörer.
(9)Beroende på vilken typ av tillgång som söks och dess konsekvenser bör fordonstillverkare ha rätt att kräva att tillverkare av diagnosverktyg som används för tillgång till OBD-information autentiserar diagnosverktyget och den oberoende aktör som söker tillgång eller dennes anställda och säkerställer spårbarhet genom att registrera och lagra relevant information om sådan tillgång. De bör också i särskilda fall kunna kräva anslutning till fordonstillverkarens server.
(10)För att skydda lika konkurrensvillkor bör informationen om oberoende aktörer som vill ha tillgång till OBD-information pseudonymiseras.
(11)För att göra det möjligt för fordonstillverkare att hantera beroenden, i enlighet med de tillämpliga reglerna om cybersäkerhet för fordon, bör de tillåtas att kontrollera att diagnosverktygen och deras tillverkare uppfyller relevanta cybersäkerhetsstandarder och säkerhetstillämpningar.
(12)I händelse av cybersäkerhetsincidenter, allvarlig felaktig användning eller tillbud som inbegriper fordonstillverkarens ansvar bör fordonstillverkare kunna få information om specifika fall av tillgång och tillfälligt stänga av, om så är lämpligt och under godkännandemyndighetens kontroll, tillgången för ett verktyg och en oberoende aktör eller dennes anställda.
(13)Fordonstillverkare bör tillhandahålla all nödvändig teknisk information till tillverkare av generiska diagnosverktyg i tillräckligt god tid innan ett fordon släpps ut på marknaden, så att dessa verktygstillverkare kan tillhandahålla lämpliga tjänster till oberoende reparatörer.
(14)Utöver villkoren och förfarandena för säker tillgång till OBD-information bör denna förordning ytterligare underlätta tillgången till OBD-information och information om reparation och underhåll, med beaktande av den tekniska utvecklingen.
(15)Den informationskatalog som fordonstillverkare måste göra tillgänglig bör förtydligas och uppdateras, särskilt med beaktande av behoven i samband med reparation och underhåll av fordonsbatterier och nya förarstödsystem.
(16)När fordonstillverkare, i syfte att få tillgång till OBD-information, diagnostik, reparation och underhåll, övervakning och inspektion, möjliggör tillgång till dataflödet i fordonet på annat sätt än genom att använda den seriella dataanslutning till standarduttaget, bör samma tillgång och information vara tillgänglig för alla oberoende aktörer på icke-diskriminerande villkor.
(17)Med tanke på den roll som datautgivare spelar när det gäller att underlätta reparation och underhåll av fordon bör kraven på informationsutbyte från fordonstillverkare förtydligas ytterligare.
(18)För att göra det möjligt för oberoende reparatörer att omprogrammera fordonets styrenheter på samma villkor som de som är tillgängliga för fordonstillverkare och auktoriserade reparatörer är det nödvändigt att fastställa ytterligare krav på att tillverkarna ska tillhandahålla särskild programvara eller information till oberoende tillverkare av diagnosverktyg.
(19)För att uppfylla dessa krav krävs dock att fordonstillverkarna vidtar viktiga förberedande åtgärder, och tillämpningen av dessa krav bör därför skjutas upp för att ge en lämplig ledtid.
(20)Denna förordning påverkar inte tillämpningen av Europaparlamentets och rådets direktiv (EU) 2016/679 och Europaparlamentets och rådets direktiv 2002/58/EG. Tillverkarnas skyldigheter när det gäller att ge oberoende aktörer tillgång till OBD-information enligt denna förordning ska särskilt gälla utan att de påverkar de registrerades rättigheter eller de skyldigheter som åligger fordonstillverkare, tillverkare av diagnosverktyg och oberoende aktörer enligt dessa rättsakter.
(21)Europeiska datatillsynsmannen hördes i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725 och avgav ett yttrande den 20 februari 2026.
(22)Förordning (EU) 2018/858 bör därför ändras i enlighet med detta.
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
Artikel 1
Bilaga X till förordning (EU) 2018/858 ska ändras i enlighet med bilagan till den här förordningen.
Artikel 2
Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.
Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.
Utfärdad i Bryssel den 23.3.2026
På kommissionens vägnar
Ordförande
Ursula VON DER LEYEN
BILAGA
Bilaga X till förordning (EU) 2018/858 ska ändras på följande sätt:
(1)Punkt 1 ska ersättas med följande:
”1. Inledning
I denna bilaga anges tekniska krav för tillgång till OBD-information och information om reparation och underhåll av fordon oavsett fordonets framdrivningstyp.”
(2)I punkt 2.1 ska andra meningen ersättas med följande:
”Tillverkares skyldighet att tillhandahålla information om OBD-systemet och information om reparation och underhåll av fordon på sina webbplatser i ett standardformat ska anses vara fullgjord vid överensstämmelse med del 1 ”Allmän information och definition av användningsfall”, del 2 ”Tekniska krav”, del 3 ”Funktionella krav på användargränssnitt” och del 4 ”Provning av överensstämmelse” i standarden EN ISO 18541:2021 och del 5 ”Tillämpning för tunga fordon” ”Vägfordon – Standardiserad tillgång till reparations- och underhållsinformation (RMI)” i standarden EN ISO 18541:2018.”
(3)I punkt 2.5 ska inledningsfrasen ersättas med följande:
”2.5 Information om reparation och underhåll av fordon ska omfatta följande:”
(4)Punkt 2.5.1 ska ersättas med följande:
”2.5.1 Otvetydig identifiering av det fordon och den därav följande förteckningen över fabriksmonterade tillval samt av de system, de komponenter, de separata tekniska enheter, de delar eller den utrustning som tillverkaren är ansvarig för.”
(5)Punkt 2.5.4 ska ersättas med följande:
”2.5.4 Information om system, komponenter, separata tekniska enheter, delar, utrustning och diagnos (inbegripet högsta och lägsta teoretiska mätvärden), inbegripet information om funktioner och förmågor som är nödvändiga för kalibrering och reparation av avancerade förarstödsystem eller förarstödsystem och tillhörande komponenter.”
(6)Punkt 2.5.7 ska ersättas med följande:
”2.5.7 Information som krävs för att avgöra om en programvaruuppdatering eller variantkodning är nödvändig för en specifik reparations- och underhållsåtgärd.”
(7)Följande punkt ska införas som punkt 2.5.7a.
”2.5.7a Information som krävs för identifiering av korrekt programvaruuppdatering eller variantkodning för varje system, komponent, separat teknisk enhet, del eller utrustning som kräver programvaruuppdatering.
Genom undantag från punkt 2.1 ska tillverkaren, om fastställandet av korrekt programvaruversion eller variantkodning kräver en backend-anslutning, inte vara skyldig att på webbplatsen offentliggöra den information som krävs för identifiering av korrekt programvaruuppdatering eller variantkodning för varje system, komponent, separat teknisk enhet, del eller utrustning som kräver en programvaruuppdatering. ”
(8)Punkt 2.5.8 ska ersättas med följande:
”2.5.8 Information om, och förmedlad med hjälp av, märkesskyddade verktyg och utrustning, inbegripet information om eventuella ytterligare verktyg, utrustning och användarinstruktioner som krävs för att utföra en komponent- eller systemkalibrering.”
(9)Följande punkter ska läggas till som punkterna 2.5.12 och 2.5.13:
”2.5.12 Information som tillverkarna tillhandahåller sina auktoriserade partner, återförsäljare och verkstäder eller som tillverkarna använder i syfte att utföra reparationer och underhåll och som är nödvändig för diagnos och, i tillämpliga fall, reparation av drivbatterisystem samt deras utbytbara enheter, inbegripet batterimoduler.
2.5.13 Specifik information för fordonstypen som är nödvändig för säker hantering av delar och komponenter, särskilt information som är nödvändig för att skydda mot elektriska, termiska och kemiska risker från drivbatterier som fordonstillverkaren eller dess partner har tillgång till.”
(10)Punkt 2.6.2 ska ersättas med följande:
”2.6.2 Följande information:
a) Data från den diagnostiska beskrivning som avses i punkt 3 i tillägg 2. Tillverkaren ska säkerställa att dessa data uppfyller följande krav:
i) De görs tillgängliga som elektroniska dataset som kan behandlas direkt.
ii) De är lika detaljerade som dem som används av fordonstillverkarens märkesskyddade diagnosverktyg.
iii) De har dokumenterats på ett heltäckande sätt.
b) Beskrivningar av de interaktioner som krävs utanför och inuti fordonet för att utföra reparations- och underhållsarbeten.
Fordonstillverkaren ska göra den information som avses i led a tillgänglig endast för fordonstyper för vilka typgodkännandeintyget beviljades för första gången efter den 1 september 2020. ”
(11)Följande punkt ska införas som punkt 2.6.3:
”2.6.3 Information om hur man förvärvar märkesskyddade verktyg och utrustning.”
(12)Följande punkter ska införas som punkterna 2.6a och 2.6b:
”2.6a Tillverkaren ska ge tillverkare av reparationsutrustning och generiska diagnosverktyg tillgång till all information, tekniska specifikationer och användarinstruktioner för reparation, underhåll och diagnos av avancerade förarstödsystem och förarstödsystem med diagnosverktyg.
”2.6b Den information som avses i punkterna 2.6 och 2.6a ska göras tillgänglig i enlighet med de villkor som anges av tillverkaren i enlighet med denna förordning, inbegripet betalningsvillkor eller användningsbegränsningar och avgifter som krävs i enlighet med artikel 63.1.”
(13)Punkt 2.9 ska ersättas med följande:
”2.9 I syfte att få tillgång till OBD-information och information om diagnos, reparation och underhåll, övervakning och inspektion ska fordonstillverkaren möjliggöra dubbelriktad tillgång till dataflödet i fordonet på följande sätt:
(a)Via den seriella dataanslutning till standarduttaget som anges i punkt 6.5.3 i tillägg 1 till bilaga C5 till FN-föreskrift nr 154 respektive i enlighet med punkt 4.7.3 i bilaga 9B och de referensstandarddokument som anges i tillägg 6 till den bilagan till FN-föreskrift nr 49.
(b)Via andra anordningar i fordonet som tillverkaren tillhandahåller sina auktoriserade partner, återförsäljare och verkstäder eller som tillverkaren i syfte att utföra reparationer och underhåll, inklusive Ethernet-anslutningar, icke-standardiserade stift i den standardiserade OBD-porten, programmeringsgränssnitt som används för integrering av eftermarknadstjänster och trådlösa lokala nät.
(c)Via anläggningar som tillverkaren tillhandahåller sina auktoriserade partner, återförsäljare och verkstäder eller som används av tillverkaren för att möjliggöra fjärråtkomst till OBD-information för reparation och underhåll, inbegripet övervakning och inspektion (förutsatt att övervakningen och inspektionen utförs för reparation och underhåll) eller tjänster för fjärreparation och fjärrdiagnostik.
Om fordonet är i rörelse får tillverkaren välja att göra dataflödet tillgängligt endast för skrivskyddade funktioner, på villkor att tillverkaren tillämpar samma begränsning på sina egna auktoriserade partner, återförsäljare och verkstäder.
Tillverkaren får införa villkor för tillgång till fordonets dataflöde, i den mån detta är nödvändigt och proportionellt för överensstämmelse med artikel 4.5 d och rad D4 i bilaga II till förordning (EU) 2019/2144 och artiklarna 4.7, 4.8 och 6.3 i förordning (EU) 2024/1257. För tillgång på de sätt som beskrivs i 2.9 a och b får sådana villkor inte gå utöver de villkor som tillverkaren tillåts tillämpa enligt tillägg 4 till denna bilaga.
* FN-föreskrift nr 154 – Enhetliga bestämmelser om godkännande av lätta personbilar och lätta nyttofordon med avseende på kriterieutsläpp, koldioxidutsläpp och bränsleförbrukning och/eller mätning av elenergiförbrukning och elektrisk räckvidd (WLTP) [2021/2039] (EUT L 423, 26.11.2021, s. 1, ELI:
https://eur-lex.europa.eu/eli/reg/2021/2039/oj/
).
* FN-föreskrift nr 49 – Enhetliga bestämmelser om åtgärder mot utsläpp av gas- och partikelformiga föroreningar från motorer med kompressionständning samt motorer med gnisttändning för användning i fordon [2023/64] (EUT L 14, 16.1.2023, s. 1, ELI: https://eur-lex.europa.eu/eli/reg/2023/64/oj).”
(14)Punkt 6.1 ska ersättas med följande:
”6.1
Tillverkarens skyldighet att tillhandahålla information om reparation och underhåll av fordon på sina webbplatser i ett standardformat ska anses vara fullgjord vid överensstämmelse med de delar av standarden ISO 18541-1:2021–ISO 18541-4:2021 och ISO 18541-5:2018 som avses i punkt 2.1.
De som vill ha rätt att kopiera eller återpublicera sådan information ska förhandla direkt med den berörda tillverkaren. Information för utbildningsmaterial ska också hållas tillgängligt och den kan presenteras på annat sätt än på en webbplats.
6.1.1 I syfte att offentliggöra information om reparation och underhåll ska tillverkaren göra informationen tillgänglig som filer i det format som används för direkt elektronisk behandling av de dataset som finns i dessa filer. Informationen ska vara lika detaljerad som den som används av tillverkaren i syfte att utföra reparationer och underhåll. Den ska dokumenteras för tolkningsändamål och uppdateras med den frekvens som överenskommits med den oberoende aktören. Uppdateringarna ska göras tillgängliga lika ofta och vid samma tidpunkt som för auktoriserade återförsäljare och verkstäder. Informationen ska tillhandahållas i paket som sammanställs på grundval av teknisk information klassificerad efter användningsfall, enligt vad som är tillgängligt för tillverkaren. Den information som avses i första meningen i denna punkt ska göras tillgänglig på de villkor som tillverkaren fastställer i enlighet med denna förordning, såsom betalningsvillkor, och alla kompatibla villkor eller användningsbegränsningar och avgifter som krävs i enlighet med artikel 63.1 i denna förordning. Informationspaket som definieras på grundval av kriterier som återspeglar informationskraven för användningsfallen 5.1.1, 5.1.2, 5.2, 5.3, 5.4, 5.5, 5.7, 5.8, 5.9, 8 och 11 i standarden ISO 18541-1:2021 ska förutsättas uppfylla kraven.
Tillverkaren ska från och med den [Publikationsbyrån: för in datum = 12 månader efter denna förordnings ikraftträdande] endast tillhandahålla informationspaket som definieras på grundval av kriterier som återspeglar de informationskrav som krävs för användningsfallen 5.3 och 5.4 i ISO 18541-1:2021 och som endast är tillgängliga per fordonsidentifieringsnummer (VIN) om en oberoende reparatör begär detta via ett programmeringsgränssnitt (API). I sådana fall ska den oberoende reparatören lämna in en VIN-specifik begäran till tillverkaren genom en tredje part som agerar på grundval av ett avtal med tillverkaren.
Om informationspaketen definieras på grundval av kriterier som återspeglar informationskraven för användningsfall 8 i ISO 18541-1:2021 ska tillverkaren tillhandahålla en sådan tredje part, från och med den [Publikationsbyrån: för in datum = 12 månader efter denna förordnings ikraftträdande], ett API som gör det möjligt för den oberoende reparatören att se och uppdatera den elektroniska underhållshistoriken med förbehåll för de ytterligare villkor som anges i den ISO-standarden och, i förekommande fall, tillverkarens villkor och processer som används för att erhålla kundsamtycke. Tillverkaren ska göra detta enligt samma eller likvärdiga processer och informationskrav enligt vad som anges på tillverkarens webbplats för information om reparation och underhåll. I sådana fall får den oberoende reparatören, med kundens samtycke, översända en begäran om uppdatering av reparations- eller underhållsregister till tillverkaren genom en tredje part som agerar på grundval av ett avtal med tillverkaren. Ett certifikat som överensstämmer med Internationella teleunionens rekommendation ITU-T X.509 får användas för att verifiera den oberoende reparatörens identitet.
Tillgång till sådana API:er, inbegripet för uppdatering av poster i den elektroniska underhållshistoriken, ska omfattas av artikel 63.1.
Informationen ska struktureras på ett sådant sätt att det senare är möjligt att söka efter och filtrera informationen i paketet efter klassificeringskriterier för modelltyp och andra klassificeringskriterier som används av fordonstillverkarens eget nätverk.
6.1.2 Information om alla delar av fordonet som fordonet, såsom det identifieras genom fordonets VIN och eventuella ytterligare kriterier, t.ex. hjulbas, motorstyrka, utförande eller tillbehör, utrustats med av fordonstillverkaren och som kan ersättas av reservdelar som fordonstillverkaren tillhandahåller sina auktoriserade återförsäljare eller verkstäder eller tredje part genom en hänvisning till originaldelarnas nummer, ska finnas tillgänglig, i form av maskinläsbara dataset som kan behandlas elektroniskt, i en databas som ska vara lättåtkomlig för oberoende aktörer.
Denna databas ska innehålla fordonets VIN, originaldelarnas nummer, originaldelarnas namn, giltighetsuppgifter (datum för giltighetens början och slut), monteringsuppgifter och, i tillämpliga fall, strukturegenskaper.
Informationen i databasen ska uppdateras regelbundet. Om informationen är tillgänglig för auktoriserade återförsäljare ska uppdateringarna inbegripa alla ändringar av enskilda fordon efter tillverkningen av dem.”
(15)Punkt 6.2.2 ska ersättas med följande:
”6.2.2. Standarden https//ssl-tls (RFC5246) eller någon annan standard som ersätter denna standard ska användas.”
(16)Punkt 6.2.3 ska ersättas med följande:
”6.2.3 Säkerhetscertifikat enligt internationell standard ISO/IEC 9594-8:2020 ska användas för ömsesidig autentisering av oberoende aktörer och tillverkare.”
(17)Punkt 6.4 ska ersättas med följande:
”
6.4 Omprogrammering av styrenheter, variantkodning och aktivering av reservdelar ska utföras med hjälp av icke immaterialrättsligt skyddad maskinvara, oberoende av tillverkarens maskinvara, i enlighet med något av följande:
a) ISO 22900-2.
b) SAE J2534-1.
c) SAE J2534-2.
d) TMC RP1210B.
e) SOVD-standard ISO/DIS 17978-1.
Vid användning av Ethernet ska omprogrammering av styrenheter, variantkodning och aktivering av reservdelar utföras i enlighet med antingen ISO 22900-2 eller J2534-2.
För att validera kompatibiliteten mellan en tillverkarspecifik applikation och fordonets kommunikationsgränssnitt(VCI), som överensstämmer med internationell standard ISO 22900-2, SAE J2534-1, SAE J2534-2 eller TMC RP1210B, ska tillverkaren erbjuda antingen validering av gränssnitt som utvecklats oberoende, eller uppgifter och utlåning av särskild maskinvara som krävs för att en gränssnittstillverkare själv ska kunna göra en sådan validering.
Tillverkaren får ta ut rimliga och proportionella avgifter för sådan validering eller information och maskinvara. Dessa avgifter får inte avskräcka från användning av sådan validering eller uppgifter och maskinvara.”
(18)Följande punkt ska införas som punkt 6.4a.
”6.4a Från och med den [Publikationsbyrån: för in datum = 6 månader efter denna förordnings ikraftträdande] ska fordonstillverkaren för oberoende tillverkare av diagnosverktyg göra tillgänglig någon av följande programvaror eller uppgifter för fordonstyper för vilken typgodkännandeintyget först beviljades efter den 1 september 2020:
a) Gränssnitt för programvara eller webbtjänster till oberoende tillverkare av diagnosverktyg för integrering, som möjliggör variantkodning, sammankoppling med ett fordon av en originalersättningsdel (inklusive programvaru- och maskinvarukompatibel (enligt fordonstillverkarens definition) återtillverkad eller återanvänd del) eller en ersättningsdel som godkänts av fordonstillverkaren, samt omprogrammering av styrenheter med ett fordons originalprogramvara enligt fordonstillverkarens anvisningar.
b) Den information, de processer och de resurser som krävs för att genomföra variantkodning och omprogrammering i den oberoende diagnosverktygstillverkarens oberoende diagnosverktyg.
Genom undantag från den tidsfrist som anges i första meningen i denna punkt ska fordonstillverkaren dock tillhandahålla den programvara eller information som avses i leden a och b från och med följande datum:
i)[Publikationsbyrån: infoga datum 12 månader efter denna förordnings ikraftträdande] med avseende på fordon för vilka typgodkännandet beviljades för första gången efter den 1 september 2020 men före den 6 juli 2022.
ii)[Publikationsbyrån: infoga datum 24 månader efter denna förordnings ikraftträdande] för åtgärder som inbegriper eller är beroende av att programvaruuppdateringar utförs.”
(19)Följande punkt ska införas som punkt 6.4b.
”6.4b Fram till dess att fordonstillverkaren tillhandahåller den programvara eller information för fordonstyp som avses i punkt 6.4a och under en period av två år efter det datumet, ska leverantörer av fjärrtjänsters användning av fordonstillverkarens diagnostiska maskinvara och diagnostiska programvara som avses i punkt 1.2 i tillägg 4 avseende omprogrammering, variantkodning eller aktivering av delar omfattas av samma avgifter och betalningsvillkor som de som gäller för oberoende reparatörer, oavsett om diagnosverktygen används på distans.
Dessutom ska fordonstillverkaren dela följande information med de tillverkare av diagnosverktyg som så önskar så snart den finns tillgänglig:
(a)Den information som krävs för att upprätta ett API mellan den berörda fordonstillverkarens och diagnosverktygstillverkarnas system
(1)senast den [Publikationsbyrån: infoga datum 12 månader efter denna förordnings ikraftträdande] för åtgärder som inbegriper eller är beroende av att programvaruuppdateringar utförs och
(2)för andra åtgärder senast den [ Publikationsbyrån: infoga datum 3 månader efter denna förordnings ikraftträdande], eller
(3)när det gäller fordon för vilka typgodkännandet beviljades för första gången före den 6 juli 2022, senast den [Publikationsbyrån: infoga datum 6 månader efter denna förordnings ikraftträdande].
(b)Den information som krävs för provning av uppdateringsfunktionen och interaktionen med maskinvaran senast den [Publikationsbyrån: infoga datum 18 månader efter denna förordnings ikraftträdande] för åtgärder som inbegriper eller är beroende av att programvaruuppdateringar utförs.”
(20)Följande punkt ska införas som punkt 6.4c.
”6.4c Frikoppling av komponenter, separata tekniska enheter, delar och utrustning, med undantag för dem som ursprungligen konstruerats för att inte vara frikopplade, ska göras i enlighet med den process som anges i denna punkt. En sådan frikoppling ska inte omfattas av några andra villkor än de som avses i denna punkt.
Tillverkaren ska införa en process för frikoppling av komponenter, separata tekniska enheter, delar och utrustning. För installation av en återanvänd komponent, separat teknisk enhet, del eller utrustning får fordonstillverkarens definierade processer omfatta ett krav på att tillhandahålla den unika identifierare (inbegripet, i förekommande fall, en enhets serienummer) för den berörda komponenten, separata tekniska enheten, delen eller utrustningen och fordonets VIN, samt ett krav på att inhämta ett samtycke från fordonets ägare eller leasingtagare, om dessa är identifierbara. Om ett samtycke krävs får det lämnas asynkront från det att den aktuella delen avmonteras.
Vid återtillverkning i en industriell process där en utsliten eller defekt komponent, separat teknisk enhet, del eller utrustning återställs till sin ursprungliga specifikation ska det inte krävas något VIN för fordonet för att frikopplas från originalfordonet. I sådana fall får det krävas en unik identifierare för komponenten och samtycke från fordonets ägare eller leasetagare, om de kan identifieras.
Alla oberoende aktörer, inbegripet återtillverkning och renovering, som autentiserats i enlighet med kraven i tillägg 4 ska ha lika tillgång till dessa processer.
Vid autentisering av en sådan aktör, där fordonstillverkarens process för frikoppling ska slutföras på dess plattformar utanför fordonet, ska autentiseringsinformation som utfärdats i enlighet med punkt 9.2 i tillägg 4, eller de som används för åtkomst till fordonstillverkarens webbplats för information om reparation och underhåll, godtas.”
(21)Punkterna 7.2 och 7.3 ska utgå.
(22)Punkt 7.4 ska ersättas med följande:
”7.4 Godkännandemyndigheten får på grundval av ett ifyllt intyg om tillgång till OBD-information och information om reparation och underhåll av fordon förutsätta att tillverkaren har infört tillfredsställande rutiner och förfaranden för tillgång till OBD-information och information om reparation och underhåll av fordonet, förutsatt att inga klagomål har inkommit.”
(23)Följande punkt ska läggas till som punkt 7.5:
”7.5 OBD-information och information om reparation och underhåll av fordon ska lämnas till oberoende aktörer senast den dag då fordonet släpps ut på marknaden.”
(24)I tillägg 2 ska punkt 3 ersättas med följande:
”3. Information som krävs för tillverkning av diagnosverktyg
För att underlätta tillhandahållandet av generiska diagnosverktyg till reparatörer som hanterar flera fabrikat, ska fordonstillverkaren tillhandahålla de upplysningar som avses i punkterna 3.1, 3.2 och 3.3. Upplysningarna ska omfatta alla funktioner hos diagnosverktyg och alla länkar till reparationsinformation och felsökningsinstruktioner. Tillgången till denna information får avgiftsbeläggas i rimlig utsträckning.”
(25)Tillägg 3 ska ändras på följande sätt:
(a)I punkt 2 ska följande punkter läggas till som punkterna 2.1.14 och 2.1.15:
”2.1.14 Leverantör av fjärrtjänster (RSS)
leverantör av fjärrtjänster: en tjänsteleverantör som på distans programmerar, installerar eller aktiverar delar och utrustning i ett fordon åt den oberoende aktören inom ramen för dess Sermi-relaterade verksamhet.”
2.1.15 ”Anställd hos leverantör av fjärrtjänster
anställd hos leverantör av fjärrtjänster: en anställd hos en godkänd leverantör av fjärrtjänster som, efter att tillstånd beviljats av organet för bedömning av överensstämmelse, får tillgång till säkerhetsrelaterad information om reparation och underhåll.”
(b)I punkt 3 ska de tredje och fjärde styckena ersättas med följande:
”Oberoende aktörer som önskar erhålla säkerhetsrelaterad information om reparation och underhåll ska erhålla ett inspektionsintyg om godkännande från ett ackrediterat organ för bedömning av överensstämmelse.
Anställda hos oberoende aktörer som hanterar säkerhetsrelaterad information om reparation och underhåll ska erhålla ett inspektionsintyg om tillstånd från ett ackrediterat organ för bedömning av överensstämmelse.”
(c)I punkt 4.1.1 ska följande led f läggas till:
”f) Sermi ska förvalta en förteckning över sanktionerade tolkningar som uteslutande ska användas för att tolka systemet.”
(d)Följande punkt ska läggas till som punkt 4.4.2:
”4.4.2 Leverantörer av fjärrtjänster ska omfattas av de ansvarsområden och krav som fastställs i punkt 4.4.1.”
(e)Följande punkt ska läggas till som punkt 4.5.2:
”4.5.2 Anställd hos leverantör av fjärrtjänster ska omfattas av de ansvarsområden och krav som fastställs i punkt 4.5.1.”
(26)Följande tillägg ska läggas till som tillägg 4:
”Tillägg 4
Villkor och förfarande för tillgång till OBD-information
1.
Tillämpningsområde
1.1
Detta tillägg innehåller de villkor för tillgång som tillverkaren endast ska tillåtas att fastställa och de förfaranden som fordonstillverkaren ska tillämpa eller endast ska tillåtas att kräva att andra parter tillämpar, i samband med genomförandet av de säkerhetsåtgärder för tillgång till OBD-information som avses i punkt 2.9 a och b i denna bilaga.
1.2
Hänvisningar i detta tillägg till oberoende aktörer eller till tillverkarens auktoriserade partner, återförsäljare och verkstäder samt till en fordonstillverkare som agerar i syfte att utföra reparationer och underhåll ska omfatta personer eller aktörer som agerar på deras vägnar, såsom en tjänsteleverantör som på distans programmerar, installerar eller aktiverar delar och utrustning i ett fordon åt den oberoende aktören (leverantörer av fjärrtjänster).
2.
Tillverkarens förpliktelser
2.1
Fordonstillverkaren ska ansvara för att säkerställa att alla tekniska förutsättningar för tillämpningen av de förfaranden som avses i detta tillägg föreligger, inbegripet åtkomstuppgifter såsom intyg eller programvarutoken och nödvändiga arrangemang med tillverkare av diagnosverktyg.
2.2
Fordonstillverkaren ska visa för godkännandemyndigheten att fordonet är konstruerat för att möjliggöra tillgång till OBD-information, i enlighet med kraven i detta tillägg, med hjälp av diagnosverktyg för flera märken.
2.3
Fordonstillverkaren ska förse tillverkarna av diagnosverktyg med den information som avses i punkt 11 i detta tillägg.
2.4
Fordonstillverkaren ska säkerställa att dess server som används för att ge tillgång enligt punkt 2.9 i denna bilaga ger oberoende aktörer, på ett icke-diskriminerande sätt, samma tillgänglighet till och prestanda hos informationssystemet som den ger fordonstillverkarens auktoriserade partner, återförsäljare och verkstäder eller fordonstillverkaren som använder servern i detta syfte.
Fordonstillverkaren ska säkerställa att servrar som används för att möjliggöra tillgång enligt punkt 2.9 i denna bilaga är tillgängliga utan avbrott, utom under exceptionella och oförutsebara omständigheter som ligger utanför fordonstillverkarens kontroll och som inte beror på försummelse från tillverkarens sida, eller som krävs för underhåll av informationssystemet. Vid underhåll får den period då servern är otillgänglig inte överstiga underhållsperioden för någon annan server som tillverkaren använder för att möjliggöra tillgång för de ändamål som avses i punkt 2.9 i denna bilaga. Informationen om det planerade underhållet ska göras tillgänglig för tillverkarna av diagnosverktyg i tillräckligt god tid.
Fordonstillverkaren ska på begäran göra årlig statistik över servertillgänglighet tillgänglig för godkännandemyndigheten. Om servern inte är tillgänglig ska fordonstillverkaren omedelbart rapportera detta till det OBD-forum som definieras i punkt 12.
2.5
Fordonstillverkaren får inte begränsa tillgången till OBD-information utöver de begränsningar som anges i detta tillägg om inte annat uttryckligen anges i denna förordning. Fordonstillverkaren får inte heller begränsa oberoende aktörers tillgång till OBD-information utöver de begränsningar som gäller för tillverkarens auktoriserade partner, återförsäljare och verkstäder eller för fordonstillverkaren själv när denne får tillgång till OBD-information i syfte att utföra reparationer och underhåll.
2.6
Fordonstillverkaren ska säkerställa att de cybersäkerhetsåtgärder som genomförs, inbegripet de kompatibilitetskrav som avses i punkt 6.2, inte leder till att tillgången till OBD-information enligt detta tillägg begränsas eller hindras utöver vad som är nödvändigt och proportionellt för att uppfylla kraven i artikel 4.5 d och rad D4 i bilaga II till förordning (EU) 2019/2144. Sådana åtgärder får hantera framtida risker och hot om fordonstillverkaren kan påvisa deras inverkan och sannolikhet.
2.7
De åtgärder som fordonstillverkaren vidtar för att förhindra manipulering av utsläpp och bedrägerier med vägmätare får inte begränsa eller hindra tillgången till OBD-information utöver vad som är nödvändigt och proportionellt för att uppfylla kraven i artiklarna 4.7 och 4.8 i förordning (EU) 2024/1257.
3.
Autentisering
3.1
Fordonstillverkaren får, som ett villkor för utfärdande av åtkomstuppgifter, kräva autentisering av tillverkaren av diagnosverktyget och det diagnosverktyg som används, med undantag för följande reparations- eller underhållsåtgärder:
a)
Avläsning av diagnostiska felkoder.
b)
Avläsning av fordonets VIN.
c)
Avläsning av data och radering av diagnostiska felkoder där obegränsad tillgång med hjälp av ett generiskt avsökningsverktyg eller OBD-avsökningsverktyg antingen krävs enligt förordning (EU) 2017/1151 eller förordning (EU) 2024/1257, eller föreskrivs i FN-föreskrift nr 49, FN-föreskrift nr 83*, FN-föreskrift nr 168** eller FN-föreskrift nr 154.
3.2
När tillgång till OBD-information innebär ändringar av fordonet får fordonstillverkaren, som ett villkor för utfärdande av åtkomstuppgifter, kräva autentisering av aktören. När det gäller anordningar som används för övervakningsändamål, där data endast läses och rapporteras autonomt till diagnosverktygstillverkarens server utan någon mänsklig interaktion, får fordonstillverkaren inte kräva autentisering av aktören.
3.3
Om tillgången till OBD-information inbegriper en ändring av fordonets programvara eller av programvarans konfiguration/parametrar som består av omprogrammering av fordonets programvarukod, vilket leder till en ändring av fordonets avsedda beteende och kvarstår efter reparations- och underhållsåtgärden, så att ändringen endast kan upphävas eller skrivas över genom en likvärdig åtgärd, får fordonstillverkaren kräva att den anställde hos den aktör som söker tillgång till OBD-information autentiseras, såvida inte tillverkaren av diagnosverktyget intygar för fordonstillverkaren att aktören, på grundval av resultatet av en oberoende revision som utförts tidigast tre år före begäran, har ett system som gör det möjligt att otvetydigt identifiera den anställde som söker sådan tillgång.
3.4
De fall av tillgång som avses i punkt 3.2 ska omfatta sådana reparations- eller underhållsåtgärden som aktivering av styrdon och rutiner för funktionsprovning, radering av diagnostiska felkoder, återställning av serviceindikatorer, återställning av parametrar för adaptiv inlärning och utbyte av delar, inbegripet initiering av icke-smarta komponenter och avläsning av data per identifierare, såvida de inte används för periodisk teknisk inspektion med värden som motsvarar de värden som definieras i bilaga B till ISO 20730-3, förutsatt att dessa värden finns tillgängliga i fordonet.
3.5
De fall av tillgång som avses i punkt 3.2 ska omfatta kalibrering, dvs. en process för att justera eller anpassa fordonets programvaru- och maskinvaruparametrar enligt vad som föreskrivs av fordonstillverkaren och utan variantkodning eller ändring av fordonets programvara.
3.6
För den autentisering som avses i punkterna 3.1–3.3 får fordonstillverkaren kräva att tillverkaren av det verktyg som används för att få tillgång till OBD-informationen intygar följande för fordonstillverkaren:
a)
Diagnosverktygets identitet.
b)
Om tillgången till OBD-information innebär ändringar av det fordon som avses i punkt 3.2, diagnosverktygets identitet och aktörens pseudonymiserade identitet samt aktörens efterlevnad av de tillståndskrav som avses i punkt 8.1.
c) Om tillgången till OBD-information inbegriper en ändring av fordonets programvara eller av programvarans konfiguration/parametrar som består av omprogrammering av fordonets programvarukod, vilket leder till en ändring av fordonets avsedda beteende och kvarstår efter reparations- och underhållsåtgärden, så att ändringen endast kan upphävas eller skrivas över genom en likvärdig åtgärd enligt punkt 3.3, den pseudonymiserade identiteten för den anställda hos aktören och den anställdes efterlevnad av de tillståndskrav som avses i punkt 8.2.
3.7
I de fall som avses i punkt 3.6 b och c, ska identiteten av aktören och, om så är relevant, aktörens anställda och deras efterlevnad av de tillståndskrav som avses i punkterna 8.1 och 8.2 verifieras av tillverkaren av det diagnosverktyg som används för att få tillgång till OBD-informationen eller fastställas på grundval av ett sådant tillståndsintyg som avses i punkt 9.2.
3.8
Fordonstillverkaren får inte ta ut avgifter för att möjliggöra den tillgång som avses i punkt 2.9 i bilaga X. Fordonstillverkaren får dock ta ut motiverade och proportionella avgifter för användningen av den fjärrutrustning som avses i punkt 2.9 c.
4.
Anslutningskrav
4.1
Med undantag för de fall av tillgång som avses i punkt 3.1 a–c får fordonstillverkaren kräva en engångsanslutning online från diagnosverktyget via diagnosverktygstillverkarens server till fordonstillverkarens server för att få åtkomstuppgifter. Efter tillhandahållandet av åtkomstuppgifter för tillgång ska tillgång inte kräva någon online-anslutning.
4.2
Om tillgången till OBD-information inbegriper en ändring av fordonets programvara eller av programvarans konfiguration/parametrar, vilket leder till en ändring av fordonets avsedda beteende och kvarstår efter reparations- och underhållsåtgärden, så att ändringen endast kan upphävas eller skrivas över genom en likvärdig åtgärd, får fordonstillverkaren vid tidpunkten för reparationen kräva en kontinuerlig online-anslutning från diagnosverktyget till diagnosverktygstillverkarens server samt från tillverkaren av diagnosverktyget till fordonstillverkarens server.
4.3
De fall av tillgång som avses i punkt 4.2 ska inbegripa följande:
a) reparations- eller underhållsåtgärden såsom upprättande av en ersättningskomponent och kundpreferenser, identifiering av en elektronisk styrenhet och variantkodning, initiering av en elektronisk styrenhet och en komponent, variantkodning vid utbyte av befintliga komponenter och variantkodning vid tillägg av en ny komponent,
b) reparations- eller underhållsåtgärden som avses i punkt 5.5.
4.4
De fall av tillgång som avses i punkt 4.2 ska inte omfatta de reparations- eller underhållsåtgärder som räknas upp i punkterna 3.4 och 3.5.
4.5
Genom undantag från punkt 4.4 ska de fall av tillgång som avses i punkt 4.2 omfatta reparations- eller underhållsåtgärder som avses i punkt 3.5 om det är nödvändigt för att validera kalibreringsvärden som omfattas av lagstadgade krav eller om kalibreringen inte kan slutföras utan specifika data för enskilda komponenter eller separata tekniska enheter som krävs för att slutföra reparationsprocessen och hämtas från tillverkarens server inom ramen för en variantkodningsprocess.
5.
Spårbarhetskrav
5.1
Med undantag för de fall av tillgång som avses i punkt 3.1 a–c får fordonstillverkaren kräva att tillverkaren av diagnosverktyget samlar in och lagrar fordonets VIN och den unika identifieraren för diagnosverktyget.
5.2
Om tillgången till OBD-information innebär ändringar av fordonet får fordonstillverkaren begära att tillverkaren av diagnosverktyget samlar in och lagrar information om alla utförda diagnostiska arbeten (t.ex. service-ID och underfunktion) och använda parametrar/attribut samt UTC-tidsstämplar för varje interaktion med fordonet.
5.3
De fall av tillgång som avses i punkt 5.2 ska omfatta de reparations- eller underhållsåtgärder som räknas upp i punkterna 3.4, 3.5, 4.3 och 4.5.
5.4
Om tillgången till OBD-information inbegriper en ändring av fordonets programvara eller av programvarans konfiguration/parametrar som består av omprogrammering av fordonets programvarukod, vilket leder till en ändring av fordonets avsedda beteende och kvarstår efter reparations- och underhållsåtgärden, så att ändringen endast kan upphävas eller skrivas över genom en likvärdig åtgärd, får fordonstillverkaren begära att tillverkaren av diagnosverktyget samlar in och tillhandahåller resultaten av inspektionen av fordonets nättopologi, fordonets ursprungliga tillstånd vid anslutningen, inklusive maskinvaru-/programvaruversioner av alla elektroniska styrenheter som är installerade i fordonet, resultaten av all modulinteraktion och alla rutiner som körts (t.ex. returparametrar) och resultaten av den slutliga fordonskontrollen efter reparation.
5.5
De fall av tillgång som avses i punkt 5.4 ska omfatta sådana reparations- eller underhållsåtgärder som att koppla samman en originalersättningsdel (inklusive programvaru- och hårdvarukompatibel (enligt fordonstillverkarens definition) återtillverkad eller återanvänd del) eller en fordonstillverkares auktoriserade ersättningsdel med ett fordon med hjälp av ett oberoende diagnosverktyg och omprogrammering av en modul med hjälp av originalprogramvara för fordonet och programvara för programmering för originalutrustning i enlighet med fordonstillverkarens anvisningar. Den ska också omfatta fall av frikoppling eller avregistrering av en del från ett fordon.
5.6
De fall av tillgång som avses i punkt 5.4 ska inte omfatta de reparations- eller underhållsåtgärder som räknas upp i punkterna 3.4, 3.5, 4.3 och 4.5.
6.
Cybersäkerhetskrav för diagnosverktyg
6.1
Med undantag för de fall av tillgång som avses i punkt 3.1 a–c får fordonstillverkaren kräva att det diagnosverktyg som används för att få tillgång till OBD-informationen uppfyller de relevanta kraven i förordning (EU) 2024/2847 och att tillverkaren av diagnosverktyget följer antingen TISAX (Trusted Information Security Assessment Exchange), upp till den nivå som anges av fordonstillverkaren i enlighet med punkt 2.5, eller ISO 27001.
6.2
Om tillgång till OBD-information innebär ändringar av det fordon som avses i punkt 3.2 får fordonstillverkaren kräva att det diagnosverktyg som används för att få tillgång till OBD-informationen och tillverkaren av diagnosverktyget uppfyller kraven i fordonstillverkarens säkerhetsåtgärder.
6.3
Kraven i fordonstillverkarens säkerhetsåtgärder får inte gå utöver de krav som ställs på fordonstillverkarens egna diagnosverktyg, verktygsleverantörer och egna organisation och ska tillämpas på ett icke-diskriminerande sätt.
6.4
Fordonstillverkaren får kräva att tillverkaren av diagnosverktyget utför provningar för att kontrollera att diagnosverktyget uppfyller de angivna kraven. Ett servicenivåavtal ska säkerställa att kontroller av resultaten av dessa provningar som utförs av fordonstillverkaren görs i god tid. Om det inte bekräftas att en tillverkare av diagnosverktyg uppfyller kraven i detta avsnitt ska fordonstillverkaren tydligt ange skälen till att kraven inte uppfylls, tillsammans med de åtgärder som tillverkaren av diagnosverktyget ska genomföra.
6.5
De fall av tillgång som avses i punkt 6.2 ska omfatta de reparations- eller underhållsåtgärder som räknas upp i punkterna 3.4 och 3.5.
6.6
Om tillgången till OBD-information inbegriper en ändring av fordonets programvara eller av programvarans konfiguration/parametrar, vilket leder till en ändring av fordonets avsedda beteende och kvarstår efter reparations- och underhållsåtgärder, så att ändringen endast kan upphävas eller skrivas över genom en likvärdig åtgärd, får fordonstillverkaren kräva att det diagnosverktyg som används för att få tillgång till OBD-informationen och tillverkaren av diagnosverktyget uppfyller de relevanta kraven i fordonstillverkarens ledningssystem för programvaruuppdateringar (enligt definitionen i FN-föreskrift nr 156***). Dessa krav får inte gå utöver de krav som ställs på fordonstillverkarens egna diagnosverktyg, verktygsleverantörer och egna organisation och ska tillämpas på ett icke-diskriminerande sätt.
6.7
De fall av tillgång som avses i punkt 6.6 ska omfatta de reparations- eller underhållsåtgärder som räknas upp i punkterna 4.3, 4.5 och 5.5 och ska inte omfatta de som avses i punkterna 3.4 och 3.5.
7.
Åtkomstuppgifter
7.1
Om alla villkor som avses i avsnitten 3, 4 och 6 är uppfyllda ska fordonstillverkaren utan dröjsmål förse tillverkaren av diagnosverktyget med tillräckliga åtkomstuppgifter för att möjliggöra tillgång till den OBD-information som krävs.
7.2
Åtkomstuppgifterna får vara specifika för fordonets VIN.
7.3
Åtkomstuppgifterna ska vara giltiga i minst 30 dagar från den tidpunkt då de tillhandahålls.
7.4
Om tillgång till OBD-information innebär en ändring av fordonet får fordonstillverkaren dock begränsa åtkomstuppgifternas giltighet till 24 timmar.
7.5
De fall av tillgång som avses i punkt 7.4 ska omfatta de reparations- eller underhållsåtgärder som räknas upp i punkterna 3.4, 3.5, 4.3, 4.5 och 5.5.
8.
Tillståndskriterier och tillståndsintyg
8.1
I de fall som avses i punkt 3.2 får fordonstillverkaren vägra att utfärda åtkomstuppgifter om tillverkaren av det diagnosverktyg som används för att få tillgång till OBD-informationen inte intygar att den aktör som begär tillgång till OBD-information
a)
har en giltig ansvarsförsäkring med ett försäkringsbelopp på minst 1 miljon euro för kroppsskador och 0,5 miljoner euro för skador på egendom,
b)
bedriver laglig affärsverksamhet inom fordonssektorn enligt punkt 6.3 i denna bilaga.
Fordonstillverkaren får inte införa några andra villkor för utfärdande av åtkomstuppgifter än de som anges i leden a och b.
8.2
I de fall som avses i punkt 5.4, där fordonstillverkaren kräver autentisering av den anställde hos aktören och såvida inte tillverkaren av diagnosverktyget, i enlighet med villkoren i punkt 3.3, intygar för fordonstillverkaren att aktören har ett system som möjliggör otvetydig identifiering av den anställde som begär sådan tillgång, får fordonstillverkaren vägra att utfärda åtkomstuppgifter om tillverkaren av det diagnosverktyg som används för att få tillgång till OBD-informationen inte, utöver de villkor som avses i punkt 8.1, intygar att den anställde som begär tillgång till OBD-information har ett anställningsavtal med den aktör som begär tillgång till OBD-information och att den berörda anställde har ett giltigt landsspecifikt identitetskort eller en likvärdig handling.
8.3
För att vara berättigad till autentiseringsförfarandet enligt detta tillägg ska tillverkaren av diagnosverktyget i de allmänna villkoren i avtal med aktörer ha åtagit sig att på begäran av den oberoende aktören, i syfte att intyga överensstämmelse med de krav som avses i punkterna 8.1 och 8.2, godta ett intyg som avses i punkt 9.2 i detta tillägg och som utfärdats tidigast 60 månader före begäran om tillgång. Om aktören inte begär autentisering på grundval av ett sådant intyg får dock tillverkaren av diagnosverktyget för autentisering välja att kontrollera identiteten på aktören eller aktörens anställda och överensstämmelsen med tillståndskriterierna genom sina egna processer.
9.
Organ för bedömning av överensstämmelse och säkerhetscenter
9.1
De intyg som avses i punkterna 3.7 och 8.3 ska utfärdas av ett sådant säkerhetscenter som avses i punkt 2.1.6 i tillägg 3 på grundval av resultaten från ett sådant organ för bedömning av överensstämmelse som avses i punkt 4.2.2 i tillägg 3 med avseende på de omständigheter som avses i punkt 9.2.
9.2
För att ett säkerhetscenter ska kunna utfärda tillståndsintyg ska organet för bedömning av överensstämmelse
a)
uppfylla de krav som avses i punkt 4.3.1 a, b, d, e, f, g, h, i, k, l, n och p i tillägg 3 till bilaga X,
b)
inspektera och bekräfta de omständigheter som avses i punkt 4.3.3 d och g i tillägg 3 till bilaga X. I de fall som avses i punkt 5.4, där fordonstillverkaren kräver autentisering av aktörens anställda, ska kontrollen och bekräftelsen av dessa omständigheter avse aktörens anställda.
9.3
För utfärdande av tillståndsintyg i de fall som avses i punkt 9.1 ska säkerhetscentret
a)
uppfylla kraven i punkt 4.6 i tillägg 3,
b)
förse tillverkaren av diagnosverktyget med all information som krävs för att integrera intygen i sina diagnosverktyg.
10.
Fordonstillverkarens tillgång till information om aktören.
10.1 Fordonstillverkaren ska på begäran från tillverkaren av diagnosverktyget få tillgång till information om en enskild reparations- eller underhållsåtgärd som registrerats i enlighet med avsnitt 5 endast om detta är nödvändigt i samband med reparations- eller underhållsarbete som utförts på ett enskilt fordon för att
a)
reagera på en rimlig misstanke om allvarligt missbruk av tillgång till fordonet,
b)
genomföra undersökningar om produktansvar eller garantianspråk
c)
utreda cybersäkerhetsincidenter eller incidenter med olaglig manipulering, besvara frågor från fordonsägaren eller en offentlig myndighet
I de fall som avses i leden b och c ska denna information i tillämpliga fall omfatta information om aktören och/eller dess anställda. I de fall där tillverkaren av diagnosverktyget förlitade sig på autentisering på ett intyg från säkerhetscentret ska det berörda organet för bedömning av överensstämmelse tillhandahålla den information som krävs på grundval av sin bedömning av en dokumenterad begäran från fordonstillverkaren.
Fordonstillverkaren ska säkerställa att den information om en enskild reparations- eller underhållsåtgärd som erhållits för de ändamål som avses i leden a–c inte används för något annat ändamål.
10.2
I de fall som avses i punkt 10.1 ska tillverkaren av diagnosverktyget utan dröjsmål informera den oberoende aktören och, i förekommande fall, den oberoende aktörens anställda om tillgången till information om en enskild reparations- eller underhållsåtgärd eller till information om aktören och/eller dess anställda.
10.3
I de fall som avses i punkt 10.1 a och c och när detta är nödvändigt och proportionellt för att förhindra ytterligare missbruk eller hantera cybersäkerhetsrisker, får fordonstillverkaren tillfälligt stänga av eller begränsa tillgången för det berörda diagnosverktyget eller begära att den berörda tillverkaren av diagnosverktyget vidtar omedelbara åtgärder för att tillfälligt begränsa den berörda aktörens, diagnosverktygets eller anställdes tillgång till OBD-information om den tillverkarens fordon.
10.4
I undantagsfall får fordonstillverkaren, som svar på en betydande pågående eller nära förestående cybersäkerhetsincident, tillfälligt stänga av tillgången till OBD-informationen, på så detaljerad nivå som möjligt, om det är nödvändigt och proportionellt för att hantera incidenten i fråga.
10.5
I de fall som avses i punkterna 10.3 och 10.4 ska fordonstillverkaren samtidigt underrätta godkännandemyndigheten om den tillfälliga avstängningen, tillsammans med skälen för den tillfälliga avstängningen och alla relevanta bevis. Avstängningen ska hävas när incidenten har åtgärdats eller om godkännandemyndigheten begär detta av fordonstillverkaren.
Godkännandemyndigheten ska inom 10 dagar från dagen för anmälan se över skälen för den tillfälliga avstängningen och, om den tillfälliga avstängningen är uppenbart omotiverad eller oproportionerlig, begära att fordonstillverkaren eller den berörda tillverkaren av diagnosverktyget återställer tillgång.
Godkännandemyndigheten får när som helst begära att fordonstillverkaren och den berörda tillverkaren av diagnosverktyget återställer tillgången om den anser att skälen för avstängning inte längre föreligger.
11.
Information som ska lämnas till tillverkare av diagnosverktyg
11.1
Fordonstillverkarens system för information om reparation och underhåll ska visa kontaktuppgifter och processrelaterad information om hur man erhåller den begärda informationen, i enlighet med leden a, b, c och d, om integrering av diagnosverktyg, vid tidpunkten för typgodkännandet.
a)
Kontaktuppgifter för tekniska och kommersiella frågor.
b)
Beskrivning av integrationsprocessen, inklusive en vägledande tidsplan.
c)
Allmänna villkor för diagnosverktygstillverkarens integrering av diagnosverktyg.
d)
Tabell över avgifter för integrationsrelaterade tjänster.
11.2
Med förbehåll för att ett sekretessavtal ingås ska fordonstillverkaren på begäran göra följande information tillgänglig för oberoende aktörer som uppfyller TISAX, upp till den nivå som anges av fordonstillverkaren i enlighet med punkt 2.5 eller ISO 27001:
a)
Ett modellavtal om säkerhetsintegrering som referens, vilket tydligt anger de villkor som är avsedda att ingå i alla avtal mellan fordonstillverkaren och tillverkare av diagnosverktyg i denna fråga.
b)
Beskrivning av kraven och processerna för säker integrering av diagnosverktyget, inklusive den vägledande tidsplanen.
11.3
Fordonstillverkaren ska tillhandahålla följande information och göra följande tjänster tillgängliga för tillverkaren av diagnosverktyg vid tidpunkten för ingåendet av ett avtal om integrering av diagnosverktyg:
a)
Detaljerade och i god tid uppdaterade krav, processer och tekniska specifikationer för säker integrering av diagnosverktyget, inbegripet kraven på genomförande av säkerhetsåtgärder.
b)
Mot rimlig ersättning, enligt vad som avses i punkt 2.3, tekniskt stöd för omedelbara åtgärder för säkerhetsintegrering och verifiering av diagnosverktyg.
11.4
De krav på genomförande av säkerhetsåtgärder som avses i punkt 11.3 ska åtföljas av en förklaring av skälen till detta krav. I undantagsfall får fordonstillverkaren endast tillhandahålla de nödvändiga kraven utan närmare förklaringar om
a)
utlämnande av de specifika mål som ligger till grund för ett krav skulle kunna äventyra skyddad information eller företagshemligheter, eller
b)
utlämnande av motiveringen skulle avslöja en bredare cybersäkerhetsstrategi som måste förbli konfidentiell för att upprätthålla systemets integritet.
11.5
Den information som avses i punkterna 11.1–11.3 ska tillhandahållas tillsammans med ansökan om typgodkännande.
12.
OBD-forum
12.1
Forumet för tillgång till fordonsinformation (OBD-forumet) ska ansvara för att samordna och övervaka genomförandet av förfarandena för
a) autentisering av och beviljande av tillstånd för oberoende aktörer enligt beskrivningen i punkterna 3 och 8 i detta tillägg, inbegripet de processer som används av tillverkarna av diagnosverktyg för kontroll av tillståndskriterierna, enligt beskrivningen i punkt 3 i detta tillägg,
b) utfärdande av åtkomstuppgifter enligt beskrivningen i punkt 7 i detta tillägg, inbegripet uppfyllande av spårbarhets- och anslutningskraven,
c) utlämnande av information om tillgång och avstängning eller begränsning av tillgång enligt beskrivningen i punkt 10 i detta tillägg.
12.2 Forumet ska
a)
ge kommissionen råd om genomförandet av detta tillägg,
b) ge råd till godkännandemyndigheterna i tvister som rör tolkningen och genomförandet av detta tillägg.
c)
ge fordonstillverkare, tillverkare av diagnosverktyg och oberoende aktörer råd om
i) tolkning av tillägget,
ii) praktiska aspekter av de förfaranden som avses i punkt 12.1.
iii) vägledning för lösning av tvister som rör genomförandet av de förfaranden som avses i punkt 12.1.
12.3
OBD-forumets medlemmar ska utgöras av fordonstillverkare och oberoende aktörer som deltar i genomförandet och användningen av de förfaranden och processer som beskrivs i punkt 12.1.
12.4
OBD-forumet ska fungera under den gemensamma rättsliga och organisatoriska strukturen som ’forumet för tillgång till säkerhetsrelaterad reparations- och underhållsinformation som avses i punkt 2.1.12 i tillägg 3’.
*Föreskrifter nr 83 från Förenta nationernas ekonomiska kommission för Europa (Unece) – Enhetliga bestämmelser för godkännande av fordon med avseende på utsläpp av föroreningar enligt kraven för motorbränslen (EUT L 42, 15.2.2012, s. 1, ELI:
https://eur-lex.europa.eu/eli/reg/2012/83/oj/
).
** FN-föreskrift nr 168 – Enhetliga bestämmelser om godkännande av lätta personbilar och lätta nyttofordon med avseende på utsläpp vid verklig körning (RDE) [2024/211] (EUT L, 2024/211, 12.1.2024, ELI: http://data.europa.eu/eli/reg/2024/211/oj).
*** FN-föreskrift nr 156 – Enhetliga bestämmelser om godkännande av fordon med avseende på programvaruuppdateringar och ledningssystem för programvaruuppdateringar [2021/388] (EUT L 82, 9.3.2021, s. 60, ELI: https://eur-lex.europa.eu/eli/reg/2021/388/oj).”