Rozporządzenie delegowane 2026/699 zmieniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/858 w odniesieniu do znormalizowanego dostępu do informacji z pokładowego układu diagnostycznego oraz informacji dotyczących naprawy i konserwacji pojazdów, a także wymogów i procedur w zakresie bezpiecznego dostępu do informacji z pokładowego układu diagnostycznego

ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) 2026/699
z dnia 23 marca 2026 r.
zmieniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/858 w odniesieniu do znormalizowanego dostępu do informacji z pokładowego układu diagnostycznego oraz informacji dotyczących naprawy i konserwacji pojazdów, a także wymogów i procedur w zakresie bezpiecznego dostępu do informacji z pokładowego układu diagnostycznego
(Tekst mający znaczenie dla EOG)

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/858 z dnia 30 maja 2018 r. w sprawie homologacji i nadzoru rynku pojazdów silnikowych i ich przyczep oraz układów, komponentów i oddzielnych zespołów technicznych przeznaczonych do tych pojazdów, zmieniające rozporządzenie (WE) nr 715/2007 i (WE) nr 595/2009 oraz uchylające dyrektywę 2007/46/WE 1 , w szczególności jego art. 61 ust. 11,

a także mając na uwadze, co następuje:

(1) W rozporządzeniu (UE) 2018/858 nałożono na producentów pojazdów obowiązek zapewnienia niezależnym podmiotom nieograniczonego, znormalizowanego i niedyskryminującego dostępu do informacji z pokładowego układu diagnostycznego (OBD) pojazdu, diagnostyki i innych urządzeń i narzędzi, w tym pełnych odniesień i dostępnych plików do pobrania odnośnego oprogramowania i informacji dotyczących naprawy i konserwacji pojazdów.

(2) Art. 4 ust. 5 lit. d) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/2144 2 (unijne przepisy dotyczące cyberbezpieczeństwa) stanowi, że producenci muszą przestrzegać mających zastosowanie wymogów dotyczących ochrony pojazdów przed cyberatakami. Wymogi techniczne i procedury badań przyjęte w tym celu odnoszą się do wymogów regulaminu ONZ nr 155 3 .

(3) Zgodnie z regulaminem ONZ nr 155 wymogi techniczne i procedury badań w nim przewidziane pozostają jednak bez uszczerbku dla przepisów Unii regulujących dostęp upoważnionych osób do pojazdu, jego danych, funkcji i zasobów oraz warunków takiego dostępu:

(4) Rozporządzenie (UE) 2018/858 uniemożliwia producentowi pojazdów uzależnienie dostępu niezależnych podmiotów do informacji dotyczących naprawy i konserwacji pojazdów oraz do informacji z OBD, w tym dostępu z możliwością edycji tych informacji, od warunków innych niż te przewidziane w tym rozporządzeniu, takich jak warunki uzasadnione cyberbezpieczeństwem.

(5) Unijne ramy prawne regulujące środki cyberbezpieczeństwa, które mają być stosowane w odniesieniu do dostępu do informacji z OBD pojazdu, nie są kompletne. Unijne przepisy dotyczące cyberbezpieczeństwa zobowiązują producentów do ochrony pojazdów przed cyberatakami, ale ograniczają skutki wymogów technicznych określających mające zastosowanie środki w odniesieniu do dostępu do danych dotyczących pojazdów. Z drugiej strony przepisy dotyczące dostępu do informacji z OBD pojazdu nie uwzględniają w wystarczającym stopniu cyberbezpieczeństwa. W rezultacie producenci pojazdów napotykają poważne ograniczenia prawne uniemożliwiające im stosowanie skutecznych środków ochrony pojazdu przed cyberatakami związanymi z dostępem do informacji z OBD pojazdu.

(6) Należy zatem zapewnić producentom samochodów możliwość stosowania skutecznych i proporcjonalnych środków cyberbezpieczeństwa przy jednoczesnym zapewnieniu dostępu do informacji z OBD.

(7) Wzrost zagrożeń dla cyberbezpieczeństwa i związane z tym przyjęcie przepisów unijnych nakładających na producentów pojazdów obowiązek ochrony pojazdów przed cyberatakami stanowią zmiany techniczne i regulacyjne uzasadniające takie zmiany w załączniku X.

(8) Aby umożliwić producentom przeciwdziałanie tym zagrożeniom a jednocześnie utrzymać skuteczny dostęp niezależnych podmiotów do informacji z OBD pojazdów, rozporządzenie (UE) 2018/858 powinno zawierać warunki i procedury, które producenci pojazdów mogą stosować w celu zapewnienia niezależnym podmiotom bezpiecznego dostępu do informacji z OBD.

(9) W zależności od charakteru i konsekwencji wnioskowanego dostępu producenci pojazdów powinni mieć możliwość wymagania od producentów narzędzi diagnostycznych wykorzystywanych do celów dostępu do informacji z OBD uwierzytelnienia narzędzia oraz niezależnego podmiotu ubiegającego się o dostęp lub jego pracownika, a także zapewnienia identyfikowalności przez rejestrowanie i przechowywanie odpowiednich informacji na temat takiego dostępu. W szczególnych przypadkach powinni oni również mieć możliwość wymagania podłączenia do serwera producenta pojazdu.

(10) W celu ochrony równych warunków konkurencji informacje na temat niezależnych podmiotów ubiegających się o dostęp do informacji z OBD pojazdu powinny być pseudonimizowane.

(11) Aby umożliwić producentom pojazdów zarządzanie zależnościami, zgodnie z wymogami mających zastosowanie przepisów dotyczących cyberbezpieczeństwa pojazdów, należy zezwolić im na weryfikowanie, czy narzędzia diagnostyczne i ich producenci spełniają odpowiednie normy cyberbezpieczeństwa i wdrażają środki bezpieczeństwa.

(12) W przypadku cyberincydentów, poważnych nadużyć lub incydentów wiążących się z odpowiedzialnością producenta pojazdów producenci pojazdów powinni mieć możliwość uzyskania informacji na temat konkretnych przypadków dostępu oraz możliwość tymczasowego zawieszenia, w stosownych przypadkach i pod kontrolą organu udzielającego homologacji, dostępu narzędzia oraz niezależnego podmiotu lub jego pracownika.

(13) Producenci pojazdów powinni przekazywać wszystkie niezbędne informacje techniczne producentom standardowych narzędzi diagnostycznych z odpowiednim wyprzedzeniem przed wprowadzeniem pojazdu do obrotu, aby umożliwić tym producentom narzędzi świadczenie odpowiednich usług na rzecz niezależnych podmiotów zajmujących się naprawą.

(14) Oprócz określenia warunków i procedur bezpiecznego dostępu do informacji z OBD niniejsze rozporządzenie powinno dodatkowo ułatwiać dostęp do informacji z OBD pojazdu oraz informacji dotyczących naprawy i konserwacji, z uwzględnieniem postępu technicznego.

(15) Katalog informacji, które mają być udostępniane przez producentów pojazdów, powinien zostać doprecyzowany i zaktualizowany, w szczególności z uwzględnieniem potrzeb związanych z naprawą i konserwacją akumulatorów pojazdów oraz nowych systemów wspomagania kierowcy.

(16) W każdym przypadku, gdy producenci pojazdów, na potrzeby uzyskania dostępu do informacji z OBD pojazdu, diagnostyki, naprawy i konserwacji, monitorowania i kontroli, umożliwiają dostęp do strumienia danych pokładowych pojazdu w inny sposób niż za pomocą portu szeregowego znormalizowanego złącza, taki sam dostęp i takie same informacje powinny być dostępne na niedyskryminacyjnych warunkach dla wszystkich niezależnych podmiotów.

(17) Uznając rolę wydawców danych w ułatwianiu naprawy i konserwacji pojazdów, należy doprecyzować wymogi producentów pojazdów w zakresie wymiany informacji.

(18) Aby umożliwić niezależnym podmiotom zajmującym się naprawami przeprogramowanie sterowników pojazdów na takich samych warunkach, jak te dostępne dla producentów pojazdów i autoryzowanych stacji obsługi, konieczne jest określenie dodatkowych wymogów dla producentów w zakresie udostępniania określonego oprogramowania lub informacji niezależnym producentom narzędzi diagnostycznych.

(19) Spełnienie tych wymogów wymaga jednak od producentów pojazdów wdrożenia ważnych środków przygotowawczych, dlatego należy odroczyć stosowanie tych wymogów, aby zapewnić odpowiedni okres wdrażania.

(20) Niniejsze rozporządzenie stosuje się bez uszczerbku dla rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 4 oraz dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady 5 . W szczególności obowiązki producentów w zakresie zapewnienia niezależnym podmiotom dostępu do informacji z OBD pojazdu na podstawie niniejszego rozporządzenia pozostają bez uszczerbku dla praw osób, których dane dotyczą, oraz obowiązków producentów pojazdów, producentów narzędzi diagnostycznych i niezależnych podmiotów wynikających z tych aktów.

(21) Zgodnie z art. 42 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 6 skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię 20 lutego 2026 r. 7

(22) Należy zatem odpowiednio zmienić rozporządzenie (UE) 2018/858,

PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

Sporządzono w Brukseli dnia 23 marca 2026 r.

ZAŁĄCZNIK

W załączniku X do rozporządzenia (UE) 2018/858 wprowadza się następujące zmiany:

pkt 2.1 zdanie drugie otrzymuje brzmienie:

"Zgodność z częściami serii normy EN ISO 18541 Pojazdy drogowe - Znormalizowany dostęp do informacji dotyczących naprawy i konserwacji pojazdów (RMI): EN ISO 18541-2021 (część 1: Informacje ogólne i definicje przypadków użycia; część 2: Wymagania techniczne; część 3: Wymagania dotyczące funkcjonowania interfejsu użytkownika, część 4: Badanie zgodności) oraz EN ISO 18541-2018 (część 5: Przepisy szczegółowe dotyczące pojazdów ciężarowych) stanowi podstawę domniemania spełnienia obowiązków producenta polegających na zapewnieniu informacji o OBD pojazdu oraz informacji dotyczących naprawy i konserwacji pojazdów na ich stronach internetowych z wykorzystaniem znormalizowanego formatu.";

dodaje się pkt 2.5.7a w brzmieniu:

"2.5.7a. informacje wymagane do identyfikacji prawidłowej aktualizacji oprogramowania lub kodowania wariantów dla każdego układu, komponentu, oddzielnego zespołu technicznego, każdej części lub każdego wyposażenia, które wymagają aktualizacji oprogramowania.

W drodze wyjątku od pkt 2.1, jeżeli określenie prawidłowej wersji oprogramowania lub kodowanie wariantów wymaga połączenia z systemami producenta, producent nie jest zobowiązany do publikowania na stronie internetowej informacji wymaganych do identyfikacji prawidłowej aktualizacji oprogramowania lub kodowania wariantów dla każdego układu, komponentu, oddzielnego zespołu technicznego, każdej części lub każdego wyposażenia, które wymagają aktualizacji oprogramowania;";

dodaje się pkt 2.5.12 i 2.5.13 w brzmieniu:

"2.5.12. informacje, które producent przekazuje autoryzowanym partnerom, punktom sprzedaży i stacjom obsługi lub stosuje do celów naprawy i konserwacji, niezbędne do diagnozowania i, w stosownych przypadkach, naprawy systemów akumulatorów trakcyjnych, a także ich wymiennych jednostek, w tym modułów baterii;

2.5.13. informacje specyficzne dla danego typu pojazdu niezbędne do bezpiecznego obchodzenia się z częściami i komponentami, w szczególności informacje niezbędne do ochrony przed zagrożeniami elektrycznymi, termicznymi i chemicznymi ze strony akumulatorów trakcyjnych; dostępne dla producenta pojazdu lub jego partnerów.";

10)

pkt 2.6.2 otrzymuje brzmienie:

"2.6.2. następujące informacje:

a) dane dotyczące układu diagnostycznego, o których mowa w pkt 3 dodatku

2. Producent zapewnia, aby dane te spełniały następujące wymogi:

(i) były udostępniane jako elektroniczne zbiory danych, które można bezpośrednio przetwarzać;

(ii) miały taki sam poziom szczegółowości, jak dane stosowane w zastrzeżonych narzędziach diagnostycznych producenta pojazdów;

(iii) były wyczerpująco udokumentowane;

b) opisy interakcji z elementami zewnętrznymi i pokładowymi niezbędnych do wykonania wszelkich prac naprawczych i konserwacyjnych.

Producent pojazdu udostępnia informacje, o których mowa w lit. a), wyłącznie w odniesieniu do typów pojazdów, dla których świadectwo homologacji typu wydano po raz pierwszy po dniu 1 września 2020 r.";

12)

dodaje się pkt 2.6a i 2.6b w brzmieniu:

"2.6a. Producent udostępnia producentom sprzętu do napraw i standardowych narzędzi diagnostycznych wszystkie informacje, specyfikacje techniczne i instrukcje obsługi dotyczące naprawy, konserwacji i diagnostyki systemów ADAS/DCAS za pomocą narzędzi diagnostycznych.

2.6b. Informacje, o których mowa w pkt 2.6 i 2.6a, udostępnia się zgodnie z warunkami określonymi przez producenta zgodnie z niniejszym rozporządzeniem, w tym z warunkami płatności lub ograniczeniami użytkowania i opłatami wymaganymi zgodnie z art. 63 ust. 1.";

13)

pkt 2.9 otrzymuje brzmienie:

"2.9. Do celów dostępu do informacji z OBD pojazdu, diagnostyki, naprawy i konserwacji, monitorowania i kontroli producent pojazdu umożliwia dwukierunkowy dostęp do strumienia danych pokładowych pojazdu za pomocą wszystkich następujących środków:

a) port szeregowy znormalizowanego złącza danych, o którym mowa odpowiednio w pkt 6.5.3 dodatku 1 do załącznika C5 do regulaminu ONZ nr 154 * , zgodnie z pkt 4.7.3 załącznika 9B i wzorcowymi dokumentami standardowymi określonymi w dodatku 6 do tego załącznika do regulaminu ONZ nr 49 * ;

b) wszelkie inne pokładowe środki dostępu, które producent przekazuje autoryzowanym partnerom, punktom sprzedaży i stacjom obsługi lub stosuje do celów naprawy i konserwacji, w tym złącza Ethernet, nieznormalizowane piny w znormalizowanym porcie OBD, interfejsy programowania aplikacji wykorzystywane do integracji usług posprzedażowych oraz lokalne sieci radiowe;

c) wszelkie urządzenia, które producent przekazuje autoryzowanym partnerom, punktom sprzedaży i stacjom obsługi lub stosuje do celów umożliwienia zdalnego dostępu do informacji z OBD pojazdu w celu naprawy i konserwacji, w tym monitorowania i kontroli (w przypadku gdy monitorowanie i kontrola są przeprowadzane w celu naprawy i konserwacji) lub wykonywania usług zdalnej naprawy i diagnostyki.

Jeżeli pojazd jest w ruchu, producent może zdecydować o udostępnieniu strumienia danych wyłącznie w trybie »tylko do odczytu«, pod warunkiem że producent zastosuje takie samo ograniczenie względem swoich autoryzowanych partnerów, punktów sprzedaży i stacji obsługi.

Producent może wdrożyć warunki dostępu do strumienia danych pojazdu w zakresie, w jakim jest to konieczne i proporcjonalne do zapewnienia zgodności z art. 4 ust. 5 lit. d) i wierszem D4 załącznika II do rozporządzenia (UE) 2019/2144 oraz art. 4 ust. 7 i 8 oraz art. 6 ust. 3 rozporządzenia (UE) 2024/1257. W przypadku dostępu za pomocą środków opisanych w pkt 2.9 lit. a) i b) warunki takie nie mogą wykraczać poza warunki, które producent może stosować zgodnie z dodatkiem 4 do niniejszego załącznika.

14)

pkt 6.1 otrzymuje brzmienie:

"6.1. Zgodność z częściami norm ISO 18541-1:2021 do ISO 18541-4:2021 oraz ISO 18541-5:2018, o których mowa w pkt 2.1, stanowi podstawę domniemania spełnienia obowiązków producenta polegających na zapewnieniu informacji dotyczących naprawy i konserwacji pojazdów na ich stronach internetowych z wykorzystaniem znormalizowanego formatu.

Osoby wnioskujące o prawo do kopiowania lub ponownej publikacji takich informacji muszą się zwracać bezpośrednio do właściwego producenta. Informacje dotyczące materiałów szkoleniowych muszą być również dostępne, jednak mogą być udostępniane innymi kanałami niż strony internetowe.

6.1.1. Do celów publikowania informacji dotyczących naprawy i konserwacji producent udostępnia te informacje jako pliki w formacie umożliwiającym bezpośrednie elektroniczne przetwarzanie zbiorów danych zawartych w tych plikach. Informacje te mają taki sam poziom szczegółowości jak informacje wykorzystywane przez producenta do celów naprawy i konserwacji. Są one dokumentowane do celów interpretacji i aktualizowane z częstotliwością uzgodnioną z niezależnym podmiotem, a aktualizacja odbywa się z taką samą częstotliwością i w takim samym terminie, jak w przypadku autoryzowanych punktów sprzedaży i stacji obsługi. Informacje podaje się w pakietach w oparciu o informacje techniczne w podziale na przypadki użycia, dostępne dla producenta. Informacje, o których mowa w zdaniu pierwszym niniejszego punktu, przekazuje się na podstawie warunków określonych przez producenta zgodnie z niniejszym rozporządzeniem, takich jak warunki płatności i wszelkie porównywalne warunki lub ograniczenia użytkowania oraz opłaty wymagane zgodnie z art. 63 ust. 1 niniejszego rozporządzenia. Pakiety informacyjne zdefiniowane na podstawie kryteriów odzwierciedlających wymogi informacyjne dla przypadku użycia 5.1.1, przypadku użycia 5.1.2, przypadku użycia 5.2, przypadku użycia 5.3, przypadku użycia 5.4, przypadku użycia 5.5, przypadku użycia 5.7, przypadku użycia 5.8, przypadku użycia 5.9, przypadku użycia 8 i przypadku użycia 11 normy ISO 18541-1 2021 uznaje się za spełniające wymagania.

Od dnia 23 czerwca 2027 r. producent dostarcza pakiety informacyjne określone na podstawie kryteriów odzwierciedlających wymogi informacyjne wymagane dla przypadku użycia 5.3 i przypadku użycia 5.4 w normie ISO 18541-1:2021, które są dostępne wyłącznie dla danego numeru identyfikacyjnego pojazdu (VIN), na wniosek niezależnej stacji obsługi złożonego za pośrednictwem interfejsu programowania aplikacji (API * ). W takich przypadkach niezależna stacja obsługi przekazuje producentowi za pośrednictwem strony trzeciej działającej na podstawie umowy z producentem wniosek dotyczący konkretnego numeru VIN.

W przypadku gdy pakiety informacyjne są zdefiniowane na podstawie kryteriów odzwierciedlających wymogi informacyjne dla przypadku użycia 8 określone w normie ISO 18541-1:2021, od dnia 23 czerwca 2027 r. producent dostarcza takiej stronie trzeciej API, który umożliwia niezależnej stacji obsługi podgląd i aktualizację elektronicznej historii konserwacji z zastrzeżeniem dodatkowych warunków określonych w ISO oraz, w stosownych przypadkach, warunków i procesów producenta stosowanych do uzyskania zgody klienta. Producent podlega takim samym lub równoważnym procedurom i wymaganym informacjom, jak te określone na stronie internetowej producenta zawierającej informacje dotyczące naprawy i konserwacji. W takich przypadkach niezależna stacja obsługi, za zgodą klienta, może przekazać producentowi wniosek o aktualizację dokumentacji naprawy lub konserwacji za pośrednictwem strony trzeciej działającej na podstawie umowy z producentem. Do weryfikacji tożsamości niezależnej stacji obsługi można wykorzystać certyfikat zgodny z zaleceniem ITU-T X.509 Międzynarodowego Związku Telekomunikacyjnego.

Dostęp do takich API, w tym do celów aktualizacji wpisów w elektronicznej historii konserwacji, podlega przepisom art. 63 ust. 1.

Informacje są ustrukturyzowane w taki sposób, aby można było później przeszukiwać i filtrować informacje zawarte w pakiecie według kryteriów klasyfikacji typu modelu i innych kryteriów klasyfikacji stosowanych w własnej sieci producenta pojazdu.

6.1.2. Informacje o wszystkich częściach pojazdu, w które jest on wyposażony przez producenta pojazdu zgodnie z numerem VIN i wszelkimi dodatkowymi kryteriami, takimi jak rozstaw osi, moc wyjściowa silnika, wyposażenie lub opcje, i które można wymienić na części zamienne oferowane przez producenta pojazdu autoryzowanym stacjom obsługi lub punktom sprzedaży lub stronom trzecim przy pomocy odniesienia do numeru części z oryginalnego wyposażenia, udostępnia się w formie możliwych do maszynowego odczytu i przetworzenia elektronicznego zbiorów danych w bazie danych łatwo dostępnej dla niezależnych podmiotów.

Wspomniana baza danych zawiera numery VIN, numery części z oryginalnego wyposażenia, nazwy części z oryginalnego wyposażenia, informacje na temat okresu ważności (daty ważności: od-do), informacje na temat montażu oraz, w stosownych przypadkach, cechy dotyczące budowy.

Informacje w bazie danych są regularnie aktualizowane. W aktualizacjach uwzględnia się wszystkie zmiany wprowadzone w poszczególnych pojazdach po ich wyprodukowaniu, jeżeli informacje takie są dostępne autoryzowanym punktom sprzedaży.

17)

pkt 6.4 otrzymuje brzmienie:

"6.4. Przeprogramowanie sterowników, kodowanie wariantów i aktywację części zamiennych przeprowadza się, stosując niezastrzeżony sprzęt komputerowy, bez uzależnienia od sprzętu komputerowego jednego producenta, zgodnie z którymkolwiek z poniższych elementów:

a) międzynarodową normą ISO 22900-2;

b) SAE J2534-1;

c) SAE J2534-2;

d) TMC RP1210B;

e) SOVD-Standard ISO/DIS 17978-1.

Jeżeli odbywa się to z wykorzystaniem sieci Ethernet, przeprogramowanie sterowników, kodowanie wariantów i aktywację części zamiennych przeprowadza się zgodnie z normą ISO₂2900-2 lub J2534-2.

W celu zatwierdzania zgodności aplikacji producenta i interfejsów komunikacyjnych pojazdów (VCI) zgodnych z normami międzynarodowymi ISO 22900-2 lub SAE J2534-1 lub SAE J2534-2 lub TMC RP1210B producent oferuje albo zatwierdzanie niezależnie stworzonych VCI, albo informacje oraz wynajem sprzętu komputerowego niezbędnego producentowi VCI do dokonania takiego zatwierdzenia.

Producent może pobierać rozsądne i proporcjonalne opłaty za takie zatwierdzenie lub informacje i sprzęt komputerowy. Opłaty te nie mogą zniechęcać do korzystania z takiego zatwierdzenia lub informacji i sprzętu komputerowego.";

18)

dodaje się pkt 6.4a w brzmieniu:

"6.4a. Od dnia 23 grudnia 2026 r. producent pojazdu udostępnia niezależnemu producentowi narzędzi diagnostycznych następujące oprogramowanie lub informacje dla typu pojazdu, dla którego świadectwo homologacji typu wydano po raz pierwszy po dniu 1 września 2020 r.:

a) interfejsy oprogramowania lub usługi sieciowej dla niezależnych producentów narzędzi diagnostycznych w celu ich integracji, umożliwiające kodowanie wariantów, sparowanie z pojazdem oryginalnej części zamiennej (w tym oprogramowania i sprzętu komputerowego kompatybilnego (zgodnie z definicją producenta pojazdu) części poddanej regeneracji lub ponownie użytej) lub części zamiennej zatwierdzonej przez producenta pojazdu, a także przeprogramowanie sterowników z oryginalnym oprogramowaniem wyposażenia pojazdu zgodnie z instrukcjami producenta pojazdu; lub

b) niezbędne informacje, procesy i zasoby potrzebne do wdrożenia kodowania wariantów i przeprogramowania w niezależnym narzędziu diagnostycznym producenta niezależnego narzędzia diagnostycznego.

W drodze odstępstwa od terminu określonego w zdaniu pierwszym niniejszego punktu producent pojazdu udostępnia jednak oprogramowanie lub informacje, o których mowa w lit. a) i b) powyżej, począwszy od następujących dat:

(i) 23 czerwca 2027 r. w odniesieniu do pojazdów, którym po raz pierwszy udzielono homologacji typu po dniu 1 września 2020 r., ale przed dniem 6 lipca 2022 r.;

(ii) 23 czerwca 2028 r. w odniesieniu do każdej operacji związanej z dokonywaniem aktualizacji oprogramowania lub od niej uzależnionej.";

19)

dodaje się pkt 6.4b w brzmieniu:

"6.4.b. Do czasu udostępnienia przez producenta pojazdu oprogramowania lub informacji dotyczących typu pojazdu, o których mowa w pkt 6.4a, oraz przez okres dwóch lat od tej daty korzystanie ze komputerowego sprzętu diagnostycznego i oprogramowania diagnostycznego producenta pojazdu przez dostawców usług zdalnych, o których mowa w dodatku 4 pkt 1.2, do celów przeprogramowania i kodowania wariantów lub aktywacji części podlega takim samym opłatom i warunkom płatności jak te mające zastosowanie do niezależnych stacji obsługi, niezależnie od tego, czy narzędzia diagnostyczne są używane zdalnie.

Ponadto producent pojazdów udostępnia wszystkim zainteresowanym producentom narzędzi diagnostycznych następujące informacje, gdy tylko będą dostępne:

a) informacje niezbędne do wdrożenia API między odpowiednimi systemami producenta pojazdów a systemami producenta narzędzi diagnostycznych,

i) nie później niż do dnia 23 czerwca 2027 r. w odniesieniu do każdej operacji związanej z dokonywaniem aktualizacji oprogramowania lub od niej uzależnionej oraz

ii) w przypadku innych operacji - nie później niż 23 września 2026 r., lub

iii) w odniesieniu do pojazdów, którym po raz pierwszy udzielono homologacji typu przed dniem 6 lipca 2022 r., nie później niż do dnia 23 grudnia 2026 r..

b) informacje niezbędne do testowania funkcji aktualizacji i interakcji sprzętu komputerowego, nie później niż do dnia 23 grudnia 2027 r. w odniesieniu do każdej operacji związanej z dokonywaniem aktualizacji oprogramowania lub od niej uzależnionej.";

20)

dodaje się pkt 6.4c w brzmieniu:

"6.4c. Odłączanie komponentów, oddzielnych zespołów technicznych, części i wyposażenia, z wyjątkiem tych, które zostały pierwotnie zaprojektowane w taki sposób, aby nie były odłączane, odbywa się zgodnie z procedurą określoną w niniejszym punkcie. Nie podlega ono żadnym warunkom innym niż warunki, o których mowa w niniejszym punkcie.

Producent ustanawia procedurę odłączania komponentów, oddzielnych zespołów technicznych, części i wyposażenia. Do celów instalacji ponownie użytego komponentu, oddzielnego zespołu technicznego, części lub wyposażenia procedury ustanowione przez producenta pojazdu mogą obejmować wymóg podania niepowtarzalnego identyfikatora (w tym, w stosownych przypadkach, numeru seryjnego) tego komponentu, oddzielnych zespołów technicznych, części lub wyposażenia oraz numeru VIN pojazdu, a także wymóg uzyskania zgody właściciela lub leasingobiorcy pojazdu, o ile można go zidentyfikować. W przypadku gdy wymagana jest zgoda, można ją zapewnić asynchronicznie z demontażem części.

Do celów regeneracji w procesie przemysłowym, w którym zużyta lub uszkodzona część, oddzielne zespoły techniczne, część lub wyposażenie zostają przywrócone do pierwotnej specyfikacji, numer VIN oryginalnego pojazdu nie będzie wymagany na potrzeby odłączenia od oryginalnego pojazdu. W takim przypadku może być wymagany niepowtarzalny identyfikator komponentu oraz zgoda właściciela lub leasingobiorcy pojazdu, o ile można go zidentyfikować.

Wszystkie niezależne podmioty, w tym podmioty zajmujące się regeneracją i odnawianiem, uwierzytelnione zgodnie z wymogami określonymi w dodatku 4, mają równy dostęp do tych procesów.

Do celów uwierzytelnienia takiego podmiotu, w przypadku gdy proces odłączania dokonywany przez producenta pojazdu ma zostać zakończony na jego platformach zewnętrznych, akceptuje się dane uwierzytelniające wydane zgodnie z pkt 9.2 dodatku 4 lub dane wykorzystywane do uzyskania dostępu do strony internetowej producenta pojazdu dotyczącej RMI.";

24)

w dodatku 2 pkt 3 otrzymuje brzmienie:

"3. Informacje wymagane do produkcji narzędzi diagnostycznych

W celu ułatwienia dostępu do standardowych narzędzi diagnostycznych dla warsztatów naprawczych obsługujących wiele marek producent pojazdów udostępnia informacje określone w pkt 3.1, 3.2 i 3.3. Informacje te obejmują wszystkie funkcje narzędzia diagnostycznego oraz wszystkie łącza do informacji o naprawie i instrukcji rozwiązywania problemów. Dostęp do tych informacji może być uzależniony od uiszczenia uzasadnionej opłaty.";

25)

w dodatku 3 wprowadza się następujące zmiany:

w pkt 2 dodaje się ppkt 2.1.14 i 2.1.15 w brzmieniu:

""2.1.14. Dostawca usług zdalnych (RSS)"

»dostawca usług zdalnych (RSS)« oznacza usługodawcę wykonującego zdalnie, w ramach usługi świadczonej na rzecz niezależnego podmiotu w kontekście jego działalności związanej z SERMI, programowanie, montaż lub aktywację części i wyposażenia w pojeździe.

2.1.15. Pracownik RSS

»pracownik RSS« oznacza pracownika zatwierdzonego RSS, który po uzyskaniu zgody jednostki oceniającej zgodność będzie miał dostęp do RMI związanych z zabezpieczeniami.";

26)

dodaje się dodatek 4 w brzmieniu:

"Dodatek 4

Warunki i procedura dostępu do informacji z OBD pojazdu

1. Zakres stosowania

1.1. Niniejszy dodatek zawiera warunki dostępu, które może określić jedynie producent, oraz procedury, które producent pojazdu stosuje lub których może wymagać wyłącznie od innych osób, przy wdrażaniu środków bezpieczeństwa dotyczących dostępu do informacji z OBD, o których mowa w pkt 2.9 lit. a) i b) niniejszego załącznika.

1.2. Wszelkie odniesienia w niniejszym dodatku do niezależnych podmiotów lub do autoryzowanych partnerów producenta, punktów sprzedaży i stacji obsługi, a także do producenta pojazdów działającego w celu naprawy i konserwacji w niniejszym dodatku obejmują wszelkie osoby lub podmioty działające w ich imieniu, takie jak usługodawca wykonujący zdalnie, w ramach usługi świadczonej na rzecz niezależnego podmiotu, programowanie, montaż lub aktywację części i wyposażenia w pojeździe (dostawcy usług zdalnych).

2. Obowiązki producenta

2.1. Producent pojazdów jest odpowiedzialny za zapewnienie spełnienia wszystkich technicznych warunków wstępnych stosowania procedur, o których mowa w niniejszym dodatku, w tym w odniesieniu do danych uwierzytelniających, takich jak certyfikaty lub tokeny oprogramowania, oraz niezbędnych ustaleń z producentami narzędzi diagnostycznych.

2.2. Producent pojazdu wykazuje organowi udzielającemu homologacji, że pojazd jest zaprojektowany w taki sposób, aby umożliwić dostęp do informacji z OBD, zgodnie z wymogami niniejszego dodatku, przy użyciu narzędzi diagnostycznych przeznaczonych dla wielu marek.

2.3. Producent pojazdu dostarcza producentom narzędzi diagnostycznych informacje, o których mowa w pkt 11 niniejszego dodatku.

2.4. Producent pojazdu zapewnia, aby jego serwer wykorzystywany do celów zapewnienia dostępu zgodnie z pkt 2.9 niniejszego załącznika oferował niezależnym podmiotom, w sposób niedyskryminacyjny, taką samą dostępność i wydajność systemu informacyjnego, jak autoryzowanym partnerom, punktom sprzedaży i stacjom obsługi producenta pojazdów lub producentowi pojazdów korzystającemu z niego w tym celu.

Producent pojazdu zapewnia nieprzerwany dostęp do każdego serwera wykorzystywanego w celu zapewnienia dostępu na podstawie pkt 2.9 niniejszego załącznika, z wyjątkiem nadzwyczajnych i nieprzewidywalnych okoliczności pozostających poza kontrolą producenta pojazdu, niewynikających z zaniedbania z jego strony lub wymaganych do celów konserwacji systemu informacyjnego. W przypadku konserwacji okres niedostępności serwera nie może przekraczać okresu konserwacji jakiegokolwiek innego serwera używanego przez producenta do zapewnienia dostępu do celów, o których mowa w pkt 2.9 niniejszego załącznika. Informacje o planowanej konserwacji udostępnia się producentom narzędzi diagnostycznych z odpowiednim wyprzedzeniem.

Producent pojazdu udostępnia na żądanie organowi udzielającemu homologacji roczne dane statystyczne dotyczące dostępności serwera. Producent pojazdu niezwłocznie zgłasza przypadki niedostępności serwera Forum ds. OBD zdefiniowanemu w pkt 12.

2.5. Producent pojazdu nie może ustanawiać ograniczeń dostępu do informacji z OBD wykraczających poza ograniczenia określone w niniejszym dodatku, chyba że niniejsze rozporządzenie wyraźnie stanowi inaczej. Ponadto producent pojazdu nie może ustanawiać ograniczeń dostępu dla niezależnych podmiotów do informacji z OBD wykraczających poza ograniczenia mające zastosowanie do autoryzowanych partnerów, punktów sprzedaży i stacji obsługi lub do producenta pojazdu uzyskującego dostęp do informacji z OBD do celów naprawy i konserwacji.

2.6. Producent pojazdu zapewnia, aby wdrażane przez niego środki cyberbezpieczeństwa, w tym wymogi dotyczące kompatybilności, o których mowa w pkt 6.2, nie skutkowały ograniczeniem lub utrudnieniem dostępu do informacji z OBD na podstawie niniejszego dodatku w zakresie wykraczającym poza to, co jest konieczne i proporcjonalne do zapewnienia zgodności z art. 4 ust. 5 lit. d) rozporządzenia (UE) 2019/2144 i wierszem D4 załącznika II do tego rozporządzenia. Środki takie mogą dotyczyć przyszłego ryzyka i przyszłych zagrożeń, w przypadku gdy producent pojazdu może wykazać ich wpływ i prawdopodobieństwo.

2.7. Wszelkie środki wdrożone przez producenta pojazdu w celu zapobiegania ingerencjom w zakresie emisji i fałszowaniu przebiegu nie mogą ograniczać ani utrudniać dostępu do informacji z OBD w zakresie wykraczającym poza to, co jest konieczne i proporcjonalne do zapewnienia zgodności z art. 4 ust. 7 i 8 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1257 *

3. Uwierzytelnienie

3.1. Producent pojazdu może, jako warunek wydania danych uwierzytelniających dostęp, zażądać uwierzytelnienia producenta narzędzi diagnostycznych i używanego narzędzia diagnostycznego, z wyjątkiem następujących operacji naprawy i konserwacji:

a) odczytywanie diagnostycznych kodów błędu;

b) odczytywanie numeru VIN pojazdu;

c) odczytywanie danych i usuwanie diagnostycznych kodów błędu, do których wymagany jest nieograniczony dostęp, za pomocą standardowego narzędzia skanującego lub narzędzia skanującego OBD na podstawie rozporządzenia (UE) 2017/1151 lub rozporządzenia (UE) 2024/1257; lub przewidziane w regulaminie ONZ nr 49, regulaminie ONZ nr 83 * , regulaminie ONZ nr 168 * lub regulaminie ONZ nr 154.

3.2. W każdym przypadku, gdy dostęp do informacji z OBD wiąże się ze zmianami w pojeździe, producent pojazdu może, jako warunek wydania danych uwierzytelniających dostęp, zażądać uwierzytelnienia podmiotu. W przypadku wyrobów wykorzystywanych do celów monitorowania, w których dane są wyłącznie odczytywane i przekazywane autonomicznie na serwer producenta narzędzi diagnostycznych bez interakcji z udziałem człowieka, producent pojazdu nie wymaga uwierzytelnienia podmiotu.

3.3. W przypadku gdy dostęp do informacji z OBD wiąże się ze zmianą oprogramowania pojazdu lub jego konfiguracji bądź parametrów, polegającą na przeprogramowaniu kodu oprogramowania pojazdu, skutkującą zmianą zamierzonego zachowania pojazdu i utrzymującą się po zakończeniu operacji naprawy i konserwacji, w taki sposób, że można ją wycofać lub nadpisać jedynie przez wykonanie równoważnej operacji, producent pojazdu może zażądać uwierzytelnienia pracownika podmiotu, który chce uzyskać dostęp do informacji z OBD, chyba że producent narzędzia diagnostycznego udowodni producentowi pojazdu, że na podstawie wyników niezależnego audytu przeprowadzonego nie wcześniej niż trzy lata przed złożeniem wniosku podmiot dysponuje systemem umożliwiającym jednoznaczną identyfikację pracownika ubiegającego się o taki dostęp.

3.4. Przypadki dostępu, o których mowa w pkt 3.2, obejmują takie operacje naprawy i konserwacji, jak aktywacja siłowników i procedury badania funkcjonalnego, usuwanie diagnostycznych kodów błędu, resetowanie lampek kontrolnych, zmiana adaptacyjnych parametrów uczenia oraz wymiana części, w tym inicjalizacja nieinteligentnych komponentów i odczytywanie danych na podstawie identyfikatora, z wyjątkiem przypadków, gdy są one wykorzystywane do celów okresowego badania technicznego o wartościach porównywalnych z wartościami określonymi w normie ISO₂0730-3, załącznik B, pod warunkiem że wartości te są dostępne w pojeździe.

3.5. Przypadki dostępu, o których mowa w pkt 3.2, obejmują kalibrację rozumianą jako proces dostosowywania lub ustawiania parametrów oprogramowania i sprzętu komputerowego pojazdu zgodnie z zaleceniami producenta pojazdu i bez kodowania wariantów lub modyfikacji oprogramowania pojazdu.

3.6. Do celów uwierzytelnienia, o którym mowa w pkt 3.1-3.3, producent narzędzia wykorzystywanego do uzyskania dostępu do informacji z OBD może zostać zobowiązany przez producenta pojazdu do poświadczenia wobec producenta pojazdu następujących elementów:

a) danych identyfikacyjnych narzędzia diagnostycznego;

b) w przypadku gdy dostęp do informacji z OBD wiąże się ze zmianami w pojeździe, o których mowa w pkt 3.2, danych identyfikacyjnych narzędzia diagnostycznego i pseudonimizowanej tożsamości podmiotu oraz zgodności podmiotu z wymogami dotyczącymi zezwolenia, o których mowa w pkt 8.1;

c) w przypadku gdy dostęp do informacji z OBD wiąże się ze zmianą oprogramowania pojazdu lub jego konfiguracji bądź parametrów, polegającą na przeprogramowaniu kodu oprogramowania pojazdu, skutkującą zmianą zamierzonego zachowania pojazdu i utrzymującą się po zakończeniu operacji naprawy i konserwacji, w taki sposób, że można ją wycofać lub nadpisać jedynie przez wykonanie równoważnej operacji, o której mowa w pkt 3.3, pseudonimizowanej tożsamości pracownika podmiotu oraz zgodności tego pracownika z wymogami dotyczącymi zezwoleń, o których mowa w pkt 8.2.

3.7. W przypadkach, o których mowa w pkt 3.6 lit. b) i c), tożsamość podmiotu i, w stosownych przypadkach, pracownika podmiotu oraz ich zgodność z wymogami dotyczącymi zezwolenia, o których mowa w pkt 8.1 i 8.2, jest weryfikowana przez producenta narzędzia diagnostycznego wykorzystywanego do uzyskania dostępu do informacji z OBD lub ustalona na podstawie świadectwa zezwolenia, o którym mowa w pkt 9.2.

3.8. Producent pojazdu nie pobiera żadnych opłat za zapewnienie dostępu na podstawie pkt 2.9 załącznika X. Producent pojazdu może jednak pobierać uzasadnione i proporcjonalne opłaty za korzystanie z urządzenia zdalnego, o którym mowa w pkt 2.9 lit. c).

4. Wymogi dotyczące połączeń

4.1. Z wyjątkiem przypadków dostępu, o których mowa w pkt 3.1 lit. a)-c), producent pojazdu może zażądać jednorazowego połączenia internetowego z narzędzia diagnostycznego za pośrednictwem serwera producenta narzędzi diagnostycznych do serwera producenta pojazdu, aby otrzymać dane uwierzytelniające. Po udostępnieniu danych uwierzytelniających dostęp nie wymaga połączenia online.

4.2. W każdym przypadku, gdy dostęp do informacji z OBD wiąże się ze zmianą oprogramowania pojazdu lub jego konfiguracji bądź parametrów, skutkującą zmianą zamierzonego zachowania pojazdu, która utrzymuje się po zakończeniu operacji naprawy i konserwacji i która może zostać wycofana lub nadpisana jedynie przez wykonanie równoważnej operacji, producent pojazdu może wymagać stałego połączenia internetowego z narzędzia diagnostycznego do serwera producenta narzędzia diagnostycznego, a także od producenta narzędzia diagnostycznego do serwera producenta pojazdu.

4.3. Przypadki dostępu, o których mowa w pkt 4.2, obejmują:

a) operacje naprawy i konserwacji polegające na wprowadzeniu ustawień komponentu zamiennego i preferencji klienta, identyfikacji elektronicznego modułu sterującego (ECU) i kodowaniu wariantów, inicjalizacji ECU i komponentu, kodowaniu wariantów przy wymianie istniejących komponentów oraz kodowaniu wariantów przy dodawaniu nowego komponentu;

b) operacje naprawy i konserwacji, o których mowa w pkt 5.5.

4.4. Przypadki dostępu, o których mowa w pkt 4.2, nie obejmują operacji naprawy i konserwacji wymienionych w pkt 3.4 i 3.5.

4.5. Na zasadzie odstępstwa od pkt 4.4 przypadki dostępu, o których mowa w pkt 4.2, obejmują jednak operacje naprawy i konserwacji, o których mowa w pkt 3.5, w przypadku gdy konieczne jest zatwierdzenie wartości kalibracji, które podlegają wymogom regulacyjnym, lub gdy kalibracja nie może zostać zakończona bez danych specyficznych dla poszczególnych komponentów lub oddzielnych zespołów technicznych niezbędnych do zakończenia procesu naprawy i pobranych z serwera producenta w ramach procesu kodowania wariantów.

5. Wymogi dotyczące identyfikowalności

5.1. Z wyjątkiem przypadków dostępu, o których mowa w pkt 3.1 lit. a)-c), producent pojazdu może zażądać od producenta narzędzi diagnostycznych gromadzenia i przechowywania numeru VIN pojazdu i niepowtarzalnego identyfikatora narzędzia diagnostycznego.

5.2. W każdym przypadku, gdy dostęp do informacji z OBD wiąże się ze zmianami w pojeździe, producent pojazdu może zażądać od producenta narzędzi diagnostycznych gromadzenia i przechowywania informacji na temat wszystkich wykonanych zadań diagnostycznych (np. identyfikatora usługi i podfunkcji) oraz stosowanych parametrów/atrybutów znaczników daty i czasu UTC dla każdej interakcji z pojazdem.

5.3. Przypadki dostępu, o których mowa w pkt 5.2, obejmują takie operacje naprawy i konserwacji, jak te, o których mowa w pkt 3.4, 3.5, 4.3 i 4.5.

5.4. W każdym przypadku, gdy dostęp do informacji z OBD wiąże się ze zmianą oprogramowania pojazdu lub jego konfiguracji bądź parametrów, polegającą na przeprogramowaniu kodu oprogramowania pojazdu, skutkującą zmianą zamierzonego zachowania pojazdu i utrzymującą się po zakończeniu operacji naprawy i konserwacji, w taki sposób, że można ją wycofać lub nadpisać jedynie przez wykonanie równoważnej operacji, producent pojazdu może zażądać od producenta narzędzia diagnostycznego gromadzenia i dostarczenia wyników kontroli topologii sieci pojazdu, początkowego stanu pojazdu po połączeniu, w tym wersji sprzętu/oprogramowania wszystkich elektronicznych sterowników zainstalowanych w pojeździe, wyników wszystkich interakcji modułów i uruchamiania procedur (np. parametrów wywołania zwrotnego) oraz wyników końcowego odczytu stanu pojazdu po naprawie.

5.5. Przypadki dostępu, o których mowa w pkt 5.4, obejmują takie operacje naprawy i konserwacji, które polegają na sparowaniu oryginalnej części zamiennej (w tym części kompatybilnej z oprogramowaniem i sprzętem komputerowym (zgodnie z definicją producenta pojazdu) części poddanej regeneracji lub ponownie użytej lub zatwierdzonej przez producenta pojazdu części zamiennej z pojazdem przy użyciu niezależnego narzędzia diagnostycznego oraz przeprogramowaniu modułu z wykorzystaniem oryginalnego oprogramowania wyposażenia pojazdu i oryginalnego oprogramowania do programowania wyposażenia zgodnie z instrukcjami producenta pojazdu. Obejmuje to również przypadki odłączenia lub wyrejestrowania części z pojazdu.

5.6. Przypadki dostępu, o których mowa w pkt 5.4, nie obejmują operacji naprawy i konserwacji wymienionych w pkt 3.4, 3.5, 4.3 i 4.5.

6. Wymogi w zakresie cyberbezpieczeństwa mające zastosowanie do narzędzi diagnostycznych

6.1. Z wyjątkiem przypadków dostępu, o których mowa w pkt 3.1 lit. a)-c), producent pojazdu może wymagać, aby narzędzie diagnostyczne wykorzystywane do uzyskania dostępu do informacji z OBD spełniało odpowiednie wymogi rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/2847 * oraz aby producent narzędzi diagnostycznego spełniał wymogi standardu oceny bezpieczeństwa informacji TISAX na poziomie określonym przez producenta pojazdu zgodnie z pkt 2.5 lub ISO 27001.

6.2. W każdym przypadku, gdy dostęp do informacji z OBD wiąże się ze zmianami w pojeździe, o których mowa w pkt 3.2, producent pojazdu może wymagać spełnienia przez narzędzie diagnostyczne wykorzystywane do uzyskania dostępu do informacji z OBD oraz przez producenta narzędzia diagnostycznego wymogów dotyczących wdrożenia bezpieczeństwa określonych przez producenta pojazdu.

6.3. Wymogi dotyczące wdrożenia bezpieczeństwa przez producenta pojazdu nie mogą wykraczać poza wymogi nałożone na własne narzędzia diagnostyczne, dostawców narzędzi i własną organizację producenta pojazdu i są stosowane w sposób niedyskryminacyjny.

6.4. Producent pojazdu może zażądać od producenta narzędzia diagnostycznego przeprowadzenia badań w celu sprawdzenia zgodności narzędzia diagnostycznego z określonymi wymogami. Terminową weryfikację wyników tych badań przez producenta pojazdu zapewnia umowa o gwarantowanym poziomie usług. W przypadku gdy producent narzędzia diagnostycznego nie potwierdził zgodności z wymogami określonymi w niniejszej sekcji, producent pojazdu przedstawia jasne uzasadnienie niezgodności wraz z wymaganymi środkami, które ma wdrożyć producent narzędzia diagnostycznego.

6.5. Przypadki dostępu, o których mowa w pkt 6.2, obejmują takie operacje naprawy i konserwacji, jak te, o których mowa w pkt 3.4 i 3.5.

6.6. W każdym przypadku, gdy dostęp do informacji z OBD wiąże się ze zmianą oprogramowania pojazdu lub jego konfiguracji bądź parametrów, skutkującą zmianą zamierzonego zachowania pojazdu, utrzymującą się po zakończeniu operacji naprawy i konserwacji, w taki sposób, że można ją wycofać lub nadpisać jedynie przez wykonanie równoważnej operacji, producent pojazdu może wymagać spełnienia przez narzędzie diagnostyczne wykorzystywane do uzyskania dostępu do informacji z OBD i przez producenta narzędzia diagnostycznego odpowiednich wymogów wdrożenia systemu zarządzania aktualizacjami oprogramowania (zgodnie z definicją zawartą w regulaminie ONZ nr 156 * określonych przez producenta pojazdu. Wymogi te nie mogą wykraczać poza wymogi nałożone na własne narzędzia diagnostyczne, dostawców narzędzi i organizację producenta pojazdu i są stosowane w sposób niedyskry- minacyjny.

6.7. Przypadki dostępu, o których mowa w pkt 6.6, obejmują takie operacje naprawy i konserwacji, jak te, o których mowa w pkt 4.3, 4.5 i 5.5, i nie obejmują operacji, o których mowa w pkt 3.4 i 3.5.

7. Dane uwierzytelniające

7.1. Jeżeli spełnione są wszystkie warunki, o których mowa w sekcjach 3, 4 i 6, producent pojazdu niezwłocznie dostarcza producentowi narzędzi diagnostycznych dane uwierzytelniające do uzyskania dostępu do wymaganych informacji z OBD.

7.2. Dane uwierzytelniające mogą być specyficzne dla numeru VIN.

7.3. Dane uwierzytelniające są ważne przez co najmniej 30 dni od momentu ich udostępnienia.

7.4. Jeżeli jednak dostęp do informacji z OBD wiąże się ze zmianą w pojeździe, producent pojazdu może ograniczyć ważność danych uwierzytelniających do 24 godzin.

7.5. Przypadki dostępu, o których mowa w pkt 7.4, obejmują takie operacje naprawy i konserwacji, jak te, o których mowa w pkt 3.4, 3.5, 4.3, 4.5 i 5.5.

8. Kryteria zezwolenia i świadectwa zezwolenia

8.1. W przypadkach, o których mowa w pkt 3.2, producent pojazdu może odmówić wydania danych uwierzytelniających, jeżeli producent narzędzia diagnostycznego wykorzystywanego do uzyskania dostępu do informacji z OBD nie potwierdzi, że podmiot ubiegający się o dostęp do informacji z OBD:

a) posiada ważne ubezpieczenie od odpowiedzialności cywilnej w wysokości co najmniej 1 mln EUR w przypadku uszkodzenia ciała i 0,5 mln EUR w przypadku szkód majątkowych;

b) prowadzi zgodną z prawem działalność gospodarczą w sektorze motoryzacyjnym, o której mowa w pkt 6.3 niniejszego załącznika.

Producent pojazdu nie nakłada żadnych innych warunków wydawania danych uwierzytelniających niż warunki określone w lit. a) i b).

8.2. W przypadkach, o których mowa w pkt 5.4, gdy producent pojazdu wymaga uwierzytelnienia pracownika podmiotu i o ile producent narzędzia diagnostycznego nie poświadczy wobec producenta pojazdu, zgodnie z warunkami określonymi w pkt 3.3, że podmiot posiada system umożliwiający jednoznaczną identyfikację pracownika ubiegającego się o taki dostęp, producent pojazdu może odmówić wydania danych uwierzytelniających, jeżeli producent narzędzia diagnostycznego wykorzystywanego do uzyskania dostępu do informacji z OBD nie potwierdzi, oprócz warunków, o których mowa w pkt 8.1, że pracownik ubiegający się o dostęp do informacji z OBD zawarł umowę o pracę z podmiotem ubiegającym się o dostęp do informacji z OBD oraz że zainteresowany pracownik posiada ważny krajowy dowód tożsamości lub równoważny dokument.

8.3. Aby kwalifikować się do procedury uwierzytelnienia na podstawie niniejszego dodatku, producent narzędzi diagnostycznych zobowiązał się w ogólnych warunkach umów z podmiotami do przyjęcia, na wniosek niezależnego podmiotu, w celu potwierdzenia zgodności z wymogami, o których mowa w pkt 8.1 i 8.2, świadectwa, o którym mowa w pkt 9.2 niniejszego dodatku, wydanego nie wcześniej niż 60 miesięcy przed złożeniem wniosku o dostęp. Jeżeli jednak operator nie wnioskuje o uwierzytelnienie na podstawie takiego świadectwa, producent narzędzi diagnostycznych może, do celów uwierzytelnienia, zdecydować się na weryfikację tożsamości podmiotu lub jego pracownika oraz zgodności z kryteriami zezwolenia za pomocą własnych procesów.

9. Jednostka oceniająca zgodność i centrum zaufania

9.1. Świadectwa, o których mowa w pkt 3.7 i 8.3, wydaje centrum zaufania, o którym mowa w dodatku 3 pkt 2.1.6, na podstawie ustaleń jednostki oceniającej zgodność, o których mowa w pkt 4.2.2 dodatku 3, w odniesieniu do okoliczności, o których mowa w pkt 9.2.

9.2. Do celów wydawania świadectw zezwolenia przez centrum zaufania jednostka oceniająca zgodność:

a) spełnia wymogi, o których mowa w pkt 4.3.1 lit. a), b), d), e), f), g), h), i), k), l), n) oraz p) dodatku 3 do załącznika X;

b) sprawdza i potwierdza okoliczności, o których mowa w pkt 4.3.3 lit. d) i g) dodatku 3 do załącznika X. W przypadkach, o których mowa w pkt 5.4, jeżeli producent pojazdu wymaga uwierzytelnienia pracownika podmiotu, kontrola i potwierdzenie tych okoliczności odnoszą się do pracownika podmiotu.

9.3. Do celów wydawania świadectw zezwolenia w przypadkach, o których mowa w pkt 9.1, centrum zaufania:

a) spełnia wymogi pkt 4.6 dodatku 3;

b) przekazuje producentowi narzędzi diagnostycznych wszystkie wymagane informacje w celu wdrożenia świadectw w jego narzędziach diagnostycznych.

10. Dostęp producenta pojazdu do informacji dotyczących podmiotu

10.1. Producent pojazdu uzyskuje od producenta narzędzia diagnostycznego, na wniosek, dostęp do informacji dotyczących danej operacji naprawy lub konserwacji zarejestrowanej zgodnie z sekcją 5, wyłącznie jeżeli jest to konieczne w związku z naprawą lub konserwacją danego pojazdu e w celu:

a) reagowania na uzasadnione podejrzenie poważnego niewłaściwego dostępu do pojazdu;

b) prowadzenia dochodzeń w sprawie odpowiedzialności za produkt lub roszczeń gwarancyjnych;

c) badania cyberbezpieczeństwa lub incydentów związanych z nielegalną ingerencją, odpowiadania na zapytania właściciela pojazdu lub organu publicznego.

W przypadkach, o których mowa w lit. b) i c), informacje te obejmują, w stosownych przypadkach, informacje dotyczące podmiotu lub jego pracowników. W przypadkach, w których producent narzędzia diagnostycznego uzyskał uwierzytelnienie na podstawie świadectwa wydanego przez centrum zaufania, odpowiednia jednostka oceniająca zgodność dostarcza wymagane informacje na podstawie swojej oceny udokumentowanego wniosku producenta pojazdu.

Producent pojazdu zapewnia, aby informacje dotyczące danej operacji naprawy lub konserwacji, do których uzyskano dostęp do celów, o których mowa w lit. a)-c), nie były wykorzystywane do żadnych innych celów.

10.2. W przypadkach, o których mowa w pkt 10.1, producent narzędzia diagnostycznego niezwłocznie informuje niezależny podmiot oraz, w stosownych przypadkach, pracownika niezależnego podmiotu o dostępie do informacji dotyczących danej operacji naprawy lub konserwacji lub do informacji dotyczących podmiotu lub jego pracowników.

10.3. W przypadkach, o których mowa w pkt 10.1 lit. a) i c), oraz gdy jest to konieczne i proporcjonalne do zapobiegania dalszemu niewłaściwemu wykorzystywaniu lub przeciwdziałania ryzyku w cyberprzestrzeni, producent pojazdu może tymczasowo zawiesić lub ograniczyć dostęp do danego narzędzia diagnostycznego lub zwrócić się do zaangażowanego producenta narzędzia diagnostycznego o wdrożenie natychmiastowych środków w celu tymczasowego ograniczenia dostępu zainteresowanego podmiotu, narzędzia diagnostycznego lub pracownika do informacji z OBD dotyczących pojazdów tego producenta.

10.4. W wyjątkowych przypadkach, w odpowiedzi na poważny obecny lub zbliżający się incydent cyberbezpie- czeństwa, producent pojazdu może zawiesić dostęp do informacji z OBD na jak najbardziej szczegółowym poziomie, jeżeli jest to konieczne i proporcjonalne do zareagowania na dany incydent.

10.5. W przypadkach, o których mowa w pkt 10.3 i 10.4, producent pojazdu jednocześnie powiadamia o zawieszeniu organ udzielający homologacji oraz podaje przyczyny zawieszenia i wszelkie istotne dowody. Zawieszenie zostaje uchylone, gdy incydent zostanie rozwiązany lub jeżeli organ udzielający homologacji zwróci się o to do producenta pojazdu.

W ciągu 10 dni od dnia powiadomienia organ udzielający homologacji dokonuje przeglądu podstaw zawieszenia i, jeżeli zawieszenie jest wyraźnie nieuzasadnione lub nieproporcjonalne, zwraca się do producenta pojazdu lub zaangażowanego producenta narzędzia diagnostycznego o przywrócenie dostępu.

Organ udzielający homologacji może w każdej chwili zwrócić się do producenta pojazdu i zaangażowanego producenta narzędzia diagnostycznego o przywrócenie dostępu, jeżeli uzna, że przyczyny zawieszenia przestały istnieć.

11. Informacje, które należy przekazać producentom narzędzi diagnostycznych

11.1. System RMI producenta pojazdu musi wyświetlać dane kontaktowe i informacje dotyczące procesu uzyskania wymaganych informacji, określonych w lit. a), b), c) i d), w odniesieniu do integracji narzędzia diagnostycznego, w momencie udzielania homologacji typu:

a) dane kontaktowe na potrzeby zapytań technicznych i handlowych;

b) opis procesu integracji, w tym orientacyjny harmonogram;

c) ogólne warunki integracji narzędzi diagnostycznych przez producenta narzędzi diagnostycznych;

d) wykaz opłat za usługi związane z integracją.

11.2. Z zastrzeżeniem zawarcia umowy poufności producent pojazdu udostępnia, na wniosek, następujące informacje każdemu niezależnemu podmiotowi spełniającemu wymogi TISAX, na poziomie określonym przez producenta pojazdu zgodnie z pkt 2.5 lub ISO 27001:

a) do celów referencyjnych - wzór umowy w sprawie integracji zabezpieczeń, wyraźnie wskazujący warunki, które mają być zawarte we wszystkich umowach producenta pojazdów z producentami narzędzi diagnostycznych w tej kwestii,

b) opis wymogów i procesów bezpiecznej integracji narzędzia diagnostycznego, w tym orientacyjny harmonogram.

11.3. W momencie zawierania umowy w sprawie integracji narzędzia diagnostycznego producent pojazdu dostarcza producentowi narzędzia diagnostycznego następujące informacje i udostępnia mu następujące usługi:

a) szczegółowe i terminowe uaktualnione wymogi, procesy i specyfikacje techniczne dotyczące bezpiecznej integracji narzędzia diagnostycznego, w tym wymogi dotyczące wdrażania bezpieczeństwa;

b) za rozsądnym wynagrodzeniem, o którym mowa w pkt 2.3 - wsparcie techniczne natychmiastowej reakcji na potrzeby integracji zabezpieczeń i weryfikacji narzędzi diagnostycznych.

11.4. Wymogom dotyczącym wdrożenia bezpieczeństwa, o których mowa w pkt 11.3, towarzyszy wyjaśnienie przyczyn tego wymogu. W wyjątkowych przypadkach producent pojazdu może przedstawić jedynie niezbędne wymogi bez szczegółowych wyjaśnień, jeżeli:

a) ujawnienie szczegółowych celów leżących u podstaw danego wymogu mogłoby zagrozić informacjom zastrzeżonym lub tajemnicom handlowym; lub

b) ujawnienie uzasadnienia ujawniłoby szerszą strategię cyberbezpieczeństwa, która musi pozostać poufna, aby zachować integralność systemu.

11.5. Informacje, o których mowa w pkt 11.1-11.3, przekazuje się wraz z wnioskiem o homologację typu.

12. Forum ds. OBD

12.1. Forum ds. dostępu do informacji o pojazdach (Forum ds. OBD) jest odpowiedzialne za koordynację i monitorowanie wdrażania procedur dotyczących:

a) uwierzytelniania i autoryzacji niezależnych podmiotów, jak opisano w pkt 3 i 8 niniejszego dodatku, w tym procesów stosowanych przez producentów narzędzi diagnostycznych do weryfikacji kryteriów autoryzacji, jak opisano w pkt 3 niniejszego dodatku;

b) wydawania danych uwierzytelniających zgodnie z opisem w pkt 7 niniejszego dodatku, w tym spełnienia wymogów dotyczących identyfikowalności i łączności;

c) ujawniania informacji dotyczących dostępu oraz zawieszenia lub ograniczenia dostępu, jak opisano w pkt 10 niniejszego dodatku.

12.2. Forum:

a) doradza Komisji w sprawie wdrażania niniejszego dodatku;

b) doradza organom udzielającym homologacji w przypadku sporów dotyczących interpretacji i wdrażania niniejszego dodatku;

c) doradza producentom pojazdów, producentom narzędzi diagnostycznych i niezależnym podmiotom w zakresie:

(i) interpretacji dodatku;

(ii) praktycznych aspektów procedur, o których mowa w pkt 12.1;

(iii) wytycznych dotyczących rozstrzygania sporów dotyczących wdrażania procedur, o których mowa w pkt 12.1.

12.3. Członkowie Forum ds. OBD są reprezentowani przez producentów pojazdów i niezależne podmioty zaangażowane we wdrażanie i stosowanie procedur i procesów opisanych w pkt 12.1.

12.4. Forum ds. OBD działa w ramach wspólnej struktury prawnej i organizacyjnej jako "forum na rzecz dostępu do RMI pojazdu związanych z zabezpieczeniami, o którym mowa w pkt 2.1.12 dodatku 3.".

1 Dz.U. L 151 z 14.6.2018, s. 1, ELI: https://eur-lex.europa.eu/eli/reg/2018/858/oj.

2 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/2144 z dnia 27 listopada 2019 r. w sprawie wymogów dotyczących homologacji typu pojazdów silnikowych i ich przyczep oraz układów, komponentów i oddzielnych zespołów technicznych przeznaczonych do tych pojazdów, w odniesieniu do ich ogólnego bezpieczeństwa oraz ochrony osób znajdujących się w pojeździe i niechronionych uczestników ruchu drogowego, zmieniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/858 oraz uchylające rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 78/2009, (WE) nr 79/2009 i (WE) nr 661/2009 oraz rozporządzenia Komisji (WE) nr 631/2009, (UE) nr 406/2010, (UE) nr 672/2010, (UE) nr 1003/2010, (UE) nr 1005/2010, (UE) nr 1008/2010, (UE) nr 1009/2010, (UE) nr 19/2011, (UE) nr 109/2011, (UE) nr 458/2011, (UE) nr 65/2012, (UE) nr 130/2012, (UE) nr 347/2012, (UE) nr 351/2012, (UE) nr 1230/2012 i (UE) 2015/166 (Dz.U. L 325 z 16.12.2019, s. 1, ELI: http://data.europa.eu/ eli/reg/2019/2144/oj).

3 Regulamin ONZ nr 155 - Jednolite przepisy dotyczące homologacji pojazdów w zakresie cyberbezpieczeństwa i systemu zarządzania bezpieczeństwem [2021/387] (Dz.U. L 82 z 9.3.2021, s. 30, ELI: http://data.europa.eu/eli/reg/2021/387/oj).

4 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/ 2016/679/oj).

5 Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

6 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

7 https://www.edps.europa.eu/data-protection/our-work/our-work-by-type/opinions_en.

* Regulamin nr 154 Europejskiej Komisji Gospodarczej Organizacji Narodów Zjednoczonych (EKG ONZ) - Jednolite przepisy dotyczące homologacji lekkich pojazdów osobowych i użytkowych w odniesieniu do emisji objętych kryteriami, emisji dwutlenku węgla i zużycia paliwa lub pomiaru zużycia energii elektrycznej i zasięgu przy zasilaniu energią elektryczną (WLTP) [2021/2039] (Dz.U. L 423 z 26.11.2021, s. 1, ELI: http://data.europa.eu/eli/reg/2021/2039/oj).

*^*)Regulamin nr 49 Europejskiej Komisji Gospodarczej Organizacji Narodów Zjednoczonych (EKG ONZ) - Jednolite przepisy dotyczące działań, jakie mają zostać podjęte przeciwko emisji zanieczyszczeń gazowych i pyłowych z silników o zapłonie samoczynnym oraz z silników o zapłonie iskrowym stosowanych w pojazdach [2023/64] (Dz.U. L 14 z 16.1.2023, s. 1, ELI: http://data.europa.eu/eli/reg/2023/64/oj).";

*Zgodnie z definicją w art. 2 rozporządzenia wykonawczego Komisji (UE) 2023/138 z dnia 21 grudnia 2022 r. ustanawiającego wykaz szczególnych zbiorów danych o wysokiej wartości oraz warunki ich publikacji i ponownego wykorzystywania (Dz.U. L 19 z, 20.1.2023, s. 43, ELI: http://data.europa.eu/eli/ reg_impl/2023/138/oj).";

*Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1257 z dnia 24 kwietnia 2024 r. w sprawie homologacji typu pojazdów silnikowych i silników oraz układów, komponentów i oddzielnych zespołów technicznych przeznaczonych do takich pojazdów, w odniesieniu do emisji i trwałości akumulatora (Euro 7), zmieniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/858 oraz uchylające rozporządzenie (WE) nr 715/2007 Parlamentu Europejskiego i Rady i rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 595/2009, rozporządzenie Komisji (UE) nr 582/2011, rozporządzenie Komisji (UE) 2017/1151, rozporządzenie Komisji (UE) 2017/2400 oraz rozporządzenie Komisji (UE) 2022/1362 (Dz.U. L, 2024/1257, 8.5.2024, ELI: http://data.europa. eu/eli/reg/2024/1257/oj).

*^*) Regulamin nr 83 Europejskiej Komisji Gospodarczej Organizacji Narodów Zjednoczonych (EKG ONZ) - Jednolite przepisy dotyczące homologacji pojazdów w zakresie emisji zanieczyszczeń w zależności od paliwa zasilającego silnik (Dz.U. L 42 z 15.2.2012, s. 1, ELI: http://data.europa.eu/eli/reg/2012/ 83/oj).

*^**) Regulamin nr 168 Europejskiej Komisji Gospodarczej Organizacji Narodów Zjednoczonych (EKG ONZ) - Jednolite przepisy dotyczące homologacji lekkich pojazdów pasażerskich i użytkowych w odniesieniu do emisji zanieczyszczeń w rzeczywistych warunkach jazdy (RDE) [2024/211] (Dz.U. L, 2024/211, 12.1.2024, ELI: http://data.europa.eu/eli/reg/2024/211/oj).

*^***) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/2847 z dnia 23 października 2024 r. w sprawie horyzontalnych wymagań w zakresie cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi oraz w sprawie zmiany rozporządzeń (UE) nr 168/2013 i (UE) 2019/1020 i dyrektywy (UE) 2020/1828 (akt o cyberodporności) (Dz.U. L, 2024/2847, 20.11.2024, ELI: http:// data.europa.eu/eli/reg/2024/2847/oj).

*^****) Regulamin nr 156 Europejskiej Komisji Gospodarczej Organizacji Narodów Zjednoczonych (EKG ONZ) - Jednolite przepisy dotyczące homologacji pojazdów w zakresie aktualizacji oprogramowania i systemu zarządzania aktualizacjami oprogramowania [2021/388] (Dz.U. L 82 z 9.3.2021, s. 60, ELI: ttp://data.europa.eu/eli/reg/2021/388/oj).".

Metryka aktu

Identyfikator:	Dz.U.UE.L.2026.699
Rodzaj:	rozporządzenie
Tytuł:	Rozporządzenie delegowane 2026/699 zmieniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/858 w odniesieniu do znormalizowanego dostępu do informacji z pokładowego układu diagnostycznego oraz informacji dotyczących naprawy i konserwacji pojazdów, a także wymogów i procedur w zakresie bezpiecznego dostępu do informacji z pokładowego układu diagnostycznego
Data aktu:	2026-03-23
Data ogłoszenia:	2026-06-03

ZAŁĄCZNIK

Dz.U.UE.L.2026.699