На 29 април 2026 г. Европейската комисия публикува проекта на регламент за прилагане относно регистъра за цифровия паспорт на продуктите и едновременно с това откри четириседмичен период за обратна връзка. До 27 май 2026 г. всяко физическо лице и всяка организация в ЕС и извън него могат да дадат обратна връзка чрез портала „Have Your Say“. Коментарите са публични, всеки е подписан с име или наименование на организация, и те официално се включват в окончателната версия на регламента.
Обсъдихме подробно проекта тук, в блога. Тази статия е посветена на въпроса какво отговорихме на Комисията.
Защо подадохме четири отделни мнения
Порталът приема до 4 000 знака на мнение. Бихме могли да съберем всички точки в едно дълго мнение. Това би било по-неудобно за четене и по-трудно за цитиране от страна на служителите на Комисията, които през май ще преглеждат десетки мнения. Четирите отделни мнения могат да бъдат намерени поотделно в публичния списък и на всяко от тях може да се отговори - или да се отхвърли - изолирано, без това да засяга останалите точки.
Представихме следните четири теми:
1. Определяне на минимални изисквания за доставчиците на DPP услуги
Проектът на регламента правилно определя децентрализирания модел: Данните за DPP се съхраняват при икономическия субект или при неговия доставчик на DPP услуги, а регистърът на Комисията съхранява само препратките. За доставчиците на DPP услуги (чл. 2, т. 32 от ESPR) е предвиден официален списък на одобрените доставчици.
Липсва обаче определение на това, какво всъщност трябва да изпълнява доставчикът на услуги, за да бъде включен в този списък и да остане в него. Вероятно съществените задължения ще бъдат уредени в делегиран нормативен акт съгласно член 4 от основния регламент за ESPR. Регистърът обаче ще започне да функционира, преди този нормативен акт да бъде публикуван.
Нашето предложение: или да се заложат минимални критерии за доставчиците на услуги директно в този регламент за прилагане, или да се посочи задължителен срок, до който делегираният нормативен акт трябва да бъде представен. Сред предложените минимални изисквания са:
- Наличност на публичния интерфейс за четене на DPP от най-малко 99,5 процента на месец
- Споразумение за ниво на обслужване, което определя колко бързо трябва да пристигне нова версия на DPP в резервното копие (предложение: 24 часа или в реално време, където това е технически възможно)
- Задължителна криптографска проверка на постъпващите версии от страна на доставчика на услуги
- Публикуване на публичните ключове на икономическия субект по стандартизиран път (RFC 8615, предложение
/.well-known/dpp-keys/) - Определен процес за смяна и несъстоятелност, за да могат данните от DPP да се мигрират по подреден начин към друг доставчик в случай на отпадане на даден доставчик
Тези задължения не струват нищо на един сериозен доставчик - той ги изпълнява така или иначе -, но предотвратяват надпреварата за понижаване на цените между евтините доставчици, която в крайна сметка подкопава списъка.
2. Възможност за дългосрочна проверка на регистрираните DPP
Член 9, параграф 4 ограничава достъпността на удостоверението за регистрация до 90 календарни дни. В рамките на този срок регистърът възстановява удостоверението при поискване. Това е приемливо за текущата експлоатация, но не съответства на жизнения цикъл на свързаното с това задължение за DPP: член 10, параграф 3 определя стандартния срок за съхранение на 10 години от датата на регистрация, като секторното законодателство може да изисква по-дълъг срок.
През 2032 г. орган за надзор на пазара, митнически служител, предприятие за рециклиране или изследовател трябва да може да провери дали даден DPP, регистриран през 2026 г., наистина е бил регистриран, без да разчита на това, че първоначалният икономически субект все още съществува и може да поиска ново удостоверение.
Нашите две предложения са лесни за прилагане:
- Изрично да се уточни, че байтовете с доказателства, които са квалифицирано запечатани от Комисията, могат да бъдат временно съхранявани, архивирани и разпространявани от икономическия субект или от доставчика на услуги. Квалифицираният печат съгласно член 35, параграф 2 от Регламента eIDAS носи презумпцията за целостност и произход, независимо от това къде се намират байтовете.
- Да се създаде публичен, неавтентифициран крайни пункт за проверка в регистъра, който предоставя подписан отговор по регистрационен идентификатор. Днес всяка проверка от трета страна предполага, че икономическият субект трябва да предприеме активни действия - това е неправилната форма за доказателствен документ, който трябва да оцелее след издателя.
Освен това предложихме хеш-функцията да бъде определена детерминистично: SHA-256 като хеш-функция, JSON Canonicalization Scheme (RFC 8785) като сериализация, извън блока за подпис. В екосистемата на W3C това е криптосуитът eddsa-jcs-2022, с който Transpareo се подписва директно. Без тази фиксирана настройка два доставчика на услуги биха сериализирали един и същ DPP с различни хешове, а полето за хеш в удостоверението за регистрация не би било възпроизводимо.
3. Член 17 не трябва да ограничава достъпа до публични данни от DPP
Член 17 посочва „масовото изтегляне на данни“ като възможна злоупотреба с регистъра. За административните метаданни, които се намират в самия регистър (идентичности, логове, одитни следи), това е вярно - те не трябва да бъдат обект на масово изтегляне.
Публичните данни от DPP при производителя или доставчика на услуги обаче са точно тази област, която ESPR иска да направи широко достъпна. Рециклиращите предприятия, които извличат данни за състава на продуктовите паркове; научните изследвания, които правят кръстосани анализи на твърденията за устойчивост; пазарният надзор, който извършва сравнителни анализи - всичко това са форми на „масово изтегляне на данни“ от публичния слой на DPP и всички те са целеви употреби, за които е създаден регламентът.
Нашето предложение е да се добави изясняващо изречение в член 17, което да ограничи обхвата до данните от регистрите и за данните от DPP да се препраща към съответните секторни делегирани актове. В противен случай доставчиците на услуги ще се изправят пред избор при стартирането: или да ограничат агресивно броя на заявките за публичен достъп от съображения за сигурност - и да съсипят потребителското преживяване - или да го оставят отворен и да рискуват по-късно да бъдат класифицирани като злоупотреба по смисъла на член 17.
4. Публикуване на спецификацията на OpenAPI и „пясъчника“ преди стартирането
Член 3, буква б) изисква наличието на API за регистрации. Член 8, параграф 5 го определя като един от двата канала за регистрация. Регламентът обаче не посочва кога трябва да бъде публикуван договорът за API.
Всеки, който автоматизира работните процеси по регистрацията - всеки доставчик на услуги и всеки икономически субект с по-голям каталог - се нуждае от спецификацията на API-то доста преди стартирането, за да я имплементира и да я тества срещу реален краен пункт. Намирането на спецификацията в седмицата преди влизането в сила прехвърля риска от интеграцията върху всички доставчици в екосистемата.
Ето защо предложихме:
- Спецификацията по OpenAPI 3.1 да бъде публикувана най-малко осем седмици преди влизането в сила - за старт на 19 юли 2026 г. това означава до 24 май 2026 г.
- Паралелно да се създаде среда за тестване (sandbox), в която доставчиците на услуги и производителите да могат да интегрират системите си и да тестват автоматичната верификация съгласно член 8, параграф 6
- Политика за версиониране съгласно Semver, с период за предизвестие от най-малко 18 месеца
Допълнителни предложения за дизайн: ключове за идемпотентност при извиквания за регистрация, пакетна регистрация за големи каталози, асинхронна регистрация с обратно извикване чрез уебхук и машинно четими кодове за грешки при случаи на грешки при автоматичната верификация.
Защо правим това
Консултацията не е игра за събиране на точки. Ако всеки принос успее да направи дори едно изречение в окончателния вариант по-прецизно, той е изпълнил целта си. Комисията действително чете тези мнения - опитът от самия процес на ESPR показва, че технически обоснованите мнения често оставят следа в окончателните текстове.
Във всеки случай ще кандидатстваме за включване в списъка на доставчиците на услуги по DPP, веднага щом бъде публикувана процедурата за включване. Следователно е в наш пряк интерес правилата, по които се състезаваме, да са прецизни и да определят равнопоставени условия. Четирите предложения са нашият конкретен начин да гарантираме, че списъкът няма да се превърне в обикновен маркетингов етикет.
Който иска да се включи
Периодът за обратна връзка продължава до 27 май 2026 г. Мненията могат да се подават на всеки официален език на ЕС, изискват регистрация в портала и стават публично достъпни. Всички, които ще издават или verificieren DPP - производители, доставчици на услуги, фирми за рециклиране, държавни органи -, трябва поне веднъж да се запознаят с инициативата на Have Your Say. Дори кратко, технически точно мнение има значение.
Нашият инструмент за верификация Transpareo Time Machine между другото вече отговаря на посочената в точка 2 необходимост от верификация в практиката на отворения код: всеки, който иска да провери независимо Transpareo-DPP, може да го направи още днес с помощта на инструмента, без да чака официално установена точка за верификация в регистъра на Комисията.