CRA-sancties in de praktijk: hoe markttoezicht er werkelijk uitziet

De CRA omvat sanctiebepalingen die kunnen oplopen tot €15 miljoen of 2,5% van de wereldwijde omzet. Maar hoe ziet handhaving er in de praktijk uit? Hoe opereren markttoezichtautoriteiten? En wat triggert de hoogste sancties?

Deze gids legt de CRA-handhavingsmechanismen uit en hoe u aan de goede kant van toezichthouders blijft.

Samenvatting

• Maximale sancties: €15 miljoen of 2,5% wereldwijde omzet bij schending essentiële vereisten
• Markttoezichtautoriteiten voeren inspecties uit, vragen documentatie op, testen producten
• Gedifferentieerde reactie: mogelijkheid tot correctie vóór sancties (doorgaans)
• Ergste uitkomsten: terugtrekking product, terugroeping, importverboden
• Beste verdediging: gedocumenteerde compliance-beslissingen en actieve medewerking

CRA-sanctiestructuur

Drie sanctieniveaus

De CRA stelt maximale bestuurlijke boetes vast op basis van de ernst van de overtreding:

CRA-SANCTIENIVEAUS

NIVEAU 1: Schendingen essentiële vereisten (Artikel 64(2))
─────────────────────────────────────────────────────────────
Maximum: €15.000.000 of 2,5% van de wereldwijde jaaromzet
         (het hoogste bedrag geldt)

Overtredingen omvatten:
- Non-compliance met essentiële vereisten Bijlage I
- Op markt plaatsen van niet-conforme producten
- Ontbrekende of ongeldige conformiteitsbeoordeling
- Verstrekken van onjuiste informatie aan autoriteiten

NIVEAU 2: Schendingen overige verplichtingen (Artikel 64(3))
─────────────────────────────────────────────────────────────
Maximum: €10.000.000 of 2% van de wereldwijde jaaromzet
         (het hoogste bedrag geldt)

Overtredingen omvatten:
- Documentatietekortkomingen
- Ontbrekende of onjuiste CE-markering
- Tekortkoming verplichtingen importeur/distributeur
- Schendingen meldingsplicht

NIVEAU 3: Informatieovertredingen (Artikel 64(4))
─────────────────────────────────────────────────────────────
Maximum: €5.000.000 of 1% van de wereldwijde jaaromzet
         (het hoogste bedrag geldt)

Overtredingen omvatten:
- Verstrekken van onjuiste/onvolledige informatie aan autoriteiten
- Nalaten informatie op verzoek te verstrekken
- Belemmering van markttoezichtactiviteiten

Waarschuwing: Maximale sancties kunnen oplopen tot €15 miljoen of 2,5% van de wereldwijde jaaromzet — het HOOGSTE bedrag geldt. Voor grote bedrijven kan de op omzet gebaseerde berekening het vaste maximum ruimschoots overschrijden.

Hoe sancties worden berekend

Autoriteiten moeten rekening houden met (Artikel 64(5)):

Sanctievoorbeelden (illustratief)

VOORBEELDSCENARIO'S (Illustratief, geen precedent)

Scenario A: Documentatieleemte
─────────────────────────────────────────────────────────────
Overtreding: Technisch dossier onvolledig (risicobeoordeling ontbreekt)
Omstandigheden: Eerste overtreding, snel gecorrigeerd, medewerking
Waarschijnlijke uitkomst: Waarschuwing of lage boete
Geschatte range: €0 - €50.000

Scenario B: Ontbrekende conformiteitsbeoordeling
─────────────────────────────────────────────────────────────
Overtreding: Belangrijk Klasse II-product verkocht zonder NB-beoordeling
Omstandigheden: Verplichting was bekend, toch doorgegaan
Waarschijnlijke uitkomst: Significante boete + terugtrekking product
Geschatte range: €100.000 - €1.000.000+

Scenario C: Bekende kwetsbaarheid ongepatchd
─────────────────────────────────────────────────────────────
Overtreding: Kritieke kwetsbaarheid bekend, 6 maanden niet aangepakt
Omstandigheden: Klantschade opgetreden, slechte medewerking
Waarschijnlijke uitkomst: Zware boete + mogelijke terugroeping
Geschatte range: €500.000 - €5.000.000+

Scenario D: Systematische non-compliance
─────────────────────────────────────────────────────────────
Overtreding: Meerdere producten, geen conformiteitsbeoordeling, valse DoC
Omstandigheden: Groot bedrijf, doorlopend, bewijs van opzet
Waarschijnlijke uitkomst: Maximale sancties + marktverbod
Geschatte range: Tot €15.000.000 of 2,5% omzet

Waarschuwing: Maximale boetes bereiken €15 miljoen of 2,5% van de wereldwijde jaaromzet — het HOOGSTE bedrag geldt. Voor grote bedrijven kan de op omzet gebaseerde berekening het vaste maximum ruimschoots overschrijden.

Markttoezicht: hoe het werkt

Wie handhaaft de CRA?

Markttoezichtautoriteiten (MSA's) in elke lidstaat handhaven de CRA. Dit zijn doorgaans:

• Consumentenbeschermingsagentschappen
• Industriële/productveiligheidsautoriteiten
• Sectorale toezichthouders

Coördinatie: Het EU-netwerk voor productcompliance coördineert handhaving over grenzen heen.

Toezichtsmethoden

MARKTTOEZICHTACTIVITEITEN

PROACTIEF TOEZICHT:
├── Marktmonitoring (online en fysiek)
├── Willekeurige productsteekproeven
├── Klachtgestuurde onderzoeken
├── Sectorgerichte campagnes
└── Grensoverschrijdende informatie-uitwisseling

REACTIEF TOEZICHT:
├── Incidentmeldingen van gebruikers
├── Kwetsbaarheidsonthullingen
├── Klachten van concurrenten
├── Klokkenluidersinformatie
└── RAPEX/Safety Gate-meldingen

DOCUMENTATIEVERZOEKEN:
├── EU-conformiteitsverklaring
├── Technisch dossier (of relevante delen)
├── SBOM
├── Testrapporten
├── Conformiteitsbeoordelingsbewijs
└── Registraties kwetsbaarheidsafhandeling

Typische handhavingsvolgorde

HANDHAVINGS-ESCALATIELADDER

1. INFORMATIEVERZOEK
   ├── Autoriteit vraagt documentatie op
   ├── Fabrikant levert binnen termijn
   └── Indien bevredigend → zaak gesloten

2. COMPLIANCEBEOORDELING
   ├── Autoriteit beoordeelt documentatie
   ├── Kan producttesten uitvoeren
   ├── Identificeert tekortkomingen (indien aanwezig)
   └── Indien compliant → zaak gesloten

3. VERZOEK CORRIGERENDE ACTIE
   ├── Autoriteit stelt non-compliance vast
   ├── Verzoekt om corrigerende maatregelen
   ├── Stelt termijn voor correctie
   └── Fabrikant voert correcties door

4. FORMELE WAARSCHUWING
   ├── Correcties ontoereikend of vertraagd
   ├── Formele kennisgeving van overtreding
   ├── Laatste kans tot correctie
   └── Sanctiewaarschuwing afgegeven

5. BESTUURLIJKE MAATREGELEN
   ├── Bevel tot terugtrekking product
   ├── Import-/verkoopverbod
   ├── Openbare waarschuwingen afgegeven
   └── Bestuurlijke boete opgelegd

6. GEËSCALEERDE HANDHAVING
   ├── Terugroeping product gelast
   ├── Maximale boetes opgelegd
   ├── Doorverwijzing naar justitie (indien van toepassing)
   └── EU-breed marktverbod

Wat autoriteiten daadwerkelijk doen

Documentatiereview:

• Technisch dossier (of samenvatting) opvragen
• Nauwkeurigheid DoC verifiëren
• Beschikbaarheid SBOM controleren
• Bewijs kwetsbaarheidsafhandeling beoordelen

Producttesten:

• Producten op de markt aankopen
• Laboratoriumtesten aan de hand van vereisten
• Penetratietesten (voor cyberbeveiliging)
• Kwetsbaarheidsscanning

Ter plekke inspectie:

• Productielocaties bezoeken
• Kwaliteitssystemen beoordelen
• Verantwoordelijke personen interviewen
• Gegevens bekijken

Verder dan boetes: andere gevolgen

Terugtrekking product

Wat het betekent: Product van de markt halen (verkoop stoppen).

Wanneer gelast: Product vormt risico of non-compliance die kan worden gecorrigeerd.

Uw verplichtingen:

• Verkoop onmiddellijk stoppen
• Distributeurs informeren
• Correcties doorvoeren
• Nieuwe goedkeuring aanvragen vóór hervatting verkoop

Terugroeping product

Wat het betekent: Producten terughalen die al aan klanten zijn verkocht.

Wanneer gelast: Product vormt ernstig risico, ook bij eindgebruikers.

Uw verplichtingen:

• Alle bekende klanten contacteren
• Instructies voor retournering/vervanging verstrekken
• Kosten van terugroeping dragen
• Autoriteiten rapporteren over voortgang

Importverbod

Wat het betekent: Product mag de EU-markt niet betreden.

Wanneer van toepassing: Niet-conforme producten onderschept bij de grens of systematische problemen met de fabrikant.

Gevolgen:

• Producten vastgehouden bij douane
• Kunnen worden vernietigd of geretourneerd
• Raakt alle toekomstige zendingen

Publieke naamgeving

Wat het betekent: Autoriteit publiceert details over de non-compliance.

Waarom het belangrijk is:

• Reputatieschade
• Impact op klantvertrouwen
• Concurrentievoordeel voor anderen
• Uitsluiting van aanbestedingen

EU-brede maatregelen

Voor ernstige of wijdverspreide problemen: EU-brede actie:

• Safety Gate (RAPEX)-melding
• Gecoördineerd markttoezicht
• EU-breed marktverbod

Wat handhaving triggert

Triggers met hoge prioriteit

Autoriteiten geven prioriteit aan zaken met:

Veelvoorkomende handhavingstriggers

Op basis van handhavingservaring met vergelijkbare regelgeving:

1. Klachten van concurrenten - Zakelijke rivalen melden vermoede non-compliance
2. Klantincidenten - Gebruikers melden beveiligingsinbreuken of schade
3. Willekeurige steekproeven - Autoriteit koopt producten en test ze
4. Importinspectie - Douane signaleert documentatieproblemen
5. Kwetsbaarheidsonthulling - Beveiligingsonderzoekers melden ongepatchte problemen
6. Klokkenluiders - Medewerkers melden interne non-compliance

Situaties met lage prioriteit

Autoriteiten hebben beperkte middelen. Lagere prioriteit voor:

• Kleine documentatieopmaakfouten
• Eerste overtreding, snel gecorrigeerd
• Laagrisicoproducten met goede staat van dienst
• Meewerkende fabrikanten die actief verbeteren

Hoe handhavingsacties te voorkomen

Preventiestrategie

CHECKLIST HANDHAVINGSPREVENTIE

DOCUMENTATIE:
[ ] Technisch dossier volledig en toegankelijk
[ ] DoC nauwkeurig en ondertekend
[ ] SBOM actueel en beschikbaar
[ ] Risicobeoordeling gedocumenteerd
[ ] Testrapporten bewaard

CONFORMITEIT:
[ ] Juiste beoordelingsroute geselecteerd
[ ] Beoordeling daadwerkelijk voltooid (niet alleen verklaard)
[ ] CE-markering correct aangebracht
[ ] Productidentificatie traceerbaar

KWETSBAARHEIDSAFHANDELING:
[ ] Beveiligingscontact gepubliceerd
[ ] CVD-beleid aanwezig
[ ] Responsecapaciteit aangetoond
[ ] Updates geleverd wanneer nodig

HOUDING MEDEWERKING:
[ ] Snel reageren op verzoeken van autoriteiten
[ ] Volledige informatie verstrekken
[ ] Problemen niet verbergen
[ ] Goede-trouw-inspanningen documenteren

Als handhaving begint

Belangrijk: Verstrek nooit valse informatie aan markttoezichtautoriteiten. Wat begint als een Niveau 3-overtreding (max. €5 miljoen) wordt een Niveau 1-overtreding (max. €15 miljoen) als u liegt.

Wel doen:

• Reageren binnen termijnen
• Volledige documentatie verstrekken
• Problemen eerlijk erkennen
• Corrigerende acties voorstellen
• Uw medewerking documenteren
• Tijdig juridisch advies inwinnen

Niet doen:

• Verzoeken negeren (maakt alles erger)
• Valse informatie verstrekken (Niveau 3-overtreding wordt Niveau 1)
• Vertragen zonder uitleg
• Anderen de schuld geven zonder bewijs
• Documenten vernietigen

Voordelen van medewerking

Aantoonbare medewerking beïnvloedt uitkomsten aanzienlijk:

Overwegingen voor mkb

Proportionaliteit

CRA-sancties moeten "doeltreffend, evenredig en afschrikwekkend" zijn. Voor mkb:

• Procentuele omzetgrenzen zijn relevant (€15 miljoen onwaarschijnlijk voor kleine bedrijven)
• Proportionaliteitsbeginsel is van toepassing
• Eerste, snel gecorrigeerde overtredingen krijgen vaak waarschuwingen

Mkb-vrijstelling voor melding

Mkb is vrijgesteld van specifieke boetes voor het missen van 24u/72u ENISA-meldingstermijnen (Artikel 64(7)). Maar:

• Moet nog steeds melden (alleen niet beboet voor timing)
• Overige sancties blijven van toepassing
• Geen vrijbrief voor systematisch falen

Realiteit van middelen

MSA's begrijpen de middelenbeperking van mkb:

• Meer geneigd eerst begeleiding te bieden
• Kunnen langere correctieperiodes toestaan
• Focus op inhoudelijke compliance boven perfectie

Maar fundamentele overtredingen (geen conformiteitsbeoordeling, valse verklaringen) worden ernstig genomen, ongeacht omvang.

Grensoverschrijdende handhaving

Beginsel van de interne markt

Een bevinding van non-compliance in één lidstaat heeft gevolgen voor de gehele EU-markt:

• Product kan in de gehele EU worden verboden
• Informatie wordt gedeeld via EU-systemen
• Gecoördineerde handhaving is mogelijk

Praktische gevolgen

Als de Duitse autoriteit non-compliance vaststelt:

• Informatie wordt gedeeld met andere MSA's
• Producten in Spanje, Frankrijk, etc. worden getroffen
• Correctie is vereist in alle markten

Verstandig kiezen van gevechten

Sommige fabrikanten proberen "authority shopping" (omgaan met vriendelijkere MSA's). Dit werkt zelden:

• Autoriteiten coördineren
• Ernstige kwesties worden geëscaleerd
• Reputatie bij alle MSA's telt

Hoe goede compliance eruitziet voor autoriteiten

Autoriteiten herkennen oprechte compliance-inspanningen:

KENMERKEN VAN OPRECHTE COMPLIANCE

Documentatie:
✓ Technisch dossier bestaat en is actueel
✓ Duidelijke onderbouwing van beslissingen gedocumenteerd
✓ Updates bijgehouden en versioned
✓ Toegankelijk binnen 48 uur op verzoek

Proces:
✓ Kwetsbaarheidsafhandeling werkt daadwerkelijk
✓ Updates daadwerkelijk geleverd
✓ Klanten daadwerkelijk geïnformeerd
✓ Problemen daadwerkelijk opgelost (niet alleen gedocumenteerd)

Houding:
✓ Neemt beveiliging serieus (niet alleen compliance)
✓ Reageert constructief op meldingen
✓ Werkt mee aan onderzoeken
✓ Leert van problemen

Checklist handhavingsgereedheid

CHECKLIST HANDHAVINGSGEREEDHEID

DOCUMENTATIE GEREED:
[ ] Technisch dossier volledig
[ ] DoC ondertekend en gedateerd
[ ] SBOM beschikbaar
[ ] Testrapporten toegankelijk
[ ] Risicobeoordeling gedocumenteerd
[ ] Bewijs conformiteitsbeoordeling

RESPONSECAPACITEIT:
[ ] Contactpunt voor autoriteiten aangewezen
[ ] Responsproces vastgesteld
[ ] Juridisch adviseur geïdentificeerd
[ ] Documentatieophaling getest
[ ] Reactietijdlijn begrepen (doorgaans 10-30 dagen)

PROBLEEMTRACKING:
[ ] Bekende kwetsbaarheden gedocumenteerd
[ ] Herstelstatus bijgehouden
[ ] Klantnotificatieregistraties
[ ] Incidentgeschiedenis bijgehouden

INTERNE BEWUSTWORDING:
[ ] Medewerkers weten dat autoriteitscontact niet mag worden genegeerd
[ ] Escalatiepad naar compliance/juridisch
[ ] Niemand bevoegd om valse informatie te verstrekken
[ ] Documentatiebewaring gehandhaafd

NA EEN INCIDENT:
[ ] Proces voor grondoorzaakanalyse
[ ] Bijhouden corrigerende acties
[ ] Communicatielog toezichthouder
[ ] Geleerde lessen gedocumenteerd

Hoe CRA Evidence helpt

CRA Evidence ondersteunt handhavingsgereedheid:

• Documentatierepository: Technische dossiers toegankelijk voor verzoeken van autoriteiten
• Auditspoor: Compliance-beslissingen gedocumenteerd met onderbouwing
• SBOM-beheer: Actuele SBOM's direct beschikbaar
• Kwetsbaarheidstracking: Responsgeschiedenis gedocumenteerd
• Exportcapaciteit: Documentatiepakketten genereren voor autoriteiten

Wees handhavingsgereed op app.craevidence.com.

Gerelateerde gidsen

Compliance: Start uw compliancetraject met onze implementatietijdlijn.

Documentatie: Bouw uw bewijspakket met onze gids voor technisch dossier.

Melding: Begrijp de 24-uursregel in onze gids voor ENISA-kwetsbaarheidsmelding.

Kosten: Plan uw budget met onze CRA-kostenramingsgids.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliancebegeleiding een gekwalificeerde juridisch adviseur.