CRA-boetes kunnen oplopen tot € 15 000 000 of 2,5 % van de totale wereldwijde jaaromzet, voor ondernemingen afhankelijk van welk bedrag hoger is. De Cyber Resilience Act geeft markttoezichtautoriteiten twee soorten drukmiddelen: administratieve boetes en productmaatregelen zoals corrigerende actie, uit de handel nemen, terugroepen of beperkingen op de beschikbaarheid.
Deze pagina legt uit wat die bevoegdheden in de praktijk betekenen en welk bewijs een marktdeelnemer klaar moet hebben voordat een autoriteit erom vraagt.
Samenvatting
- De CRA kent drie boetecategorieën. De hoogste categorie geldt voor de essentiële cyberbeveiligingseisen en de kernverplichtingen van de fabrikant.
- Het vaste eurobedrag is niet altijd het plafond. Voor ondernemingen geldt het omzetpercentage wanneer dat hoger is dan het vaste bedrag.
- Boetes zijn maar één handhavingsinstrument. Autoriteiten kunnen corrigerende actie, uit de handel nemen, terugroepen of beperkingen op de marktbeschikbaarheid eisen.
- Markttoezicht begint met bewijs. Technische documentatie, de EU-conformiteitsverklaring, SBOM-bewijs, registraties van kwetsbaarheidsafhandeling en gegevens over de ondersteuningsperiode kunnen autoriteiten gebruiken om uw conformiteitsclaim te toetsen.
- Omvang van de marktdeelnemer telt mee, maar levert geen vrijbrief op. Autoriteiten moeten bij het bepalen van boetes rekening houden met de omvang, waaronder micro-ondernemingen, mkb-ondernemingen en start-ups.
De vier handhavingsankers: de hoogste boete, de vroege startdatum van de meldplicht, de datum van volledige toepassing en de productmaatregelen die markttoezichtautoriteiten kunnen inzetten.
Welke administratieve boetes kunnen gelden?
De Verordening stelt de EU-brede maxima vast voor administratieve boetes. Lidstaten stellen de gedetailleerde sanctieregels vast, maar die regels moeten binnen het CRA-kader blijven en de sancties moeten doeltreffend, evenredig en afschrikkend zijn.
| Inbreukcategorie | Wat deze activeert | Maximale administratieve boete |
|---|---|---|
| Kernplichten voor productbeveiliging | Essentiële cyberbeveiligingseisen en kernplichten van fabrikanten, inclusief kwetsbaarheidsafhandeling, beveiligingsupdates, bewijs over de ondersteuningsperiode en verplichte meldingen | € 15 000 000 of, voor ondernemingen, 2,5 % van de totale wereldwijde jaaromzet van het voorafgaande boekjaar, afhankelijk van welk bedrag hoger is |
| Markttoegang en conformiteit | Controles door importeurs en distributeurs, CE-markering, verklaringen, conformiteitsbeoordeling, samenwerking met aangemelde instanties en markttoezichtverplichtingen | € 10 000 000 of, voor ondernemingen, 2 % van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is |
| Misleidende informatie | Het verstrekken van onjuiste, onvolledige of misleidende informatie aan aangemelde instanties of markttoezichtautoriteiten | € 5 000 000 of, voor ondernemingen, 1 % van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is |
De hoogste boete is wat de meeste fabrikanten als eerste moeten begrijpen. Zij dekt de productbeveiligingsinhoud en de operationele verplichtingen van de fabrikant: cyberrisicobeoordeling, kwetsbaarheidsafhandeling, beveiligingsupdates, bekendmaking van de ondersteuningsperiode en meldingen van ernstige incidenten of actief misbruikte kwetsbaarheden. De technische documentatie, EU-conformiteitsverklaring en CE-markering vallen in de middelste boetecategorie (€ 10 000 000 of 2 %).
Welke inbreuken wegen het zwaarst?
De CRA rangschikt niet elk denkbaar feitenpatroon. Zij stelt juridische bandbreedtes vast. In de praktijk komt de grootste blootstelling voort uit gebreken die de cyberbeveiligingsinhoud van het product, de waarheid van de conformiteitsclaim of het beoordelingsvermogen van autoriteiten raken.
| Patroon | Waarom het telt | Waarschijnlijk juridisch gebied |
|---|---|---|
| Product op de EU-markt gebracht zonder te voldoen aan de essentiële vereisten in Bijlage I | De productbeveiligingsclaim klopt al bij de bron niet | Hoogste boete |
| Geen doeltreffend kwetsbaarheidsafhandelingsproces tijdens de ondersteuningsperiode | Kwetsbaarheidsafhandeling werkt niet tijdens de ondersteuningsperiode | Hoogste boete |
| Geen melding van een ernstig incident of actief misbruikte kwetsbaarheid wanneer verplichte melding geldt | De meldplicht start vóór het volledige regime | Hoogste boete |
| Verkeerde conformiteitsroute voor een belangrijk of kritisch product | De conformiteitsverklaring berust op de verkeerde beoordelingsroute | Hoogste of middelste boete, afhankelijk van de geschonden verplichting |
| Ontbrekende of ongeldige EU-conformiteitsverklaring, CE-markering of operatorgegevens | De documentatie voor markttoegang vertoont gebreken | Middelste boete |
| Een aangemelde instantie of markttoezichtautoriteit misleiden | Autoriteiten kunnen niet op de verstrekte informatie vertrouwen | Boete voor misleidende informatie, en mogelijk erger als er andere inbreuken spelen |
De veiligste manier om de categorieën te lezen is niet "welke boete krijgen we?" maar "welk bewijs moeten we kunnen leveren?". Een ondertekende conformiteitsverklaring zonder technisch dossier, SBOM-bewijs, registraties van kwetsbaarheidsafhandeling en onderbouwing van de conformiteitsbeoordeling vormt een zwakke handhavingspositie.
Hoe autoriteiten het boetebedrag bepalen
Het boetebedrag is geen mechanische percentageberekening. Wanneer autoriteiten het bedrag bepalen, moeten zij rekening houden met de inbreuk, met de vraag of de marktdeelnemer eerder vergelijkbare boetes opgelegd kreeg, en met de omvang van de marktdeelnemer.
| Factor | Praktische betekenis |
|---|---|
| Aard, ernst en duur van de inbreuk en de gevolgen ervan | Een kortdurend documentatiehiaat is iets anders dan een verkocht product met een exploiteerbare ontwerpzwakte. |
| Of er al eerder boetes zijn opgelegd aan dezelfde marktdeelnemer voor vergelijkbare inbreuken | Herhaalde gedragingen over lidstaten heen kunnen de uitkomst verzwaren. |
| Omvang van de marktdeelnemer en marktaandeel | Micro-ondernemingen, mkb-ondernemingen en start-ups moeten worden meegewogen wanneer boetes worden vastgesteld. |
Dat betekent niet dat kleine marktdeelnemers de wet kunnen negeren. Het betekent dat de sanctie evenredig moet zijn. Ook een kleine fabrikant heeft een echte conformiteitsroute nodig, een technisch dossier, een proces voor kwetsbaarheidsafhandeling en, waar de plicht geldt, meldingscapaciteit.
Markttoezichtbevoegdheden naast boetes
Boetes vormen niet het enige risico. CRA-handhaving past binnen het EU-markttoezichtkader, waaronder Regulation (EU) 2019/1020. De CRA voegt vervolgens de nationale procedure toe voor producten met digitale elementen die een significant cyberbeveiligingsrisico vormen.
Wanneer een autoriteit een product evalueert en non-conformiteit vaststelt, kan zij de betrokken marktdeelnemer verplichten passende corrigerende actie te nemen, het product in conformiteit te brengen, het uit de handel te nemen of binnen een redelijke termijn terug te roepen. Onderneemt de marktdeelnemer geen voldoende corrigerende actie, dan kunnen autoriteiten overgaan tot beperking of verbod van de marktbeschikbaarheid.
| Maatregel | Wat het operationeel betekent |
|---|---|
| Corrigerende actie | De non-conformiteit oplossen, documentatie bijwerken, kwetsbaarheden verhelpen, instructies bijwerken of het product aanpassen vóór verdere verkoop. |
| Uit de handel nemen | Stoppen met het op de markt aanbieden van het product. Dit raakt doorgaans onverkochte voorraad en distributiekanalen. |
| Terugroepactie | Producten die al aan gebruikers zijn geleverd terughalen of herstellen wanneer het risico dat rechtvaardigt. |
| Beperking of verbod | De beschikbaarheid van het product op de nationale markt beperken of blokkeren, met mogelijke EU-brede gevolgen via coördinatie. |
Formele conformiteit is geen schild. Een product kan aan het papierwerk voldoen en toch een significant cyberbeveiligingsrisico vormen; in dat geval kunnen autoriteiten op grond van Artikel 57 aanvullende maatregelen verlangen om het risico aan te pakken. Formeel papierwerk volstaat niet als het product risicovol blijft.
Wat kan de aandacht van een toezichthouder trekken?
De CRA publiceert geen vaste lijst van aanleidingen. Markttoezicht kan proactief of reactief zijn. Dit zijn de situaties die het meest waarschijnlijk een product op de radar van een autoriteit brengen:
| Aanleiding | Wat een autoriteit waarschijnlijk zal opvragen |
|---|---|
| Actief misbruikte kwetsbaarheid of ernstig incident | Meldingsbewijs, triage van de kwetsbaarheid, getroffen versies, klantcommunicatie en herstelplanning. |
| Klacht van een concurrent, klant of onderzoeker | Technisch dossier, registraties van kwetsbaarheidsafhandeling, bewijs van conformiteitsbeoordeling en onderbouwing van productbeveiliging. |
| Productsteekproef of sectorcampagne | EU-conformiteitsverklaring, gebruikersinformatie, CE-markering, SBOM-bewijs en testbewijs. |
| Zorg vanuit de importeur of distributeur | Identiteit van de fabrikant, importeurgegevens, conformiteitsverklaring, informatie over de ondersteuningsperiode en traceerbaarheid. |
| Inconsistente publieke claims | Bewijs dat marketing, verklaringen over de ondersteuningsperiode, beloften over beveiligingsupdates en het technisch dossier overeenkomen. |
Het handhavingsrisico is het hoogst wanneer de onderneming niet kan uitleggen waarom het product onder de regelgeving valt, welke rol zij vervult, welke conformiteitsroute is gebruikt, welk bewijs de conformiteitsverklaring ondersteunt en hoe kwetsbaarheden tijdens de ondersteuningsperiode worden afgehandeld.
Hoe een verzoek van een autoriteit eruit kan zien
Een markttoezichtverzoek is meestal eerst een bewijsprobleem, daarna pas een rechtszaakprobleem. Het precieze verzoek hangt af van de lidstaat, het product en het risico, maar een CRA-klaar dossier moet de volgende onderdelen oproepbaar maken:
| Bewijsgebied | Voorbeelden |
|---|---|
| Productidentiteit en scope | Model, versie, beoogd doel, software- of firmwareversies, oplossing voor verwerking op afstand, productklasse. |
| Conformiteitsclaim | EU-conformiteitsverklaring, toegepaste normen, conformiteitsbeoordelingsmodule, certificaat van een aangemelde instantie waar relevant. |
| Technische documentatie | Technisch dossier op grond van Bijlage VII, cyberrisicobeoordeling, architectuur, tests, productiecontroles. |
| SBOM-bewijs | Actuele SBOM, componentscope, generatiemethode, updateproces, afhandeling van leveranciers-SBOMs. |
| Kwetsbaarheidsafhandeling | CVD-beleid, security contact, triageregistraties, hersteldossier, proces voor beveiligingsupdates. |
| Verplichte meldingen | Besluitlogboeken over ernstige incidenten en actief misbruikte kwetsbaarheden, registraties van meldingen aan ENISA en CSIRT waar van toepassing. |
| Ondersteuningsperiode | Bekendgemaakte ondersteuningsperiode, einddatum, beschikbaarheid van updates, registraties van klantcommunicatie. |
De praktische test is eenvoudig: kan het team het dossier vandaag aanleveren wanneer een autoriteit erom vraagt, zonder het uit het geheugen te moeten reconstrueren?
Wat klaar moet liggen voordat een verzoek binnenkomt
Gebruik deze checklist vóór de eerste handhavingsdeadline:
| Gebied | Klaar-staat |
|---|---|
| Scope en rol | U kunt uitleggen waarom de CRA van toepassing is, welke rol uit Artikel 3 u vervult en of een uitzondering uit Artikel 2 speelt. |
| Productclassificatie | U weet of het product Default, Important Class I, Important Class II of Critical is. |
| Conformiteitsroute | U kunt Module A, B+C, H of een andere toegestane route onderbouwen. |
| Technisch dossier | Bewijs op grond van Bijlage VII bestaat, is versiebeheerd en komt overeen met het verkochte product. |
| Verklaring en CE-markering | De conformiteitsverklaring is ondertekend, accuraat en in lijn met het bewijsdossier. |
| SBOM | De SBOM is gegenereerd, wordt onderhouden en is gekoppeld aan de geleverde versies. |
| Kwetsbaarheidsafhandeling | Intake, triage, herstel, openbaarmaking en leveringen van updates zijn operationeel. |
| Meldingen | Besluitvorming en escalatie zijn klaar vóór 11 september 2026. |
| Communicatie | Communicatie met klanten, distributeurs, importeurs en autoriteiten is gedocumenteerd. |
Mkb, micro- en kleine fabrikanten, en open-source-beheerders
Kleinere marktdeelnemers krijgen belangrijke nuance, maar geen vrijstelling van CRA-naleving.
Micro-ondernemingen, mkb-ondernemingen en start-ups. Bij het bepalen van boetes moeten autoriteiten rekening houden met de omvang van de marktdeelnemer, waaronder of het een micro-onderneming, mkb-onderneming of start-up betreft. Dat raakt de evenredigheid, niet het bestaan van de onderliggende plicht.
Micro- en kleine fabrikanten. Er bestaat een smalle verlichting voor twee gemiste vroege-waarschuwingstermijnen van 24 uur. Die neemt niet de volledige meldplicht, de eindrapporten of andere CRA-verplichtingen weg.
Beheerders van open-source software. Beheerders vallen buiten de meeste administratieve boetecategorieën, maar het beheerdersregime blijft reëel: zij hebben een cyberbeveiligingsbeleid nodig en moeten op gemotiveerd verzoek samenwerken met markttoezichtautoriteiten. Een nageschakelde onderneming die open-source software in haar eigen commerciële product opneemt, is voor dat product doorgaans fabrikant, geen beheerder.
Veelgestelde vragen
Wat is de maximale CRA-boete?
De hoogste CRA-boetebandbreedte is € 15 000 000 of, voor ondernemingen, 2,5 % van de totale wereldwijde jaaromzet van het voorafgaande boekjaar, afhankelijk van welk bedrag hoger is. Die categorie dekt niet-naleving van de essentiële cyberbeveiligingseisen en van de kernverplichtingen van de fabrikant.
Kan CRA-handhaving plaatsvinden vóór 11 december 2027?
Ja, voor de meldplicht bij ernstige incidenten. Het volledige CRA-regime is van toepassing vanaf 11 december 2027, maar de meldverplichtingen voor actief misbruikte kwetsbaarheden en ernstige incidenten gelden vanaf 11 september 2026. Producten die al op de markt zijn vallen vanaf die datum eveneens onder die meldplicht.
Is een waarschuwing voor een boete gegarandeerd?
Nee. Markttoezicht begint vaak met informatieverzoeken, evaluatie en stappen tot corrigerende actie, maar de CRA garandeert geen waarschuwing voor elke boete of productmaatregel. De reactie van de autoriteit hangt af van het risico, de inbreuk, de medewerking van de marktdeelnemer en de nationale sanctieregels.
Kan een autoriteit een terugroepactie gelasten ook als er geen boete is opgelegd?
Ja. Productmaatregelen en administratieve boetes zijn afzonderlijke instrumenten. Wanneer de voorwaarden vervuld zijn, kunnen markttoezichtautoriteiten corrigerende actie, uit de handel nemen, terugroepen of beperkingen op de beschikbaarheid eisen om een significant cyberbeveiligingsrisico aan te pakken. Een terugroepactie draait om risicobeheersing, niet alleen om bestraffing.
Krijgen kleine ondernemingen een vrijstelling van CRA-boetes?
In het algemeen niet. De omvang van de marktdeelnemer is een evenredigheidsfactor wanneer boetes worden bepaald. De CRA biedt micro- en kleine fabrikanten daarnaast een smalle verlichting voor twee specifieke vroege-waarschuwingstermijnen van 24 uur, en beheerders van open-source software vallen buiten de meeste administratieve boetecategorieën. Dat haalt de rest van het CRA-verplichtingenpakket niet weg.