CRA-boetes: sancties, terugroepingen en handhaving

CRA-boetes kunnen oplopen tot € 15 000 000 of 2,5 % van de totale wereldwijde jaaromzet, voor ondernemingen afhankelijk van welk bedrag hoger is. De Cyber Resilience Act geeft markttoezichtautoriteiten twee soorten drukmiddelen: administratieve boetes en productmaatregelen zoals corrigerende actie, uit de handel nemen, terugroepen of beperkingen op de beschikbaarheid.

Deze pagina legt uit wat die bevoegdheden in de praktijk betekenen en welk bewijs een marktdeelnemer klaar moet hebben voordat een autoriteit erom vraagt.

Samenvatting

  • De CRA kent drie boetecategorieën. De hoogste categorie geldt voor de essentiële cyberbeveiligingseisen en de kernverplichtingen van de fabrikant.
  • Het vaste eurobedrag is niet altijd het plafond. Voor ondernemingen geldt het omzetpercentage wanneer dat hoger is dan het vaste bedrag.
  • Boetes zijn maar één handhavingsinstrument. Autoriteiten kunnen corrigerende actie, uit de handel nemen, terugroepen of beperkingen op de marktbeschikbaarheid eisen.
  • Markttoezicht begint met bewijs. Technische documentatie, de EU-conformiteitsverklaring, SBOM-bewijs, registraties van kwetsbaarheidsafhandeling en gegevens over de ondersteuningsperiode kunnen autoriteiten gebruiken om uw conformiteitsclaim te toetsen.
  • Omvang van de marktdeelnemer telt mee, maar levert geen vrijbrief op. Autoriteiten moeten bij het bepalen van boetes rekening houden met de omvang, waaronder micro-ondernemingen, mkb-ondernemingen en start-ups.
€15M / 2,5 %
Hoogste boetecategorie
Het hoogste bedrag geldt
11 sep 2026
Start handhaving meldingen
Meldplicht voor ernstige incidenten
11 dec 2027
Volledig regime van toepassing
Boetes en productmaatregelen
4 maatregelen
Productmaatregelen
Corrigerende actie, uit de handel nemen, terugroepen, beperking

De vier handhavingsankers: de hoogste boete, de vroege startdatum van de meldplicht, de datum van volledige toepassing en de productmaatregelen die markttoezichtautoriteiten kunnen inzetten.

Welke administratieve boetes kunnen gelden?

De Verordening stelt de EU-brede maxima vast voor administratieve boetes. Lidstaten stellen de gedetailleerde sanctieregels vast, maar die regels moeten binnen het CRA-kader blijven en de sancties moeten doeltreffend, evenredig en afschrikkend zijn.

Inbreukcategorie Wat deze activeert Maximale administratieve boete
Kernplichten voor productbeveiliging Essentiële cyberbeveiligingseisen en kernplichten van fabrikanten, inclusief kwetsbaarheidsafhandeling, beveiligingsupdates, bewijs over de ondersteuningsperiode en verplichte meldingen € 15 000 000 of, voor ondernemingen, 2,5 % van de totale wereldwijde jaaromzet van het voorafgaande boekjaar, afhankelijk van welk bedrag hoger is
Markttoegang en conformiteit Controles door importeurs en distributeurs, CE-markering, verklaringen, conformiteitsbeoordeling, samenwerking met aangemelde instanties en markttoezichtverplichtingen € 10 000 000 of, voor ondernemingen, 2 % van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is
Misleidende informatie Het verstrekken van onjuiste, onvolledige of misleidende informatie aan aangemelde instanties of markttoezichtautoriteiten € 5 000 000 of, voor ondernemingen, 1 % van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is

De hoogste boete is wat de meeste fabrikanten als eerste moeten begrijpen. Zij dekt de productbeveiligingsinhoud en de operationele verplichtingen van de fabrikant: cyberrisicobeoordeling, kwetsbaarheidsafhandeling, beveiligingsupdates, bekendmaking van de ondersteuningsperiode en meldingen van ernstige incidenten of actief misbruikte kwetsbaarheden. De technische documentatie, EU-conformiteitsverklaring en CE-markering vallen in de middelste boetecategorie (€ 10 000 000 of 2 %).

Welke inbreuken wegen het zwaarst?

De CRA rangschikt niet elk denkbaar feitenpatroon. Zij stelt juridische bandbreedtes vast. In de praktijk komt de grootste blootstelling voort uit gebreken die de cyberbeveiligingsinhoud van het product, de waarheid van de conformiteitsclaim of het beoordelingsvermogen van autoriteiten raken.

Patroon Waarom het telt Waarschijnlijk juridisch gebied
Product op de EU-markt gebracht zonder te voldoen aan de essentiële vereisten in Bijlage I De productbeveiligingsclaim klopt al bij de bron niet Hoogste boete
Geen doeltreffend kwetsbaarheidsafhandelingsproces tijdens de ondersteuningsperiode Kwetsbaarheidsafhandeling werkt niet tijdens de ondersteuningsperiode Hoogste boete
Geen melding van een ernstig incident of actief misbruikte kwetsbaarheid wanneer verplichte melding geldt De meldplicht start vóór het volledige regime Hoogste boete
Verkeerde conformiteitsroute voor een belangrijk of kritisch product De conformiteitsverklaring berust op de verkeerde beoordelingsroute Hoogste of middelste boete, afhankelijk van de geschonden verplichting
Ontbrekende of ongeldige EU-conformiteitsverklaring, CE-markering of operatorgegevens De documentatie voor markttoegang vertoont gebreken Middelste boete
Een aangemelde instantie of markttoezichtautoriteit misleiden Autoriteiten kunnen niet op de verstrekte informatie vertrouwen Boete voor misleidende informatie, en mogelijk erger als er andere inbreuken spelen

De veiligste manier om de categorieën te lezen is niet "welke boete krijgen we?" maar "welk bewijs moeten we kunnen leveren?". Een ondertekende conformiteitsverklaring zonder technisch dossier, SBOM-bewijs, registraties van kwetsbaarheidsafhandeling en onderbouwing van de conformiteitsbeoordeling vormt een zwakke handhavingspositie.

Hoe autoriteiten het boetebedrag bepalen

Het boetebedrag is geen mechanische percentageberekening. Wanneer autoriteiten het bedrag bepalen, moeten zij rekening houden met de inbreuk, met de vraag of de marktdeelnemer eerder vergelijkbare boetes opgelegd kreeg, en met de omvang van de marktdeelnemer.

Factor Praktische betekenis
Aard, ernst en duur van de inbreuk en de gevolgen ervan Een kortdurend documentatiehiaat is iets anders dan een verkocht product met een exploiteerbare ontwerpzwakte.
Of er al eerder boetes zijn opgelegd aan dezelfde marktdeelnemer voor vergelijkbare inbreuken Herhaalde gedragingen over lidstaten heen kunnen de uitkomst verzwaren.
Omvang van de marktdeelnemer en marktaandeel Micro-ondernemingen, mkb-ondernemingen en start-ups moeten worden meegewogen wanneer boetes worden vastgesteld.

Dat betekent niet dat kleine marktdeelnemers de wet kunnen negeren. Het betekent dat de sanctie evenredig moet zijn. Ook een kleine fabrikant heeft een echte conformiteitsroute nodig, een technisch dossier, een proces voor kwetsbaarheidsafhandeling en, waar de plicht geldt, meldingscapaciteit.

Markttoezichtbevoegdheden naast boetes

Boetes vormen niet het enige risico. CRA-handhaving past binnen het EU-markttoezichtkader, waaronder Regulation (EU) 2019/1020. De CRA voegt vervolgens de nationale procedure toe voor producten met digitale elementen die een significant cyberbeveiligingsrisico vormen.

Wanneer een autoriteit een product evalueert en non-conformiteit vaststelt, kan zij de betrokken marktdeelnemer verplichten passende corrigerende actie te nemen, het product in conformiteit te brengen, het uit de handel te nemen of binnen een redelijke termijn terug te roepen. Onderneemt de marktdeelnemer geen voldoende corrigerende actie, dan kunnen autoriteiten overgaan tot beperking of verbod van de marktbeschikbaarheid.

Maatregel Wat het operationeel betekent
Corrigerende actie De non-conformiteit oplossen, documentatie bijwerken, kwetsbaarheden verhelpen, instructies bijwerken of het product aanpassen vóór verdere verkoop.
Uit de handel nemen Stoppen met het op de markt aanbieden van het product. Dit raakt doorgaans onverkochte voorraad en distributiekanalen.
Terugroepactie Producten die al aan gebruikers zijn geleverd terughalen of herstellen wanneer het risico dat rechtvaardigt.
Beperking of verbod De beschikbaarheid van het product op de nationale markt beperken of blokkeren, met mogelijke EU-brede gevolgen via coördinatie.

Formele conformiteit is geen schild. Een product kan aan het papierwerk voldoen en toch een significant cyberbeveiligingsrisico vormen; in dat geval kunnen autoriteiten op grond van Artikel 57 aanvullende maatregelen verlangen om het risico aan te pakken. Formeel papierwerk volstaat niet als het product risicovol blijft.

Wat kan de aandacht van een toezichthouder trekken?

De CRA publiceert geen vaste lijst van aanleidingen. Markttoezicht kan proactief of reactief zijn. Dit zijn de situaties die het meest waarschijnlijk een product op de radar van een autoriteit brengen:

Aanleiding Wat een autoriteit waarschijnlijk zal opvragen
Actief misbruikte kwetsbaarheid of ernstig incident Meldingsbewijs, triage van de kwetsbaarheid, getroffen versies, klantcommunicatie en herstelplanning.
Klacht van een concurrent, klant of onderzoeker Technisch dossier, registraties van kwetsbaarheidsafhandeling, bewijs van conformiteitsbeoordeling en onderbouwing van productbeveiliging.
Productsteekproef of sectorcampagne EU-conformiteitsverklaring, gebruikersinformatie, CE-markering, SBOM-bewijs en testbewijs.
Zorg vanuit de importeur of distributeur Identiteit van de fabrikant, importeurgegevens, conformiteitsverklaring, informatie over de ondersteuningsperiode en traceerbaarheid.
Inconsistente publieke claims Bewijs dat marketing, verklaringen over de ondersteuningsperiode, beloften over beveiligingsupdates en het technisch dossier overeenkomen.

Het handhavingsrisico is het hoogst wanneer de onderneming niet kan uitleggen waarom het product onder de regelgeving valt, welke rol zij vervult, welke conformiteitsroute is gebruikt, welk bewijs de conformiteitsverklaring ondersteunt en hoe kwetsbaarheden tijdens de ondersteuningsperiode worden afgehandeld.

Hoe een verzoek van een autoriteit eruit kan zien

Een markttoezichtverzoek is meestal eerst een bewijsprobleem, daarna pas een rechtszaakprobleem. Het precieze verzoek hangt af van de lidstaat, het product en het risico, maar een CRA-klaar dossier moet de volgende onderdelen oproepbaar maken:

Bewijsgebied Voorbeelden
Productidentiteit en scope Model, versie, beoogd doel, software- of firmwareversies, oplossing voor verwerking op afstand, productklasse.
Conformiteitsclaim EU-conformiteitsverklaring, toegepaste normen, conformiteitsbeoordelingsmodule, certificaat van een aangemelde instantie waar relevant.
Technische documentatie Technisch dossier op grond van Bijlage VII, cyberrisicobeoordeling, architectuur, tests, productiecontroles.
SBOM-bewijs Actuele SBOM, componentscope, generatiemethode, updateproces, afhandeling van leveranciers-SBOMs.
Kwetsbaarheidsafhandeling CVD-beleid, security contact, triageregistraties, hersteldossier, proces voor beveiligingsupdates.
Verplichte meldingen Besluitlogboeken over ernstige incidenten en actief misbruikte kwetsbaarheden, registraties van meldingen aan ENISA en CSIRT waar van toepassing.
Ondersteuningsperiode Bekendgemaakte ondersteuningsperiode, einddatum, beschikbaarheid van updates, registraties van klantcommunicatie.

De praktische test is eenvoudig: kan het team het dossier vandaag aanleveren wanneer een autoriteit erom vraagt, zonder het uit het geheugen te moeten reconstrueren?

Wat klaar moet liggen voordat een verzoek binnenkomt

Gebruik deze checklist vóór de eerste handhavingsdeadline:

Gebied Klaar-staat
Scope en rol U kunt uitleggen waarom de CRA van toepassing is, welke rol uit Artikel 3 u vervult en of een uitzondering uit Artikel 2 speelt.
Productclassificatie U weet of het product Default, Important Class I, Important Class II of Critical is.
Conformiteitsroute U kunt Module A, B+C, H of een andere toegestane route onderbouwen.
Technisch dossier Bewijs op grond van Bijlage VII bestaat, is versiebeheerd en komt overeen met het verkochte product.
Verklaring en CE-markering De conformiteitsverklaring is ondertekend, accuraat en in lijn met het bewijsdossier.
SBOM De SBOM is gegenereerd, wordt onderhouden en is gekoppeld aan de geleverde versies.
Kwetsbaarheidsafhandeling Intake, triage, herstel, openbaarmaking en leveringen van updates zijn operationeel.
Meldingen Besluitvorming en escalatie zijn klaar vóór 11 september 2026.
Communicatie Communicatie met klanten, distributeurs, importeurs en autoriteiten is gedocumenteerd.

Mkb, micro- en kleine fabrikanten, en open-source-beheerders

Kleinere marktdeelnemers krijgen belangrijke nuance, maar geen vrijstelling van CRA-naleving.

Micro-ondernemingen, mkb-ondernemingen en start-ups. Bij het bepalen van boetes moeten autoriteiten rekening houden met de omvang van de marktdeelnemer, waaronder of het een micro-onderneming, mkb-onderneming of start-up betreft. Dat raakt de evenredigheid, niet het bestaan van de onderliggende plicht.

Micro- en kleine fabrikanten. Er bestaat een smalle verlichting voor twee gemiste vroege-waarschuwingstermijnen van 24 uur. Die neemt niet de volledige meldplicht, de eindrapporten of andere CRA-verplichtingen weg.

Beheerders van open-source software. Beheerders vallen buiten de meeste administratieve boetecategorieën, maar het beheerdersregime blijft reëel: zij hebben een cyberbeveiligingsbeleid nodig en moeten op gemotiveerd verzoek samenwerken met markttoezichtautoriteiten. Een nageschakelde onderneming die open-source software in haar eigen commerciële product opneemt, is voor dat product doorgaans fabrikant, geen beheerder.

Veelgestelde vragen

Wat is de maximale CRA-boete?

De hoogste CRA-boetebandbreedte is € 15 000 000 of, voor ondernemingen, 2,5 % van de totale wereldwijde jaaromzet van het voorafgaande boekjaar, afhankelijk van welk bedrag hoger is. Die categorie dekt niet-naleving van de essentiële cyberbeveiligingseisen en van de kernverplichtingen van de fabrikant.

Kan CRA-handhaving plaatsvinden vóór 11 december 2027?

Ja, voor de meldplicht bij ernstige incidenten. Het volledige CRA-regime is van toepassing vanaf 11 december 2027, maar de meldverplichtingen voor actief misbruikte kwetsbaarheden en ernstige incidenten gelden vanaf 11 september 2026. Producten die al op de markt zijn vallen vanaf die datum eveneens onder die meldplicht.

Is een waarschuwing voor een boete gegarandeerd?

Nee. Markttoezicht begint vaak met informatieverzoeken, evaluatie en stappen tot corrigerende actie, maar de CRA garandeert geen waarschuwing voor elke boete of productmaatregel. De reactie van de autoriteit hangt af van het risico, de inbreuk, de medewerking van de marktdeelnemer en de nationale sanctieregels.

Kan een autoriteit een terugroepactie gelasten ook als er geen boete is opgelegd?

Ja. Productmaatregelen en administratieve boetes zijn afzonderlijke instrumenten. Wanneer de voorwaarden vervuld zijn, kunnen markttoezichtautoriteiten corrigerende actie, uit de handel nemen, terugroepen of beperkingen op de beschikbaarheid eisen om een significant cyberbeveiligingsrisico aan te pakken. Een terugroepactie draait om risicobeheersing, niet alleen om bestraffing.

Krijgen kleine ondernemingen een vrijstelling van CRA-boetes?

In het algemeen niet. De omvang van de marktdeelnemer is een evenredigheidsfactor wanneer boetes worden bepaald. De CRA biedt micro- en kleine fabrikanten daarnaast een smalle verlichting voor twee specifieke vroege-waarschuwingstermijnen van 24 uur, en beheerders van open-source software vallen buiten de meeste administratieve boetecategorieën. Dat haalt de rest van het CRA-verplichtingenpakket niet weg.

Waar nu heen

  1. Bevestig of de CRA van toepassing is met Wat is de Cyber Resilience Act? en Wie moet voldoen aan de CRA?.
  2. Bepaal uw rol: fabrikant, importeur, distributeur of gemachtigde.
  3. Bouw het bewijs op dat autoriteiten kunnen opvragen: technische documentatie, EU-conformiteitsverklaring, SBOM-bewijs en kwetsbaarheidsafhandeling.