CRA-boetes kunnen oplopen tot 15 000 000 EUR of 2,5% van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag voor ondernemingen hoger is. De Verordening cyberweerbaarheid geeft markttoezichtautoriteiten twee soorten drukmiddelen: administratieve boetes en productmaatregelen, zoals corrigerende actie, uit de handel nemen, terugroepen of beschikbaarheid beperken.
Deze pagina legt uit wat die bevoegdheden praktisch betekenen en welk bewijs een marktdeelnemer klaar moet hebben voordat een autoriteit erom vraagt.
Samenvatting
- De CRA heeft drie boetecategorieën. De hoogste categorie geldt voor de essentiële cyberbeveiligingseisen van Bijlage I en de fabrikantverplichtingen in artikelen 13 en 14.
- Het vaste EUR-bedrag is niet altijd het plafond. Voor ondernemingen geldt het omzetpercentage wanneer dat hoger is.
- Boetes zijn niet het enige instrument. Autoriteiten kunnen corrigerende actie, uit de handel nemen, terugroepen of beperkingen opleggen.
- Handhaving begint met bewijs. Technisch dossier, EU-conformiteitsverklaring, SBOM, kwetsbaarheidsafhandeling en ondersteuningsperiode moeten aantoonbaar zijn.
- Omvang telt, maar is geen vrijstelling. Micro-ondernemingen, mkb-ondernemingen en start-ups moeten bij de hoogte van de boete worden meegewogen.
De vier handhavingsankers: hoogste boetecategorie, vroege Artikel 14-melding, volledige toepassing en productmaatregelen.
Wat zijn de CRA-boetecategorieën?
De verordening stelt EU-brede maxima voor administratieve boetes. Lidstaten werken de regels uit, maar sancties moeten doeltreffend, evenredig en afschrikkend zijn.
| Categorie | Inbreuk | Maximale administratieve boete |
|---|---|---|
| Categorie 1 | Niet-naleving van Bijlage I of fabrikantverplichtingen in artikelen 13 en 14 | 15 000 000 EUR of 2,5% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is |
| Categorie 2 | Niet-naleving van genoemde verplichtingen voor marktdeelnemers, conformiteit, aangemelde instanties en markttoezicht, waaronder artikelen 18-23, 28, 30-33, 39, 41, 47, 49 en 53 | 10 000 000 EUR of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is |
| Categorie 3 | Onjuiste, onvolledige of misleidende informatie aan aangemelde instanties of markttoezichtautoriteiten | 5 000 000 EUR of 1% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is |
Fabrikanten moeten vooral de eerste categorie begrijpen. Die raakt de productbeveiliging in Bijlage I en de operationele verplichtingen: risicobeoordeling, kwetsbaarheidsafhandeling, beveiligingsupdates, technisch dossier, EU-conformiteitsverklaring, CE-markering, ondersteuningsperiode en Artikel 14-meldingen.
Welke inbreuken wegen het zwaarst?
De CRA rangschikt niet elk scenario. De grootste blootstelling ontstaat wanneer de productbeveiliging, de waarheid van de conformiteitsclaim of de beoordeelbaarheid voor de autoriteit faalt.
| Patroon | Waarom het telt | Waarschijnlijk gebied |
|---|---|---|
| Product voldoet niet aan Bijlage I | De beveiligingsclaim klopt vanaf het begin niet | Categorie 1 |
| Geen effectieve kwetsbaarheidsafhandeling tijdens de ondersteuningsperiode | Bijlage I deel II en artikel 13 werken niet | Categorie 1 |
| Geen melding van actief misbruikte kwetsbaarheid of ernstig incident | De meldplicht start eerder dan het volledige regime | Categorie 1 |
| Verkeerde conformiteitsroute voor belangrijk of kritisch product | De verklaring rust op de verkeerde beoordeling | Categorie 1 of 2 |
| Ontbrekende EU-verklaring, CE-markering of operatorgegevens | Markttoegangsbewijs is defect | Categorie 2 |
| Misleidende informatie aan autoriteit of aangemelde instantie | De autoriteit kan niet op de informatie vertrouwen | Categorie 3, mogelijk meer |
De nuttige vraag is niet "welke boete krijgen we?", maar "welk bewijs kunnen we leveren?". Een getekende verklaring zonder technisch dossier, SBOM, kwetsbaarheidsregistraties en onderbouwing van de conformiteitsroute is kwetsbaar.
Hoe de boete wordt vastgesteld
Het bedrag is geen mechanische berekening. De autoriteit moet aard, ernst, duur en gevolgen van de inbreuk, eerdere vergelijkbare boetes en de omvang van de marktdeelnemer meewegen.
| Factor | Praktische betekenis |
|---|---|
| Aard, ernst, duur en gevolgen | Een korte documentatiekloof is iets anders dan een verkocht product met een exploiteerbare zwakte. |
| Eerdere vergelijkbare boetes | Herhaling in meerdere lidstaten kan het resultaat verzwaren. |
| Omvang en marktaandeel | Micro-ondernemingen, mkb en start-ups tellen mee voor evenredigheid. |
Dit is geen vrijstelling. Ook een kleine fabrikant heeft een echte conformiteitsroute, technisch dossier, kwetsbaarheidsproces en meldcapaciteit nodig.
Markttoezicht naast boetes
CRA-handhaving past binnen het EU-kader voor markttoezicht, waaronder Verordening (EU) 2019/1020. De CRA voegt de procedure toe voor producten met digitale elementen die een significant cyberbeveiligingsrisico vormen.
Wanneer een autoriteit non-conformiteit vaststelt, kan zij passende corrigerende actie eisen, het product in conformiteit laten brengen, uit de handel laten nemen of laten terugroepen. Bij onvoldoende actie kan zij beschikbaarheid beperken of verbieden.
| Maatregel | Operationele betekenis |
|---|---|
| Corrigerende actie | Non-conformiteit verhelpen, dossier bijwerken, kwetsbaarheid oplossen of product aanpassen. |
| Uit de handel nemen | Product niet langer op de markt aanbieden, meestal voorraad en distributiekanalen. |
| Terugroepactie | Producten die al bij gebruikers zijn geleverd terughalen of herstellen wanneer het risico dat vraagt. |
| Beperking of verbod | Beschikbaarheid op de nationale markt beperken of blokkeren, met mogelijke EU-coördinatie. |
Artikel 57 is ook belangrijk: een product kan formeel conform lijken en toch een significant cyberbeveiligingsrisico hebben. Papierwerk is niet genoeg als het product risicovol blijft.
Wat aandacht kan trekken
Markttoezicht kan proactief of reactief zijn. Deze situaties zijn de meest waarschijnlijke triggers:
| Trigger | Wat een autoriteit waarschijnlijk vraagt |
|---|---|
| Actief misbruikte kwetsbaarheid of ernstig incident | Artikel 14-besluiten, triage, getroffen versies, communicatie en herstelplanning. |
| Klacht van klant, concurrent of onderzoeker | Technisch dossier, kwetsbaarheidsregistraties, conformiteitsbewijs en beveiligingsredenering. |
| Productsteekproef of sectorcampagne | EU-verklaring, gebruikersinformatie, CE-markering, SBOM en testbewijs. |
| Zorg bij importeur of distributeur | Fabrikantidentiteit, importeurgegevens, verklaring, ondersteuning en traceerbaarheid. |
| Inconsistente publieke claims | Bewijs dat marketing, ondersteuning, updates en technisch dossier overeenkomen. |
Het risico is het hoogst wanneer een bedrijf niet kan uitleggen waarom de CRA geldt, welke rol het speelt, welke conformiteitsroute is gebruikt en hoe kwetsbaarheden tijdens de ondersteuningsperiode worden behandeld.
Wat klaar moet liggen
Een markttoezichtverzoek is eerst een bewijsprobleem. Een CRA-klaar dossier maakt deze onderdelen vindbaar:
| Gebied | Voorbeelden |
|---|---|
| Productidentiteit en scope | Model, versie, beoogd doel, software- of firmwareversies, remote dataverwerking, productklasse. |
| Conformiteitsclaim | EU-conformiteitsverklaring, toegepaste normen, conformiteitsmodule, certificaat van aangemelde instantie. |
| Technisch dossier | Bijlage VII-dossier, cyberrisicobeoordeling, architectuur, tests, productiecontroles. |
| SBOM | Actuele SBOM, componentscope, generatiemethode, updateproces, leveranciers-SBOMs. |
| Kwetsbaarheidsafhandeling | CVD-beleid, security contact, triage, herstel, beveiligingsupdates. |
| Artikel 14-meldingen | Besluitlogboeken, ENISA- en CSIRT-meldingen waar van toepassing. |
| Ondersteuningsperiode | Gepubliceerde periode, einde-supportdatum, beschikbaarheid updates, klantcommunicatie. |
De praktische test is eenvoudig: kan het team dit vandaag leveren zonder het uit het geheugen opnieuw op te bouwen?
Mkb, micro en kleine fabrikanten, open source-stewards
Kleinere marktdeelnemers krijgen nuance, geen algemene vrijstelling.
Micro-ondernemingen, mkb en start-ups. De omvang moet worden meegewogen bij de boetehoogte. Dat gaat over evenredigheid, niet over het bestaan van de plicht.
Micro en kleine fabrikanten. Artikel 64(10)(a) stelt fabrikanten die micro-onderneming of kleine onderneming zijn vrij van administratieve boetes voor het missen van de 24-uurs vroege waarschuwingen in artikel 14(2)(a) en 14(4)(a). Dat is smal: niet de hele meldplicht en niet de rest van de CRA.
Open source-softwarestewards. Artikel 64(10)(b) stelt hen vrij van boetes uit artikel 64(3) tot en met (9). Het regime blijft echt: artikel 24 vraagt een cyberbeveiligingsbeleid en samenwerking met autoriteiten op gemotiveerd verzoek. Een bedrijf dat open source in een eigen commercieel product levert, is meestal fabrikant van dat product, niet steward.
Veelgestelde vragen
Wat is de maximale CRA-boete?
De hoogste categorie is 15 000 000 EUR of, voor ondernemingen, 2,5% van de totale wereldwijde jaaromzet van het vorige boekjaar, afhankelijk van welk bedrag hoger is. Zij geldt voor Bijlage I en de verplichtingen in artikelen 13 en 14.
Kan handhaving voor 11 december 2027 beginnen?
Ja, voor Artikel 14-meldingen. Het volledige regime geldt vanaf 11 december 2027, maar melding van actief misbruikte kwetsbaarheden en ernstige incidenten geldt vanaf 11 september 2026, ook voor producten die al op de markt zijn.
Is een waarschuwing voor een boete gegarandeerd?
Nee. Markttoezicht begint vaak met informatieverzoeken, beoordeling en corrigerende actie, maar de CRA garandeert geen waarschuwing voor elke boete of productmaatregel.