Niet-naleving van de CRA kan leiden tot boetes tot EUR 15 miljoen, of 2,5% van de totale wereldwijde jaarlijkse omzet, als dat hoger is. Dat is de hoogste boeteschaal onder Artikel 64, lid 2, van toepassing op niet-naleving van de essentiële vereisten van Bijlage I en de verplichtingen in Artikelen 13 en 14. De SBOM-verplichting staat in Bijlage I. Twee data bepalen uw tijdlijn. De kwetsbaarheidsmeldingsplicht van Artikel 14 wordt verplicht op 11 september 2026. Volledige handhaving volgt op 11 december 2027. Producten die na die datum op de EU-markt worden gebracht zonder conforme SBOM, kunnen de CE-markering niet dragen en mogen wettelijk niet worden verkocht.
Samenvatting
- 11 september 2026: meldingsplicht voor kwetsbaarheden en incidenten op grond van Artikel 14 aan ENISA wordt verplicht voor fabrikanten
- 11 december 2027: volledige CRA-handhaving begint, inclusief de SBOM-verplichting van Bijlage I
- Maximale boete: EUR 15 miljoen of 2,5% van de totale wereldwijde jaarlijkse omzet (het hoogste bedrag), Artikel 64, lid 2
- Bewaarplicht: de SBOM moet ten minste 10 jaar worden bewaard vanaf het laatste exemplaar dat op de markt is gebracht (Artikel 13, lid 13)
CRA SBOM-nalevingsdeadlines
De CRA kent een gefaseerde handhavingstijdlijn. Twee data zijn rechtstreeks van belang voor SBOM-naleving:
| Datum | Mijlpaal |
|---|---|
| 11 september 2026 | Kwetsbaarheidsmeldingsverplichtingen treden in werking. Fabrikanten moeten actief uitgebuite kwetsbaarheden binnen 24 uur melden. |
| 11 december 2027 | Volledige handhaving. Alle producten met digitale elementen moeten voldoen aan de CRA-vereisten, inclusief volledige SBOM's. |
Producten die na december 2027 op de EU-markt worden gebracht zonder conforme SBOM, kunnen de CE-markering niet dragen en mogen wettelijk niet worden verkocht. Voor de bredere gefaseerde tijdlijn met aangemelde instanties, geharmoniseerde normen en Artikel 14-rapportage, zie de CRA-implementatietijdlijn.
Meldingscadans van Artikel 14
Het getal "24 uur" is slechts de eerste stap. Artikel 14 legt een getrapte meldingscadans vast aan het coördinerende CSIRT en ENISA tegelijkertijd, via het centrale meldingsplatform van Artikel 16.
| Stap | Deadline | Artikel | Aanleiding |
|---|---|---|---|
| Vroegtijdige waarschuwing | Binnen 24 uur | Art. 14, lid 2, punt a) | Actief uitgebuite kwetsbaarheid |
| Kwetsbaarheidsmelding | Binnen 72 uur | Art. 14, lid 2, punt b) | Actief uitgebuite kwetsbaarheid |
| Eindverslag | Binnen 14 dagen na corrigerende maatregel | Art. 14, lid 2, punt c) | Actief uitgebuite kwetsbaarheid |
| Vroegtijdige waarschuwing | Binnen 24 uur | Art. 14, lid 4, punt a) | Ernstig incident |
| Incidentmelding | Binnen 72 uur | Art. 14, lid 4, punt b) | Ernstig incident |
| Eindverslag | Binnen 1 maand na incidentmelding | Art. 14, lid 4, punt c) | Ernstig incident |
De meldingsplicht van Artikel 14 geldt vanaf 11 september 2026. Als uw product na die datum een actief uitgebuite kwetsbaarheid heeft, moet u binnen 24 uur een vroegtijdige waarschuwing sturen aan het coördinerende CSIRT en ENISA, binnen 72 uur een uitgebreidere melding, en binnen 14 dagen een eindverslag. Dit vereist dat uw kwetsbaarheidsmonitoringinfrastructuur voor die datum al operationeel is. De SBOM is de basis van die monitoring: u kunt niet bijhouden wat u niet heeft gedocumenteerd.
Wat gebeurt er als u niet naleeft?
Niet-naleving van de CRA heeft zowel financiële als commerciële gevolgen. Markttoezichtautoriteiten in elke EU-lidstaat handhaven deze sancties.
| Financieel | Commercieel |
|---|---|
| Boetes tot EUR 15 miljoen of 2,5% van de totale wereldwijde jaarlijkse omzet (Art. 64, lid 2) | Productterugroeping of -intrekking van de EU-markt |
| Getrapte meldingsfouten kunnen afzonderlijke boetes aantrekken op grond van Art. 64, lid 2 en lid 3 | Marktverbod: niet-conforme producten kunnen de CE-markering niet dragen |
| Onjuiste of onvolledige informatie aan autoriteiten: tot EUR 5 miljoen / 1% (Art. 64, lid 4) | Keteneffect: klanten kunnen uw product mogelijk niet gebruiken in hun eigen CRA-naleving |
Boeterisico per type marktdeelnemer
Artikel 64 stelt verschillende maximumboetes vast afhankelijk van welke verplichting is geschonden en welke marktdeelnemer verantwoordelijk is. De SBOM-verplichting staat in Bijlage I, dus een ontbrekende of niet-conforme SBOM valt in de Artikel 64, lid 2-schaal voor fabrikanten.
| Marktdeelnemer | Geschonden verplichting | Artikel | Maximale boete |
|---|---|---|---|
| Fabrikant | Essentiële vereisten van Bijlage I (incl. SBOM) of verplichtingen van Artikelen 13 en 14 | Art. 64, lid 2 | EUR 15.000.000 of 2,5% van de totale wereldwijde jaarlijkse omzet |
| Importeur | Verplichtingen van Artikel 19 (verificatie, labelling, documentatie) | Art. 64, lid 3 | EUR 10.000.000 of 2% van de totale wereldwijde jaarlijkse omzet |
| Importeur die als fabrikant optreedt | Artikel 22-escalatie: eigen merk of gewijzigd product activeert het volledige fabriканtenregime | Art. 64, lid 2 | EUR 15.000.000 of 2,5% van de totale wereldwijde jaarlijkse omzet |
| Distributeur | Verplichtingen van Artikel 20 (verificatie, medewerking aan toezicht) | Art. 64, lid 3 | EUR 10.000.000 of 2% van de totale wereldwijde jaarlijkse omzet |
| Alle marktdeelnemers | Verstrekken van onjuiste, onvolledige of misleidende informatie aan autoriteiten | Art. 64, lid 4 | EUR 5.000.000 of 1% van de totale wereldwijde jaarlijkse omzet |
Artikel 22 plaatst een importeur in het volledige fabriканtenregime wanneer deze zijn eigen merk aanbrengt op een product van derden of de software voor wederverkoop wijzigt. Het boeterisico stijgt van EUR 10 miljoen / 2% naar EUR 15 miljoen / 2,5%, en alle verplichtingen van Artikel 13 gelden, inclusief de SBOM-verplichting van Bijlage I.
Bij het vaststellen van het boetebedrag houden autoriteiten op grond van Artikel 64, lid 5 terdege rekening met drie factoren:
| Factor | Effect |
|---|---|
| Aard, ernst en duur van de inbreuk en de gevolgen ervan | Ernstiger en langer = hogere boete |
| Of administratieve geldboeten reeds voor een soortgelijke inbreuk op dezelfde marktdeelnemer zijn toegepast | Herhaalde handhaving = hogere boete |
| De omvang van de marktdeelnemer, met name micro-ondernemingen en kleine ondernemingen, inclusief start-ups | Kleinere marktdeelnemer = proportioneel lagere boete |
Micro-ondernemingen en kleine ondernemingen zijn vrijgesteld van administratieve geldboeten voor te late vroegtijdige waarschuwingen op grond van Artikel 14, lid 2, punt a) en Artikel 14, lid 4, punt a). Opensourcesoftwarestewards zijn vrijgesteld van de inbreuken die worden gedekt door Artikel 64, leden 3 tot en met 9. De verplichtingen van Bijlage I zelf blijven van toepassing; alleen de administratieve-boeteconsequentie vervalt in die specifieke situaties.
Veelgestelde vragen
Wat is de maximale boete onder de CRA?
Artikel 64, lid 2 stelt het maximum op EUR 15 miljoen of 2,5% van de totale wereldwijde jaarlijkse omzet, het hogere bedrag. Voor grote bedrijven kan de omzetberekening het vaste plafond ruimschoots overstijgen. Het plafond van EUR 15 miljoen geldt alleen wanneer 2,5% van de omzet daaronder valt.
Kan een bedrijf al voor de deadline van december 2027 een boete krijgen?
Producten die na 11 december 2027 op de markt worden gebracht, moeten volledig voldoen. De kwetsbaarheidsmeldingsplicht op grond van Artikel 14 geldt echter al vanaf 11 september 2026. Autoriteiten kunnen die verplichting vanaf die datum handhaven. Een bedrijf dat na september 2026 een bevestigde actief uitgebuite kwetsbaarheid negeert, is al blootgesteld aan handhaving.
Gelden CRA-boetes per product of per bedrijf?
Boetes worden vastgesteld per overtreding, niet per verkochte eenheid. Een enkele niet-conforme productlijn vormt één overtreding, maar bij de boeteberekening wordt rekening gehouden met de omvang van de niet-naleving, het aantal in omloop zijnde eenheden en het behaalde financiële voordeel. Stelselmatige niet-naleving over meerdere productlijnen wordt doorgaans als afzonderlijke overtredingen behandeld.
Welke autoriteit handhaaft de CRA in elke EU-lidstaat?
De CRA wijst geen enkele EU-brede handhaver aan. Elke lidstaat wijst zijn eigen markttoezichtautoriteit aan. Het BSI in Duitsland, ANSSI in Frankrijk, ACN in Italië en CERT Polska in Polen zijn de nationale instanties die naar verwachting een leidende rol spelen. Het EU-netwerk voor productconformiteit coördineert grensoverschrijdende handhaving wanneer problemen meerdere markten bestrijken.
Wat leidt tot een CRA-markttoezichtonderzoek?
Veelvoorkomende aanleidingen zijn klachten van concurrenten, door klanten gemelde beveiligingsincidenten, steekproeven door autoriteiten, markeringen bij importinspecties en openbaar bekendgemaakte niet-gepatchte kwetsbaarheden. Autoriteiten voeren ook proactieve sectorcampagnes uit gericht op risicovolle productcategorieën.
Hoe lang moet een SBOM worden bewaard na terugtrekking van een product?
Artikel 13, lid 13 verplicht fabrikanten de technische documentatie en de EU-conformiteitsverklaring gedurende ten minste tien jaar nadat het product met digitale elementen in de handel is gebracht of gedurende de ondersteuningsperiode indien die langer is, ter beschikking van de markttoezichtautoriteiten te houden. De klok start vanaf het laatste exemplaar dat op de markt is gebracht, niet het eerste. De SBOM moet actueel blijven gedurende de actieve ondersteuningsperiode, die de CRA op minimaal 5 jaar stelt.