Artikel 64

1. De lidstaten stellen voorschriften vast ten aanzien van de sancties die van toepassing zijn op inbreuken op deze verordening en nemen alle nodige maatregelen om ervoor te zorgen dat die sancties worden uitgevoerd. De sancties moeten doeltreffend, evenredig en afschrikkend zijn. De lidstaten stellen de Commissie onverwijld van die voorschriften en maatregelen in kennis en delen haar onverwijld alle latere wijzigingen daarvan mee.

2. Niet-naleving van de essentiële cyberbeveiligingsvereisten van bijlage I en de in de artikelen 13 en 14 vastgestelde verplichtingen wordt bestraft met administratieve geldboeten tot 15 000 000 EUR of, als de overtreder een onderneming is, tot 2,5 % van haar totale wereldwijde jaarlijkse omzet voor het voorafgaande boekjaar, als dat hoger is.

3. Niet-naleving van de in de artikelen 18 tot en met 23, artikel 28, artikel 30, leden 1 tot en met 4, artikel 31, leden 1 tot en met 4, artikel 32, leden 1, 2 en 3, artikel 33, lid 5, en de artikelen 39, 41, 47, 49 en 53 vastgestelde verplichtingen wordt bestraft met administratieve geldboeten tot 10 000 000 EUR of, als de overtreder een onderneming is, tot 2 % van haar totale wereldwijde jaarlijkse omzet voor het voorafgaande boekjaar, als dat hoger is.

4. Voor het verstrekken van onjuiste, onvolledige of misleidende informatie aan aangemelde instanties en markttoezichtautoriteiten in antwoord op een verzoek, worden administratieve geldboeten opgelegd tot 5 000 000 EUR of, als de overtreder een onderneming is, tot 1 % van haar totale wereldwijde jaarlijkse omzet voor het voorafgaande boekjaar, als dat hoger is.

5. Bij het bepalen van het bedrag van de administratieve geldboete per geval worden alle relevante omstandigheden van de specifieke situatie in aanmerking genomen en wordt terdege rekening gehouden met het volgende:

• a) de aard, ernst en duur van de inbreuk en de gevolgen ervan;
• b) of administratieve geldboeten reeds door dezelfde of andere markttoezichtautoriteiten voor een soortgelijke inbreuk op dezelfde marktdeelnemer zijn toegepast;
• c) de omvang, met name met betrekking tot micro-ondernemingen en kleine en middelgrote ondernemingen, met inbegrip van start-ups, en het marktaandeel van de marktdeelnemer die de inbreuk pleegt.

6. Markttoezichtautoriteiten die administratieve geldboeten toepassen, delen de toepassing daarvan mee aan de markttoezichtautoriteiten van andere lidstaten via het in artikel 34 van Verordening (EU) 2019/1020 bedoelde informatie- en communicatiesysteem.

7. Elke lidstaat stelt regels vast betreffende de vraag of en in hoeverre administratieve geldboeten kunnen worden opgelegd aan in die lidstaat gevestigde overheidsinstanties en overheidsorganen.

8. Afhankelijk van het rechtsstelsel van de lidstaten kunnen de regels voor administratieve geldboeten zodanig worden toegepast dat de boeten worden opgelegd door bevoegde nationale rechtbanken of andere instanties overeenkomstig de bevoegdheden die op nationaal niveau in die lidstaten zijn vastgesteld. De toepassing van zulke regels in die lidstaten heeft een gelijkwaardig effect.

9. Naargelang van de omstandigheden van elk afzonderlijk geval kunnen administratieve geldboeten worden opgelegd naast eventuele andere corrigerende of beperkende maatregelen die de markttoezichtautoriteiten voor dezelfde inbreuk toepassen.

10. In afwijking van de leden 3 tot en met 9 zijn de in die leden bedoelde administratieve geldboeten niet van toepassing op:

• a) fabrikanten die kunnen worden aangemerkt als micro-ondernemingen of kleine ondernemingen met betrekking tot het niet naleven van de in artikel 14, lid 2, punt a), of artikel 14, lid 4, punt a), bedoelde termijn;
• b) inbreuken op deze verordening door opensourcesoftwarestewards.