CRA-böter i praktiken: Hur marknadsövervakning faktiskt fungerar

Förståelse för CRA:s tillsynsmekanismer, bötesstrukturer och vad du kan förvänta dig från marknadsövervakning. En praktisk guide för att undvika tillsynsåtgärder.

CRA Evidence Team Publicerad 25 december 2025 Uppdaterad 11 april 2026
CRA-böter i praktiken: Hur marknadsövervakning faktiskt fungerar
I denna artikel

CRA innehåller bötesbestämmelser som kan nå €15 miljoner eller 2,5% av global omsättning. Men hur ser tillsynen faktiskt ut? Hur fungerar marknadsövervakningsmyndigheterna? Och vad utlöser de högsta böterna?

Den här guiden förklarar CRA:s tillsynsmekanismer och hur du håller dig på rätt sida om myndigheterna.

Sammanfattning

  • Maximiböter: €15M eller 2,5% av global omsättning för brott mot väsentliga krav
  • Marknadsövervakningsmyndigheter genomför inspektioner, begär dokumentation, testar produkter
  • Graderad respons: möjligheter till rättelse innan böter (vanligtvis)
  • Värsta utfall: produktåterdragning, återkallelse, importförbud
  • Bästa försvar: dokumenterade efterlevnadsbeslut och konstruktivt samarbete

Vilka sanktionsnivåer finns i CRA?

Tre bötesnivåer

CRA fastställer maximala administrativa böter baserade på överträdelsens allvarlighetsgrad:

CRA:S BÖTESNIVÅER

NIVÅ 1: Brott mot väsentliga krav (Artikel 64(2))
─────────────────────────────────────────────────────────────
Maximalt: €15 000 000 eller 2,5% av global årlig omsättning
          (det högre beloppet gäller)

Överträdelser inkluderar:
- Bristande efterlevnad av väsentliga krav i Bilaga I
- Placera icke-konforma produkter på marknaden
- Saknad eller ogiltig konformitetsbedömning
- Tillhandahålla falsk information till myndigheter

NIVÅ 2: Brott mot övriga skyldigheter (Artikel 64(3))
─────────────────────────────────────────────────────────────
Maximalt: €10 000 000 eller 2% av global årlig omsättning
          (det högre beloppet gäller)

Överträdelser inkluderar:
- Dokumentationsbrister
- Saknad eller felaktig CE-märkning
- Importörs-/distributörsskyldighetsfel
- Underlåtenhet att uppfylla notifieringskrav

NIVÅ 3: Informationsbrott (Artikel 64(4))
─────────────────────────────────────────────────────────────
Maximalt: €5 000 000 eller 1% av global årlig omsättning
          (det högre beloppet gäller)

Överträdelser inkluderar:
- Tillhandahålla felaktig/ofullständig information till myndigheter
- Underlåtenhet att lämna information på begäran
- Försvårande av marknadsövervakningsaktiviteter

Varning: Maximiböterna når €15 miljoner eller 2,5% av global årlig omsättning – det HÖGRE beloppet gäller. För stora företag kan omsättningsbaserad beräkning vida överstiga den fasta takten.

Hur böter beräknas

Myndigheter måste beakta (Artikel 64(5)):

Faktor (Art. 64.5) Påverkan på böter
(a) Överträdelsens art, allvarlighetsgrad, varaktighet och konsekvenser Allvarligare = högre
(b) Om samma ekonomiska aktör redan fatt böter av samma eller annan MSA för liknande överträdelse Upprepade brott = högre
(c) Storlek på den ekonomiska aktören (mikroföretag, små och medelstora företag inkl. nystartade) och marknadsandel Litet företag = proportionellt lägre

Bötesexempel (Illustrativa)

EXEMPELSCENARIER (Illustrativa, inte prejudikat)

Scenario A: Dokumentationsbrist
─────────────────────────────────────────────────────────────
Överträdelse: Teknisk fil ofullständig (saknar riskbedömning)
Omständigheter: Första brott, snabbt rättat, samarbetar
Sannolikt utfall: Varning eller låg bot
Uppskattad intervall: €0 – €50 000

Scenario B: Saknad konformitetsbedömning
─────────────────────────────────────────────────────────────
Överträdelse: Viktig klass II-produkt såld utan anmält organs bedömning
Omständigheter: Visste om kravet, fortsatte ändå
Sannolikt utfall: Betydande bot + produktåterdragning
Uppskattad intervall: €100 000 – €1 000 000+

Scenario C: Känd sårbarhet opatchad
─────────────────────────────────────────────────────────────
Överträdelse: Kritisk sårbarhet känd, ej åtgärdad på 6 månader
Omständigheter: Kundskada uppstod, dåligt samarbete
Sannolikt utfall: Stor bot + potentiell återkallelse
Uppskattad intervall: €500 000 – €5 000 000+

Scenario D: Systematisk bristande efterlevnad
─────────────────────────────────────────────────────────────
Överträdelse: Flera produkter, ingen konformitetsbedömning, falsk DoC
Omständigheter: Stort företag, pågående, bevis på avsikt
Sannolikt utfall: Maximiböter + marknadsförbud
Uppskattad intervall: Upp till €15 000 000 eller 2,5% omsättning

Marknadsövervakning: Hur det fungerar

Vem tillämpar CRA?

Marknadsövervakningsmyndigheter (MSA) i varje medlemsstat tillämpar CRA. Dessa är typiskt:

  • Konsumentskyddsmyndigheter
  • Industri-/produktsäkerhetsmyndigheter
  • Sektorsreglerare

Samordning: EU:s nätverk för produktöverensstämmelse samordnar gränsöverskridande tillsyn.

Övervakningsmetoder

MARKNADSÖVERVAKNINGSAKTIVITETER

PROAKTIV ÖVERVAKNING:
├── Marknadsövervakning (online och fysisk)
├── Slumpmässigt produkturval
├── Klagomålsdrivna utredningar
├── Sektorfokuserade kampanjer
└── Gränsöverskridande informationsutbyte

REAKTIV ÖVERVAKNING:
├── Incidentrapporter från användare
├── Sårbarhetavslöjanden
├── Konkurrentklagomål
├── Visselblåsarinformation
└── RAPEX/Safety Gate-varningar

DOKUMENTATIONSFÖRFRÅGNINGAR:
├── EU-försäkran om överensstämmelse
├── Teknisk fil (eller relevanta delar)
├── SBOM
├── Testrapporter
├── Bevis för konformitetsbedömning
└── Register över sårbarhethantering

Typisk tillsynssekvens

ESKALERINGSMETOD FÖR TILLSYN

1. INFORMATIONSBEGÄRAN
   ├── Myndigheten begär dokumentation
   ├── Tillverkaren lämnar inom deadline
   └── Om tillfredsställande  Ärende avslutas

2. EFTERLEVNADSBEDÖMNING
   ├── Myndigheten granskar dokumentation
   ├── Kan genomföra produkttestning
   ├── Identifierar brister (om några)
   └── Om efterlevnad  Ärende avslutas

3. BEGÄRAN OM KORRIGERANDE ÅTGÄRD
   ├── Myndigheten identifierar bristande efterlevnad
   ├── Begär korrigerande åtgärder
   ├── Sätter deadline för rättelse
   └── Tillverkaren implementerar rättelser

4. FORMELL VARNING
   ├── Rättelser otillräckliga eller försenade
   ├── Formellt meddelande om överträdelse
   ├── Sista möjligheten att rätta
   └── Bötesvarning utfärdad

5. ADMINISTRATIVA ÅTGÄRDER
   ├── Produktåterdragningsorder
   ├── Import-/försäljningsförbud
   ├── Offentliga varningar utfärdade
   └── Administrativ bot påförd

6. ESKALERAD TILLSYN
   ├── Produktåterkallelse beordrad
   ├── Maximiböter tillämpade
   ├── Straffrättslig hänskjutning (om tillämpligt)
   └── EU-täckande marknadsförbud

Vad myndigheter faktiskt gör

Dokumentationsgranskning:

  • Begär teknisk fil (eller sammanfattning)
  • Verifierar DoC-korrekthet
  • Kontrollerar SBOM-tillgänglighet
  • Granskar bevis för sårbarhethantering

Produkttestning:

  • Köper produkter från marknaden
  • Laboratorietestning mot krav
  • Penetrationstestning (för cybersäkerhet)
  • Sårbarhetsskanning

Platsinspektion:

  • Besöker tillverkningsanläggningar
  • Granskar kvalitetssystem
  • Intervjuar ansvariga personer
  • Undersöker register

Bortom böter: Andra konsekvenser

Produktåterdragning

Vad det innebär: Ta bort produkten från marknaden (stoppa försäljning).

När det beordras: Produkten utgör risk eller bristande efterlevnad som kan rättas.

Dina skyldigheter:

  • Stoppa försäljning omedelbart
  • Notifiera distributörer
  • Implementera rättelser
  • Sök åter godkännande innan försäljningen återupptas

Produktåterkallelse

Vad det innebär: Dra tillbaka produkter som redan sålts till kunder.

När det beordras: Produkten utgör allvarlig risk även i användarnas händer.

Dina skyldigheter:

  • Kontakta alla kända kunder
  • Ge instruktioner för retur/utbyte
  • Täck återkallelsekostnaderna
  • Rapportera till myndigheter om framsteg

Importförbud

Vad det innebär: Produkten kan inte gå in på EU-marknaden.

När det tillämpas: Icke-konforma produkter avlyssnas vid gränsen eller systematiska problem med tillverkaren.

Konsekvenser:

  • Produkter kvarhålls i tullen
  • Kan förstöras eller returneras
  • Påverkar alla framtida leveranser

Offentlig namngivning

Vad det innebär: Myndigheten offentliggör detaljer om bristande efterlevnad.

Varför det spelar roll:

  • Rykteskada
  • Påverkan på kundförtroende
  • Konkurrensfördel för konkurrenter
  • Diskvalificering vid upphandling

EU-täckande åtgärder

För allvarliga eller utbredda problem, EU-täckande åtgärder:

  • Safety Gate (RAPEX)-notifiering
  • Samordnad marknadsövervakning
  • Unionsomfattande marknadsförbud

Vad som utlöser tillsyn

Högt prioriterade utlösare

Myndigheter prioriterar ärenden som involverar:

Utlösare Varför hög prioritet
Säkerhetsincidenter Faktisk skada har uppstått
Aktivt exploaterade sårbarheter Omedelbar risk
Systematiskt bedrägeri (falsk DoC) Avsiktlig bedrägeri
Kritisk infrastrukturprodukter Högrisksektor
Storskalig bristande efterlevnad Många enheter drabbade
Upprepade lagbrytare Mönster av likgiltighet

Vanliga tillsynsutlösare

Baserat på tillsynserfarenhet från liknande regelverk:

  1. Konkurrentklagomål – Affärsrivaler rapporterar misstänkt bristande efterlevnad
  2. Kundincidenter – Användare rapporterar säkerhetsbrott eller skador
  3. Slumpmässigt urval – Myndigheten köper och testar produkter
  4. Importinspektion – Tullen flaggar dokumentationsproblem
  5. Sårbarhetavslöjande – Säkerhetsforskare rapporterar opatchade problem
  6. Visselblåsare – Anställda rapporterar intern bristande efterlevnad

Lägre prioriterade situationer

Myndigheter har begränsade resurser. Lägre prioritet för:

  • Mindre dokumentationsformatproblem
  • Första gångsproblem som snabbt rättas
  • Lågrisksrodukter med gott track record
  • Samarbetsvilliga tillverkare som aktivt förbättrar sig

Hur du undviker tillsynsåtgärder

Tips: Det bästa försvaret är dokumenterade efterlevnadsbeslut. Även om ditt tillvägagångssätt inte är perfekt, minskar en dokumenterad god vilja med motivering riskerna för böter avsevärt.

Förebyggande strategi

CHECKLISTA FÖR FÖREBYGGANDE AV TILLSYN

DOKUMENTATION:
[ ] Teknisk fil komplett och tillgänglig
[ ] DoC korrekt och undertecknad
[ ] SBOM aktuell och tillgänglig
[ ] Riskbedömning dokumenterad
[ ] Testrapporter bevarade

KONFORMITET:
[ ] Korrekt bedömningsväg vald
[ ] Bedömning faktiskt genomförd (inte bara deklarerad)
[ ] CE-märkning korrekt applicerad
[ ] Produktidentifiering spårbar

SÅRBARHETHANTERING:
[ ] Säkerhetskontakt publicerad
[ ] CVD-policy  plats
[ ] Responsförmåga demonstrerad
[ ] Uppdateringar levererade vid behov

SAMARBETSHÅLLNING:
[ ] Svara skyndsamt  myndighetsbegäranden
[ ] Lämna fullständig information
[ ] Dölj inte problem
[ ] Dokumentera god vilja-insatser

Om tillsyn inleds

Viktigt: Lämna aldrig falsk information till marknadsövervakningsmyndigheter. Vad som börjar som en Nivå 3-överträdelse (max €5M) blir en Nivå 1-överträdelse (max €15M) om du ljuger.

Gör:

  • Svara inom deadlines
  • Lämna fullständig dokumentation
  • Erkänn problem ärligt
  • Föreslå korrigerande åtgärder
  • Dokumentera ditt samarbete
  • Sök juridisk rådgivning tidigt

Gör inte:

  • Ignorera begäranden (förvärrar allt)
  • Lämna falsk information (Nivå 3-brott blir Nivå 1)
  • Försena utan förklaring
  • Skylla på andra utan bevis
  • Förstör dokument

Samarbetsfördelar

Dokumenterat samarbete påverkar utfallet avsevärt:

Beteende Sannolikt påverkan
Snabba, fullständiga svar Lägre böter
Proaktiv självrapportering Möjligen ingen bot
Snabb korrigerande åtgärd Ärende kan stängas tidigt
God vilja dokumenterad Förmildrande faktor
Försvårande eller fördröjning Försvårande faktor
Falsk information Maximiböter

SME-överväganden

Proportionalitet

CRA-böter måste vara "effektiva, proportionella och avskräckande." För SME:

  • Procentuella omsättningstakgränser spelar roll (€15M osannolikt för litet företag)
  • Proportionalitetsprincipen gäller
  • Första gångsmindre brott får ofta varningar

SME-rapporteringsundantag

Info: Mikroföretag och små företag är undantagna från bötesspecifika påföljder för att missa tidsfristerna i Art. 14.2 a och 14.4 a (tidiga varningar om aktivt utnyttjade sårbarheter och allvarliga incidenter). Men detta innebär INTE att de kan hoppa över rapportering helt -- de måste fortfarande rapportera, bara utan tidbaserade böter.

Mikroföretag och små företag är undantagna från bötesspecifika påföljder för underlåtenhet att iaktta tidsfristerna i Art. 14.2 a och 14.4 a (Art. 64.10 a). Men:

  • Måste fortfarande rapportera (böts bara inte för timing)
  • Andra böter gäller fortfarande
  • Inget frikort för systematiska misslyckanden

Resursverklighet

MSA förstår SME:s resursbegränsningar:

  • Mer benägna att ge vägledning först
  • Kan tillåta längre rättelseperioder
  • Fokus på substantiell efterlevnad snarare än perfektion

Men grundläggande brott (ingen konformitetsbedömning, falska förklaringar) behandlas allvarligt oavsett storlek.

Gränsöverskridande tillsyn

Principen om den inre marknaden

Fynd om bristande efterlevnad i en medlemsstat påverkar hela EU-marknaden:

  • Produkten kan förbjudas i hela EU
  • Information delas via EU-system
  • Samordnad tillsyn möjlig

Praktiska konsekvenser

Om tysk myndighet hittar bristande efterlevnad:

  • Information delas med andra MSA:er
  • Produkter i Spanien, Frankrike etc. drabbade
  • Måste rätta på alla marknader

Välj strider klokt

Vissa tillverkare försöker "myndighetsshopping" (engagera mer välvilliga MSA:er). Detta fungerar sällan:

  • Myndigheter samordnar
  • Allvarliga problem eskaleras
  • Rykte hos alla MSA:er spelar roll

Vad god efterlevnad ser ut som för myndigheter

Myndigheter känner igen genuina efterlevnadsinsatser:

KÄNNETECKEN  GENUIN EFTERLEVNAD

Dokumentation:
 Teknisk fil finns och är aktuell
 Tydlig beslutslogik dokumenterad
 Uppdateringar spårade och versionerade
 Tillgänglig inom 48 timmar  begäran

Process:
 Sårbarhethantering faktiskt fungerar
 Uppdateringar faktiskt levererade
 Kunder faktiskt notifierade
 Problem faktiskt åtgärdade (inte bara dokumenterade)

Attityd:
 Tar säkerhet  allvar (inte bara efterlevnad)
 Svarar konstruktivt  rapporter
 Samarbetar med utredningar
 Lär av problem

Beredskapscheck för tillsyn 

CHECKLISTA FÖR TILLSYNSBEREDSKAP

DOKUMENTATION REDO:
[ ] Teknisk fil komplett
[ ] DoC undertecknad och daterad
[ ] SBOM tillgänglig
[ ] Testrapporter tillgängliga
[ ] Riskbedömning dokumenterad
[ ] Bevis för konformitetsbedömning

RESPONSFÖRMÅGA:
[ ] Myndighetskontaktpunkt utsedd
[ ] Responsprocess definierad
[ ] Juridisk rådgivare identifierad
[ ] Dokumenthämtning testad
[ ] Tidslinje för respons förstås (typiskt 1030 dagar)

PROBLEMSPÅRNING:
[ ] Kända sårbarheter dokumenterade
[ ] Åtgärdsstatus spårad
[ ] Kundnotifieringsregister
[ ] Incidenthistorik underhållen

INTERN MEDVETENHET:
[ ] Personal vet att inte ignorera myndighetskontakt
[ ] Eskaleringsväg till efterlevnad/juridik
[ ] Ingen behörig att lämna falsk information
[ ] Dokumentbevarande tillämpat

EFTER INCIDENT:
[ ] Process för grundorsaksanalys
[ ] Spårning av korrigerande åtgärder
[ ] Myndighetskommunikationslogg
[ ] Lärdomar dokumenterade

Vanliga frågor

Vad är den högsta möjliga boten enligt CRA?

Artikel 64(2) fastställer taket till €15 miljoner eller 2,5% av global årlig omsättning, det belopp som är högst. För stora företag kan omsättningsberäkningen vida överstiga det fasta beloppet. Taket på €15 miljoner gäller bara när 2,5% av omsättningen hamnar under det.

Vilken myndighet tillämpar CRA i Sverige?

I Sverige är PTS (Post- och telestyrelsen) den primära marknadsövervakningsmyndigheten för produkter med digitala element. MSB (Myndigheten för samhällsskydd och beredskap) har en roll i den bredare cybersäkerhetsregleringen. CRA utpekar ingen enskild EU-gemensam tillsynsmyndighet. Varje medlemsstat utser sin egen, och EU:s nätverk för produktöverensstämmelse samordnar gränsöverskridande ärenden. Tyska BSI, franska ANSSI, italienska ACN och polska CERT Polska väntas ta ledande roller på respektive nationell nivå.

Vad utlöser en marknadsövervakningsutredning under CRA?

Vanliga utlösare är konkurrentklagomål, säkerhetsincidenter rapporterade av kunder, slumpmässigt produkturval av myndigheter, flaggor vid importkontroll och offentliggjorda opatchade sårbarheter. Myndigheter genomför också proaktiva sektorkampanjer riktade mot högriskproduktgrupper.

Kan ett företag få böter före december 2027?

Produkter som placeras på marknaden efter den 11 december 2027 måste uppfylla alla krav. Men skyldigheten att rapportera sårbarheter enligt Artikel 14 börjar gälla den 11 september 2026. Myndigheter kan tillämpa den skyldigheten från det datumet. Ett företag som efter september 2026 ignorerar en bekräftad aktivt exploaterad sårbarhet är redan exponerat.

Beräknas CRA-böter per produkt eller per företag?

Böter fastställs per överträdelse, inte per såld enhet. En enskild produkt som inte uppfyller kraven utgör en överträdelse, men beräkningen tar hänsyn till bristande efterlevnads omfattning, antalet enheter i cirkulation och eventuell ekonomisk vinst. Systematisk bristande efterlevnad i flera produktlinjer behandlas normalt som separata överträdelser.

Hur förhåller sig CRA:s sanktionsram till GDPR:s?

Maximibeloppen liknar varandra: GDPR toppar på €20 miljoner eller 4% av global omsättning, CRA på €15 miljoner eller 2,5%. Båda använder en nivåindelad struktur baserad på överträdelsens allvarlighetsgrad. Den viktigaste skillnaden är vem tillsynen riktas mot: GDPR fokuserar på personuppgiftsbiträden och personuppgiftsansvariga, CRA riktar sig mot produkttillverkare, importörer och distributörer. CRA-tillsynen ligger hos produktsäkerhetsmyndigheter, inte dataskyddstillsynsmyndigheter.

Nästa steg

Hanterar du CRA-efterlevnad för flera produkter? CRA Evidence spårar dina tekniska filbevis, sårbarhetshanterings­register och status för din bedömning av överensstämmelse. Din dokumentation är klar när en myndighet begär den.

När du förstår sanktionsstrukturen, bekräfta din tidplan med CRA:s implementeringstidslinje. Bygg ditt bevismaterial med guiden för den tekniska filen innan den första tillämpningsfristen inträffar.

Den här artikeln är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. För specifik efterlevnadsvägledning, konsultera kvalificerade juridiska rådgivare.

CRA Tillämpning Efterlevnad
Share

Relaterade artiklar

Tillbaka till alla artiklar

Gäller CRA för din produkt?

Svara på 6 enkla frågor för att ta reda på om din produkt omfattas av EU:s Cyber Resilience Act. Få ditt resultat på under 2 minuter.

Kontrollera nu

Redo att uppnå CRA-efterlevnad?

Börja hantera dina SBOM:ar och efterlevnadsdokumentation med CRA Evidence.

Starta 14-dagars gratis provperiod

Djupdykning i CRA-ämnen

Evergreen guides covering the specific requirements, processes, and roles defined by the Cyber Resilience Act.

EU-försäkran om överensstämmelse

Vad EU-försäkran om överensstämmelse måste innehålla, vem som undertecknar den och när den krävs.

Läs guiden →
Bedömning av överensstämmelse

Hur överensstämmelsebedömning fungerar under CRA och när ett anmält organ krävs.

Läs guiden →
Teknisk dokumentation

Vad CRA:s tekniska dokumentation måste innehålla (Bilaga VII avsnitt för avsnitt) och hur tillverkare bör strukturera den.

Läs guiden →
Produktklassificering

Hur CRA klassificerar produkter efter risknivå och vad varje kategori innebär för skyldigheter.

Läs guiden →
SBOM-krav

Vad CRA kräver för SBOM:er och hur BSI TR-03183 definierar kvalitetskriterier.

Läs guiden →
Rapportering av sårbarheter

Hur kravet på 24-timmarsanmälan till ENISA fungerar och vad som räknas som en aktivt utnyttjad sårbarhet.

Läs guiden →
Importörens skyldigheter

Vad artikel 19 kräver av importörer och hur tillverkarens efterlevnad verifieras.

Läs guiden →
Planering av supportperiod

Vad CRA:s skyldighet om supportperiod innebär för säkerhetsuppdateringar och end-of-life-planering.

Läs guiden →
View full CRA compliance guide