CRA-böter kan nå 15 000 000 EUR eller 2,5 % av total global årsomsättning, beroende på vilket belopp som är högst för företag. Cyberresiliensförordningen ger marknadskontrollmyndigheterna två slags hävstänger: administrativa böter och produktåtgärder såsom korrigerande åtgärder, tillbakadragande, återkallelse eller begränsningar av tillhandahållandet.
Den här sidan förklarar vad de befogenheterna innebär i praktiken och vilket underlag en ekonomisk aktör bör ha klart innan en myndighet frågar.
Sammanfattning
- CRA har tre bötenivåer. Den högsta nivån gäller de väsentliga cybersäkerhetskraven och tillverkarens centrala plikter.
- Det fasta EUR-beloppet är inte alltid taket. För företag gäller omsättningsprocenten om den ger ett högre belopp än det fasta beloppet.
- Böter är bara ett tillsynsverktyg. Myndigheterna kan kräva korrigerande åtgärder, tillbakadragande, återkallelse eller begränsningar av tillhandahållandet på marknaden.
- Marknadskontrollen börjar med underlag. Teknisk dokumentation, EU-försäkran om överensstämmelse, SBOM-underlag, sårbarhetshanteringsregister och register över stödperioden är vad myndigheterna kan använda för att pröva överensstämmelsepåståendet.
- Aktörens storlek spelar roll, men är ingen frisedel. Myndigheterna måste ta hänsyn till storleken, inklusive mikroföretag, små och medelstora företag samt nystartade företag, när böter sätts.
De fyra ankarpunkterna för tillsynen: högsta bötesbeloppet, det tidiga rapporteringsdatumet, datumet för full tillämpning och de produktåtgärder marknadskontrollmyndigheterna kan tillgripa.
Vilka administrativa böter kan tillämpas?
Förordningen sätter EU-gemensamma maxtak för administrativa böter. Medlemsstaterna fastställer de detaljerade sanktionsreglerna, men dessa regler måste hålla sig inom CRA:s ram och sanktionerna måste vara effektiva, proportionerliga och avskräckande.
| Överträdelsekategori | Vad som utlöser den | Högsta administrativa böter |
|---|---|---|
| Centrala produktsäkerhetsplikter | Väsentliga cybersäkerhetskrav och centrala tillverkarplikter, inklusive sårbarhetshantering, säkerhetsuppdateringar, underlag om stödperioden och obligatorisk rapportering | 15 000 000 EUR eller, för företag, 2,5 % av total global årsomsättning för föregående räkenskapsår, beroende på vilket belopp som är högst |
| Marknadstillträde och överensstämmelse | Kontroller av importörer och distributörer, CE-märkning, försäkringar, bedömning av överensstämmelse, samarbete med anmälda organ och marknadskontrollskyldigheter | 10 000 000 EUR eller, för företag, 2 % av total global årsomsättning, beroende på vilket belopp som är högst |
| Vilseledande information | Lämnande av felaktig, ofullständig eller vilseledande information till anmälda organ eller marknadskontrollmyndigheter | 5 000 000 EUR eller, för företag, 1 % av total global årsomsättning, beroende på vilket belopp som är högst |
Det högsta bötesbeloppet är det som de flesta tillverkare bör förstå först. Det täcker produktens cybersäkerhet och de operativa tillverkarplikterna: cybersäkerhetsriskbedömning, sårbarhetshantering, säkerhetsuppdateringar, redovisning av stödperiod samt rapportering av allvarliga incidenter eller aktivt utnyttjade sårbarheter. Teknisk dokumentation, EU-försäkran om överensstämmelse och CE-märkning hör i stället till det mellersta bötesskiktet, som gäller marknadstillträde och överensstämmelse.
Vilka överträdelser väger tyngst?
CRA rangordnar inte varje tänkbart faktamönster. Den sätter rättsliga ramar. I praktiken kommer den största exponeringen från brister som rör produktens cybersäkerhetsmässiga substans, sanningen i överensstämmelsepåståendet eller myndigheternas möjlighet att bedöma risken.
| Mönster | Varför det spelar roll | Trolig rättslig nivå |
|---|---|---|
| Produkten släpps ut på EU-marknaden utan att uppfylla de väsentliga kraven i Bilaga I | Produktsäkerhetspåståendet är fel från början | Högsta bötesbeloppet |
| Ingen fungerande sårbarhetshantering under stödperioden | Sårbarhetshantering fungerar inte under stödperioden | Högsta bötesbeloppet |
| Underlåtenhet att rapportera en allvarlig incident eller en aktivt utnyttjad sårbarhet när obligatorisk rapportering gäller | Rapporteringsplikten börjar gälla innan hela regimen | Högsta bötesbeloppet |
| Fel väg för bedömning av överensstämmelse för en viktig eller kritisk produkt | Försäkran om överensstämmelse vilar på fel bedömningsväg | Högsta eller mellersta bötesbeloppet, beroende på vilken skyldighet som brutits |
| Saknad eller ogiltig EU-försäkran om överensstämmelse, CE-märkning eller aktörsuppgifter | Marknadstillträdesunderlaget är bristfälligt | Mellersta bötesbeloppet |
| Vilseledande av ett anmält organ eller en marknadskontrollmyndighet | Myndigheterna kan inte lita på den information som lämnats | Böter för vilseledande information, och potentiellt värre om andra överträdelser finns |
Det säkraste sättet att läsa nivåerna är inte "vilka böter får vi?" utan "vilket underlag måste vi kunna ta fram?". En undertecknad försäkran om överensstämmelse utan teknisk fil, SBOM-underlag, sårbarhetshanteringsregister och motivering av bedömningsvägen är en bräcklig tillsynsposition.
Hur myndigheterna bestämmer böterna
Bötenas storlek är inte bara en mekanisk procentberäkning. När myndigheterna sätter beloppet ska de beakta överträdelsen, om aktören har tidigare liknande böter och aktörens storlek.
| Faktor | Praktisk innebörd |
|---|---|
| Överträdelsens art, allvar och varaktighet samt dess konsekvenser | En kortvarig dokumentationslucka är något annat än en levererad produkt med en exploaterbar designsvaghet. |
| Om böter redan har påförts samma ekonomiska aktör för liknande överträdelser | Upprepat beteende i flera medlemsstater kan förvärra utfallet. |
| Den ekonomiska aktörens storlek och marknadsandel | Mikroföretag, små och medelstora företag samt nystartade företag ska beaktas när böter sätts. |
Det betyder inte att små aktörer kan strunta i lagen. Det betyder att sanktionen ska vara proportionerlig. En liten tillverkare behöver fortfarande en verklig väg för överensstämmelse, teknisk dokumentation, en sårbarhetshanteringsprocess och rapporteringsförmåga när plikterna gäller.
Marknadskontrollens befogenheter utöver böter
Böter är inte den enda risken. CRA-tillsynen ligger inom EU:s ram för marknadskontroll, inklusive Regulation (EU) 2019/1020. CRA tillför sedan det nationella förfarandet för produkter med digitala element som innebär en betydande cybersäkerhetsrisk.
Om en myndighet utvärderar en produkt och konstaterar bristande efterlevnad kan den kräva att den berörda ekonomiska aktören vidtar lämpliga korrigerande åtgärder, försätter produkten i överensstämmelse, drar tillbaka den från marknaden eller återkallar den inom en rimlig tid. Om aktören inte vidtar tillräckliga korrigerande åtgärder kan myndigheterna gå vidare med att begränsa eller förbjuda tillhandahållandet.
| Åtgärd | Vad det innebär operativt |
|---|---|
| Korrigerande åtgärd | Åtgärda bristen, uppdatera dokumentation, åtgärda sårbarheter, uppdatera instruktioner eller ändra produkten innan fortsatt försäljning. |
| Tillbakadragande | Sluta tillhandahålla produkten på marknaden. Det berör vanligen osålt lager och distributionskanaler. |
| Återkallelse | Hämta tillbaka eller åtgärda produkter som redan levererats till användare när risken kräver det. |
| Begränsning eller förbud | Begränsa eller blockera produktens tillhandahållande på den nationella marknaden, med möjliga konsekvenser i hela EU genom samordning. |
Formell efterlevnad är inte en sköld. En produkt kan uppfylla pappersarbetet och ändå innebära en betydande cybersäkerhetsrisk, och då kan myndigheterna kräva ytterligare åtgärder för att hantera risken enligt Artikel 57. Formellt pappersarbete räcker inte om produkten fortfarande är riskabel.
Vad kan utlösa tillsynsuppmärksamhet?
CRA publicerar ingen fast lista över utlösande faktorer. Marknadskontrollen kan vara proaktiv eller reaktiv. Detta är de situationer som mest sannolikt sätter en produkt på en myndighets radar:
| Utlösare | Vad en myndighet sannolikt kommer att fråga efter |
|---|---|
| Aktivt utnyttjad sårbarhet eller allvarlig incident | Rapporteringsunderlag, sårbarhetstriage, berörda versioner, kundkommunikation, åtgärdsplan. |
| Klagomål från konkurrent, kund eller forskare | Teknisk fil, sårbarhetshanteringsregister, underlag för bedömning av överensstämmelse och produktsäkerhetsmotivering. |
| Produktprovning eller sektorkampanj | EU-försäkran om överensstämmelse, användarinformation, CE-märkning, SBOM-underlag och provningsunderlag. |
| Importörs- eller distributörsfråga | Tillverkaridentitet, importörsuppgifter, försäkran om överensstämmelse, uppgifter om stödperiod och spårbarhetsregister. |
| Motstridiga offentliga påståenden | Bevis för att marknadsföring, uppgifter om stödperiod, åtaganden om säkerhetsuppdateringar och den tekniska filen stämmer överens. |
Tillsynsrisken är högst där företaget inte kan förklara varför produkten omfattas, vilken roll det spelar, vilken bedömningsväg det använde, vilket underlag som stöder försäkran om överensstämmelse och hur sårbarheter hanteras under stödperioden.
Hur en myndighetsbegäran kan se ut
En begäran från marknadskontrollen är vanligen ett bevisproblem innan det är ett rättsligt problem. Den exakta begäran beror på medlemsstaten, produkten och risken, men en CRA-klar fil bör göra dessa delar lätta att ta fram:
| Bevisområde | Exempel |
|---|---|
| Produktidentitet och omfattning | Modell, version, avsett ändamål, programvaru- och firmwareversioner, lösning för fjärrdatabehandling, produktklass. |
| Överensstämmelsepåstående | EU-försäkran om överensstämmelse, tillämpliga standarder, modul för bedömning av överensstämmelse, certifikat från anmält organ när det är relevant. |
| Teknisk dokumentation | Bilaga VII-teknisk fil, cybersäkerhetsriskbedömning, arkitektur, tester, produktionskontroller. |
| SBOM-underlag | Aktuell SBOM, komponentomfattning, genereringsmetod, uppdateringsprocess, hantering av leverantörs-SBOM. |
| Sårbarhetshantering | CVD-policy, säkerhetskontakt, triageregister, åtgärdsregister, process för säkerhetsuppdateringar. |
| Obligatorisk rapportering | Beslutsloggar för allvarliga incidenter och aktivt utnyttjade sårbarheter, ENISA- och CSIRT-rapporteringsregister när tillämpligt. |
| Stödperiod | Redovisad stödperiod, slutdatum för stödet, tillgång till uppdateringar, register över kundkommunikation. |
Det praktiska testet är enkelt: om en myndighet ber om filen idag, kan teamet ta fram sammanhängande underlag utan att rekonstruera det ur minnet?
Vad du ska hålla klart innan en begäran kommer
Använd den här checklistan före den första tillsynsfristen:
| Område | Klarläge |
|---|---|
| Omfattning och roll | Du kan förklara varför CRA gäller, vilken roll enligt Artikel 3 du spelar och om något undantag enligt Artikel 2 är tillämpligt. |
| Produktklassificering | Du vet om produkten är förvald, viktig klass I, viktig klass II eller kritisk. |
| Väg för överensstämmelse | Du kan motivera modul A, B+C, H eller en annan tillåten väg. |
| Teknisk fil | Bilaga VII-underlag finns, är versionerat och stämmer med den produkt som sålts. |
| Försäkran och CE-märkning | Försäkran om överensstämmelse är undertecknad, korrekt och i linje med bevisfilen. |
| SBOM | SBOM:en är genererad, underhållen och knuten till levererade versioner. |
| Sårbarhetshantering | Mottagning, triage, åtgärder, offentliggörande och leverans av uppdateringar är operativa. |
| Rapportering | Beslutsfattande och eskalering är klart innan 11 september 2026. |
| Kommunikation | Kommunikation med kunder, distributörer, importörer och myndigheter är dokumenterad. |
Små och medelstora företag, mikrotillverkare och förvaltare av öppen källkod
Mindre aktörer får viktiga nyanser, men ingen befrielse från CRA-efterlevnad.
Mikroföretag, små och medelstora företag samt nystartade företag. När böter sätts måste myndigheterna ta hänsyn till aktörens storlek, inklusive om det är fråga om ett mikroföretag, ett SME eller ett nystartat företag. Det påverkar proportionaliteten, inte själva pliktens existens.
Mikrotillverkare och små tillverkare. Det finns en smal lättnad för två missade 24-timmarsfrister för tidig varning. Den tar inte bort hela rapporteringsplikten, slutrapporterna eller andra CRA-skyldigheter.
Förvaltare av öppen källkod. Förvaltare ligger utanför de flesta administrativa bötesnivåerna, men förvaltarregimen är fortfarande verklig: de behöver en cybersäkerhetspolicy och måste samarbeta med marknadskontrollmyndigheterna på motiverad begäran. Ett företag i senare led som levererar öppen källkod inom sin egen kommersiella produkt är vanligen tillverkare av den produkten, inte förvaltare.
Vanliga frågor
Vad är de högsta CRA-böterna?
Den högsta CRA-bötesnivån är 15 000 000 EUR eller, för företag, 2,5 % av total global årsomsättning för föregående räkenskapsår, beroende på vilket belopp som är högst. Den nivån täcker bristande efterlevnad av de väsentliga cybersäkerhetskraven och tillverkarens centrala skyldigheter.
Kan CRA-tillsyn ske före 11 december 2027?
Ja, för rapportering av allvarliga incidenter. Hela CRA-regimen tillämpas från 11 december 2027, men rapporteringsplikten för aktivt utnyttjade sårbarheter och allvarliga incidenter gäller från 11 september 2026. Produkter som redan finns på marknaden omfattas också av den rapporteringsplikten från det datumet.
Är en varning garanterad före böter?
Nej. Marknadskontrollen börjar ofta med informationsbegäran, utvärdering och korrigerande åtgärder, men CRA garanterar inte en varning före varje böter eller produktåtgärd. Myndighetens svar beror på risken, överträdelsen, aktörens samarbete och de nationella sanktionsreglerna.
Kan en myndighet beordra återkallelse även om inga böter har påförts?
Ja. Produktåtgärder och administrativa böter är separata verktyg. När villkoren är uppfyllda kan marknadskontrollmyndigheterna kräva korrigerande åtgärder, tillbakadragande, återkallelse eller begränsningar av tillhandahållandet för att hantera en betydande cybersäkerhetsrisk. En återkallelse handlar om riskhantering, inte enbart om bestraffning.
Får små företag undantag från CRA-böter?
Inte generellt. Aktörens storlek är en proportionalitetsfaktor när böter sätts. CRA ger också mikrotillverkare och små tillverkare smal lättnad för två specifika 24-timmarsfrister för tidig varning, och förvaltare av öppen källkod ligger utanför de flesta administrativa bötesnivåerna. Det tar inte bort resten av CRA-pliktsuppsättningen.