CRA-böter kan nå 15 000 000 EUR eller 2,5 % av total global årsomsättning, beroende på vilket belopp som är högst för företag. Cyberresiliensförordningen ger marknadskontrollmyndigheter två verktyg: administrativa böter och produktåtgärder, som korrigerande åtgärder, tillbakadragande, återkallelse eller begränsad tillgänglighet.
Den här sidan förklarar vad befogenheterna betyder i praktiken och vilket underlag en ekonomisk aktör bör ha klart innan en myndighet frågar.
Sammanfattning
- CRA har tre bötenivåer. Den högsta nivån gäller de väsentliga cybersäkerhetskraven i bilaga I och tillverkarens skyldigheter i artiklarna 13 och 14.
- Det fasta EUR-beloppet är inte alltid taket. För företag gäller omsättningsprocenten om den ger ett högre belopp.
- Böter är bara ett verktyg. Myndigheter kan kräva korrigerande åtgärder, tillbakadragande, återkallelse eller begränsningar.
- Tillsyn börjar med underlag. Teknisk dokumentation, EU-försäkran om överensstämmelse, SBOM, sårbarhetsregister och supportperiod måste hänga ihop.
- Storlek spelar roll, men är ingen frisedel. Mikroföretag, SME och start-ups ska beaktas när böter bestäms.
Fyra ankare för tillsynen: högsta bötenivå, tidig rapporteringsstart, full tillämpning och produktåtgärder.
Vilka bötenivåer har CRA?
Förordningen sätter EU-gemensamma tak för administrativa böter. Medlemsstaterna bestämmer detaljerna, men sanktionerna ska vara effektiva, proportionerliga och avskräckande.
| Nivå | Överträdelse | Högsta administrativa böter |
|---|---|---|
| Nivå 1 | Bristande efterlevnad av bilaga I eller tillverkarens skyldigheter i artiklarna 13 och 14 | 15 000 000 EUR eller 2,5 % av global årsomsättning, beroende på vilket belopp som är högst |
| Nivå 2 | Bristande efterlevnad av angivna skyldigheter för ekonomiska aktörer, överensstämmelse, anmälda organ och marknadskontroll, inklusive artiklarna 18-23, 28, 30-33, 39, 41, 47, 49 och 53 | 10 000 000 EUR eller 2 % av global årsomsättning, beroende på vilket belopp som är högst |
| Nivå 3 | Felaktig, ofullständig eller vilseledande information till anmälda organ eller marknadskontrollmyndigheter | 5 000 000 EUR eller 1 % av global årsomsättning, beroende på vilket belopp som är högst |
Tillverkare behöver förstå nivå 1 först. Den täcker både produktens cybersäkerhet i bilaga I och driftkraven: riskbedömning, sårbarhetshantering, säkerhetsuppdateringar, teknisk dokumentation, EU-försäkran, CE-märkning, supportperiod och rapportering enligt artikel 14.
Vilka överträdelser väger tyngst?
CRA rangordnar inte alla tänkbara fall. Den största exponeringen uppstår när produktens cybersäkerhet, sanningen i överensstämmelseförklaringen eller myndighetens möjlighet att bedöma risk faller.
| Mönster | Varför det spelar roll | Trolig nivå |
|---|---|---|
| Produkten uppfyller inte bilaga I | Säkerhetspåståendet är fel från början | Nivå 1 |
| Ingen fungerande sårbarhetshantering under supportperioden | Bilaga I del II och artikel 13 fungerar inte | Nivå 1 |
| Ingen rapport om aktivt utnyttjad sårbarhet eller allvarlig incident | Rapporteringen startar före hela regelverket | Nivå 1 |
| Fel väg för bedömning av överensstämmelse | EU-försäkran vilar på fel bedömning | Nivå 1 eller 2 |
| Saknad EU-försäkran, CE-märkning eller aktörsuppgifter | Marknadstillträdesunderlaget är bristfälligt | Nivå 2 |
| Vilseledande uppgifter till myndighet eller anmält organ | Myndigheten kan inte lita på informationen | Nivå 3, ibland mer |
Den praktiska frågan är inte "vilka böter får vi?", utan "vilket underlag kan vi visa?". En signerad försäkran utan teknisk dokumentation, SBOM, sårbarhetsregister och motivering av bedömningsvägen är svag.
Hur böterna bestäms
Beloppet är inte en mekanisk procentsats. Myndigheten ska väga in överträdelsens art, allvar, varaktighet och konsekvenser, tidigare liknande böter och aktörens storlek.
| Faktor | Praktisk betydelse |
|---|---|
| Art, allvar, varaktighet och konsekvenser | En kort dokumentationslucka är något annat än en såld produkt med en exploaterbar svaghet. |
| Tidigare liknande böter | Upprepning i flera medlemsstater kan förvärra utfallet. |
| Storlek och marknadsandel | Mikroföretag, SME och start-ups påverkar proportionaliteten. |
Det är ingen befrielse. Även en liten tillverkare behöver en verklig väg för överensstämmelse, teknisk dokumentation, sårbarhetsprocess och rapporteringsförmåga när skyldigheten gäller.
Marknadskontroll utöver böter
CRA-tillsynen ligger i EU:s ram för marknadskontroll, inklusive förordning (EU) 2019/1020. CRA lägger till förfarandet för produkter med digitala element som innebär en betydande cybersäkerhetsrisk.
Om en myndighet hittar bristande efterlevnad kan den kräva korrigerande åtgärder, att produkten förs i överensstämmelse, dras tillbaka eller återkallas inom rimlig tid. Om aktören inte agerar tillräckligt kan myndigheten begränsa eller förbjuda tillgänglighet.
| Åtgärd | Operativ betydelse |
|---|---|
| Korrigerande åtgärd | Åtgärda bristen, uppdatera dokumentation, rätta sårbarhet eller ändra produkten. |
| Tillbakadragande | Sluta tillhandahålla produkten på marknaden, oftast lager och distributörer. |
| Återkallelse | Hämta tillbaka eller åtgärda produkter som redan levererats till användare när risken kräver det. |
| Begränsning eller förbud | Begränsa eller blockera tillgänglighet på den nationella marknaden, med möjlig EU-samordning. |
Artikel 57 spelar också roll. En produkt kan se formellt korrekt ut och ändå innebära en betydande cybersäkerhetsrisk. Dokument räcker inte om produkten fortfarande är riskabel.
Vad kan väcka tillsyn?
Marknadskontroll kan vara proaktiv eller reaktiv. De vanligaste signalerna är:
| Signal | Vad myndigheten sannolikt frågar efter |
|---|---|
| Aktivt utnyttjad sårbarhet eller allvarlig incident | Artikel 14-underlag, triage, berörda versioner, kommunikation och åtgärdsplan. |
| Klagomål från kund, konkurrent eller forskare | Teknisk dokumentation, sårbarhetsregister, överensstämmelseunderlag och säkerhetsmotivering. |
| Produktprovning eller sektorkampanj | EU-försäkran, användarinformation, CE-märkning, SBOM och testunderlag. |
| Importörs- eller distributörsfråga | Tillverkaridentitet, importöruppgifter, försäkran, supportperiod och spårbarhet. |
| Motstridiga offentliga påståenden | Bevis för att marknadsföring, support, uppdateringar och tekniskt dossier stämmer överens. |
Risken är högst när företaget inte kan förklara varför CRA gäller, vilken roll det har, vilken bedömningsväg som använts och hur sårbarheter hanteras under supportperioden.
Vad ska vara klart
En myndighetsförfrågan är först ett bevisproblem. Ett CRA-klart underlag bör göra dessa delar lätta att ta fram:
| Område | Exempel |
|---|---|
| Produktidentitet och scope | Modell, version, avsett ändamål, programvaru- eller firmwareversioner, fjärrdatabehandling, produktklass. |
| Överensstämmelsepåstående | EU-försäkran, tillämpade standarder, bedömningsmodul, certifikat från anmält organ. |
| Teknisk dokumentation | Bilaga VII-dossier, cybersäkerhetsriskbedömning, arkitektur, tester, produktionskontroller. |
| SBOM | Aktuell SBOM, komponentomfattning, genereringsmetod, uppdateringsprocess, leverantörs-SBOM. |
| Sårbarhetshantering | CVD-policy, säkerhetskontakt, triage, åtgärder, säkerhetsuppdateringar. |
| Artikel 14-rapportering | Beslutsloggar, ENISA- och CSIRT-rapporter när det gäller. |
| Supportperiod | Publicerad period, slutdatum för support, uppdateringstillgänglighet, kundkommunikation. |
Testet är enkelt: om myndigheten frågar i dag, kan teamet lämna sammanhängande underlag utan att återskapa det ur minnet?
SME, mikro och små tillverkare, open source-stewards
Mindre aktörer får viktiga nyanser, men ingen generell befrielse.
Mikroföretag, SME och start-ups. Storleken ska vägas in när böter sätts. Det påverkar proportionalitet, inte om skyldigheten finns.
Mikro och små tillverkare. Artikel 64.10 a undantar tillverkare som är mikroföretag eller små företag från administrativa böter för att missa 24-timmarsvarningarna i artikel 14.2 a och 14.4 a. Undantaget är smalt. Det gäller dessa tidsfrister, inte hela rapporteringsplikten och inte andra CRA-krav.
Open source-software stewards. Artikel 64.10 b undantar dem från böter enligt artikel 64.3-9. Regimen är ändå verklig: artikel 24 kräver en cybersäkerhetspolicy och samarbete med myndigheter vid motiverad begäran. Ett företag som levererar open source i sin kommersiella produkt är oftast tillverkare av den produkten, inte steward.
Vanliga frågor
Vad är högsta CRA-böterna?
Den högsta nivån är 15 000 000 EUR eller, för företag, 2,5 % av total global årsomsättning för föregående räkenskapsår, beroende på vilket belopp som är högst. Den gäller bilaga I och skyldigheterna i artiklarna 13 och 14.
Kan tillsyn börja före 11 december 2027?
Ja, för rapportering enligt artikel 14. Hela regelverket gäller från 11 december 2027, men rapportering av aktivt utnyttjade sårbarheter och allvarliga incidenter gäller från 11 september 2026, även för produkter som redan finns på marknaden.
Är en varning alltid garanterad före böter?
Nej. Marknadskontroll börjar ofta med informationsbegäran, bedömning och korrigerande åtgärder, men CRA garanterar inte en varning före varje böter eller produktåtgärd.