Bristande efterlevnad av CRA kan leda till böter på upp till 15 000 000 EUR, eller 2,5 % av den totala globala årsomsättningen, beroende på vilket som är högst. Det är den högsta bötesnivån enligt Artikel 64(2), som gäller vid bristande efterlevnad av de väsentliga säkerhetskraven i Bilaga I och skyldigheterna i Artiklarna 13 och 14. SBOM-skyldigheten finns i Bilaga I. Två datum styr din tidslinje. Artikel 14:s skyldigheter för sårbarhetrapportering blir obligatoriska den 11 september 2026. Fullt ikraftträdande följer den 11 december 2027. Produkter som släpps ut på EU-marknaden efter det datumet utan en godkänd SBOM kan inte ha CE-märkning och kan inte säljas lagligt.
Sammanfattning
- 11 september 2026: Artikel 14:s skyldigheter för sårbarhet- och incidentrapportering till ENISA blir obligatoriska för tillverkare
- 11 december 2027: Fullt CRA-ikraftträdande börjar, inklusive SBOM-skyldigheten i Bilaga I
- Högsta böter: 15 000 000 EUR eller 2,5 % av den totala globala årsomsättningen (beroende på vilket som är högst), Artikel 64(2)
- Lagring: SBOM:en måste bevaras i minst tio år efter det att den sista enheten har släppts ut på marknaden (Artikel 13(13))
CRA SBOM-frister för efterlevnad
CRA har en stegvis tidslinje för ikraftträdande. Två datum påverkar direkt SBOM-efterlevnaden:
| Datum | Milstolpe |
|---|---|
| 11 september 2026 | Skyldigheter för sårbarhetrapportering träder i kraft. Tillverkare måste rapportera aktivt utnyttjade sårbarheter inom 24 timmar. |
| 11 december 2027 | Fullt ikraftträdande. Alla produkter med digitala element måste uppfylla CRA-kraven, inklusive fullständiga SBOM:ar. |
Produkter som släpps ut på EU-marknaden efter december 2027 och som saknar en godkänd SBOM kan inte ha CE-märkning och kan inte säljas lagligt. För den bredare stegvisa tidslinjen som täcker anmälda organ, harmoniserade standarder och Artikel 14-rapportering, se CRA:s implementeringstidslinje.
Artikel 14:s rapporteringskadans
Uppgiften "24 timmar" är bara det första steget. Artikel 14 fastställer en stegvis rapporteringskadans till den samordnande CSIRT-enheten och ENISA samtidigt, via den gemensamma rapporteringsplattform som inrättats enligt Artikel 16.
| Steg | Frist | Artikel | Utlösare |
|---|---|---|---|
| Tidig varning | Inom 24 timmar | Art. 14(2)(a) | Aktivt utnyttjad sårbarhet |
| Anmälan om sårbarhet | Inom 72 timmar | Art. 14(2)(b) | Aktivt utnyttjad sårbarhet |
| Slutrapport | Inom 14 dagar efter korrigerande åtgärd | Art. 14(2)(c) | Aktivt utnyttjad sårbarhet |
| Tidig varning | Inom 24 timmar | Art. 14(4)(a) | Allvarlig incident |
| Incidentanmälan | Inom 72 timmar | Art. 14(4)(b) | Allvarlig incident |
| Slutrapport | Inom en månad efter incidentanmälan | Art. 14(4)(c) | Allvarlig incident |
Artikel 14:s rapporteringsskyldigheter gäller från 11 september 2026. Om din produkt har en aktivt utnyttjad sårbarhet efter det datumet måste du skicka en tidig varning till den samordnande CSIRT-enheten och ENISA inom 24 timmar, en utförligare anmälan inom 72 timmar och en slutrapport inom 14 dagar. Det kräver att infrastruktur för sårbarhetövervakning redan finns på plats före det datumet. SBOM:en är grunden för den övervakningen: du kan inte spåra det du inte har dokumenterat.
Vad händer om du inte efterlever kraven?
Bristande efterlevnad av CRA medför både ekonomiska och kommersiella konsekvenser. Marknadskontrollmyndigheter i varje EU-medlemsstat kommer att verkställa dessa påföljder.
| Ekonomiska | Kommersiella |
|---|---|
| Böter på upp till 15 000 000 EUR eller 2,5 % av den totala globala årsomsättningen (Art. 64(2)) | Produktåterkallelse eller tillbakadragande från EU-marknaden |
| Rapporteringsbrister kan medföra separata böter enligt Art. 64(2) och 64(3) | Marknadsförbud: produkter som inte uppfyller kraven kan inte ha CE-märkning |
| Oriktiga eller ofullständiga uppgifter till myndigheter: upp till 5 000 000 EUR / 1 % (Art. 64(4)) | Leveranskedjekonsekvenser: kunder kan hindras från att använda din produkt i sin egen CRA-efterlevnad |
Påföljdsexponering per typ av ekonomisk aktör
Artikel 64 fastställer olika bötestak beroende på vilken skyldighet som överträtts och vilken ekonomisk aktör som är ansvarig. SBOM-skyldigheten finns i Bilaga I, varför en saknad eller bristfällig SBOM faller inom Artikel 64(2)-nivån för tillverkare.
| Ekonomisk aktör | Övertredd skyldighet | Artikel | Högsta böter |
|---|---|---|---|
| Tillverkare | Väsentliga säkerhetskrav i Bilaga I (inkl. SBOM) eller skyldigheter i Artiklarna 13-14 | Art. 64(2) | 15 000 000 EUR eller 2,5 % av total global årsomsättning |
| Importör | Artikel 19:s importörsskyldigheter (verifiering, märkning, dokumentation) | Art. 64(3) | 10 000 000 EUR eller 2 % av total global årsomsättning |
| Importör som agerar som tillverkare | Artikel 22:s eskalering: eget varumärke eller modifierad produkt utlöser det fullständiga tillverkarregelverket | Art. 64(2) | 15 000 000 EUR eller 2,5 % av total global årsomsättning |
| Distributör | Artikel 20:s distributörsskyldigheter (verifiering, samarbete med tillsyn) | Art. 64(3) | 10 000 000 EUR eller 2 % av total global årsomsättning |
| Alla ekonomiska aktörer | Tillhandahållande av oriktig, ofullständig eller vilseledande information till myndigheter | Art. 64(4) | 5 000 000 EUR eller 1 % av total global årsomsättning |
Artikel 22 placerar en importör i det fullständiga tillverkarregelverket när de sätter sitt eget varumärke på en tredjepartsprodukt eller modifierar programvaran innan återförsäljning. Påföljdsexponeringen ökar från 10 000 000 EUR / 2 % till 15 000 000 EUR / 2,5 %, och varje Artikel 13-skyldighet gäller inklusive SBOM-kravet i Bilaga I.
Vid beslut om storleken på böterna ska myndigheterna ta vederbörlig hänsyn till tre faktorer enligt Artikel 64(5):
| Faktor | Påverkan |
|---|---|
| Överträdelsens art, allvarlighetsgrad och varaktighet samt dess konsekvenser | Allvarligare och längre = högre böter |
| Huruvida böter redan har påförts av samma eller andra marknadskontrollmyndigheter för en liknande överträdelse | Upprepade överträdelser = högre böter |
| Storleken på den ekonomiska aktören, särskilt mikroföretag, små och medelstora företag, inbegripet uppstartsföretag | Mindre aktör = proportionellt lägre böter |
Genom undantag från punkterna 3-9 ska de administrativa sanktionsavgifterna inte tillämpas på: tillverkare som klassificeras som mikroföretag eller små företag när det gäller underlåtenhet att iaktta den tidsfrist som avses i Artikel 14(2)(a) eller 14(4)(a), samt alla överträdelser som begås av förvaltare av programvara med fri och öppen källkod. Bilaga I:s skyldigheter gäller fortfarande; det är bara konsekvensen i form av administrativ sanktionsavgift som undantas i dessa specifika situationer.
Vanliga frågor
Vad är den högsta boten enligt CRA?
Artikel 64(2) fastställer det högsta beloppet till 15 000 000 EUR eller 2,5 % av den totala globala årsomsättningen, beroende på vilket som är högst. För stora företag kan omsättningsberäkningen vida överstiga den fasta gränsen. Taket på 15 000 000 EUR gäller bara när 2,5 % av omsättningen understiger det.
Kan ett företag bötfällas innan december 2027-deadlinen?
Produkter som släpps ut på marknaden efter 11 december 2027 måste efterleva kraven fullt ut. Men sårbarhetrapporteringsskyldigheten enligt Artikel 14 träder i kraft den 11 september 2026. Myndigheter kan verkställa den skyldigheten från det datumet. Ett företag som ignorerar en bekräftad aktivt utnyttjad sårbarhet efter september 2026 är redan exponerat.
Gäller CRA-böter per produkt eller per företag?
Böter bedöms per överträdelse, inte per såld enhet. En enskild produktlinje som inte efterlever kraven utgör en överträdelse, men beräkningen av påföljden beaktar omfattningen av den bristande efterlevnaden, antalet enheter i omlopp och eventuell ekonomisk vinning. Systematisk bristande efterlevnad över flera produktlinjer behandlas normalt som separata överträdelser.
Vilken myndighet verkställer CRA i varje EU-medlemsstat?
CRA utser ingen enskild EU-gemensam tillsynsmyndighet. Varje medlemsstat utser sin egen marknadskontrollmyndighet. Tysklands BSI, Frankrikes ANSSI, Italiens ACN och Polens CERT Polska är de nationella organ som förväntas ta ledande roller. EU:s nätverk för produktöverensstämmelse samordnar gränsöverskridande verkställighet när problem berör flera marknader.
Vad utlöser en marknadskontrollutredning enligt CRA?
Vanliga utlösare är konkurrentklagomål, säkerhetsincidenter som rapporteras av kunder, stickprovskontroll av produkter av myndigheter, flaggor vid importkontroll och offentliggjorda okorrigerade sårbarheter. Myndigheterna genomför också proaktiva sektorkampanjer riktade mot högriskproduktskategorier.
Hur länge måste en SBOM bevaras efter att en produkt dragits tillbaka?
Artikel 13.13 kräver att tillverkarna ska kunna uppvisa den tekniska dokumentationen och EU-försäkran om överensstämmelse för marknadskontrollmyndigheterna i minst tio år efter det att produkten med digitala element har släppts ut på marknaden, eller under stödperioden, beroende på vilken period som är längst. Klockan börjar med den sista enheten på marknaden, inte den första. SBOM:en måste hållas aktuell under hela den aktiva stödperioden, som CRA fastställer till minst 5 år.