Artikel 64 Sanktionen

Summary What does Article 64 of the CRA regulation say?

This is the enforcement and penalties article of the Cyber Resilience Act, establishing a three-tier structure of administrative fines for different categories of non-compliance.

Member States are responsible for setting and implementing penalty rules, but the regulation itself defines the maximum fine levels, ranging from EUR 15 million (or 2.5% of global turnover) at the top end, down to EUR 5 million (or 1% of global turnover) for supplying misleading information to authorities.

The article also carves out certain exemptions for microenterprises, small enterprises, and open-source software stewards.

Important points:

The highest tier of fines — up to EUR 15 000 000 or 2.5% of total worldwide annual turnover — applies to economic operators that fail to meet the essential cybersecurity requirements or the core manufacturer obligations set out in Articles 13 and 14.
Member States are required to lay down their own penalty rules and notify the Commission of those rules, though the fine ceilings are set directly by this regulation.
Microenterprises and small enterprises are exempt from certain fines related to early notification deadlines, and open-source software stewards are fully exempt from the administrative fines covered by the lower two tiers.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Die Mitgliedstaaten erlassen Vorschriften über Sanktionen, die bei Verstößen gegen diese Verordnung zu verhängen sind, und treffen alle für die Umsetzung der Sanktionen erforderlichen Maßnahmen. Die vorgesehenen Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Die Mitgliedstaaten teilen der Kommission diese Vorschriften und Maßnahmen unverzüglich mit und melden ihr unverzüglich alle diesbezüglichen Änderungen.
1. Bei Nichteinhaltung der in Anhang I festgelegten grundlegenden Cybersicherheitsanforderungen oder Verstößen gegen die in den Artikeln 13 und 14 festgelegten Pflichten werden Geldbußen von bis zu 15 000 000 EUR oder — im Falle von Unternehmen — von bis zu 2,5 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher Betrag höher ist.
1. Bei Verstößen gegen die in den Artikeln 18 bis 23, Artikel 28, Artikel 30 Absätze 1 bis 4, Artikel 31 Absätze 1 bis 4, Artikel 32 Absätze 1, 2 und 3, Artikel 33 Absatz 5 und Artikeln 39, 41, 47, 49 und 53 festgelegten Pflichten werden Geldbußen von bis zu 10 000 000 EUR oder — im Falle von Unternehmen — von bis zu 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher Betrag höher ist.
1. Werden gegenüber notifizierten Stellen und Marktüberwachungsbehörden auf deren Auskunftsverlangen hin falsche, unvollständige oder irreführende Angaben gemacht, so werden Geldbußen von bis zu 5 000 000 EUR oder — im Falle von Unternehmen — von bis zu 1 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher Betrag höher ist.
1. Bei der Festsetzung der Geldbuße werden in jedem Einzelfall alle relevanten Umstände der konkreten Situation sowie Folgendes gebührend berücksichtigt:
  1. Art, Schwere und Dauer des Verstoßes und dessen Folgen,
  2. ob bereits dieselben oder andere Marktüberwachungsbehörden demselben Wirtschaftsakteur für einen ähnlichen Verstoß Geldbußen auferlegt haben,
  3. Größe, insbesondere im Hinblick auf Kleinstunternehmen sowie kleine und mittlere Unternehmen, einschließlich Start-up-Unternehmen, und Marktanteil des Wirtschaftsakteurs, der den Verstoß begangen hat.
1. Marktüberwachungsbehörden, die Geldbußen verhängen, teilen die Verhängung einer Geldbuße den Marktüberwachungsbehörden der anderen Mitgliedstaaten über das in Artikel 34 der Verordnung (EU) 2019/1020 genannte Informations- und Kommunikationssystem mit.
1. Jeder Mitgliedstaat erlässt Vorschriften darüber, ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können.
1. In Abhängigkeit vom Rechtssystem des betreffenden Mitgliedstaats können die Vorschriften über Geldbußen je nach den dort geltenden Regeln so angewandt werden, dass die Geldbußen entsprechend der auf nationaler Ebene in den Mitgliedstaaten festgelegten Verteilung der Zuständigkeiten von zuständigen nationalen Gerichten oder von anderen Stellen verhängt werden. Die Anwendung dieser Vorschriften in diesen Mitgliedstaaten muss eine gleichwertige Wirkung haben.
1. Geldbußen können je nach den Umständen des Einzelfalls zusätzlich zu anderen Korrekturmaßnahmen oder einschränkenden Maßnahmen, die Marktüberwachungsbehörden für denselben Verstoß auferlegen, verhängt werden.
1. Abweichend von den Absätzen 3 bis 9 gelten die in diesen Absätzen genannten Geldbußen nicht für
  1. Hersteller, die als Kleinst- oder Kleinunternehmen gelten, und zwar in Bezug auf die Nichteinhaltung der in Artikel 14 Absatz 2 Buchstabe a oder Artikel 14 Absatz 4 Buchstabe a genannten Frist,
  2. Verwalter quelloffener Software bei jedem Verstoß gegen diese Verordnung.

Relevant recitals

Erwägungsgrund 120 Administrative fines

Um die wirksame Durchsetzung der in dieser Verordnung festgelegten Pflichten zu gewährleisten, sollte jede Marktüberwachungsbehörde befugt sein, Geldbußen aufzuerlegen oder ihre Auferlegung zu beantragen. Daher sollten auch Obergrenzen für Geldbußen festgelegt werden, die im einzelstaatlichen Recht für Verstöße gegen die in dieser Verordnung festgelegten Pflichten vorzusehen sind. Bei der Entscheidung über die Höhe der Geldbuße sollten in jedem Einzelfall alle relevanten Umstände der konkreten Situation und zumindest die in dieser Verordnung ausdrücklich festgelegten Umstände berücksichtigt werden, einschließlich der Frage, ob es sich bei dem Hersteller um ein Kleinstunternehmen oder um ein kleines oder mittleres Unternehmen, einschließlich eines Start-up-Unternehmens, handelt und ob bereits dieselbe Marktüberwachungsbehörde oder andere Marktüberwachungsbehörden demselben Wirtschaftsakteur für einen ähnlichen Verstoß Geldbußen auferlegt haben. Solche Umstände könnten entweder erschwerend wirken, falls der Verstoß desselben Wirtschaftsakteurs im Hoheitsgebiet eines anderen Mitgliedstaats als desjenigen, in dem bereits eine Geldbuße verhängt wurde, weiter andauert, oder aber mildernd, indem sichergestellt wird, dass in anderen Mitgliedstaaten verhängte Sanktionen und deren Höhe sowie andere einschlägige konkrete Umstände berücksichtigt werden, wenn eine andere Marktüberwachungsbehörde für denselben Wirtschaftsakteur oder dieselbe Art von Verstoß eine weitere Geldbuße in Betracht zieht. Jedenfalls sollte der Gesamtbetrag der Geldbußen, die die Marktüberwachungsbehörden mehrerer Mitgliedstaaten wegen derselben Art von Verstößen gegen denselben Wirtschaftsakteur verhängen könnten, dem Grundsatz der Verhältnismäßigkeit entsprechen. Da Geldbußen weder gegen Kleinstunternehmen oder kleine Unternehmen wegen einer Nichteinhaltung der 24-Stunden-Frist für die Frühmeldung bei aktiv ausgenutzten Schwachstellen oder schwerwiegenden Sicherheitsvorfällen, die sich auf die Sicherheit des Produkts mit digitalen Elementen auswirken, noch gegen Verwalter quelloffener Software bei Verstößen gegen diese Verordnung verhängt werden und vorbehaltlich des Grundsatzes, dass Sanktionen wirksam, verhältnismäßig und abschreckend sein sollten, sollten die Mitgliedstaaten gegen diese Einrichtungen keine anderweitigen finanziellen Sanktionen verhängen.

Erwägungsgrund 121 Administrative fines for natural persons

Werden Geldbußen einer Person auferlegt, bei der es sich nicht um ein Unternehmen handelt, so sollte die zuständige Behörde bei der Bemessung der Geldbuße dem allgemeinen Einkommensniveau in dem betreffenden Mitgliedstaat und der wirtschaftlichen Lage der Personen Rechnung tragen. Die Mitgliedstaaten sollten bestimmen können, ob und inwieweit gegen Behörden Geldbußen verhängt werden können.

Erwägungsgrund 122 Revenues from penalties

Die Mitgliedstaaten sollten unter Berücksichtigung der nationalen Gegebenheiten prüfen, ob die Einnahmen aus den in dieser Verordnung vorgesehenen Sanktionen oder entsprechende gleichwertige Einnahmen verwendet werden können, um Cybersicherheitsstrategien zu unterstützen und das Maß an Cybersicherheit in der Union zu verbessern, indem unter anderem die Anzahl der qualifizierten Cybersicherheitsfachkräfte erhöht, der Kapazitätsaufbau für Kleinstunternehmen sowie kleine und mittlere Unternehmen gestärkt und die Öffentlichkeit für Cyberbedrohungen sensibilisiert wird.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.