Article 64 Sanctions

Summary What does Article 64 of the CRA regulation say?

This is the enforcement and penalties article of the Cyber Resilience Act, establishing a three-tier structure of administrative fines for different categories of non-compliance.

Member States are responsible for setting and implementing penalty rules, but the regulation itself defines the maximum fine levels, ranging from EUR 15 million (or 2.5% of global turnover) at the top end, down to EUR 5 million (or 1% of global turnover) for supplying misleading information to authorities.

The article also carves out certain exemptions for microenterprises, small enterprises, and open-source software stewards.

Important points:

The highest tier of fines — up to EUR 15 000 000 or 2.5% of total worldwide annual turnover — applies to economic operators that fail to meet the essential cybersecurity requirements or the core manufacturer obligations set out in Articles 13 and 14.
Member States are required to lay down their own penalty rules and notify the Commission of those rules, though the fine ceilings are set directly by this regulation.
Microenterprises and small enterprises are exempt from certain fines related to early notification deadlines, and open-source software stewards are fully exempt from the administrative fines covered by the lower two tiers.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Les États membres déterminent le régime des sanctions applicables aux violations du présent règlement et prennent toutes les mesures nécessaires pour assurer la mise en œuvre de ces sanctions. Ces sanctions doivent être effectives, proportionnées et dissuasives. Les États membres informent la Commission, sans retard, du régime ainsi déterminé et des mesures ainsi prises, de même que, sans retard, de toute modification apportée ultérieurement à ce régime ou à ces mesures.
1. Le non-respect des exigences de cybersécurité énoncées à l’annexe I et avec les obligations énoncées aux articles 13 et 14 fait l’objet d’une amende administrative pouvant aller jusqu’à 15 000 000 EUR ou, si l’auteur de l’infraction est une entreprise, jusqu’à 2,5 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu.
1. Le non-respect des obligations établies aux articles 18 à 23, à l’article 28, à l’article 30, paragraphes 1 à 4, à l’article 31, paragraphes 1 à 4, à l’article 32, paragraphes 1, 2 et 3, à l’article 33, paragraphe 5, et aux articles 39, 41, 47, 49 et 53 fait l’objet d’une amende administrative pouvant aller jusqu’à 10 000 000 EUR ou, si l’auteur de l’infraction est une entreprise, jusqu’à 2 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu.
1. La fourniture d’informations inexactes, incomplètes ou trompeuses aux organismes notifiés et aux autorités de surveillance du marché en réponse à une demande fait l’objet d’une amende administrative pouvant aller jusqu’à 5 000 000 EUR ou, si l’auteur de l’infraction est une entreprise, jusqu’à 1 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu.
1. Pour décider du montant de l’amende administrative dans chaque cas d’espèce, toutes les caractéristiques propres à chaque cas sont prises en considération et il est dûment tenu compte des éléments suivants:
  1. la nature, la gravité et la durée de l’infraction et de ses conséquences;
  2. la question de savoir si des amendes administratives ont déjà été imposées par les mêmes ou d’autres autorités de surveillance du marché au même opérateur économique pour une infraction similaire;
  3. la taille, en particulier en ce qui concerne les microentreprises, les petites et moyennes entreprises, y compris les jeunes entreprises, et la part de marché de l’opérateur économique qui commet l’infraction.
1. Les autorités de surveillance du marché qui appliquent des amendes administratives communiquent ces informations aux autorités de surveillance du marché des autres États membres au moyen du système d’information et de communication visé à l’article 34 du règlement (UE) 2019/1020.
1. Chaque État membre établit les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur son territoire.
1. En fonction du système juridique des États membres, les règles relatives aux amendes administratives peuvent être appliquées de telle sorte que les amendes sont imposées par les juridictions nationales compétentes ou d’autres organismes, en fonction des compétences établies au niveau national dans ces États membres. L’application de ces règles dans ces États membres a un effet équivalent.
1. Des amendes administratives peuvent être imposées, en fonction des circonstances propres à chaque cas, en plus de toute autre mesure corrective ou restrictive appliquée par les autorités de surveillance du marché pour la même infraction.
1. Par dérogation aux paragraphes 3 à 9, les amendes administratives visées auxdits paragraphes ne s’appliquent pas:
  1. aux fabricants considérés comme des microentreprises ou des petites entreprises en cas de non-respect du délai visé à l’article 14, paragraphe 2, point a), ou à l’article 14, paragraphe 4, point a);
  2. à toute violation du présent règlement par les intendants de logiciels ouverts.

Relevant recitals

Considérant 120 Administrative fines

Afin de garantir une application efficace des obligations prévues par le présent règlement, chaque autorité de surveillance du marché devrait avoir le pouvoir d’imposer ou de demander l’imposition d’amendes administratives. Il convient donc d’établir des niveaux maximaux pour les amendes administratives à prévoir dans la législation nationale en cas de non-respect des obligations prévues par le présent règlement. Pour décider du montant de l’amende administrative dans chaque cas d’espèce, toutes les caractéristiques propres à chaque cas devraient être prises en considération et, au minimum, celles explicitement établies dans le présent règlement, y compris la question de savoir si le fabricant est une microentreprise ou une petite ou moyenne entreprise, y compris une jeune pousse, et si des amendes administratives ont déjà été imposées par la même ou par d’autres autorités de surveillance du marché au même opérateur économique pour une infraction similaire. De telles caractéristiques seraient susceptibles d’être soit aggravantes, dans des situations où l’infraction commise par le même opérateur économique persiste sur le territoire d’autres États membres que celui où une amende administrative a déjà été infligée, soit atténuantes, en veillant à ce que toute autre amende administrative envisagée par une autre autorité de surveillance du marché pour le même opérateur économique ou le même type d’infraction tienne déjà compte, avec d’autres caractéristiques spécifiques pertinentes, d’une sanction imposée dans d’autres États membres et de son montant. Dans tous ces cas, l’amende administrative cumulative que les autorités de surveillance du marché de plusieurs États membres pourraient infliger au même opérateur économique pour le même type d’infraction devrait être conforme au principe de proportionnalité. Étant donné qu’une amende administrative ne peut être infligée à une microentreprise ou une petite entreprise pour non-respect du délai de vingt-quatre heures fixé pour notifier une alerte précoce de vulnérabilités activement exploitées ou d’incidents graves ayant des répercussions sur la sécurité du produit comportant des éléments numériques, ni à un intendant de logiciels ouverts pour quelque infraction au présent règlement que ce soit, et compte tenu du principe qui prévoit que les sanctions soient efficaces, proportionnées et dissuasives, il convient que les États membres n’imposent auxdites entités aucun autre type de sanction de nature pécuniaire.

Considérant 121 Administrative fines for natural persons

Lorsque des amendes administratives sont imposées à une personne qui n’est pas une entreprise, l’autorité compétente devrait tenir compte, lorsqu’elle examine le montant approprié pour l’amende, du niveau général des revenus dans l’État membre ainsi que de la situation économique de la personne en cause. Il devrait appartenir aux États membres de déterminer si et dans quelle mesure les autorités publiques devraient faire l’objet d’amendes administratives.

Considérant 122 Revenues from penalties

Il convient que les États membres, compte tenu de leurs situations nationales, examinent la possibilité d’utiliser les recettes générées par les sanctions prévues par le présent règlement, ou leur équivalent financier, pour soutenir les politiques de cybersécurité et améliorer le niveau de cybersécurité dans l’Union, notamment en augmentant le nombre de professionnels qualifiés dans le domaine de la cybersécurité, en renforçant les capacités des microentreprises et des petites et moyennes entreprises et en améliorant la sensibilisation du public aux cybermenaces.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.