处罚与罚款 (Art. 64)
概述
CRA 对违规行为规定了重大处罚。罚款参照 GDPR 框架,按违规行为的严重程度分级。罚款的确定和实施由成员国的国家市场监管机构负责。
法律依据
Art. 64 CRA: 成员国应制定处罚规则,并采取一切必要措施确保其执行。处罚应有效、相称且具有威慑力。
罚款框架
第一级 -- 严重违规(Art. 64 第2款)
最高1500万欧元或全球年营业额的2.5%(以较高者为准)
违反以下条款:
- Art. 10 -- 制造商义务(基本要求、合格评定、技术文档)
- Art. 13 -- 信息义务(SBOM、支持期、联系方式)
- Art. 14 -- 报告义务(ENISA 24小时/72小时/14天)
- Annex I -- 基本网络安全要求
- Annex VII -- 技术文档
第二级 -- 其他违规(Art. 64 第3款)
最高1000万欧元或全球年营业额的2%
违反以下条款:
第三级 -- 虚假信息(Art. 64 第4款)
最高500万欧元或全球年营业额的1%
- 向主管机构提供虚假、不完整或误导性信息
- 拒绝与市场监管机构合作
- 阻碍检查
特别规定:开源软件管理者(Art. 64 第5款)
最高500万欧元或年营业额的1%
- 对开源软件管理者的减轻处罚
- 考虑非商业性质
概览表
| 违规类别 | 最高金额 | 典型触发因素 |
|---|---|---|
| 第一级 | 1500万欧元 / 2.5% | 无 SBOM、未进行合格评定、未向 ENISA 报告、已知漏洞未修复 |
| 第二级 | 1000万欧元 / 2% | 缺少 CE 标志、进口商未进行验证、无符合性声明 |
| 第三级 | 500万欧元 / 1% | 向主管机构提供虚假信息、拒绝合作 |
评估标准
在确定罚款金额时,主管机构会考虑以下因素:
加重因素
- 违规严重性 -- 后果有多严重?
- 持续时间 -- 违规持续了多长时间?
- 故意性 -- 违规行为是否为故意?
- 重复性 -- 是否有先前的违规行为?
- 受影响用户 -- 有多少用户受到影响?
- 损害 -- 发生了什么实际损害?
减轻因素
- 合作 -- 积极与主管机构合作
- 自我报告 -- 自愿披露违规行为
- 纠正措施 -- 快速修复问题
- 合规计划 -- 可证明的合规管理
- 首次违规 -- 无先前违规记录
- 企业规模 -- 对中小企业的比例原则
与其他法规的比较
| 法规 | 最高罚款 | 计算方式 |
|---|---|---|
| CRA | 1500万欧元 / 2.5% | 按违规行为 |
| GDPR | 2000万欧元 / 4% | 按违规行为 |
| NIS2 | 1000万欧元 / 2% | 按违规行为 |
| AI Act | 3500万欧元 / 7% | 按违规行为 |
风险最小化
合规作为保护
文档化并积极实施的合规计划可显著降低罚款风险。以下措施可作为减轻因素:
- 完整文档 -- 本手册及所有参考流程
- 主动报告 -- 遵守 ENISA 期限(报告流程)
- 积极的漏洞管理 -- CVE 监控、快速补丁(漏洞管理)
- 定期审计 -- 合规性的内部审查
- 培训 -- 员工了解 CRA 要求
- 合作准备 -- 主管机构请求的文档化流程(市场监管)
优先合规领域
最高罚款风险存在于:
| 优先级 | 领域 | 风险 |
|---|---|---|
| 1 | 被积极利用的漏洞未向 ENISA 报告 | 第一级 |
| 2 | 已知可利用的漏洞未修复 | 第一级 |
| 3 | 未创建 SBOM(Art. 13 第23款) | 第一级 |
| 4 | 未执行合格评定 | 第一级 |
| 5 | 无技术文档(Annex VII) | 第一级 |
| 6 | 未与主管机构合作 | 第三级 |
时间表
处罚条款自 11.12.2027(全面适用)起适用。Art. 14 项下的报告义务自 11.09.2026 起适用。