SkarpSkarp
Get the App

Chapter 11 of 13

Tillsyn, sanktioner och rättsmedel (artiklar om påföljder och verkställighet)

Genomgång av artiklarna som behandlar sanktioner, böter och andra verkställighetsåtgärder, inklusive koppling till representativa talan enligt konsumenträttslig lagstiftning.

10 min readsv

Översikt: Tillsyn, sanktioner och rättsmedel i CRA

I denna modul fokuserar vi på tillsyn, sanktioner och rättsmedel i EU:s Cyber Resilience Act (CRA).

Du har tidigare sett hur produkter bedöms (konformitetsbedömning, CE-märkning) och hur marknadskontroll fungerar. Nu går vi vidare till frågan: Vad händer när reglerna inte följs?

I dagens (2026) regelverk är huvuddragen:

  • Medlemsstaterna ska ha effektiva tillsynsmyndigheter (ofta samma som marknadskontrollmyndigheter).
  • Sanktioner ska vara effektiva, proportionella och avskräckande.
  • Böter kan kopplas till procent av global årlig omsättning.
  • Det finns kopplingar till konsumenträtt, särskilt genom regler om representativ talan (grupptalan-liknande mekanism på EU-nivå).
  • Beslut från myndigheter ska kunna överklagas nationellt.

I de följande stegen bryter vi ner:

  1. Tillsynsmyndigheternas verktyg
  2. Sanktionsramar och bötesnivåer
  3. Proportionalitet och val av sanktion
  4. Koppling till representativ talan och konsumentskydd
  5. Rättsmedel och överklagande
  6. Ett hypotetiskt fall som du får analysera

Målet är att du efter modulen kan resonera självständigt kring möjliga sanktionsutfall i ett överträdelsefall.

Steg 1 – Tillsynsmyndigheternas befogenheter

CRA bygger på samma logik som annan EU-produktlagstiftning (t.ex. produktsäkerhet, maskiner, radio­utrustning):

Nationella myndigheter (marknadskontrollmyndigheter) har bl.a. rätt att:

  • Kräva information och dokumentation (t.ex. teknisk dokumentation, EU-försäkran om överensstämmelse).
  • Utföra inspektioner (på plats, online, eller genom att köpa produkter som "mystery shopper").
  • Kräva korrigerande åtgärder:
  • uppdateringar/patchar,
  • ändring av konfiguration,
  • ny märkning eller ändrad information till användare.
  • Förbjuda eller begränsa tillhandahållande på marknaden (försäljningsstopp, återkallelse).
  • Besluta om eller föreslå administrativa sanktioner (böter, viten).

Kopplingen till tidigare moduler:

  • Om en produkt inte uppfyller kraven på t.ex. cybersäkerhet, uppdateringspolicy eller sårbarhetshantering →
  • samma myndigheter som kontrollerar CE-märkning kan nu också ingripa med CRA-specifika åtgärder och sanktioner.

Steg 2 – Sanktionsramar och bötesnivåer (grundlogik)

Även om exakta procentsatser kan skilja sig något mellan olika EU-akter, följer CRA samma grundmodell som t.ex. GDPR och NIS2:

  • Böter kan sättas som procent av den globala årliga omsättningen för den juridiska personen (koncernen), eller ett fast maxbelopp – det högre beloppet gäller.
  • Medlemsstaterna ska i sin nationella lagstiftning ange maxnivåer och detaljer, men inom ett EU-givet tak.
  • Vissa överträdelser (t.ex. allvarliga brister i säkerhetskrav) kan ligga i den högre sanktionskategorin, andra (t.ex. formella brister i dokumentation) i en lägre kategori.

Typiska sanktionskategorier i modern EU-reglering (exempelillustration, inte exakta siffror för CRA):

  1. Allvarligaste överträdelser

– upp till ca 2–4 % av global årlig omsättning

– t.ex. systematiskt åsidosättande av väsentliga cybersäkerhetskrav.

  1. Mindre allvarliga men ändå betydande överträdelser

– upp till ca 1–2 % av global årlig omsättning

– t.ex. bristande samarbete med myndigheter.

  1. Formella överträdelser

– lägre procent eller fasta belopp

– t.ex. bristande dokumentation, mindre brister i märkning.

Poängen: Sanktionsramen är hög för att skapa reell avskräckande effekt, särskilt för stora globala tillverkare.

Steg 3 – Exempel på beräkning av böter

Föreställ dig ett företag, SecureHome AB, som säljer uppkopplade hemlarm i hela EU.

  • Global årlig omsättning (koncern): 1 miljard euro.
  • Tillsynsmyndigheten konstaterar:
  1. Allvarliga brister i grundläggande cybersäkerhetskrav (t.ex. hårdkodade lösenord, inga säkerhetsuppdateringar trots kända sårbarheter).
  2. Bristande information till användare om supportperiod och säkerhetsuppdateringar.

Anta att:

  • Kategori 1-överträdelser kan ge upp till 3 % av global omsättning.
  • Kategori 2-överträdelser kan ge upp till 1,5 % av global omsättning.

Maximala teoretiska böter:

  • Kategori 1: 3 % av 1 miljard = 30 miljoner euro.
  • Kategori 2: 1,5 % av 1 miljard = 15 miljoner euro.

I praktiken kommer myndigheten sällan lägga sig på max. I stället bedöms t.ex.:

  • hur länge överträdelsen pågått,
  • om företaget samarbetat och snabbt åtgärdat bristerna,
  • hur många konsumenter som drabbats,
  • om det finns tidigare överträdelser.

Myndigheten kan t.ex. landa i:

  • 1 % av omsättningen (10 miljoner) för kategori 1,
  • + 0,3 % (3 miljoner) för kategori 2,
  • totalt 13 miljoner euro, eventuellt kombinerat med föreläggande om åtgärder och/eller försäljningsstopp tills bristerna är rättade.

Steg 4 – Proportionalitet och val av sanktion

EU-rätten kräver att sanktioner är effektiva, proportionella och avskräckande. Det innebär en balans:

Myndigheten väger in bl.a.:

  1. Allvarlighetsgrad
  • Har bristen lett till eller kunnat leda till betydande säkerhetsincidenter?
  • Har personuppgifter eller känslig data exponerats?
  1. Varaktighet och omfattning
  • Hur länge pågick överträdelsen?
  • Hur många produkter/användare är berörda inom EU?
  1. Företagets beteende
  • Har företaget samarbetat med myndigheten?
  • Har det självmant rapporterat brister eller försökt dölja dem?
  • Har det snabbt infört korrigerande åtgärder?
  1. Tidigare historik
  • Finns tidigare överträdelser (upprepning → högre böter)?
  1. Ekonomisk kapacitet
  • Procent av global omsättning gör att sanktionen känns även för stora aktörer, men små och medelstora företag kan få lägre absoluta belopp för att undvika överdriven belastning.

I praktiken kombineras ofta:

  • Korrigerande åtgärder (t.ex. säkerhetsuppdateringar, återkallelse), och
  • Administrativa sanktionsavgifter (böter), och ibland
  • Löpande vite för att tvinga fram efterlevnad inom en viss tidsfrist.

Steg 5 – Konsumentskydd och representativ talan (koppling till CRA)

Sedan EU-direktivet om representativ talan (2020/1828) började gälla (det trädde i tillämpning i medlemsstaterna runt 2023–2024) finns en gemensam ram för att konsumenter ska kunna driva kollektiva krav genom godkända enheter (t.ex. konsumentorganisationer).

Koppling till CRA:

  • CRA reglerar säkerhet och cybersäkerhet i produkter med digitala inslag.
  • Om brister i efterlevnaden av CRA leder till att konsumenter drabbas (t.ex. dataintrång, funktionsbortfall, ekonomisk skada) kan detta utgöra överträdelse av konsumentrelaterade regler.
  • Under direktivet om representativ talan kan godkända enheter (t.ex. Konsumentverket eller konsumentorganisationer i Sverige) föra representativ talan för konsumenters räkning mot företag som bryter mot relevant EU-lagstiftning.

Viktigt:

  • Myndighetens sanktioner (t.ex. böter) går i regel till staten.
  • Konsumenternas ersättning (skadestånd, prisavdrag, hävning) drivs via civilrättsliga mekanismer, där representativ talan är ett av verktygen.

Resultat:

  • Ett företag som bryter mot CRA riskerar dubbel exponering:
  1. Offentligrättsliga sanktioner (böter, förelägganden) från tillsynsmyndigheter.
  2. Civilrättsliga krav (ersättning, rättelse) via individuella talan eller representativ talan enligt konsumenträtten.

Steg 6 – Reflektionsövning: Hur kan en representativ talan se ut?

Fundera själv innan du läser vidare. Anteckna gärna stödord.

Scenario:

Företaget SmartLock EU säljer uppkopplade dörrlås till konsumenter i flera EU-länder. Det visar sig att:

  • Låsen har en känd sårbarhet som gör att obehöriga kan låsa upp dörren på distans.
  • Företaget har känt till sårbarheten i över ett år men inte publicerat någon säkerhetsuppdatering.
  • Flera inbrott kan kopplas till denna sårbarhet.

Uppgift:

  1. Identifiera minst tre tänkbara krav som en godkänd enhet (t.ex. en konsumentorganisation) skulle kunna framföra i en representativ talan mot SmartLock EU.
  2. Dela upp dina idéer i:
  • a) Framåtsyftande åtgärder (t.ex. krav på uppdateringar, information, ändrade rutiner).
  • b) Ersättning till drabbade konsumenter.
  1. Fundera på hur myndighetens sanktioner och en representativ talan kan samverka – förstärker de varandra, eller riskerar de att krocka?

> Tips: Tänk på skillnaden mellan allmänintresse (säkerhet på marknaden) och enskildas intresse (ersättning för skada).

Steg 7 – Rättsmedel och överklagande på nationell nivå

Beslut enligt CRA (t.ex. böter, föreläggande, försäljningsstopp) fattas av nationella myndigheter.

EU-rätten kräver att dessa beslut kan bli föremål för effektivt rättsmedel.

I praktiken (med svensk utgångspunkt):

  • Myndighetsbeslut kan normalt överklagas till förvaltningsdomstol.
  • Företaget kan begära:
  • helt eller delvis undanröjande av beslutet,
  • sänkt sanktionsavgift,
  • ändrad tidsfrist för att genomföra åtgärder.
  • Domstolen prövar bl.a.:
  • om myndigheten haft lagstöd för sitt beslut,
  • om sanktionen är proportionerlig,
  • om processuella rättigheter (t.ex. rätten att yttra sig) respekterats.

Parallella processer:

  • Ett företag kan samtidigt vara föremål för:
  1. Ett tillsynsärende (CRA, marknadskontroll), och
  2. En civilrättslig tvist (t.ex. skadeståndskrav eller representativ talan).

EU-rätten kräver inte att alla dessa processer samlas i en och samma domstol, men det finns krav på:

  • samordning och informationsutbyte mellan myndigheter, och
  • att den samlade reaktionen inte blir uppenbart oproportionerlig (t.ex. dubbelbestraffning i strid med ne bis in idem-principen i vissa situationer).

Steg 8 – Snabbtest: Sanktionsnivåer

Testa din förståelse av sanktionsramar och proportionalitet.

Vilket påstående stämmer bäst med den moderna EU-modellen för sanktioner (såsom i CRA, GDPR, NIS2)?

  1. Böter sätts alltid som ett fast belopp oberoende av företagets storlek.
  2. Böter kan sättas som procent av global årlig omsättning för att vara avskräckande även för stora företag.
  3. Endast straffrättsliga påföljder (fängelse) är tillåtna, inte administrativa sanktionsavgifter.
Show Answer

Answer: B) Böter kan sättas som procent av global årlig omsättning för att vara avskräckande även för stora företag.

Moderna EU-regler, inklusive CRA, använder ofta böter som beräknas i procent av den globala årliga omsättningen för att säkerställa en avskräckande effekt även för mycket stora företag. Fasta belopp används ibland, men då ofta som minimi- eller alternativnivå. Straffrättsliga påföljder kan förekomma nationellt, men administrativa sanktionsavgifter är ett centralt verktyg.

Steg 9 – Snabbtest: Representativ talan

Koppla ihop CRA med konsumenträttsliga mekanismer.

Vad är en central funktion med direktivet om representativ talan i relation till CRA?

  1. Det ersätter tillsynsmyndigheternas befogenheter att besluta om böter.
  2. Det gör det möjligt för godkända enheter att föra kollektiva krav för konsumenters räkning när företag bryter mot relevant EU-lagstiftning, inklusive cybersäkerhetskrav.
  3. Det gäller enbart för tvister mellan företag (B2B) och inte för konsumenter.
Show Answer

Answer: B) Det gör det möjligt för godkända enheter att föra kollektiva krav för konsumenters räkning när företag bryter mot relevant EU-lagstiftning, inklusive cybersäkerhetskrav.

Direktivet om representativ talan (2020/1828) syftar till att stärka kollektiva konsumenträttsliga åtgärder. Godkända enheter, såsom konsumentorganisationer, kan föra talan för konsumenters räkning vid överträdelser av en rad EU-lagar – vilket kan inkludera regelverk om cybersäkerhet i produkter, när dessa påverkar konsumenternas rättigheter. Det ersätter inte tillsynsmyndigheterna utan kompletterar deras arbete.

Steg 10 – Mini-case: Resonera kring sanktionsutfall

Använd nu det du lärt dig för att analysera ett hypotetiskt fall.

Fall:

Företaget HealthBand Global säljer smarta armband som mäter puls och sömn. Produkterna säljs både till konsumenter och företag inom EU.

Myndigheten upptäcker att:

  • Armbanden har otillräcklig kryptering, vilket gör att hälsodata kan snappas upp av tredje man.
  • Företaget har inte följt kraven på sårbarhetshantering – rapporter om brister har ignorerats i två år.
  • Det finns ingen tydlig information till användare om hur länge säkerhetsuppdateringar ges.
  • Det har inträffat flera läckor av hälsodata, men inga personskador.

Uppgift – skriv ner dina resonemang i punktform:

  1. Vilka typer av överträdelser ser du (t.ex. väsentliga krav, informationskrav, samarbetsplikt)?
  2. Hur skulle du rangordna dem i allvarlighetsgrad? Motivera kort.
  3. Vilka faktorer talar för en högre sanktionsnivå (t.ex. varaktighet, antal drabbade)?
  4. Finns det några faktorer som skulle kunna tala för en lägre sanktionsnivå (t.ex. om företaget nu samarbetar fullt ut)?
  5. Skissa ett möjligt sanktionspaket:
  • a) Korrigerande åtgärder (tekniska/juridiska),
  • b) Administrativa böter (relativt hög, medel, låg procent av omsättningen?),
  • c) Eventuell roll för representativ talan från konsumentorganisationer.

> Försök tänka som både myndighet (allmänintresse, marknadens säkerhet) och domstol (proportionalitet, rättssäkerhet).

Steg 11 – Repetition av nyckelbegrepp

Använd korten för att repetera centrala begrepp innan du går vidare.

Procent av global årlig omsättning
En metod för att beräkna administrativa böter i modern EU-reglering (inkl. CRA), där maxnivån anges som en procentandel av företagets eller koncernens globala årsomsättning för att säkerställa avskräckande effekt.
Proportionalitetsprincipen
Grundläggande EU-rättslig princip som kräver att åtgärder (inkl. sanktioner) inte får gå längre än vad som är nödvändigt för att uppnå det legitima syftet. Påföljder ska vara effektiva och avskräckande, men inte överdrivna.
Representativ talan
En talan som förs av en godkänd enhet (t.ex. konsumentorganisation) för flera konsumenters räkning, enligt direktiv (EU) 2020/1828. Kan användas när företag bryter mot EU-lagstiftning som skyddar konsumenters intressen, t.ex. cybersäkerhetskrav.
Korrigerande åtgärder
Åtgärder som en tillsyns- eller marknadskontrollmyndighet kan kräva av ett företag, t.ex. säkerhetsuppdateringar, återkallelse av produkter, ändrad information till användare eller försäljningsstopp.
Effektivt rättsmedel
Rätt för berörda (t.ex. företag) att få ett myndighetsbeslut prövat av en oberoende domstol. Innebär att beslut om sanktioner och förelägganden enligt CRA ska kunna överklagas nationellt.

Key Terms

Godkänd enhet
Organisation (t.ex. konsumentorganisation eller myndighet) som enligt direktivet om representativ talan har rätt att föra kollektiva krav för konsumenters räkning.
Ne bis in idem
Rättsprincip som innebär att ingen ska bestraffas två gånger för samma gärning i samma rättsordning; relevant vid bedömning av flera parallella sanktioner.
Marknadskontroll
Systematiska åtgärder från myndigheter för att säkerställa att produkter på marknaden uppfyller relevanta krav och inte utgör risker.
Tillsynsmyndighet
Nationell myndighet som övervakar efterlevnaden av CRA och annan produktlagstiftning, ofta med ansvar för marknadskontroll.
Administrativ sanktionsavgift
Ekonomisk påföljd (böter) som en myndighet kan besluta om utan straffrättslig dom, ofta baserad på procent av global omsättning.