Im März 2026 verhängte die portugiesische Regulierungsbehörde ANACOM gegen Fnac Portugal eine Geldbuße von 95.625 Euro und ordnete die Einziehung von 17 Funkgeräten zugunsten des Staates an. Der Bußgeldbescheid liest sich wie eine Compliance-Checkliste, die gründlich schiefgelaufen ist: vier Modelle ohne CE-Kennzeichnung, fünf ohne Typen-, Chargen- oder Seriennummer, sieben ohne portugiesische Bedienungsanleitung verkauft, und zehn Modelle, für die Fnac auf Nachfrage der ANACOM keine gültige EU-Konformitätserklärung vorlegen konnte. Jenseits der Grenze, in Deutschland, meldete die Marktüberwachungskampagne 2025 der Bundesnetzagentur 7,7 Millionen einzelne nicht konforme Geräte, gegenüber 5,3 Millionen im Jahr 2024, und die Zusammenarbeit mit dem Zoll führte zur Sperrung von mehr als 359.000 Artikeln an der Grenze, nachdem 89 % der beanstandeten Sendungen als nicht konform eingestuft wurden.

Diese Durchsetzungszahlen bilden den Hintergrund für einen ungewöhnlich vollen Regulierungskalender. Der delegierte Rechtsakt zur Cybersicherheit der Funkanlagenrichtlinie gilt seit weniger als einem Jahr vollständig, die erste verbindliche Frist des Cyber Resilience Act fällt auf den 11. September 2026, und ein überarbeiteter Satz von RoHS-Bleiausnahmen wurde am 1. Juli 2026 anwendbar, nur wenige Wochen vor diesem Artikel. Keines dieser Regelwerke ist eine optionale Zusatzpflicht: Sie kommen zusätzlich zur CE-Kennzeichnung hinzu, die jedes Funk-, Telekommunikations- und Elektrogerät bereits benötigt, um sich in der EU, im Vereinigten Königreich und in der Schweiz frei zu bewegen.

Für ein Compliance-Team, das SKUs über alle drei Märkte hinweg verwaltet, ist 2026 das Jahr, in dem drei separate Uhren gleichzeitig auf eine einzige Produktlinie zulaufen.

Welche Behörden setzen die Konformität von Funk- und Elektrogeräten in Europa tatsächlich durch?

Keine einzelne EU-Behörde überwacht Funk- und Elektrogeräte zentral; jeder Mitgliedstaat betreibt seine eigene Marktüberwachungsbehörde auf Grundlage derselben harmonisierten Regeln. In Frankreich prüft die Agence Nationale des Frequences (ANFR) Einzelhändler und Online-Angebote im Rahmen des Code des postes et des communications electroniques und kann vor der Eskalation zu einer Verwaltungsstrafe, derzeit auf 7.500 Euro für eine juristische Person und 15.000 Euro bei gleichzeitigen Verstößen begrenzt, eine mise en demeure (förmliche Aufforderung zur Nachbesserung) aussprechen. Die deutsche Bundesnetzagentur übt die entsprechende Funktion für die Funkanlagenrichtlinie (2014/53/EU) und die EMV-Richtlinie (2014/30/EU) aus und kontrolliert sowohl Online-Angebote als auch den stationären Handel. Die portugiesische ANACOM folgt, wie der Fnac-Fall zeigt, derselben Eskalationslogik: Nichtkonformität feststellen, Korrekturmaßnahmen verlangen und nur dann eine Geldbuße verhängen, wenn der Marktteilnehmer nicht reagiert.

Außerhalb der EU beaufsichtigt das britische Office for Product Safety and Standards die Radio Equipment Regulations 2017, während das Schweizer BAKOM die Verordnung über Fernmeldeanlagen (FAV) und die Verordnung über die elektromagnetische Verträglichkeit (VEMV) verwaltet. Da jede Behörde auf Grundlage nationalen Rechts handelt, das dieselben EU-Richtlinien umsetzt (oder spiegelt), kann ein einziges nicht konformes SKU gleichzeitig parallele Ermittlungen in mehreren Ländern auslösen, genau das Muster grenzüberschreitender Verstöße, das ohne länderspezifisches Monitoring leicht übersehen wird. Das regulatorische Monitoring von Obsidian erfasst ANFR, Bundesnetzagentur, ANACOM, OPSS und BAKOM als eigenständige Tier-0-Quellen statt als einen einzigen gemischten "EU"-Feed, da ihre Durchsetzungsschwellen und Verfahren nicht identisch sind.

Was löst tatsächlich eine Geldbuße aus, und wie hoch kann sie ausfallen?

Der Fall Fnac Portugal zeigt das Muster, das sich in Durchsetzungsmaßnahmen dieser Branche wiederholt: fehlende CE-Kennzeichnung, fehlende Produktidentifikation und fehlende Dokumentation in Landessprache, kombiniert mit fehlender Reaktion nach erfolgter Benachrichtigung. Die Entscheidung der ANACOM stellt ausdrücklich fest, dass der Vertreiber in vier Fällen nach Aufforderung keine Korrekturmaßnahmen ergriffen hat. In Frankreich liegt die Obergrenze in absoluten Zahlen niedriger, 7.500 Euro für ein Unternehmen nach Artikel L.43 II bis des CPCE, doch das Vorgehen der ANFR ist identisch: eine erste Aufforderung zur Korrektur bei geringfügigen Verstößen, eine förmliche mise en demeure mit Marktrücknahme bei wiederholten oder schweren Verstößen, und erst danach eine Verwaltungsstrafe oder eine strafrechtliche Anzeige bei der Staatsanwaltschaft, da das Inverkehrbringen eines nicht konformen Funkgeräts auf dem französischen Markt selbst als Ordnungswidrigkeit der fünften Klasse eingestuft wird.

Die deutsche Erfahrung zeigt, dass das Größenproblem strukturell und nicht zufällig ist: Die Bundesnetzagentur überprüfte 2025 fast 2.100 Gerätetypen und fand allein online noch immer 1.266 nicht konforme Typen im Verkauf. Eine separate, EU-finanzierte Testkampagne (JACOP 2025) der Generaldirektion GROW der Europäischen Kommission testete 173 Elektronikprodukte auf Gefahrstoffe und CE-Dokumentation; 91 davon, 53 %, fielen entweder bei den RoHS-Stoffgrenzwerten oder wegen fehlender oder unleserlicher CE-Kennzeichnung durch. Für einen Compliance-Verantwortlichen liegt die Lehre weniger in der Höhe einer einzelnen Geldbuße als in der Grundrate: Etwa die Hälfte der getesteten Unterhaltungselektronik scheitert an einem Teil dieser Checkliste, was die Prüfung von Kennzeichnung und Dokumentation weniger zu einer Formalie als zu der Compliance-Maßnahme mit dem höchsten Ertrag macht.

Ist der delegierte Rechtsakt zur RED-Cybersicherheit noch in Kraft, und wie lange noch?

Ja, und er hat schon heute echte Konsequenzen. Die Delegierte Verordnung (EU) 2022/30 der Kommission, die die wesentlichen Cybersicherheitsanforderungen der Funkanlagenrichtlinie nach Artikel 3 Absatz 3 Buchstaben d, e und f aktiviert, gilt seit dem 1. August 2025 für internetfähige Funkanlagen, Kinderbetreuungs- und Wearable-Geräte sowie Geräte, die mit Geldwerten umgehen. Der Durchführungsbeschluss (EU) 2025/138, veröffentlicht am 30. Januar 2025, listete die harmonisierten Normen EN 18031-1, -2 und -3:2024 mit angehängten Einschränkungen auf: Ein Produkt, das es einem Nutzer beispielsweise erlaubt, die Festlegung eines Passworts zu überspringen, verliert für diese Klausel die Konformitätsvermutung und benötigt statt einer Selbsterklärung die Beteiligung einer benannten Stelle.

Dieses Regime hat inzwischen ein festgeschriebenes Ablaufdatum. Die Europäische Kommission verabschiedete am 16. Februar 2026 die Delegierte Verordnung (EU) 2026/339, die die Verordnung (EU) 2022/30 mit Wirkung zum 11. Dezember 2027 aufhebt, genau dem Datum, an dem der umfassendere Cyber Resilience Act seine volle Anwendbarkeit erreicht. Jeder Hersteller, der zwischen jetzt und diesem Datum internetfähige Funkanlagen auf dem EU-Markt in Verkehr bringt, unterliegt dem RED-Cybersicherheitsregime; ab dem 11. Dezember 2027 fällt dasselbe Produkt stattdessen unter den CRA. Zu verfolgen, welcher delegierte Rechtsakt für ein bestimmtes SKU an einem bestimmten Datum gilt, ist genau die Art von Frage, die der KI-Begleiter von Obsidian anhand des zugrunde liegenden Rechtstexts beantworten kann, statt anhand eines Compliance-Vermerks, der veraltet ist, sobald ein neuer delegierter Rechtsakt veröffentlicht wird.

Was verlangt die Frist des Cyber Resilience Act vom September 2026 konkret?

Artikel 14 des Cyber Resilience Act, Verordnung (EU) 2024/2847, wird am 11. September 2026 anwendbar, mehr als ein Jahr bevor am 11. Dezember 2027 die zentralen Konformitätsbewertungspflichten des CRA in Kraft treten. Ab diesem Datum muss jeder Hersteller eines Produkts mit digitalen Elementen, das in der EU verkauft wird, unabhängig vom Sitz des Herstellers, aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle nach einem gestaffelten Zeitplan melden: eine Frühwarnung innerhalb von 24 Stunden nach Kenntnisnahme, eine ausführlichere Meldung innerhalb von 72 Stunden und einen Abschlussbericht innerhalb von 14 Tagen bei Schwachstellen beziehungsweise einem Monat bei Vorfällen. Meldungen erfolgen einmalig über die Single Reporting Platform (SRP) der ENISA, die die Meldung anschließend an das zuständige nationale CSIRT sowie an jedes andere CSIRT eines Mitgliedstaats weiterleitet, in dem das Produkt verfügbar ist.

Die französische Umsetzung fügt eine zuständigkeitsrechtliche Besonderheit hinzu, die es direkt zu verfolgen lohnt: Der DDADUE-Gesetzentwurf benennt die ANFR als Frankreichs Marktüberwachungsbehörde für den CRA, wobei diese Zuständigkeit am 11. September 2026 wirksam wird, demselben Datum wie die Pflicht aus Artikel 14, während das zugehörige Sanktionsregime, Geldbußen bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes, erst am 11. Dezember 2027 zusammen mit der vollen Anwendung des CRA aktiviert wird. Die SRP selbst ist noch nicht in Betrieb: Die ENISA hat bestätigt, dass sie bis zum 11. September 2026 einsatzbereit sein wird, jedoch ohne API zum Start, was bedeutet, dass die erste Welle verpflichtender Meldungen in dieser Branche manuell über ein Webportal eingereicht werden muss.

RegelwerkWas jetzt oder bald giltWichtiges Datum
Delegierte Verordnung (EU) 2022/30 zur RED-CybersicherheitVerpflichtende wesentliche Anforderungen für internetfähige Funkanlagen; Normenreihe EN 18031 mit EinschränkungenAnwendbar seit 1. August 2025; aufgehoben zum 11. Dezember 2027
Cyber Resilience Act, Artikel 14Meldepflicht für Schwachstellen und Vorfälle binnen 24 Stunden/72 Stunden/14 Tagen über die SRP der ENISAAnwendbar ab 11. September 2026
Cyber Resilience Act, volle AnwendungCE-Kennzeichnung und Konformitätsbewertung für Cybersicherheit; Sanktionsregime der ANFR in Frankreich11. Dezember 2027
RoHS-Bleiausnahmen in Anhang III (neu strukturiert)Engere Unterpositionen ersetzen die früheren Ausnahmen 6(a)/6(b)/6(c)/7(a)/7(c), die meisten laufen 2026-2027 ausAnwendbar ab 1. Juli 2026
Anerkennung der CE-Kennzeichnung im Vereinigten Königreich (Radio Equipment Regulations 2017)CE wird auf dem britischen Markt unbefristet akzeptiert; UKCA bleibt optionalIn Kraft seit 1. Oktober 2024

Spielt die RoHS-Richtlinie noch eine Rolle, wenn ein Gerät bereits die CE-Kennzeichnung für RED und EMV erfüllt?

Ja, und die Ausnahmeliste, auf die sich ein Hersteller im vergangenen Jahr gestützt hat, ist möglicherweise nicht mehr aktuell. Drei Delegierte Richtlinien der Kommission, (EU) 2025/1802, 2025/2363 und 2025/2364, veröffentlicht am 21. November 2025 und in Kraft getreten am 11. Dezember 2025, ersetzten die weit gefassten bisherigen Bleiausnahmen 6(a), 6(b), 6(c), 7(a) und 7(c) in Anhang III der Richtlinie 2011/65/EU durch engere, anwendungsspezifische Unterpositionen mit eigenen Ablaufdaten, die größtenteils zwischen Dezember 2026 und Dezember 2027 liegen. Die Mitgliedstaaten hatten bis zum 30. Juni 2026 Zeit für die Umsetzung, und die neuen Einträge wurden am 1. Juli 2026 anwendbar. Die Ausnahme 6(a), die Blei als Legierungselement in Stahl, Aluminium und Kupfer betrifft, wird gar nicht verlängert und läuft am 11. Dezember 2026 für jede Produktkategorie aus, die sich noch darauf stützt.

Ein Hersteller, dessen Stückliste in einer Konformitätserklärung noch den alten Ausnahmecode nennt, verweist nun auf eine Bestimmung, die entweder nicht mehr existiert oder ein festes Ablaufdatum trägt. Das ist ebenso sehr ein Dokumentationsproblem wie ein chemisches Problem, und es kommt zusätzlich zur, nicht anstelle der, bereits vorhandenen RED- und EMV-Zulassung eines Produkts hinzu.

Was sollte ein Compliance-Team vor der nächsten Prüfung tatsächlich kontrollieren?

Beginnen Sie mit derselben Checkliste, die die ANACOM gegen Fnac angewandt hat: Trägt jedes SKU eine sichtbare CE-Kennzeichnung, eine Chargen- oder Seriennummer und eine Konformitätserklärung, die ein Vertreiber innerhalb weniger Tage, nicht Wochen, auf Anfrage einer Behörde vorlegen kann. Ermitteln Sie anschließend, welche Produkte in den Anwendungsbereich des delegierten Rechtsakts zur RED-Cybersicherheit fallen, internetfähige, kinderbetreuungsbezogene, tragbare oder geldwertverarbeitende Funkanlagen, und prüfen Sie, ob die Einschränkungen der Norm EN 18031 auf die Implementierung zutreffen, da eine passwortlose Standardkonfiguration die Selbsterklärung verwirkt. Prüfen Sie schließlich die RoHS-Stücklistenverweise gegen die neu strukturierten Einträge in Anhang III, bevor ein alter Ausnahmecode still und leise ausläuft.

Obsidian erfasst ANFR, Bundesnetzagentur, ANACOM, OPSS, BAKOM sowie die RED-, EMV-, RoHS- und Cyber-Resilience-Act-Instrumente der Europäischen Kommission als verknüpfte Tier-0-Quellen, mit Warnmeldungen, wenn ein delegierter Rechtsakt wie 2026/339 eine Compliance-Frist ändert oder ein neuer Durchführungsbeschluss den Geltungsbereich einer harmonisierten Norm einschränkt. Sehen Sie sich die Tarife an, die für Produkt-Compliance- und Regulatory-Affairs-Teams entwickelt wurden, die Geräte über mehrere europäische Rechtsordnungen hinweg verfolgen, oder verbinden Sie das MCP von Obsidian direkt mit Ihren eigenen Tools, wenn Ihr Arbeitsablauf bereits über einen KI-Assistenten läuft.