En marzo de 2026, la ANACOM portuguesa multó a Fnac Portugal con 95.625 euros y ordenó el decomiso de 17 dispositivos de radio en favor del Estado. El pliego de cargos se lee como una lista de verificación de cumplimiento que salió mal: cuatro modelos sin marcado CE, cinco sin identificación de tipo, lote o número de serie, siete vendidos sin manuales de instrucciones en portugués, y diez modelos para los que Fnac no pudo presentar una declaración UE de conformidad válida cuando la ANACOM la solicitó. Al otro lado de la frontera, en Alemania, la campaña de vigilancia de mercado de 2025 de la Bundesnetzagentur detectó 7,7 millones de dispositivos individuales no conformes, frente a los 5,3 millones de 2024, y su cooperación aduanera bloqueó más de 359.000 artículos en la frontera tras comprobar que el 89% de los envíos marcados no eran conformes.

Esas cifras de aplicación de la normativa son el telón de fondo de un calendario regulatorio más cargado de lo habitual. El acto delegado de ciberseguridad de la Directiva de Equipos Radioeléctricos lleva menos de un año siendo plenamente aplicable, el primer plazo firme de la Ley de Ciberresiliencia llega el 11 de septiembre de 2026, y un conjunto reescrito de exenciones de plomo de RoHS se volvió aplicable el 1 de julio de 2026, apenas unas semanas antes de este artículo. Ninguno de estos regímenes es un extra opcional: se suman al marcado CE que ya necesita cualquier equipo de radio, telecomunicaciones o eléctrico para circular por la UE, el Reino Unido y Suiza.

Para un equipo de cumplimiento que gestiona SKUs en los tres mercados, 2026 es el año en que tres relojes distintos convergen a la vez sobre una misma línea de producto.

¿Qué reguladores aplican realmente el cumplimiento de equipos RF y eléctricos en Europa?

Ninguna agencia única de la UE vigila los equipos de radio y eléctricos; cada Estado miembro gestiona su propia autoridad de vigilancia de mercado sobre las mismas normas armonizadas. En Francia, la Agence Nationale des Frequences (ANFR) inspecciona a minoristas y anuncios en línea en virtud del Code des postes et des communications electroniques, y puede emitir una mise en demeure (notificación formal para cumplir) antes de escalar a una sanción administrativa, actualmente limitada a 7.500 euros para una persona jurídica y 15.000 euros en caso de infracciones concurrentes. La Bundesnetzagentur alemana desempeña la función equivalente para la Directiva de Equipos Radioeléctricos (2014/53/UE) y la Directiva CEM (2014/30/UE), revisando tanto los anuncios en línea como el comercio físico. La ANACOM portuguesa, como muestra el caso Fnac, sigue la misma lógica de escalado: identificar la no conformidad, exigir una acción correctiva y sancionar solo si el operador no cumple.

Fuera de la UE, la Office for Product Safety and Standards del Reino Unido supervisa las Radio Equipment Regulations 2017, mientras que la OFCOM suiza administra la Ordenanza sobre Instalaciones de Telecomunicaciones (FAV) y la Ordenanza sobre Compatibilidad Electromagnética (OEMC). Dado que cada autoridad actúa en virtud de una legislación nacional que transpone (o refleja) las mismas directivas de la UE, un único SKU no conforme puede desencadenar investigaciones paralelas en varios países a la vez, exactamente el tipo de patrón transjurisdiccional que resulta fácil pasar por alto sin una vigilancia por país. El monitoreo regulatorio de Obsidian rastrea a la ANFR, la Bundesnetzagentur, la ANACOM, la OPSS y la OFCOM como fuentes tier-0 independientes, en lugar de un único flujo mezclado de "UE", porque sus umbrales y procedimientos de aplicación no son idénticos.

¿Qué desencadena realmente una sanción, y de qué magnitud puede llegar a ser?

El expediente de Fnac Portugal muestra el patrón que se repite en las acciones de aplicación de este sector: falta de marcado CE, falta de identificación del producto y falta de documentación en el idioma local, combinadas con la ausencia de reacción una vez notificado el operador. La decisión de la ANACOM señala explícitamente que en cuatro casos el distribuidor no adoptó medidas correctivas tras haber sido requerido para ello. En Francia, el límite es menor en términos absolutos, 7.500 euros para una empresa según el artículo L.43 II bis del CPCE, pero el procedimiento de la ANFR es idéntico: una primera solicitud de corrección para problemas menores, una mise en demeure formal con retirada del mercado para infracciones repetidas o graves, y solo entonces una sanción administrativa o una remisión penal al fiscal, ya que colocar un dispositivo de radio no conforme en el mercado francés está clasificado en sí mismo como una contravención penal de quinta clase.

La experiencia alemana demuestra que el problema de escala es estructural, no incidental: la Bundesnetzagentur comprobó cerca de 2.100 tipos de equipos en 2025 y aun así encontró 1.266 tipos no conformes a la venta solo en línea. Una campaña de pruebas independiente financiada por la UE (JACOP 2025), realizada por la DG GROW de la Comisión Europea, analizó 173 productos electrónicos en busca de sustancias peligrosas y documentación CE; 91 de ellos, el 53%, fallaron en los límites de sustancias de RoHS o en el marcado CE ausente o ilegible. Para un responsable de cumplimiento, la lección tiene menos que ver con la magnitud de una sanción concreta y más con la tasa base: aproximadamente la mitad de la electrónica de consumo analizada falla en alguna parte de esta lista de verificación, lo que hace que la revisión del marcado y la documentación se parezca menos a un trámite y más a la actividad de cumplimiento con mayor rendimiento disponible.

¿Sigue vigente el reglamento delegado de ciberseguridad de la RED, y hasta cuándo?

Sí, y hoy tiene efectos reales. El Reglamento Delegado (UE) 2022/30 de la Comisión, que activa los requisitos esenciales de ciberseguridad de la Directiva de Equipos Radioeléctricos en virtud del artículo 3(3)(d), (e) y (f), es aplicable desde el 1 de agosto de 2025 a los equipos de radio conectados a internet, los equipos infantiles y wearables, y los equipos que manejan valor monetario. La Decisión de Ejecución (UE) 2025/138, publicada el 30 de enero de 2025, incluyó las normas armonizadas EN 18031-1, -2 y -3:2024 con restricciones asociadas: un producto que permite a un usuario omitir la configuración de una contraseña, por ejemplo, pierde la presunción de conformidad en esa cláusula y requiere la intervención de un organismo notificado en lugar de una autodeclaración.

Ese régimen ya tiene una fecha de caducidad registrada. La Comisión Europea adoptó el Reglamento Delegado (UE) 2026/339 el 16 de febrero de 2026, que deroga el (UE) 2022/30 con efecto a partir del 11 de diciembre de 2027, la misma fecha en que la Ley de Ciberresiliencia alcanza su plena aplicación. Cualquier fabricante que coloque equipos de radio conectados a internet en el mercado de la UE entre ahora y esa fecha está sujeto al régimen de ciberseguridad de la RED; a partir del 11 de diciembre de 2027, ese mismo producto pasará a estar bajo la CRA. Determinar qué acto delegado rige un SKU concreto en una fecha determinada es precisamente el tipo de pregunta que el compañero de IA de Obsidian puede responder contra el texto regulatorio subyacente, en lugar de recurrir a un memorando de cumplimiento que queda obsoleto en cuanto se publica un nuevo acto delegado.

¿Qué exige realmente el plazo de septiembre de 2026 de la Ley de Ciberresiliencia?

El artículo 14 de la Ley de Ciberresiliencia, Reglamento (UE) 2024/2847, se vuelve aplicable el 11 de septiembre de 2026, más de un año antes de que entren en vigor las principales obligaciones de evaluación de la conformidad de la CRA, el 11 de diciembre de 2027. A partir de esa fecha, todo fabricante de un producto con elementos digitales vendido en la UE, independientemente de dónde tenga su sede, deberá notificar las vulnerabilidades activamente explotadas y los incidentes graves conforme a un calendario escalonado: una alerta temprana en un plazo de 24 horas desde que se tenga conocimiento, una notificación más completa en 72 horas, y un informe final en 14 días para vulnerabilidades o un mes para incidentes. Los informes se presentan una única vez a través de la Single Reporting Platform (SRP) de ENISA, que después dirige la notificación al CSIRT nacional pertinente y a cualquier otro CSIRT de un Estado miembro donde el producto esté disponible.

La transposición francesa añade un matiz jurisdiccional que conviene seguir de cerca: el proyecto de ley DDADUE designa a la ANFR como autoridad francesa de vigilancia de mercado de la CRA, con esa misión entrando en vigor el 11 de septiembre de 2026, la misma fecha que la obligación del artículo 14, mientras que el régimen sancionador asociado, sanciones de hasta 15 millones de euros o el 2,5% de la facturación mundial, solo se activa el 11 de diciembre de 2027 junto con la plena aplicación de la CRA. La propia SRP aún no está operativa: ENISA ha confirmado que estará en funcionamiento el 11 de septiembre de 2026, sin API en el lanzamiento, lo que significa que la primera oleada de informes obligatorios en este sector se presentará manualmente a través de un portal web.

RégimenQué se aplica ahora o próximamenteFecha clave
Reglamento Delegado de Ciberseguridad de la RED (UE) 2022/30Requisitos esenciales obligatorios para equipos de radio conectados a internet; serie EN 18031 con restriccionesAplicable desde el 1 de agosto de 2025; derogado el 11 de diciembre de 2027
Ley de Ciberresiliencia, artículo 14Notificación de vulnerabilidades e incidentes en 24 horas/72 horas/14 días vía la SRP de ENISAAplicable desde el 11 de septiembre de 2026
Ley de Ciberresiliencia, plena aplicaciónMarcado CE y evaluación de la conformidad en ciberseguridad; régimen sancionador de la ANFR en Francia11 de diciembre de 2027
Exenciones de plomo del Anexo III de RoHS (reestructuradas)Sub-entradas más restringidas sustituyen las exenciones históricas 6(a)/6(b)/6(c)/7(a)/7(c), la mayoría con vencimiento entre 2026 y 2027Aplicable desde el 1 de julio de 2026
Reconocimiento del marcado CE en el Reino Unido (Radio Equipment Regulations 2017)CE aceptado indefinidamente en el mercado británico; UKCA sigue siendo opcionalEn vigor desde el 1 de octubre de 2024

¿Sigue importando la Directiva RoHS si un dispositivo ya cuenta con marcado CE para RED y CEM?

Sí, y la lista de exenciones en la que se basó un fabricante el año pasado puede haber dejado de ser la vigente. Tres Directivas Delegadas de la Comisión, (UE) 2025/1802, 2025/2363 y 2025/2364, publicadas el 21 de noviembre de 2025 y en vigor desde el 11 de diciembre de 2025, sustituyeron las amplias exenciones históricas de plomo 6(a), 6(b), 6(c), 7(a) y 7(c) del Anexo III de la Directiva 2011/65/UE por sub-entradas más restringidas y específicas de cada aplicación, con fechas de vencimiento propias, la mayoría situadas entre diciembre de 2026 y diciembre de 2027. Los Estados miembros tenían hasta el 30 de junio de 2026 para transponerlas, y las nuevas entradas se volvieron aplicables el 1 de julio de 2026. La exención 6(a), que cubre el plomo como elemento de aleación en acero, aluminio y cobre, no se renovará en absoluto y caduca el 11 de diciembre de 2026 para cualquier categoría de producto que aún dependa de ella.

Un fabricante cuya lista de materiales todavía cite el antiguo código de exención en una declaración de conformidad está haciendo referencia ahora a una disposición que o bien ya no existe o tiene una fecha de vencimiento firme asociada. Se trata de un problema tanto documental como químico, y se suma, en lugar de sustituir, a la homologación RED y CEM que ya posee un producto.

¿Qué debería revisar realmente un equipo de cumplimiento antes de la próxima auditoría?

Empiece por la misma lista de verificación que utilizó la ANACOM contra Fnac: si cada SKU lleva un marcado CE visible, un identificador de lote o número de serie, y una declaración de conformidad que el distribuidor pueda presentar en días, no en semanas, ante la solicitud de un regulador. A continuación, identifique qué productos entran dentro del alcance del reglamento delegado de ciberseguridad de la RED, equipos de radio conectados a internet, infantiles, wearables o que manejan dinero, y confirme si las restricciones de la EN 18031 se aplican a la implementación, ya que una configuración predeterminada sin contraseña anula la autodeclaración. Por último, contraste las referencias de la lista de materiales de RoHS con las entradas reestructuradas del Anexo III antes de que un antiguo código de exención venza silenciosamente.

Obsidian rastrea a la ANFR, la Bundesnetzagentur, la ANACOM, la OPSS, la OFCOM y los instrumentos RED, CEM, RoHS y de la Ley de Ciberresiliencia de la Comisión Europea como fuentes tier-0 vinculadas, con alertas cuando un acto delegado como el 2026/339 modifica un plazo de cumplimiento o una nueva decisión de ejecución reduce el alcance de una norma armonizada. Consulte los planes diseñados para equipos de cumplimiento normativo de producto y asuntos regulatorios que siguen equipos en varias jurisdicciones europeas, o conecte el MCP de Obsidian directamente a sus propias herramientas si su flujo de trabajo ya funciona a través de un asistente de IA.