In maart 2026 legde de Portugese toezichthouder ANACOM een boete van 95.625 euro op aan Fnac Portugal en beval de verbeurdverklaring van 17 radioapparaten aan de staat. De tenlastelegging leest als een volledig mislukte checklist voor naleving: vier modellen misten de CE-markering, vijf hadden geen type-, partij- of serie-identificatie, zeven werden verkocht zonder Portugese handleidingen, en voor tien modellen kon Fnac geen geldige EU-conformiteitsverklaring overleggen toen ANACOM hierom vroeg. Aan de andere kant van de grens, in Duitsland, markeerde de markttoezichtcampagne van de Bundesnetzagentur in 2025 maar liefst 7,7 miljoen individuele niet-conforme apparaten, een stijging ten opzichte van 5,3 miljoen in 2024. Bovendien blokkeerde hun douanesamenwerking meer dan 359.000 artikelen aan de grens, nadat bleek dat 89% van de gecontroleerde zendingen niet voldeed aan de eisen.
Deze handhavingscijfers vormen de achtergrond van een drukkere regelgevingskalender dan gebruikelijk. De gedelegeerde handeling inzake cyberbeveiliging van de Radio Equipment Directive is nu krap een jaar volledig van toepassing, de eerste harde deadline van de Cyber Resilience Act valt op 11 september 2026, en een herziene reeks RoHS-loodvrijstellingen is op 1 juli 2026 van toepassing geworden, slechts enkele weken voor dit artikel. Geen van deze regimes is optioneel: ze komen bovenop de CE-markering die elk radio-, telecom- en elektrisch apparaat al nodig heeft om binnen de EU, het VK en Zwitserland op de markt te worden gebracht.
Voor een complianceteam dat SKU's beheert in alle drie de markten, is 2026 het jaar waarin drie afzonderlijke klokken tegelijkertijd samenkomen op één productlijn.
Welke toezichthouders handhaven daadwerkelijk de naleving voor RF- en elektrische apparatuur in Europa?
Er is geen enkele EU-instantie die toezicht houdt op radio- en elektrische apparatuur. Elke lidstaat heeft zijn eigen markttoezichtautoriteit die handhaaft volgens dezelfde geharmoniseerde regels. In Frankrijk inspecteert de Agence Nationale des Frequences (ANFR) retailers en online aanbiedingen onder de Code des postes et des communications electroniques. Zij kan een mise en demeure (formele ingebrekestelling) uitvaardigen alvorens over te gaan tot een administratieve boete, die momenteel is gemaximeerd op 7.500 euro voor een rechtspersoon en 15.000 euro bij samenloop van overtredingen. De Duitse Bundesnetzagentur vervult dezelfde functie voor de Radio Equipment Directive (2014/53/EU) en de EMC Directive (2014/30/EU), waarbij zowel online aanbiedingen als fysieke winkels worden gecontroleerd. ANACOM in Portugal volgt, zoals de Fnac-zaak aantoont, dezelfde escalatielogica: de non-conformiteit vaststellen, corrigerende maatregelen eisen, en alleen beboeten als de exploitant in gebreke blijft.
Buiten de EU houdt het Office for Product Safety and Standards in het Verenigd Koninkrijk toezicht op de Radio Equipment Regulations 2017, terwijl het Zwitserse OFCOM de Ordinance on Telecommunications Installations (FAV) en de Ordinance on Electromagnetic Compatibility (OEMC) beheert. Omdat elke autoriteit handelt op basis van nationale wetgeving die dezelfde EU-richtlijnen omzet of weerspiegelt, kan één enkele niet-conforme SKU gelijktijdige onderzoeken in meerdere landen triggeren. Dit is precies het soort patroon over meerdere rechtsgebieden heen dat men gemakkelijk over het hoofd ziet zonder monitoring per land. De regulatory monitoring van Obsidian volgt ANFR, Bundesnetzagentur, ANACOM, OPSS en OFCOM als afzonderlijke tier-0 bronnen in plaats van één gecombineerde EU-feed, omdat hun handhavingsdrempels en procedures niet identiek zijn.
Wat leidt er daadwerkelijk tot een boete, en hoe hoog kan deze oplopen?
Het dossier van Fnac Portugal toont het patroon dat steeds terugkeert bij handhavingsacties in deze sector: ontbrekende CE-markering, ontbrekende productidentificatie en ontbrekende Portugeestalige documentatie, gecombineerd met een weigering om actie te ondernemen na kennisgeving. Het besluit van ANACOM merkt expliciet op dat de distributeur in vier gevallen geen corrigerende maatregelen nam nadat hierom was gevraagd. In Frankrijk is het plafond in absolute termen lager, namelijk 7.500 euro voor een bedrijf onder artikel L.43 II bis van de CPCE, maar de aanpak van de ANFR is identiek: een eerste verzoek tot correctie voor kleine problemen, een formele mise en demeure met terugroeping van de markt voor herhaalde of ernstige problemen, en pas daarna een administratieve boete of een strafrechtelijke verwijzing naar de officier van justitie. Het op de Franse markt brengen van een niet-conform radioapparaat is namelijk op zichzelf geclassificeerd als een strafrechtelijke overtreding van de vijfde klasse.
De Duitse ervaring laat zien dat het schaalprobleem structureel is, niet incidenteel: de Bundesnetzagentur controleerde in 2025 bijna 2.100 uitrustingstypen en vond toch nog 1.266 niet-conforme typen die alleen al online werden verkocht. Een afzonderlijke, door de EU gefinancierde testcampagne (JACOP 2025), uitgevoerd door DG GROW van de Europese Commissie, testte 173 elektronische producten op gevaarlijke stoffen en CE-documentatie. Eenenvijftig daarvan, ofwel 53%, faalden op de RoHS-stoflimieten of op een ontbrekende of onleesbare CE-markering. Voor een compliance officer is de les minder gericht op de omvang van een enkele boete, maar meer op de basisratio: ongeveer de helft van de geteste consumentenelektronica faalt op enig onderdeel van deze checklist. Dit maakt de controle van markeringen en documentatie minder een kwestie van louter papierwerk, en meer de meest renderende compliance-activiteit die beschikbaar is.
Is de gedelegeerde regelgeving inzake cyberbeveiliging van de RED nog steeds actief, en voor hoe lang?
Ja, en deze heeft vandaag de dag echte tanden. Commission Delegated Regulation (EU) 2022/30, die de essentiële cyberbeveiligingseisen van de Radio Equipment Directive activeert onder artikel 3, lid 3, onder d), e) en f), is sinds 1 augustus 2025 van toepassing op met internet verbonden radioapparatuur, apparaten voor kinderopvang, wearables en apparatuur die monetaire waarden verwerkt. Implementing Decision (EU) 2025/138, gepubliceerd op 30 januari 2025, vermeldde de geharmoniseerde normen EN 18031-1, -2 en -3:2024 waaraan beperkingen zijn verbonden: een productontwerp dat een gebruiker bijvoorbeeld toestaat om het instellen van een wachtwoord over te slaan, verliest het vermoeden van conformiteit voor die clausule en vereist de betrokkenheid van een aangemelde instantie in plaats van een eigen verklaring.
Dit regime heeft inmiddels een formele vervaldatum. De Europese Commissie heeft op 16 februari 2026 Delegated Regulation (EU) 2026/339 aangenomen, die (EU) 2022/30 intrekt met ingang van 11 december 2027, de exacte datum waarop de bredere Cyber Resilience Act volledig van toepassing wordt. Elke fabrikant die tussen nu en die datum met internet verbonden radioapparatuur op de EU-markt brengt, valt onder het RED-cyberbeveiligingsregime. Vanaf 11 december 2027 valt ditzelfde product in plaats daarvan onder de CRA. Het bijhouden van de vraag welke gedelegeerde handeling op een bepaalde datum van toepassing is op een bepaalde SKU, is precies het soort vraag dat de AI-begeleider van Obsidian kan beantwoorden op basis van de onderliggende wettekst, in plaats van een compliance-memo dat veroudert zodra een nieuwe gedelegeerde handeling wordt gepubliceerd.
Wat vereist de deadline van de Cyber Resilience Act van september 2026 daadwerkelijk?
Artikel 14 van de Cyber Resilience Act, Regulation (EU) 2024/2847, wordt van toepassing op 11 september 2026. Dit is ruim een jaar voordat de belangrijkste conformiteitsbeoordelingsverplichtingen van de CRA op 11 december 2027 ingaan. Vanaf die datum moet elke fabrikant van een product met digitale elementen dat in de EU wordt verkocht, ongeacht waar de fabrikant is gevestigd, actief uitgebuite kwetsbaarheden en ernstige incidenten melden volgens een gefaseerd tijdpad: een vroege waarschuwing binnen 24 uur na de ontdekking, een volledigere kennisgeving binnen 72 uur, en een eindrapport binnen 14 dagen voor kwetsbaarheden of één maand voor incidenten. Meldingen verlopen eenmalig via het Single Reporting Platform (SRP) van ENISA, dat de melding vervolgens doorstuurt naar het relevante nationale CSIRT en elk ander CSIRT in een lidstaat waar het product beschikbaar is.
De implementatie in Frankrijk voegt een belangrijke jurisdictionele nuance toe die het volgen waard is: het DDADUE-wetsvoorstel wijst de ANFR aan als de markttoezichtautoriteit voor de CRA in Frankrijk, waarbij die missie ingaat op 11 september 2026, dezelfde datum als de verplichting uit artikel 14. Het bijbehorende sanctieregime, met boetes tot 15 miljoen euro of 2,5% van de wereldwijde omzet, treedt daarentegen pas in werking op 11 december 2027, tegelijk met de volledige toepassing van de CRA. Het SRP zelf is nog niet live: ENISA heeft bevestigd dat het op 11 september 2026 operationeel zal zijn, maar zonder API bij de lancering. Dit betekent dat de eerste golf van verplichte meldingen in deze sector handmatig via een webportaal zal moeten worden ingediend.
| Regime | Wat nu of binnenkort van toepassing is | Belangrijke datum |
|---|---|---|
| RED Cybersecurity Delegated Regulation (EU) 2022/30 | Verplichte essentiële eisen voor met internet verbonden radioapparatuur; EN 18031-reeks met beperkingen | Van toepassing sinds 1 augustus 2025; ingetrokken op 11 december 2027 |
| Cyber Resilience Act, artikel 14 | Melding van kwetsbaarheden en incidenten binnen 24 uur / 72 uur / 14 dagen via het SRP van ENISA | Van toepassing vanaf 11 september 2026 |
| Cyber Resilience Act, volledige toepassing | CE-markering en conformiteitsbeoordeling voor cyberbeveiliging; ANFR-sanctieregime in Frankrijk | 11 december 2027 |
| RoHS Annex III loodvrijstellingen (geherstructureerd) | Smalere sub-vermeldingen vervangen verouderde 6(a)/6(b)/6(c)/7(a)/7(c) vrijstellingen, waarvan de meeste vervallen in 2026-2027 | Van toepassing vanaf 1 juli 2026 |
| Britse erkenning van CE-markering (Radio Equipment Regulations 2017) | CE wordt voor onbepaalde tijd geaccepteerd op de Britse markt; UKCA blijft optioneel | Van kracht sinds 1 oktober 2024 |
Blijft de RoHS Directive nog steeds van belang als een apparaat al over een CE-markering voor RED en EMC beschikt?
Ja, en de lijst met vrijstellingen waar een fabrikant vorig jaar op vertrouwde, is mogelijk niet meer actueel. Drie Commission Delegated Directives, (EU) 2025/1802, 2025/2363 en 2025/2364, gepubliceerd op 21 november 2025 en in werking getreden op 11 december 2025, vervingen de brede verouderde Annex III-loodvrijstellingen 6(a), 6(b), 6(c), 7(a) en 7(c) van Directive 2011/65/EU door smallere, toepassingsspecifieke sub-vermeldingen met hun eigen vervaldata. De meeste daarvan vallen tussen december 2026 en december 2027. Lidstaten hadden tot 30 juni 2026 de tijd om deze om te zetten, en de nieuwe vermeldingen werden van toepassing op 1 juli 2026. Vrijstelling 6(a), die lood als legeringselement in staal, aluminium en koper dekt, zal in het geheel niet worden verlengd en vervalt op 11 december 2026 voor elke productcategorie die er nog afhankelijk van is.
Een fabrikant wiens stuklijst nog steeds de oude vrijstellingscode op een conformiteitsverklaring vermeldt, verwijst nu naar een bepaling die ofwel niet meer bestaat of waaraan een harde vervaldatum is verbonden. Dat is net zo goed een documentatieprobleem als een chemisch probleem, en het is van toepassing bovenop, niet in plaats van, de RED- en EMC-goedkeuring die een product al bezit.
Wat moet een complianceteam daadwerkelijk controleren voor de volgende audit?
Begin met dezelfde checklist die ANACOM tegen Fnac gebruikte: draagt elke SKU een zichtbare CE-markering, een partij- of serie-identificatie, en een conformiteitsverklaring die een distributeur binnen enkele dagen, niet weken, na een verzoek van een toezichthouder kan overleggen. Breng vervolgens in kaart welke producten binnen de reikwijdte van de RED-gedelegeerde cyberbeveiligingsregelgeving vallen, zoals met internet verbonden apparatuur, babyfoons, wearables of radioapparatuur voor het verwerken van monetaire waarden. Bevestig ook of de beperkingen van EN 18031 van toepassing zijn op de implementatie, aangezien een standaardconfiguratie zonder wachtwoord de mogelijkheid tot eigen verklaring tenietdoet. Controleer tot slot de referenties naar de RoHS-stuklijst aan de hand van de geherstructureerde Annex III-vermeldingen voordat een oude vrijstellingscode stilletjes verloopt.
Obsidian volgt ANFR, Bundesnetzagentur, ANACOM, OPSS, OFCOM en de instrumenten van de Europese Commissie voor RED, EMC, RoHS en de Cyber Resilience Act als gekoppelde tier-0 bronnen. Daarbij worden waarschuwingen gegeven wanneer een gedelegeerde handeling zoals 2026/339 een compliance-tijdlijn wijzigt of wanneer een nieuwe uitvoeringsbeslissing de reikwijdte van een geharmoniseerde norm verkleint. Bekijk de abonnementen die zijn gebouwd voor teams die verantwoordelijk zijn voor productcompliance en regulatory affairs en die apparatuur volgen in meerdere Europese rechtsgebieden, of koppel de MCP van Obsidian rechtstreeks aan uw eigen tools als uw workflow al verloopt via een AI-assistent.