I mars 2026 ila Portugals ANACOM Fnac Portugal en bot på 95 625 euro og beordret inndragning av 17 radioenheter til staten. Siktelsen leses som en sjekkliste for samsvar som har gått galt: fire modeller manglet CE-merking, fem hadde ingen type-, parti- eller serieidentifikasjon, syv ble solgt uten portugisiske bruksanvisninger, og ti modeller kunne ikke Fnac fremvise en gyldig EU-samsvarserklæring for da ANACOM ba om det. Over grensen i Tyskland markerte Bundesnetzagenturs markedsovervåking i 2025 hele 7,7 millioner individuelle enheter som ikke i samsvar, opp fra 5,3 millioner i 2024, og deres tollsamarbeid blokkerte mer enn 359 000 varer på grensen etter å ha funnet at 89 % av de flaggede forsendelsene ikke var i samsvar.

Disse håndhevelsestallene er bakteppet for en travlere regulatorisk kalender enn vanlig. Radio Equipment Directives delegerte rettsakt for cybersikkerhet har vært fullt ut gjeldende i under et år, Cyber Resilience Acts første absolutte frist inntreffer 11. september 2026, og et omskrevet sett med RoHS-unntak for bly ble gjeldende 1. juli 2026, bare uker før denne artikkelen. Ingen av disse regimene er valgfrie tillegg: de kommer på toppen av CE-merkingen som ethvert radio-, telekom- og elektrisk utstyr allerede trenger for å bevege seg over EU, Storbritannia og Sveits.

For et compliance-team som administrerer SKU-er på tvers av alle tre markeder, er 2026 året der tre separate klokker konvergerer på én produktlinje samtidig.

Hvilke regulatorer håndhever faktisk samsvar for RF og elektrisk utstyr i Europa?

Ingen enkelt EU-etat overvåker radio- og elektrisk utstyr, hver medlemsstat driver sin egen markedsovervåkingsmyndighet mot de samme harmoniserte reglene. I Frankrike inspiserer Agence Nationale des Frequences (ANFR) forhandlere og nettoppføringer under Code des postes et des communications electroniques, og kan utstede en mise en demeure (formelt varsel om å overholde) før de eskalerer til en administrativ bot, for øyeblikket begrenset til 7 500 euro for en juridisk enhet og 15 000 euro for samtidige brudd. Tysklands Bundesnetzagentur driver den tilsvarende funksjonen for Radio Equipment Directive (2014/53/EU) og EMC Directive (2014/30/EU), og sjekker både nettoppføringer og fysisk detaljhandel. Portugals ANACOM, som Fnac-saken viser, følger den samme eskaleringslogikken: identifiser avviket, krev korrigerende tiltak, og gi bot bare hvis operatøren ikke retter seg etter dette.

Utenfor EU overvåker Storbritannias Office for Product Safety and Standards Radio Equipment Regulations 2017, mens Sveits' OFCOM administrerer Ordinance on Telecommunications Installations (FAV) og Ordinance on Electromagnetic Compatibility (OEMC). Fordi hver myndighet handler på nasjonal lovgivning som gjennomfører (eller speiler) de samme EU-direktivene, kan en enkelt SKU som ikke er i samsvar utløse parallelle undersøkelser i flere land samtidig, nøyaktig den typen mønster på tvers av jurisdiksjoner som er lett å gå glipp av uten overvåking per land. Obsidians regulatory monitoring sporer ANFR, Bundesnetzagentur, ANACOM, OPSS og OFCOM som separate tier-0 kilder i stedet for en enkelt blandet "EU"-feed, fordi deres håndhevelsesterskler og prosedyrer ikke er identiske.

Hva utløser egentlig en bot, og hvor stor kan den bli?

Fnac Portugal-filen viser mønsteret som går igjen i håndhevelsestiltak i denne sektoren: manglende CE-merking, manglende produktidentifikasjon, og manglende portugisiskspråklig dokumentasjon kombinert med manglende handling når man først er varslet. ANACOMs beslutning bemerker eksplisitt at distributøren i fire tilfeller ikke iverksatte korrigerende tiltak etter å ha blitt bedt om det. I Frankrike er taket lavere i absolutte tall, 7 500 euro for et selskap under artikkel L.43 II bis i CPCE, men ANFRs dreiebok er identisk: en korreksjonsforespørsel på første nivå for mindre problemer, en formell mise en demeure med tilbaketrekking fra markedet for gjentatte eller alvorlige problemer, og først deretter en administrativ bot eller en strafferettslig henvisning til den offentlige påtalemyndigheten, siden det å plassere en radioenhet som ikke er i samsvar på det franske markedet i seg selv er klassifisert som en straffbar overtredelse av femte klasse.

Den tyske erfaringen viser at skaleringsproblemet er strukturelt, ikke tilfeldig: Bundesnetzagentur sjekket nesten 2 100 utstyrstyper i 2025 og fant fortsatt 1 266 typer som ikke var i samsvar som ble solgt bare på nettet. En separat EU-finansiert testkampanje (JACOP 2025) drevet av Europakommisjonens DG GROW testet 173 elektroniske produkter for farlige stoffer og CE-dokumentasjon, og 91 av dem, 53 %, feilet på enten RoHS-stoffgrensene eller manglende/uleselig CE-merking. For en compliance-ansvarlig er lærdommen mindre om størrelsen på en enkelt bot og mer om grunnraten: omtrent halvparten av testet forbrukerelektronikk feiler på en del av denne sjekklisten, noe som gjør at gjennomgangen av merking og dokumentasjon ser mindre ut som papirarbeid og mer som den mest lønnsomme compliance-aktiviteten som er tilgjengelig.

Er REDs delegerte forordning for cybersikkerhet fortsatt aktiv, og hvor lenge?

Ja, og den har virkelige tenner i dag. Commission Delegated Regulation (EU) 2022/30, som slår på Radio Equipment Directives essensielle krav til cybersikkerhet under artikkel 3(3)(d), (e) og (f), har vært gjeldende siden 1. august 2025 for internetttilkoblet radioutstyr, barneomsorgs- og kroppsbårne enheter, og utstyr som håndterer pengeverdier. Implementing Decision (EU) 2025/138, publisert 30. januar 2025, listet de harmoniserte standardene EN 18031-1, -2 og -3:2024 med vedlagte restriksjoner: et produkt som lar en bruker hoppe over å angi et passord, for eksempel, mister formodningen om samsvar på den klausulen og trenger et teknisk kontrollorgans involvering i stedet for egenerklæring.

Dette regimet har nå en utløpsdato i bøkene. Europakommisjonen vedtok Delegated Regulation (EU) 2026/339 den 16. februar 2026, som opphever (EU) 2022/30 med virkning fra 11. desember 2027, nøyaktig den datoen den bredere Cyber Resilience Act når full anvendelse. Enhver produsent som plasserer internetttilkoblet radioutstyr på EU-markedet mellom nå og den datoen er under REDs cybersikkerhetsregime, fra 11. desember 2027 og fremover faller det samme produktet under CRA i stedet. Å spore hvilken delegert rettsakt som styrer en gitt SKU på en gitt dato, er nettopp den typen spørsmål Obsidians AI companion kan svare på mot den underliggende regulatoriske teksten i stedet for et compliance-notat som blir utdatert i det øyeblikket en ny delegert rettsakt publiseres.

Hva krever egentlig Cyber Resilience Acts frist i september 2026?

Artikkel 14 i Cyber Resilience Act, Regulation (EU) 2024/2847, blir gjeldende 11. september 2026, mer enn et år før CRAs viktigste forpliktelser for samsvarsvurdering slår inn 11. desember 2027. Fra den datoen må enhver produsent av et produkt med digitale elementer som selges i EU, uavhengig av hvor produsenten er basert, rapportere aktivt utnyttede sårbarheter og alvorlige hendelser på en trinnvis tidslinje: en tidlig advarsel innen 24 timer etter å ha blitt oppmerksom på det, en fyldigere varsling innen 72 timer, og en endelig rapport innen 14 dager for sårbarheter eller en måned for hendelser. Rapporter går én gang gjennom ENISAs Single Reporting Platform (SRP), som deretter ruter varselet til den relevante nasjonale CSIRT og alle andre CSIRT i en medlemsstat der produktet er tilgjengelig.

Frankrikes implementering legger til en jurisdiksjonell rynke verdt å spore direkte: DDADUE-lovforslaget utpeker ANFR som Frankrikes CRA-markedsovervåkingsmyndighet, med det oppdraget som trer i kraft 11. september 2026, samme dato som plikten i artikkel 14, mens det tilknyttede sanksjonsregimet, bøter opptil 15 millioner euro eller 2,5 % av verdensomspennende omsetning, først aktiveres 11. desember 2027 sammen med full CRA-anvendelse. Selve SRP er ennå ikke live: ENISA bekreftet at den vil være operativ innen 11. september 2026, uten API ved lansering, noe som betyr at den første bølgen av obligatoriske rapporter i denne sektoren vil bli arkivert manuelt gjennom en nettportal.

RegimeHva som gjelder nå eller snartNøkkeldato
RED Cybersecurity Delegated Regulation (EU) 2022/30Obligatoriske essensielle krav for internetttilkoblet radioutstyr, EN 18031-serien med restriksjonerGjeldende siden 1. august 2025, oppheves 11. desember 2027
Cyber Resilience Act, artikkel 1424-timers/72-timers/14-dagers rapportering av sårbarheter og hendelser via ENISAs SRPGjeldende fra 11. september 2026
Cyber Resilience Act, full anvendelseCE-merking og samsvarsvurdering for cybersikkerhet, ANFR-sanksjonsregime i Frankrike11. desember 2027
RoHS Annex III blyunntak (omstrukturert)Smalere underoppføringer erstatter eldre 6(a)/6(b)/6(c)/7(a)/7(c)-unntak, de fleste utløper 2026-2027Gjeldende fra 1. juli 2026
UK CE-merking anerkjennelse (Radio Equipment Regulations 2017)CE akseptert på ubestemt tid på GB-markedet, UKCA forblir valgfrittI kraft siden 1. oktober 2024

Spiller RoHS Directive fortsatt noen rolle hvis en enhet allerede klarerer CE-merking for RED og EMC?

Ja, og unntakslisten en produsent stolte på i fjor, er kanskje ikke lenger den gjeldende. Tre Commission Delegated Directives, (EU) 2025/1802, 2025/2363 og 2025/2364, publisert 21. november 2025 og trådt i kraft 11. desember 2025, erstattet de brede eldre Annex III-blyunntakene 6(a), 6(b), 6(c), 7(a) og 7(c) i Directive 2011/65/EU med smalere, applikasjonsspesifikke underoppføringer som bærer sine egne utløpsdatoer, de fleste faller mellom desember 2026 og desember 2027. Medlemsstatene hadde til 30. juni 2026 til å gjennomføre, og de nye oppføringene ble gjeldende 1. juli 2026. Unntak 6(a), som dekker bly som et legeringselement i stål, aluminium og kobber, vil ikke bli fornyet i det hele tatt og utløper 11. desember 2026 for enhver produktkategori som fortsatt er avhengig av det.

En produsent hvis stykkliste fortsatt siterer den gamle unntakskoden på en samsvarserklæring, refererer nå til en bestemmelse som enten ikke lenger eksisterer eller har en fast utløpsdato knyttet til seg. Det er et dokumentasjonsproblem like mye som et kjemiproblem, og det gjelder på toppen av, ikke i stedet for, RED- og EMC-klareringen et produkt allerede har.

Hva bør et compliance-team faktisk sjekke før neste revisjon?

Start med den samme sjekklisten ANACOM brukte mot Fnac: bærer hver SKU et synlig CE-merke, en parti- eller serieidentifikator, og en samsvarserklæring som en distributør kan produsere innen dager etter en regulators forespørsel, ikke uker. Kartlegg deretter hvilke produkter som faller innenfor REDs delegerte forordning for cybersikkerhets omfang, internetttilkoblet, barneomsorg, kroppsbåret eller pengehåndterende radioutstyr, og bekreft om EN 18031-restriksjonene gjelder for implementeringen, siden en passordløs standardkonfigurasjon forverker egenerklæring. Til slutt, sjekk RoHS-stykklistereferansene mot de omstrukturerte Annex III-oppføringene før en gammel unntakskode stille utløper.

Obsidian sporer ANFR, Bundesnetzagentur, ANACOM, OPSS, OFCOM og Europakommisjonens RED, EMC, RoHS og Cyber Resilience Act-instrumenter som koblede tier-0 kilder, med varsler når en delegert rettsakt som 2026/339 endrer en compliance-klokke eller en ny implementeringsbeslutning innsnevrer en harmonisert standards omfang. Se plans bygget for produkt-compliance og regulatoriske team som sporer utstyr på tvers av flere europeiske jurisdiksjoner, eller koble Obsidians MCP direkte inn i dine egne verktøy hvis arbeidsflyten din allerede går gjennom en AI companion.