W marcu 2026 r. portugalski organ ANACOM nałożył na Fnac Portugal grzywnę w wysokości 95 625 euro i nakazał przepadek 17 urządzeń radiowych na rzecz państwa. Lista zarzutów wygląda jak lista kontrolna zgodności, w której wszystko poszło źle: cztery modele bez oznakowania CE, pięć bez identyfikacji typu, partii lub numeru seryjnego, siedem sprzedanych bez instrukcji obsługi w języku portugalskim i dziesięć modeli, dla których Fnac nie mógł przedstawić ważnej deklaracji zgodności UE na żądanie ANACOM. Za granicą, w Niemczech, w ramach nadzoru rynku przeprowadzonego przez Bundesnetzagentur w 2025 r. oflagowano 7,7 miliona poszczególnych niezgodnych urządzeń, w porównaniu z 5,3 miliona w 2024 r., a współpraca celna zablokowała na granicy ponad 359 000 artykułów po stwierdzeniu, że 89% zgłoszonych przesyłek nie spełnia wymogów.

Te liczby dotyczące egzekwowania przepisów stanowią tło dla bardziej napiętego niż zwykle kalendarza regulacyjnego. Akt delegowany dotyczący cyberbezpieczeństwa w ramach Radio Equipment Directive w pełni obowiązuje od niespełna roku, pierwszy twardy termin Cyber Resilience Act przypada na 11 września 2026 r., a napisany na nowo zestaw wyjątków dotyczących ołowiu w ramach RoHS zaczął obowiązywać 1 lipca 2026 r., zaledwie na kilka tygodni przed publikacją tego artykułu. Żaden z tych reżimów nie jest opcjonalnym dodatkiem: obowiązują one niezależnie od oznakowania CE, którego każde urządzenie radiowe, telekomunikacyjne i elektryczne już potrzebuje, aby przemieszczać się po UE, Wielkiej Brytanii i Szwajcarii.

Dla zespołu ds. zgodności zarządzającego kodami SKU na wszystkich trzech rynkach, rok 2026 jest rokiem, w którym trzy oddzielne zegary zbiegają się na jednej linii produktów w tym samym czasie.

Które organy regulacyjne faktycznie egzekwują zgodność urządzeń RF i elektrycznych w Europie?

Żadna pojedyncza agencja unijna nie nadzoruje sprzętu radiowego i elektrycznego; każde państwo członkowskie prowadzi własny organ nadzoru rynku w oparciu o te same zharmonizowane zasady. We Francji Agence Nationale des Frequences (ANFR) kontroluje sprzedawców detalicznych i oferty internetowe na mocy Code des postes et des communications electroniques i może wydać mise en demeure (formalne wezwanie do usunięcia naruszenia) przed eskalacją do kary administracyjnej, obecnie ograniczonej do 7 500 euro w przypadku osoby prawnej i 15 000 euro w przypadku zbiegających się naruszeń. W Niemczech Bundesnetzagentur pełni równoważną funkcję dla Radio Equipment Directive (2014/53/EU) oraz EMC Directive (2014/30/EU), sprawdzając zarówno oferty online, jak i fizyczną sprzedaż detaliczną. Portugalski organ ANACOM, jak pokazuje sprawa Fnac, stosuje tę samą logikę eskalacji: identyfikacja niezgodności, żądanie działań naprawczych i nakładanie grzywien tylko wtedy, gdy operator się nie dostosuje.

Poza UE brytyjski Office for Product Safety and Standards nadzoruje Radio Equipment Regulations 2017, podczas gdy szwajcarski OFCOM zarządza Ordinance on Telecommunications Installations (FAV) oraz Ordinance on Electromagnetic Compatibility (OEMC). Ponieważ każdy organ działa na podstawie prawa krajowego transponującego (lub odzwierciedlającego) te same dyrektywy UE, jeden niezgodny SKU może wywołać równoległe dochodzenia w wielu krajach w tym samym czasie, co jest dokładnie takim wzorcem międzystrefowym, który łatwo przeoczyć bez monitorowania poszczególnych państw. Rozwiązanie regulatory monitoring firmy Obsidian śledzi ANFR, Bundesnetzagentur, ANACOM, OPSS i OFCOM jako odrębne źródła tier-0, a nie jeden połączony strumień "UE", ponieważ ich progi i procedury egzekwowania przepisów nie są identyczne.

Co tak naprawdę powoduje nałożenie grzywny i jak wysoka może ona być?

Akta sprawy Fnac Portugal pokazują schemat, który powtarza się w działaniach egzekucyjnych w tym sektorze: brak oznakowania CE, brak identyfikacji produktu i brak dokumentacji w języku portugalskim w połączeniu z brakiem działań po otrzymaniu powiadomienia. Decyzja ANACOM wyraźnie wskazuje, że w czterech przypadkach dystrybutor nie podjął działań naprawczych po tym, jak został o to poproszony. We Francji górny pułap jest w wartościach bezwzględnych niższy i wynosi 7 500 euro dla firmy na mocy Article L.43 II bis z CPCE, ale podręcznik ANFR jest identyczny: wniosek o korektę pierwszego stopnia w przypadku drobnych problemów, formalne mise en demeure z wycofaniem z rynku w przypadku powtarzających się lub poważnych problemów, a dopiero potem grzywna administracyjna lub skierowanie sprawy do prokuratora, ponieważ wprowadzenie na francuski rynek niezgodnego z przepisami urządzenia radiowego jest samo w sobie klasyfikowane jako wykroczenie karne piątej klasy.

Doświadczenia niemieckie pokazują, że problem skali ma charakter strukturalny, a nie przypadkowy: Bundesnetzagentur sprawdziła prawie 2 100 typów urządzeń w 2025 r. i nadal znalazła 1 266 niezgodnych typów sprzedawanych wyłącznie w internecie. Oddzielna kampania testowa finansowana przez UE (JACOP 2025) prowadzona przez DG GROW przy Komisji Europejskiej przetestowała 173 produkty elektroniczne pod kątem obecności substancji niebezpiecznych i dokumentacji CE; 91 z nich, czyli 53%, nie przeszło testów ze względu na limity substancji RoHS lub brakujące/nieczytelne oznakowanie CE. Dla osoby odpowiedzialnej za zgodność z przepisami jest to lekcja w mniejszym stopniu dotycząca wielkości pojedynczej grzywny, a w większym stopniu stopy bazowej: około połowa testowanych urządzeń elektroniki użytkowej nie spełnia jakiejś części tej listy kontrolnej, co sprawia, że przegląd oznakowania i dokumentacji wygląda mniej jak papierkowa robota, a bardziej jak działanie o najwyższej wydajności w zakresie zgodności.

Czy akt delegowany dotyczący cyberbezpieczeństwa RED jest nadal aktywny i jak długo?

Tak, a dziś ma on realne zastosowanie. Rozporządzenie delegowane Komisji (Commission Delegated Regulation (EU) 2022/30), które włącza zasadnicze wymagania dotyczące cyberbezpieczeństwa wynikające z Radio Equipment Directive na mocy artykułu 3(3)(d), (e) i (f), ma zastosowanie od 1 sierpnia 2025 r. do urządzeń radiowych podłączonych do internetu, urządzeń do opieki nad dziećmi i urządzeń do noszenia, a także sprzętu obsługującego wartość pieniężną. Decyzja wykonawcza (Implementing Decision (EU) 2025/138), opublikowana 30 stycznia 2025 r., wymienia zharmonizowane normy EN 18031-1, -2 i -3:2024 z dołączonymi ograniczeniami: projekt produktu, który pozwala użytkownikowi na pominięcie ustawiania hasła, na przykład, traci domniemanie zgodności w tej klauzuli i wymaga zaangażowania jednostki notyfikowanej zamiast deklaracji własnej.

Reżim ten ma teraz wyznaczoną datę wygaśnięcia. Komisja Europejska przyjęła Delegated Regulation (EU) 2026/339 w dniu 16 lutego 2026 r., który uchyla (EU) 2022/30 ze skutkiem od 11 grudnia 2027 r., czyli dokładnie w dniu, w którym szerszy Cyber Resilience Act wejdzie w pełni w życie. Każdy producent wprowadzający na rynek UE urządzenia radiowe podłączone do internetu w okresie od teraz do tej daty podlega reżimowi cyberbezpieczeństwa RED; od 11 grudnia 2027 r. ten sam produkt będzie podlegał zamiast tego przepisom CRA. Śledzenie tego, który akt delegowany reguluje dany SKU w danym dniu jest dokładnie takim rodzajem pytania, na które asystent AI od Obsidian może odpowiedzieć w oparciu o podstawowy tekst regulacyjny, zamiast notatki o zgodności, która staje się nieaktualna w momencie publikacji nowego aktu delegowanego.

Czego tak naprawdę wymaga ostateczny termin Cyber Resilience Act przypadający na wrzesień 2026 r.?

Artykuł 14 w Cyber Resilience Act, Regulation (EU) 2024/2847, zacznie obowiązywać 11 września 2026 r., ponad rok przed wejściem w życie głównych obowiązków CRA w zakresie oceny zgodności w dniu 11 grudnia 2027 r. Od tej daty każdy producent produktu z elementami cyfrowymi sprzedawanego w UE, niezależnie od tego, gdzie ma siedzibę, musi zgłaszać aktywnie wykorzystywane luki w zabezpieczeniach i poważne incydenty zgodnie ze stopniowanym harmonogramem: wczesne ostrzeżenie w ciągu 24 godzin od powzięcia o nich informacji, pełniejsze powiadomienie w ciągu 72 godzin, oraz końcowy raport w ciągu 14 dni w przypadku luk w zabezpieczeniach lub jednego miesiąca w przypadku incydentów. Raporty trafiają jednorazowo przez platformę Single Reporting Platform (SRP) zarządzaną przez ENISA, która następnie przekazuje powiadomienie do odpowiedniego krajowego zespołu CSIRT i każdego innego zespołu CSIRT w państwie członkowskim, w którym dany produkt jest dostępny.

Francuskie wdrożenie dodaje wymiar jurysdykcyjny, który warto śledzić bezpośrednio: projekt ustawy DDADUE wyznacza ANFR jako francuski organ nadzoru rynku CRA, a misja ta wejdzie w życie 11 września 2026 r., w tym samym dniu, co obowiązek z artykułu 14, podczas gdy powiązany system sankcji, kary w wysokości do 15 milionów euro lub 2,5% światowego obrotu, aktywuje się dopiero 11 grudnia 2027 r. wraz z pełnym zastosowaniem CRA. Sama platforma SRP nie jest jeszcze uruchomiona: ENISA potwierdziła, że będzie działać do 11 września 2026 r., bez interfejsu API w momencie uruchomienia, co oznacza, że pierwsza fala obowiązkowych raportów w tym sektorze będzie składana ręcznie za pośrednictwem portalu internetowego.

ReżimCo obowiązuje teraz lub wkrótceKluczowa data
RED Cybersecurity Delegated Regulation (EU) 2022/30Obowiązkowe wymagania zasadnicze dla urządzeń radiowych podłączonych do internetu; seria EN 18031 z ograniczeniamiObowiązuje od 1 sierpnia 2025 r.; uchylone 11 grudnia 2027 r.
Cyber Resilience Act, Artykuł 14Raportowanie luk i incydentów w ciągu 24 godzin / 72 godzin / 14 dni przez SRP agencji ENISAObowiązuje od 11 września 2026 r.
Cyber Resilience Act, pełne zastosowanieOznakowanie CE i ocena zgodności w zakresie cyberbezpieczeństwa; reżim sankcji ANFR we Francji11 grudnia 2027 r.
Wyjątki dotyczące ołowiu w Annex III do RoHS (zrestrukturyzowane)Węższe pozycje podrzędne zastępują dotychczasowe wyjątki 6(a)/6(b)/6(c)/7(a)/7(c), z których większość wygasa w latach 2026-2027Obowiązuje od 1 lipca 2026 r.
Uznanie oznakowania CE w Wielkiej Brytanii (Radio Equipment Regulations 2017)Oznakowanie CE akceptowane bezterminowo na rynku w Wielkiej Brytanii; znak UKCA pozostaje opcjonalnyObowiązuje od 1 października 2024 r.

Czy dyrektywa RoHS nadal ma znaczenie, jeśli urządzenie posiada już oznakowanie CE dla RED i EMC?

Tak, a lista wyjątków, na której producent polegał w zeszłym roku, może już nie być aktualna. Trzy dyrektywy delegowane Komisji (Commission Delegated Directives, (EU) 2025/1802, 2025/2363 i 2025/2364), opublikowane 21 listopada 2025 r. i obowiązujące od 11 grudnia 2025 r., zastąpiły szerokie starsze wyjątki dotyczące ołowiu w Annex III 6(a), 6(b), 6(c), 7(a) i 7(c) dyrektywy 2011/65/EU węższymi, specyficznymi dla zastosowań wpisami podrzędnymi mającymi własne daty wygaśnięcia, przypadające w większości na okres między grudniem 2026 r. a grudniem 2027 r. Państwa członkowskie miały czas na transpozycję do 30 czerwca 2026 r., a nowe pozycje zaczęły obowiązywać od 1 lipca 2026 r. Wyjątek 6(a), obejmujący ołów jako pierwiastek stopowy w stali, aluminium i miedzi, nie zostanie w ogóle przedłużony i wygaśnie 11 grudnia 2026 r. dla każdej kategorii produktów, która nadal z niego korzysta.

Producent, którego zestawienie materiałowe nadal powołuje się na stary kod wyjątku w deklaracji zgodności, odwołuje się teraz do przepisu, który albo już nie istnieje, albo ma określoną datę wygaśnięcia. Jest to w równej mierze problem dokumentacyjny, co chemiczny, i ma on zastosowanie oprócz, a nie zamiast procedury odprawy RED i EMC, którą produkt już posiada.

Co zespół ds. zgodności powinien tak naprawdę sprawdzić przed kolejnym audytem?

Zacznij od tej samej listy kontrolnej, której ANACOM użył przeciwko Fnac: czy każdy SKU posiada widoczne oznakowanie CE, identyfikator partii lub numeru seryjnego oraz deklarację zgodności, którą dystrybutor może przedstawić w ciągu kilku dni, a nie tygodni od wezwania organu regulacyjnego. Następnie sprawdź, które produkty mieszczą się w zakresie rozporządzenia delegowanego dotyczącego cyberbezpieczeństwa RED (urządzenia radiowe podłączone do internetu, urządzenia do opieki nad dziećmi, urządzenia do noszenia lub urządzenia obsługujące pieniądze) i potwierdź, czy ograniczenia z normy EN 18031 mają zastosowanie do implementacji, ponieważ domyślna konfiguracja bez hasła powoduje utratę możliwości samodzielnej deklaracji. Na koniec sprawdź odniesienia zestawienia materiałowego w ramach RoHS względem przebudowanych wpisów w Annex III, zanim stary kod wyjątku po cichu wygaśnie.

Obsidian śledzi ANFR, Bundesnetzagentur, ANACOM, OPSS, OFCOM i unijne instrumenty dotyczące RED, EMC, RoHS i Cyber Resilience Act jako powiązane źródła tier-0, generując alerty, gdy akt delegowany taki jak 2026/339 zmienia harmonogram zgodności lub nowa decyzja wykonawcza zawęża zakres normy zharmonizowanej. Zapoznaj się z naszymi planami stworzonymi z myślą o zespołach zajmujących się zgodnością produktów i sprawami regulacyjnymi, śledzącymi urządzenia w wielu jurysdykcjach europejskich, lub podłącz moduł MCP od Obsidian bezpośrednio do własnych narzędzi, jeśli obieg pracy opiera się już na asystencie AI.