I mars 2026 bötfällde portugisiska ANACOM Fnac Portugal med 95 625 euro och beordrade förverkande av 17 radioutrustningar till staten. Anklagelseakten läser som en checklista för regelefterlevnad som gått fel: fyra modeller saknade CE-märkning, fem saknade typ-, parti- eller serieidentifikation, sju såldes utan portugisiska instruktionsböcker, och tio modeller för vilka Fnac inte kunde uppvisa en giltig EU-försäkran om överensstämmelse när ANACOM begärde det. På andra sidan gränsen i Tyskland flaggade Bundesnetzagenturs marknadsövervakning under 2025 7,7 miljoner enskilda icke-kompatibla enheter, en ökning från 5,3 miljoner under 2024, och dess tullsamarbete stoppade över 359 000 artiklar vid gränsen efter att ha funnit 89 % av de flaggade försändelserna icke-kompatibla.

Dessa tillsynssiffror utgör bakgrunden till en mer intensiv regleringskalender än vanligt. Radio Equipment Directives delegerade akt för cybersäkerhet har varit fullt tillämplig i mindre än ett år, Cyber Resilience Acts första strikta deadline infaller den 11 september 2026, och en omskriven uppsättning RoHS-blyundantag blev tillämplig den 1 juli 2026, bara veckor före denna artikel. Inget av dessa regelverk är frivilliga tillägg: de ligger ovanpå den CE-märkning som varje radio-, telekom- och elektrisk enhet redan behöver för att röra sig över EU, Storbritannien och Schweiz.

För ett efterlevnadsteam som hanterar artikelnummer över alla tre marknaderna är 2026 året då tre separata klockor sammanstrålar på en enda produktlinje samtidigt.

Vilka tillsynsmyndigheter upprätthåller faktiskt efterlevnaden för RF och elektrisk utrustning i Europa?

Ingen enskild EU-byrå övervakar radio- och elektrisk utrustning, utan varje medlemsstat driver sin egen marknadsövervakningsmyndighet gentemot samma harmoniserade regler. I Frankrike inspekterar Agence Nationale des Frequences (ANFR) återförsäljare och onlinenoteringar under Code des postes et des communications electroniques, och kan utfärda en mise en demeure, ett formellt föreläggande om efterlevnad, innan de eskalerar till en administrativ avgift, för närvarande begränsad till 7 500 euro för en juridisk person och 15 000 euro vid samtidiga överträdelser. Tysklands Bundesnetzagentur utför motsvarande funktion för Radio Equipment Directive (2014/53/EU) och EMC Directive (2014/30/EU) och granskar både onlinenoteringar och fysisk detaljhandel. Portugals ANACOM, som Fnac-fallet visar, följer samma eskaleringslogik: identifiera bristen, kräv korrigerande åtgärder, och bötfäll endast om operatören inte efterlever detta.

Utanför EU övervakar Storbritanniens Office for Product Safety and Standards Radio Equipment Regulations 2017, medan Schweiz OFCOM administrerar Ordinance on Telecommunications Installations (FAV) och Ordinance on Electromagnetic Compatibility (OEMC). Eftersom varje myndighet agerar utifrån nationell lagstiftning som införlivar eller speglar samma EU-direktiv, kan ett enda icke-kompatibelt artikelnummer utlösa parallella utredningar i flera länder samtidigt, precis det mönster över jurisdiktionsgränser som är lätt att missa utan övervakning per land. Obsidians regulatory monitoring spårar ANFR, Bundesnetzagentur, ANACOM, OPSS och OFCOM som separata tier-0-källor i stället för ett enda blandat "EU"-flöde, eftersom deras tillsynströsklar och förfaranden inte är identiska.

Vad utlöser faktiskt en böter, och hur stora kan de bli?

Fnac Portugal-akten visar det mönster som återkommer i tillsynsåtgärder inom denna sektor: saknad CE-märkning, saknad produktidentifikation och saknad portugisisk dokumentation kombinerat med en oförmåga att agera efter att ha blivit meddelad. ANACOMs beslut noterar uttryckligen att distributören i fyra fall inte vidtog korrigerande åtgärder efter att ha blivit ombedd att göra det. I Frankrike är taket lägre i absoluta tal, 7 500 euro för ett företag under artikel L.43 II bis i CPCE, men ANFRs strategi är identisk: en korrigeringsbegäran på första nivån för mindre problem, en formell mise en demeure med marknadstillbakadragande för upprepade eller allvarliga problem, och först därefter en administrativ avgift eller en brottsanmälan till allmänna åklagaren, eftersom det i sig klassificeras som en femte klassens brottslig överträdelse att placera en icke-kompatibel radioenhet på den franska marknaden.

Den tyska erfarenheten visar att skalproblemet är strukturellt, inte tillfälligt: Bundesnetzagentur kontrollerade nästan 2 100 utrustningstyper 2025 och fann fortfarande 1 266 icke-kompatibla typer som såldes enbart online. En separat EU-finansierad testkampanj (JACOP 2025) som drevs av Europeiska kommissionens DG GROW testade 173 elektroniska produkter för farliga ämnen och CE-dokumentation, varav 91 av dem, 53 %, misslyckades på antingen RoHS-ämnesgränser eller saknad/oläslig CE-märkning. För en efterlevnadsansvarig handlar lärdomen mindre om storleken på en enskild böter och mer om den grundläggande frekvensen: ungefär hälften av testad konsumentelektronik misslyckas på någon del av denna checklista, vilket gör att märkning och dokumentationsgranskning ser mindre ut som pappersarbete och mer som den mest värdefulla efterlevnadsaktivitet som finns tillgänglig.

Är REDs delegerade förordning för cybersäkerhet fortfarande aktiv, och hur länge?

Ja, och den har verkliga konsekvenser idag. Commission Delegated Regulation (EU) 2022/30, som aktiverar Radio Equipment Directives väsentliga krav på cybersäkerhet under artikel 3(3)(d), (e) och (f), har varit tillämplig sedan den 1 augusti 2025 på internetansluten radioutrustning, barnomsorgs- och kroppsburna enheter, samt utrustning som hanterar monetära värden. Implementing Decision (EU) 2025/138, publicerat den 30 januari 2025, listade de harmoniserade standarderna EN 18031-1, -2 och -3:2024 med tillhörande restriktioner: en produkt som exempelvis låter en användare hoppa över att ställa in ett lösenord förlorar presumtionen om överensstämmelse för den klausulen och behöver ett anmält organs inblandning i stället för självdeklaration.

Detta regelverk har nu ett utgångsdatum i lagboken. Europeiska kommissionen antog Delegated Regulation (EU) 2026/339 den 16 februari 2026, vilket upphäver (EU) 2022/30 med verkan från den 11 december 2027, exakt det datum då den bredare Cyber Resilience Act når full tillämpning. Varje tillverkare som placerar internetansluten radioutrustning på EU-marknaden mellan nu och det datumet lyder under REDs cybersäkerhetsreglering. Från och med den 11 december 2027 och framåt faller samma produkt under CRA i stället. Att spåra vilken delegerad akt som styr ett givet artikelnummer vid ett givet datum är precis den typ av fråga Obsidians AI-följeslagare kan svara på mot den underliggande regleringstexten i stället för ett efterlevnadsmemo som blir inaktuellt så snart en ny delegerad akt publiceras.

Vad kräver Cyber Resilience Acts deadline i september 2026 egentligen?

Artikel 14 i Cyber Resilience Act, Regulation (EU) 2024/2847, blir tillämplig den 11 september 2026, mer än ett år innan CRAs huvudsakliga skyldigheter för bedömning av överensstämmelse träder i kraft den 11 december 2027. Från det datumet måste varje tillverkare av en produkt med digitala element som säljs inom EU, oavsett var tillverkaren är baserad, rapportera aktivt utnyttjade sårbarheter och allvarliga incidenter enligt en stegvis tidslinje: en tidig varning inom 24 timmar från kännedom, en fylligare notifikation inom 72 timmar, och en slutrapport inom 14 dagar för sårbarheter eller en månad för incidenter. Rapporter skickas en gång genom ENISAs Single Reporting Platform (SRP), som sedan dirigerar meddelandet till det relevanta nationella CSIRT och varje annat CSIRT i en medlemsstat där produkten finns tillgänglig.

Frankrikes implementering lägger till en jurisdiktionsmässig detalj som är värd att spåra direkt: DDADUE-lagförslaget utser ANFR till Frankrikes marknadsövervakningsmyndighet för CRA, med ett uppdrag som träder i kraft den 11 september 2026, samma datum som skyldigheten enligt artikel 14, medan den tillhörande sanktionsordningen, böter upp till 15 miljoner euro eller 2,5 % av den globala omsättningen, endast aktiveras den 11 december 2027 i samband med full tillämpning av CRA. Själva SRP är ännu inte live: ENISA bekräftade att den kommer att vara operativ senast den 11 september 2026, utan API vid lanseringen, vilket innebär att den första vågen av obligatoriska rapporter inom denna sektor kommer att lämnas in manuellt via en webbportal.

RegelverkVad som gäller nu eller snartViktigt datum
RED Cybersecurity Delegated Regulation (EU) 2022/30Obligatoriska väsentliga krav för internetansluten radioutrustning, EN 18031-serien med restriktionerTillämplig sedan 1 augusti 2025, upphävs 11 december 2027
Cyber Resilience Act, artikel 14Rapportering av sårbarheter och incidenter inom 24 timmar, 72 timmar och 14 dagar via ENISAs SRPTillämplig från 11 september 2026
Cyber Resilience Act, full tillämpningCE-märkning och bedömning av överensstämmelse för cybersäkerhet, ANFRs sanktionsordning i Frankrike11 december 2027
RoHS Annex III blyundantag (omstrukturerade)Snävare underposter ersätter gamla undantag för 6(a), 6(b), 6(c), 7(a) och 7(c), de flesta löper ut 2026 eller 2027Tillämpliga från 1 juli 2026
Brittiskt erkännande av CE-märkning (Radio Equipment Regulations 2017)CE accepteras på obestämd tid på GB-marknaden, UKCA förblir valfrittI kraft sedan 1 oktober 2024

Spelar RoHS Directive fortfarande någon roll om en enhet redan har CE-märkning för RED och EMC?

Ja, och den undantagslista en tillverkare förlitade sig på förra året kanske inte längre är den aktuella. Tre Commission Delegated Directives, (EU) 2025/1802, 2025/2363 och 2025/2364, publicerade den 21 november 2025 och i kraft den 11 december 2025, ersatte de breda äldre blyundantagen i Annex III 6(a), 6(b), 6(c), 7(a) och 7(c) i RoHS Directive 2011/65/EU med snävare, applikationsspecifika underposter som bär sina egna utgångsdatum, där de flesta infaller mellan december 2026 och december 2027. Medlemsstaterna hade fram till den 30 juni 2026 på sig att införliva detta, och de nya posterna blev tillämpliga den 1 juli 2026. Undantag 6(a), som täcker bly som ett legeringsämne i stål, aluminium och koppar, kommer inte att förnyas alls och löper ut den 11 december 2026 för varje produktkategori som fortfarande förlitar sig på det.

En tillverkare vars materialförteckning fortfarande hänvisar till den gamla undantagskoden på en försäkran om överensstämmelse hänvisar nu till en bestämmelse som antingen inte längre existerar eller har ett fastställt utgångsdatum knutet till sig. Det är ett dokumentationsproblem lika mycket som ett kemiproblem, och det gäller utöver, inte i stället för, det RED- och EMC-godkännande en produkt redan innehar.

Vad bör ett efterlevnadsteam faktiskt kontrollera före nästa revision?

Börja med samma checklista som ANACOM använde mot Fnac: bär varje artikelnummer ett synligt CE-märke, en parti- eller serieidentifierare, och en försäkran om överensstämmelse som en distributör kan producera inom några dagar från en tillsynsmyndighets begäran, inte veckor. Kartlägg därefter vilka produkter som faller inom räckvidden för REDs delegerade akt för cybersäkerhet, det vill säga internetansluten radioutrustning, barnomsorgsprodukter, kroppsburna enheter eller pengahanteringsutrustning, och bekräfta huruvida restriktionerna i EN 18031 är tillämpliga på implementeringen, eftersom en standardkonfiguration utan lösenord förverkar rätten till självdeklaration. Slutligen, kontrollera referenserna i materialförteckningen för RoHS mot de omstrukturerade posterna i Annex III innan en gammal undantagskod i tysthet löper ut.

Obsidian spårar ANFR, Bundesnetzagentur, ANACOM, OPSS, OFCOM och Europeiska kommissionens instrument för RED, EMC, RoHS och Cyber Resilience Act som länkade tier-0-källor, med varningar när en delegerad akt som 2026/339 ändrar en efterlevnadsklocka eller ett nytt genomförandebeslut snävar in räckvidden för en harmoniserad standard. Se de plans som byggts för produkt- och regelefterlevnadsteam vilka spårar utrustning över flera europeiska jurisdiktioner, eller koppla Obsidians MCP direkt in i dina egna verktyg om ditt arbetsflöde redan drivs genom en AI-assistent.