Certificar un producto electrónico: CE, FCC y Cyber Resilience ActCertifying an electronic product: CE, FCC and the Cyber Resilience ActCertificar un producte electrònic: CE, FCC i Cyber Resilience ActCertifier un produit électronique : CE, FCC et Cyber Resilience Act
Puedes tener el mejor producto del mundo, pero si no está certificado no puedes venderlo legalmente. Para un dispositivo electrónico —y más si lleva radio (Bluetooth, WiFi)— la certificación no es papeleo opcional: sin ella te arriesgas a multas, retiradas del mercado y bloqueos en aduana. Esta es una guía clara de las tres piezas que más importan hoy: CE/RED en Europa, FCC en Estados Unidos y el nuevo Cyber Resilience Act.
Qué significa certificar (y por qué no es opcional)
Certificar es demostrar, con ensayos y documentación, que tu producto cumple la normativa del mercado donde lo vendes: que no interfiere con otros equipos, que es seguro para las personas, que usa el espectro de radio correctamente y —cada vez más— que es ciberseguro. Cada mercado tiene su marco, y debes cumplir el de cada país donde vendas.
CE y la directiva RED (Europa)
El marcado CE es obligatorio para vender en el Espacio Económico Europeo. Para un producto con radio, la directiva clave es la RED (Radio Equipment Directive), que agrupa varios aspectos:
- Uso del espectro: que la radio emita en las bandas y potencias permitidas.
- Compatibilidad electromagnética (EMC): que no genere interferencias ni se vea afectado por ellas.
- Seguridad eléctrica y salud: protección de las personas, incluida la exposición a radiofrecuencia (SAR) en dispositivos cercanos al cuerpo.
En muchos casos se trabaja con autodeclaración apoyada en ensayos de laboratorio y un expediente técnico que debes conservar. Usar módulos de radio ya pre-certificados reduce mucho el alcance de los ensayos.
FCC (Estados Unidos)
Para vender en EE. UU. un dispositivo con radio necesitas la certificación FCC (típicamente bajo la Part 15). Implica ensayos en un laboratorio acreditado y la obtención de un FCC ID que debe figurar en el producto. Es conceptualmente parecida a la europea, pero con sus propios límites, procedimientos y etiquetado: certificar para Europa no te certifica para EE. UU.
Cyber Resilience Act (CRA): la novedad que cambia las reglas
El Cyber Resilience Act es el nuevo reglamento europeo de ciberseguridad para "productos con elementos digitales" (casi cualquier dispositivo conectado). Entró en vigor a finales de 2024 y sus obligaciones principales serán aplicables a partir de 2027 (con la notificación de vulnerabilidades exigible antes, en 2026). A partir de ahí, el marcado CE también implicará cumplir requisitos de ciberseguridad. En la práctica te obliga a:
- Seguridad desde el diseño: el producto debe ser seguro por defecto, no como añadido posterior.
- Actualizaciones de seguridad: capacidad de parchear vulnerabilidades durante la vida del producto — es decir, un buen sistema OTA seguro.
- Gestión de vulnerabilidades: proceso para detectarlas, corregirlas y notificarlas, además de un inventario de componentes de software (SBOM).
El CRA convierte la ciberseguridad en un requisito legal, no en una buena práctica opcional. Conviene diseñar pensando en él desde ya.
Checklist de preparación (pre-compliance)
Llegar a los ensayos sin preparación es la receta para suspender y rediseñar. Esta lista ayuda a llegar con garantías:
- Define desde el principio en qué mercados vas a vender (Europa, EE. UU., otros): determina qué certificaciones necesitas.
- Usa, si puedes, módulos de radio pre-certificados: reducen ensayos, coste y riesgo.
- Diseña el hardware con la EMC en mente (masas, filtrado, layout): la mayoría de suspensos son por EMC.
- Haz pre-compliance: ensayos previos informales para detectar problemas antes del laboratorio oficial.
- Implementa seguridad y OTA (firma, cifrado, actualizaciones) para cumplir el CRA.
- Prepara el expediente técnico: esquemáticos, lista de materiales, evaluación de riesgos y manuales.
- Cuida el etiquetado y la documentación (marcado CE, FCC ID, declaraciones de conformidad).
- Planifica tiempos y presupuesto: la certificación tarda semanas y un suspenso retrasa el lanzamiento.
Errores comunes
- Dejar la certificación para el final: si algo falla, el rediseño cuesta semanas y dinero.
- Olvidar la EMC en el diseño de la PCB.
- Asumir que certificar en Europa vale para EE. UU. (o viceversa).
- Ignorar el CRA y descubrir tarde que falta toda la capa de ciberseguridad y actualizaciones.
Conclusión
Certificar es lo que convierte un prototipo en un producto que se puede vender. Planificarlo desde el diseño —radio, EMC, seguridad y ciberseguridad— evita sorpresas caras y retrasos en el lanzamiento. En Regular Solids diseñamos pensando en la certificación y damos apoyo en pre-compliance y preparación de ensayos (CE, FCC, RED) y en los requisitos de ciberseguridad del CRA. Si vas a lanzar un producto, cuéntanoslo y lo preparamos bien desde el principio.
Nota: este artículo es una guía divulgativa, no asesoramiento legal. La normativa evoluciona; confirma siempre los requisitos vigentes para tu producto y mercado.
You can have the best product in the world, but if it isn't certified you can't sell it legally. For an electronic device —especially one with radio (Bluetooth, WiFi)— certification isn't optional paperwork: without it you risk fines, market recalls and customs blocks. This is a clear guide to the three pieces that matter most today: CE/RED in Europe, FCC in the United States and the new Cyber Resilience Act.
What certifying means (and why it isn't optional)
Certifying means proving, with tests and documentation, that your product meets the rules of the market where you sell it: that it doesn't interfere with other equipment, that it's safe for people, that it uses the radio spectrum correctly and —increasingly— that it's cyber-secure. Each market has its own framework, and you must comply in every country where you sell.
CE and the RED directive (Europe)
The CE marking is mandatory to sell in the European Economic Area. For a product with radio, the key directive is the RED (Radio Equipment Directive), which bundles several aspects:
- Spectrum use: the radio must transmit in the allowed bands and power levels.
- Electromagnetic compatibility (EMC): it must not cause interference nor be affected by it.
- Electrical safety and health: protecting people, including radiofrequency exposure (SAR) in body-worn devices.
In many cases you work with a self-declaration backed by lab tests and a technical file you must keep. Using pre-certified radio modules greatly reduces the scope of testing.
FCC (United States)
To sell a radio device in the US you need FCC certification (typically under Part 15). It involves testing at an accredited lab and obtaining an FCC ID that must appear on the product. It's conceptually similar to the European one, but with its own limits, procedures and labelling: certifying for Europe doesn't certify you for the US.
Cyber Resilience Act (CRA): the change that rewrites the rules
The Cyber Resilience Act is Europe's new cybersecurity regulation for "products with digital elements" (almost any connected device). It entered into force in late 2024 and its main obligations apply from 2027 (with vulnerability reporting required earlier, in 2026). From then on, CE marking will also mean meeting cybersecurity requirements. In practice it forces you to:
- Security by design: the product must be secure by default, not as an afterthought.
- Security updates: the ability to patch vulnerabilities throughout the product's life — i.e. a solid secure OTA system.
- Vulnerability management: a process to detect, fix and report them, plus a software bill of materials (SBOM).
The CRA turns cybersecurity into a legal requirement, not an optional best practice. It's worth designing with it in mind from now on.
Preparation checklist (pre-compliance)
Reaching the tests unprepared is a recipe for failing and redesigning. This list helps you arrive with confidence:
- Define from the start which markets you'll sell in (Europe, US, others): it determines which certifications you need.
- Use pre-certified radio modules if you can: they cut testing, cost and risk.
- Design the hardware with EMC in mind (grounding, filtering, layout): most failures are EMC-related.
- Do pre-compliance: informal early tests to catch problems before the official lab.
- Implement security and OTA (signing, encryption, updates) to meet the CRA.
- Prepare the technical file: schematics, bill of materials, risk assessment and manuals.
- Get labelling and documentation right (CE marking, FCC ID, declarations of conformity).
- Plan time and budget: certification takes weeks and a failure delays the launch.
Common mistakes
- Leaving certification until the end: if something fails, the redesign costs weeks and money.
- Forgetting EMC in the PCB design.
- Assuming that certifying in Europe covers the US (or vice versa).
- Ignoring the CRA and discovering too late that the whole security and update layer is missing.
Conclusion
Certification is what turns a prototype into a product you can actually sell. Planning it from the design stage —radio, EMC, safety and cybersecurity— avoids expensive surprises and launch delays. At Regular Solids we design with certification in mind and support pre-compliance and test preparation (CE, FCC, RED) as well as the CRA's cybersecurity requirements. If you're about to launch a product, tell us and we'll prepare it well from the start.
Note: this article is an informational guide, not legal advice. Regulations evolve; always confirm the current requirements for your product and market.
Pots tenir el millor producte del món, però si no està certificat no el pots vendre legalment. Per a un dispositiu electrònic —i més si porta ràdio (Bluetooth, WiFi)— la certificació no és paperassa opcional: sense ella t'arrisques a multes, retirades del mercat i bloquejos a la duana. Aquesta és una guia clara de les tres peces que més importen avui: CE/RED a Europa, FCC als Estats Units i el nou Cyber Resilience Act.
Què significa certificar (i per què no és opcional)
Certificar és demostrar, amb assajos i documentació, que el teu producte compleix la normativa del mercat on el vens: que no interfereix amb altres equips, que és segur per a les persones, que fa servir l'espectre de ràdio correctament i —cada cop més— que és cibersegur. Cada mercat té el seu marc, i has de complir el de cada país on venguis.
CE i la directiva RED (Europa)
El marcatge CE és obligatori per vendre a l'Espai Econòmic Europeu. Per a un producte amb ràdio, la directiva clau és la RED (Radio Equipment Directive), que agrupa diversos aspectes:
- Ús de l'espectre: que la ràdio emeti en les bandes i potències permeses.
- Compatibilitat electromagnètica (EMC): que no generi interferències ni se'n vegi afectada.
- Seguretat elèctrica i salut: protecció de les persones, inclosa l'exposició a radiofreqüència (SAR) en dispositius propers al cos.
En molts casos es treballa amb autodeclaració recolzada en assajos de laboratori i un expedient tècnic que has de conservar. Fer servir mòduls de ràdio ja precertificats redueix molt l'abast dels assajos.
FCC (Estats Units)
Per vendre als EUA un dispositiu amb ràdio necessites la certificació FCC (típicament sota la Part 15). Implica assajos en un laboratori acreditat i l'obtenció d'un FCC ID que ha de figurar en el producte. És conceptualment semblant a l'europea, però amb els seus propis límits, procediments i etiquetatge: certificar per a Europa no et certifica per als EUA.
Cyber Resilience Act (CRA): la novetat que canvia les regles
El Cyber Resilience Act és el nou reglament europeu de ciberseguretat per a "productes amb elements digitals" (gairebé qualsevol dispositiu connectat). Va entrar en vigor a finals del 2024 i les seves obligacions principals seran aplicables a partir del 2027 (amb la notificació de vulnerabilitats exigible abans, el 2026). A partir d'aleshores, el marcatge CE també implicarà complir requisits de ciberseguretat. A la pràctica t'obliga a:
- Seguretat des del disseny: el producte ha de ser segur per defecte, no com un afegit posterior.
- Actualitzacions de seguretat: capacitat de pegar vulnerabilitats durant la vida del producte — és a dir, un bon sistema OTA segur.
- Gestió de vulnerabilitats: procés per detectar-les, corregir-les i notificar-les, a més d'un inventari de components de programari (SBOM).
El CRA converteix la ciberseguretat en un requisit legal, no en una bona pràctica opcional. Convé dissenyar pensant-hi des d'ara.
Checklist de preparació (pre-compliance)
Arribar als assajos sense preparació és la recepta per suspendre i redissenyar. Aquesta llista ajuda a arribar amb garanties:
- Defineix des del principi en quins mercats vendràs (Europa, EUA, altres): determina quines certificacions necessites.
- Fes servir, si pots, mòduls de ràdio precertificats: redueixen assajos, cost i risc.
- Dissenya el maquinari amb la EMC al cap (masses, filtratge, layout): la majoria de suspensos són per EMC.
- Fes pre-compliance: assajos previs informals per detectar problemes abans del laboratori oficial.
- Implementa seguretat i OTA (signatura, xifratge, actualitzacions) per complir el CRA.
- Prepara l'expedient tècnic: esquemàtics, llista de materials, avaluació de riscos i manuals.
- Tingues cura de l'etiquetatge i la documentació (marcatge CE, FCC ID, declaracions de conformitat).
- Planifica temps i pressupost: la certificació triga setmanes i un suspens endarrereix el llançament.
Errors habituals
- Deixar la certificació per al final: si alguna cosa falla, el redisseny costa setmanes i diners.
- Oblidar la EMC en el disseny de la PCB.
- Assumir que certificar a Europa val per als EUA (o a la inversa).
- Ignorar el CRA i descobrir tard que falta tota la capa de ciberseguretat i actualitzacions.
Conclusió
Certificar és el que converteix un prototip en un producte que es pot vendre. Planificar-ho des del disseny —ràdio, EMC, seguretat i ciberseguretat— evita sorpreses cares i retards en el llançament. A Regular Solids dissenyem pensant en la certificació i donem suport en pre-compliance i preparació d'assajos (CE, FCC, RED) i en els requisits de ciberseguretat del CRA. Si vas a llançar un producte, explica'ns-ho i el preparem bé des del principi.
Nota: aquest article és una guia divulgativa, no assessorament legal. La normativa evoluciona; confirma sempre els requisits vigents per al teu producte i mercat.
Vous pouvez avoir le meilleur produit du monde, mais s'il n'est pas certifié vous ne pouvez pas le vendre légalement. Pour un appareil électronique —et plus encore s'il intègre une radio (Bluetooth, WiFi)— la certification n'est pas une paperasse facultative : sans elle vous risquez des amendes, des retraits du marché et des blocages en douane. Voici un guide clair des trois pièces qui comptent le plus aujourd'hui : CE/RED en Europe, FCC aux États-Unis et le nouveau Cyber Resilience Act.
Ce que signifie certifier (et pourquoi ce n'est pas facultatif)
Certifier, c'est démontrer, par des essais et de la documentation, que votre produit respecte la réglementation du marché où vous le vendez : qu'il n'interfère pas avec d'autres équipements, qu'il est sûr pour les personnes, qu'il utilise correctement le spectre radio et —de plus en plus— qu'il est cybersécurisé. Chaque marché a son cadre, et vous devez respecter celui de chaque pays où vous vendez.
CE et la directive RED (Europe)
Le marquage CE est obligatoire pour vendre dans l'Espace économique européen. Pour un produit avec radio, la directive clé est la RED (Radio Equipment Directive), qui regroupe plusieurs aspects :
- Usage du spectre : que la radio émette dans les bandes et puissances autorisées.
- Compatibilité électromagnétique (EMC) : qu'elle ne génère pas d'interférences ni n'en soit affectée.
- Sécurité électrique et santé : protection des personnes, y compris l'exposition aux radiofréquences (SAR) dans les appareils portés près du corps.
Dans bien des cas on travaille avec une autodéclaration appuyée sur des essais en laboratoire et un dossier technique que vous devez conserver. Utiliser des modules radio déjà précertifiés réduit beaucoup l'étendue des essais.
FCC (États-Unis)
Pour vendre aux États-Unis un appareil avec radio, vous avez besoin de la certification FCC (généralement sous la Part 15). Elle implique des essais dans un laboratoire accrédité et l'obtention d'un FCC ID qui doit figurer sur le produit. Elle est conceptuellement similaire à l'européenne, mais avec ses propres limites, procédures et étiquetage : certifier pour l'Europe ne vous certifie pas pour les États-Unis.
Cyber Resilience Act (CRA) : la nouveauté qui change les règles
Le Cyber Resilience Act est le nouveau règlement européen de cybersécurité pour les « produits comportant des éléments numériques » (presque tout appareil connecté). Il est entré en vigueur fin 2024 et ses principales obligations s'appliqueront à partir de 2027 (la notification des vulnérabilités étant exigible plus tôt, en 2026). À partir de là, le marquage CE impliquera aussi de satisfaire des exigences de cybersécurité. En pratique, il vous oblige à :
- Sécurité dès la conception : le produit doit être sûr par défaut, et non comme un ajout ultérieur.
- Mises à jour de sécurité : la capacité de corriger les vulnérabilités tout au long de la vie du produit — c'est-à-dire un bon système OTA sécurisé.
- Gestion des vulnérabilités : un processus pour les détecter, les corriger et les signaler, ainsi qu'un inventaire des composants logiciels (SBOM).
Le CRA fait de la cybersécurité une exigence légale, et non une bonne pratique facultative. Il convient de concevoir en y pensant dès maintenant.
Checklist de préparation (pre-compliance)
Arriver aux essais sans préparation est la recette pour échouer et reconcevoir. Cette liste aide à arriver avec des garanties :
- Définissez dès le départ sur quels marchés vous allez vendre (Europe, États-Unis, autres) : cela détermine les certifications dont vous avez besoin.
- Utilisez, si possible, des modules radio précertifiés : ils réduisent les essais, le coût et le risque.
- Concevez le matériel avec l'EMC à l'esprit (masses, filtrage, layout) : la plupart des échecs sont dus à l'EMC.
- Faites du pre-compliance : des essais préalables informels pour détecter les problèmes avant le laboratoire officiel.
- Implémentez la sécurité et l'OTA (signature, chiffrement, mises à jour) pour satisfaire le CRA.
- Préparez le dossier technique : schémas, nomenclature, évaluation des risques et manuels.
- Soignez l'étiquetage et la documentation (marquage CE, FCC ID, déclarations de conformité).
- Planifiez les délais et le budget : la certification prend des semaines et un échec retarde le lancement.
Erreurs courantes
- Laisser la certification pour la fin : si quelque chose échoue, la reconception coûte des semaines et de l'argent.
- Oublier l'EMC dans la conception de la PCB.
- Supposer que certifier en Europe vaut pour les États-Unis (ou inversement).
- Ignorer le CRA et découvrir trop tard qu'il manque toute la couche de cybersécurité et de mises à jour.
Conclusion
La certification est ce qui transforme un prototype en un produit que l'on peut réellement vendre. La planifier dès la conception —radio, EMC, sécurité et cybersécurité— évite des surprises coûteuses et des retards de lancement. Chez Regular Solids, nous concevons en pensant à la certification et nous accompagnons le pre-compliance et la préparation des essais (CE, FCC, RED) ainsi que les exigences de cybersécurité du CRA. Si vous êtes sur le point de lancer un produit, parlez-nous-en et nous le préparons bien dès le départ.
Note : cet article est un guide informatif, pas un conseil juridique. La réglementation évolue ; confirmez toujours les exigences en vigueur pour votre produit et votre marché.