网上给你列2026年欧盟CE认证新变化的文章太多了，GPSR强执法、RED网络安全强制、电商平台收紧审核……看完心里慌，觉得一堆新规要背。

　　别慌。GPSR是2024年12月13日就适用的，到今天18个月了。RED网络安全是2025年8月1日强制生效的，快一年了。这些不是2026年才冒出来的新规，你如果到现在还没做，法律上已经不合规了。已经逾期，不是快到期。

　　那2026年到底变了什么？两件事。已经执行的法规，检查标准比刚生效时更严更细了。两项线年启动的新义务——产品责任指令要求成员国完成国内法转化、网络韧性法案的报告义务开始适用——把合规压力从产品能不能卖推到了出了事谁来赔和漏洞要不要报。搞清楚这个节奏，才不会眉毛胡子一把抓。

　　GPSR（Regulation (EU) 2023/988）从2024年12月13日适用。刚生效那会儿，各成员国市场监管机构自己也在磨合，很多检查停留在书面核查，现场抽查比例低。到了2026年，执法指引统一了，人员培训到位了，检查往细处走。

　　最明显的是EC REP核查变了。过去一年，不少出口企业找了个在欧盟注册的地址挂名，标签上印了名字和地址，看着合规。但那个地址背后的实体，监管机构找上门的时候拿得出技术文档吗？能协调产品召回吗？能回应安全事件通报吗？2026年不再只看你标签上有没有印EC REP信息了，监管机构会真的去联系那个实体，要求它在合理时间内做出回应。实体接不了活，产品就不合规，哪怕标签本身看着完整。

　　EC REP这回事有个容易搞混的地方。市面上很多文章把这说成GPSR带来的新要求，其实不是。早在2021年7月16日，市场监管法规（Regulation (EU) 2019/1020）就强制要求所有CE标志产品在欧盟境内指定经济运营者了。GPSR把这个要求扩展到非CE标志的消费类产品，覆盖面更广，但道理跟2019/1020一样。做CE标志产品的，你的EC REP义务从2021年就存在了。

　　技术文档的核查也在变。以前产品测完了，报告拿到手，放箱底存着就行。GPSR明确要求技术文档必须持续更新。量产阶段换了关键元器件、改了电路、调整了结构，这些变更必须同步记录在技术档案里，包括变更内容的描述和重新评估的结论。2026年市场监管机构开始把变更管理记录当成抽查的常规项目了，不再只看初始版本的合规报告。技术档案不能做完就封存，得跟着产品走。

　　标签的物理呈现也是2026年核查重点。GPSR要求EC REP信息在产品或包装上以清晰、醒目、不可擦除的方式标注。过去不少人用贴纸附在包装外层，轻轻一撕就掉了。这种做法在2026年的检查中会被认定不满足要求。

　　RED网络安全已经强制一年了，实验室瓶颈才是线条(d)(e)(f)三项网络安全要求，通过授权法规(EU) 2022/30制定。原定2024年8月1日强制生效，协调标准还没写完，延期了一年，最终在2025年8月1日正式生效。到今天强制执行快一年了。

　　2025年8月1日之前投放市场的产品，在原有RED制度下可以继续销售，不用补做网络安全评估。但从那天起首次投放市场的任何无线联网产品，无论设计是不是跟旧型号一样，符合性声明里必须涵盖3.3条的要求。对已有产品做实质性修改——固件做了重大变更、加了新的无线功能、换了无线组件——会被判定为重新投放市场，哪怕原始版本是2025年8月之前上市的，修改后的版本也得满足3.3条。

　　三项要求的协调标准已经在2024年的欧盟官方公报（OJEU）里引用了，采用这些标准的制造商有符合性推定的地位。

　　3.3(d)网络保护对应EN 18031-1。固件更新必须经过签名验证，还得有受控的回滚机制。未经请求的出站网络连接要限制，非必要的网络服务默认禁用。设备跟网络之间要支持双向认证，用证书或者强预共享密钥。重大安全事件得记日志。

　　3.3(e)个人数据保护对应EN 18031-2。这里有个比不能用admin/admin更严格的要求：所有设备单元不得使用相同的出厂密码。哪怕你设了一个很复杂的出厂密码，只要每台设备都一样，就不合规。敏感数据通信加密最低支持TLS 1.2，TLS 1.2是底线。密钥和认证令牌要加密存储。恢复出厂设置或者报废的时候要安全擦除用户数据。还得文档化说明数据收集的类型、目的和保留期限。

　　3.3(f)防欺诈保护对应EN 18031-3，针对涉及金融支付功能的设备。金融操作要用多因素认证，交易要保证完整性和不可否认性，用随机数或签名时间戳防重放攻击，金融操作要留审计追踪记录。

　　2026年法规层面没有新变化，但执行层面有个现实问题绕不过去：实验室瓶颈。2025年8月RED网络安全激活的时候，全欧洲具备EN 18031-1/2/3完整认可资质范围的实验室不到十家。评估等待周期8到16周，需求还在往上推，价格也在涨。到了2026年6月，这个瓶颈没有明显缓解。产品要是涉及联网无线功能，固件冻结后尽早预约实验室档期，不要等产品做完了再去排期。

　　产品责任指令的国内法转化——2026年线年最重大的合规变化，也是市面上多数文章压根没覆盖的内容。

　　新产品责任指令（PLD，Directive (EU) 2024/2853）在2024年12月9日生效，取代了施行快四十年的旧指令85/374/EEC。成员国必须在2026年12月9日前完成国内法转化。到2026年3月，只有匈牙利完成了转化，其他国家还在推。

　　PLD跟CE认证流程本身不直接挂钩，但它改了产品出了问题之后的法律后果。做出口的，理解它的意义不在怎么做认证，而在认证做完之后，我的法律责任边界在哪。

　　旧指令的生产者概念在新PLD里被扩展成了经济运营者，覆盖面比以前宽得多：制造商、进口商、授权代表，甚至履约服务提供商都算。在欧盟境内没有进口商也没有授权代表的，给你提供仓储和包装等服务的企业可能被认定为责任方。你指定的EC REP在新PLD框架下有可能成为被追究无过错责任的主体，不只是标签上的一个名字。

　　产品的定义把软件纳入了。新PLD明确把软件——包括应用程序、操作系统和AI系统——列为产品。联网设备因为软件缺陷导致了人身伤害或财产损失，可以被追究产品责任。不是服务合同责任，是跟硬件缺陷同等级别的无过错责任。对所有带固件的电子产品都有直接影响。

　　证据披露制度和举证推定是新PLD里对出口企业压力最大的部分。索赔人只需要提供支持索赔合理性的事实和证据，就能向法院申请让你披露技术文档、测试记录和风险评估报告。没按要求披露？法院直接推定你的产品有缺陷。还有一条：索赔人能证明你的产品违反了欧盟产品安全法规——包括GPSR、RED——也触发缺陷推定。技术文档不光要编制完整，还得能在法律程序中拿出来用。相关部门要知道自己手里有什么信息，能高效地、让人看得懂地回应披露请求。

　　潜伏性人身伤害的权利消灭期限从10年拉到了25年。产品如果涉及可能产生长期健康影响的因素——电磁辐射、化学物质暴露之类——得为此保留至少25年的测试和风险评估记录。保险成本和记录保存负担都会跟着涨。

　　网络韧性法案（CRA，Regulation (EU) 2024/2847）在2024年12月10日生效，覆盖所有带数字元素的可联网硬件和软件产品。执行时间线日起，制造商的漏洞和安全事故报告义务开始适用；2027年12月11日起，法案的主要义务——网络安全设计要求、安全更新提供义务、CE标志加贴要求——全面适用。

　　2026年9月的报告义务是CRA对出口企业最先产生实际影响的环节。从那天起，联网产品发生了被利用的漏洞或安全事故，得主动向欧盟相关机构报告。有时间窗口的，不是发现后再慢慢处理的事情。

　　CRA跟RED网络安全要求有部分重叠。RED 3.3条管的是无线设备，CRA管的是所有可联网的数字产品，不限于无线设备。产品既是无线设备又是联网产品的，两边的要求都得满足。欧盟委员会正在制定协调两者关系的具体指引，但在2026年的实操层面，RED网络安全评估的文档体系最好一开始就做成可扩展的架构，CRA全面适用的时候能快速补上符合性证据，不要两套体系从头做两遍。

　　市面上文章老把电商平台必须核实卖家合规信息说成GPSR带来的新要求。这个归因不完整。市场监管法规（Regulation (EU) 2019/1020）从2021年7月16日起就要求在线销售平台核实所售产品是否满足欧盟合规要求，包括是否指定了欧盟境内经济运营者。GPSR做的是把平台义务的适用范围从CE标志产品扩展到所有消费类产品，并细化了平台在安全事故通报中的配合义务。

　　做CE标志产品的，平台对你EC REP信息和合规文件的审核要求从2021年就存在了。只是各平台执行节奏不一样，有的平台2021到2023年间执行力度偏弱。2024年GPSR生效后，主要跨境电商平台统一收紧了审核标准，审核范围从CE产品扩大到所有消费品。到2026年，这种收紧已经是常态了。要做的就是把合规文件和EC REP信息当成产品上架的标配条件，纳入日常运营流程，不要当成临时应付审查的紧急事项。

　　德国联邦网络局（BNetzA）对用户说明书德语版本的严格要求，法国竞争管理局对能效标签真实性的核查，这些都是成员国市场监管机构基于本国法律传统和消费者保护优先级形成的执法偏好，持续了好几年了。

　　但2026年有个值得留意的新动态：欧盟层面在推市场监管协调机制的强化。2026年初，多个行业组织和消费者代表机构提交了修订市场监管法规的意见书，核心诉求是加强成员国间的执法协调、设立更有权威的跨境执法机制、对系统性非合规现象采取更主动的干预措施。这些讨论如果最终落地，会逐步缩小成员国执法差异。短期内，这种差异还是你在不同市场面临的现实约束。销往德国的，说明书要有高质量的德语版本。销往法国的，能效标签格式和数据要跟实测一致。这是持续性的合规基本功。

　　EC REP的实际履职能力，现在就去确认。标签上已经标注了EC REP信息的，联系那个实体，问清楚它能不能在你被监管机构质询的时候及时提供技术文档、协调产品召回。如果只是挂名地址，立刻换成有实际履职能力的授权代表服务。这个义务对你来说从2021年（CE产品）或2024年12月（非CE消费品）就存在了。

　　联网无线产品的RED网络安全评估。产品在2025年8月1日之后首次投放欧盟市场的，或者对已有产品做了实质性修改的，必须完成EN 18031-1/2/3的评估。实验室档期紧张是当前的现实瓶颈，固件冻结后马上预约。

　　技术文档的动态更新机制。把技术档案从存档文件变成跟着产品走的活档案，建变更管理台账，每次影响合规的设计变更都得记录内容和评估结论。这是GPSR和2019/1020共同要求的持续性义务。

　　新PLD的国内法转化准备。2026年12月9日前各成员国完成转化。需要评估几件事：EC REP在新PLD框架下有没有可能被认定为责任方？授权代表协议里的责任条款要不要调整？技术文档体系能不能在证据披露程序中高效响应？产品责任保险的覆盖范围要不要扩展到软件缺陷和潜伏性伤害的25年风险？

　　CRA报告义务的流程建设。从2026年9月起，联网产品的漏洞和安全事故要主动报告。建立内部的安全事件识别和报告流程，确定报告路径和时间窗口。

　　ESPR和数字产品护照的推进节奏。DPP的强制实施从2027年开始（电池护照2027年2月，纺织品2027年中），但2026年是准备窗口期。产品属于电池、纺织品、电子产品或家具类别的，开始梳理供应链数据可追溯性的现状，评估数据收集和系统对接的难度。