“Papir‑compliance” er ikke længere nok – hverken ift. CSDDD eller civilretligt ansvar. Derfor har CSDDD compliance en endnu stærkere business case.

Corporate Sustainability Due Diligence Directive (CSDDD) er ikke bare endnu et ESG-regelsæt. Det er et markant skridt i retning af, at virksomheder skal kunne arbejde systematisk, risikobaseret og dokumenterbart med menneskerettigheder og miljø i egen drift, datterselskaber og relevante dele af værdikæden. Det gør emnet mindre enkelt, men mere forretningskritisk. Vi har talt med Elizabeth Boye, Managing Partner i Sociability, som har mere end 25 års international erfaring inden for strategisk bæredygtighed, værdikædeudvikling, impact investment og compliance.

Der findes regulering, som lægger sig oven på det eksisterende. Og så findes der regulering, som ændrer selve måden, virksomheder må forstå, efterleve og dokumentere deres ansvar på. CSDDD hører til i den sidste kategori.

Direktivet gør jura til en central del af bæredygtigheds-due diligence. Kernen er, at virksomheder skal identificere og adressere negative påvirkninger på menneskerettigheder og miljø i egne aktiviteter, datterselskaber og relevante dele af kæden af aktiviteter. Det er ikke kun et spørgsmål om politikker og rapporter, men om processer, prioriteringer, governance og dokumentation.

CSDDD flytter ansvar fra ambition til arbejdsform.

Fra ESG-sprog til juridisk pligt

Mange virksomheder har i årevis arbejdet med ”codes of conduct”, ansvarlig leverandørstyring og ESG-politikker. CSDDD ændrer ikke behovet for det arbejde. Men det ændrer tyngden.

Når EU gør due diligence til en egentlig pligt, bliver området sværere at behandle som et isoleret bæredygtighedsprojekt. Det bliver i stedet et tværgående anliggende mellem jura, compliance, procurement, sustainability og ledelse. CSDDD’en skal ses som muligheden for at man både skal forstå kravene, samspillet med andre regelsæt og den praktiske implementering på tværs af funktioner i virksomheden.

Det er netop dét, der gør direktivet interessant for en juridisk målgruppe. Det handler ikke alene om, hvad virksomheder bør ville – men om, hvordan de skal organisere beslutninger, risikovurderinger og opfølgning, så ansvar kan dokumenteres og styres.

Omnibus ændrede reglerne – men ikke retningen

Det oprindelige CSDDD-direktiv, EU 2024/1760, trådte i kraft 25. juli 2024. Siden er reglerne blevet ændret af Omnibus I-direktivet, EU 2026/470, som blandt andet har indsnævret anvendelsesområdet, ændret visse pligter og udskudt implementeringen.

Efter ændringerne er direktivet målrettet de største virksomheder. Rådet beskriver de nye tærskler som mere end 5.000 ansatte og mere end 1,5 mia. euro i nettoomsætning, samtidig med at reglerne begrænser den såkaldte trickle-down-effekt over for mindre virksomheder i kæden. Medlemsstaterne skal vedtage og offentliggøre de nødvendige regler senest 26. juli 2028 og anvende dem fra 26. juli 2029, mens visse rapporteringsbestemmelser først får senere anvendelse.

Det betyder ikke, at virksomheder kan sætte arbejdet på pause. Det giver mulighed for at arbejde proaktivt og dermed effektivt efterlevelsen af kravene i CSDDD.

Det afgørende ord er risikobaseret

Noget af det mest interessante ved CSDDD er, at direktivet ikke bygger på forestillingen om perfekte værdikæder. Det bygger på en risikobaseret tilgang.

Kommissionen beskriver formålet som at sikre, at virksomheder identificerer og adresserer potentielle og faktiske negative påvirkninger. I den ændrede direktivtekst fremgår det samtidig, at virksomheder kan fokusere deres identifikation og vurdering på de områder i kæden af aktiviteter, hvor negative påvirkninger mest sandsynligt vil opstå eller være mest alvorlige.

Det er en mere realistisk reguleringslogik end idéen om total kontrol. Men den er også mere krævende. For en risikobaseret model kræver ikke bare information — den kræver forståelse af sammenhænge og dømmekraft. Virksomheden skal kunne begrunde, hvorfor den prioriterer, som den gør, og hvordan den dokumenterer de valg.

Her bliver jura og governance tæt forbundet. Det centrale spørgsmål er ikke kun, om man har en politik, men om man har en arbejdsform, der kan bære prioriteringen.

Mere end rapportering

CSDDD hænger tæt sammen med CSRD, EU-taksonomien og internationale standarder som UNGP og OECD-retningslinjerne. Den sammenhæng er vigtig, men CSDDD’en er ikke bare en rapporteringsøvelse.

Det handler om, hvordan virksomheden faktisk organiserer sit arbejde med risici, leverandørrelationer, handlingsplaner, stakeholderdialog og intern rollefordeling. Mange organisationer er gode til at formulere ambitioner. Langt færre er lige så langt, når det gælder de processer, der skal omsætte ambitionerne til drift.

Det er præcis dér, CSDDD bliver et juridisk og praktisk ledelsesemne. For reglerne kræver ikke blot, at noget bliver sagt. De kræver, at noget bliver gjort — og kan påvises.

”Den svære del af CSDDD er ikke at forstå ordlyden. Det er at omsætte den til governance, data og beslutninger”, siger Elizabeth

Ledelsen kan ikke parkere emnet

En af de vigtigste konsekvenser af CSDDD er derfor organisatorisk. Når due diligence kobles tættere til leverandørstyring, risikoforståelse, dokumentation og forretningsbeslutninger, bliver det et ledelsesemne på tværs af organisationer.

Ikke nødvendigvis i den symbolske forstand, hvor alt skal løftes til bestyrelsesniveau. Men i den praktiske forstand, at ansvar, prioritering og opfølgning skal fungere på tværs.

Omnibus har desuden ændret balancen i reguleringen. Rådet fremhæver blandt andet fjernelsen af pligten til en særskilt transition plan under CSDDD og fjernelsen af den EU-harmoniserede civilretlige ansvarsmekanisme, samtidig med at medlemsstaterne skal fastsætte et maksimum for bøder på 3 % af nettoomsætningen på verdensplan.

Det betyder ikke, at ansvaret bliver mindre interessant. Det betyder, at virksomheder i endnu højere grad må arbejde med intern styring, governance og dokumenterbare prioriteringer.

Timing er stadig et strategisk spørgsmål

Det kan være fristende at læse de udskudte datoer som en invitation til at vente. Det ville være en fejl.

Udskudt ikrafttræden er ikke det samme som lavere strategisk relevans. Tværtimod giver det virksomheder et vindue til at afklare, hvilke dele af forretningen der bliver berørt, hvordan værdikæden skal kortlægges, hvilke risikoområder der kræver særlig opmærksomhed, og hvordan de juridiske krav skal oversættes til arbejdsprocesser, som organisationen faktisk kan leve med.

Mere end compliance – mindre end total kontrol

Måske er det den mest præcise måde at forstå CSDDD på: det er et regelsæt, der kræver implementering i egne og værdikædens forretningsgange. Compliance på papiret er ikke nok.

Virksomheder skal ikke kunne bevise, at der aldrig opstår problemer. Men de skal kunne vise, at de arbejder systematisk, proportionelt og dokumenterbart med at identificere og håndtere de væsentligste negative påvirkninger. Det er en anden og mere krævende standard end blot at have gode intentioner.

Og netop derfor er CSDDD blevet et emne, som jurister, compliance-ansvarlige, bæredygtighedsfolk og ledelser må forstå i fællesskab. Ikke fordi alt skal juridificeres. Men fordi uklare ambitioner ikke længere er nok, når ansvar i værdikæden bliver til jura.

Kom med på et kursus, der matcher virkeligheden

JUC afholder kurset ’CSDDD og praktisk Sustainability Due Diligence i værdikæden’, som ikke bare giver dig et teoretisk overblik over CSDDD, men en kombination af regelindsigt og praktiske værktøjer. Du får indblik i krav, omfang, tidslinje og samspil med andre regelsæt – og arbejder samtidig med risikobaseret due diligence, politikker, procedurer, handlingsplaner, dokumentation, rapportering, stakeholder-dialog og praktiske dilemmaer. Kurset er et todageskursus og lægger vægt på både opdatering og anvendelse i praksis.