Omnibus I: duidelijkheid over de toekomst van de CSRD en CSDDD

CSRD

Inperking van toepassingsbereik

Het toepassingsbereik van de CSRD wordt beperkt tot de volgende categorieën ondernemingen:

• Ondernemingen met meer dan 1000 werknemers en meer dan EUR 450 miljoen netto-omzet;
• Ondernemingen uit derde landen mits het moederbedrijf twee opeenvolgende boekjaren een netto-omzet heeft van meer dan EUR 450 miljoen en de dochteronderneming of het bijkantoor in de EU een netto-omzet heeft van meer dan EUR 200 miljoen.

Beursgenoteerde middelgrote en kleine ondernemingen vallen niet langer onder het toepassingsbereik. Ook financiële holdings zijn voortaan uitgesloten van het toepassingsbereik van de CSRD.

Bovendien mogen alle dochterondernemingen op basis van de gewijzigde CSRD gebruikmaken van de dochtervrijstelling wanneer de duurzaamheidsinformatie wordt opgenomen in een geconsolideerd verslag van een moedermaatschappij. Deze vrijstelling mocht onder de oude tekst van de CSRD niet worden gebruikt door beursgenoteerde (dochter)ondernemingen, waardoor deze ondernemingen verplicht waren zelfstandig een duurzaamheidsrapportage openbaar te maken.

Op basis van de gewijzigde CSRD dient de Europese Commissie in 2031 te beoordelen of het toepassingsbereik passend is. Voor ondernemingen die niet (meer) onder de CSRD vallen, zullen vrijwillige rapportagestandaarden worden vastgesteld door de Europese Commissie.

Value chain cap en ‘beschermde onderneming’

De herziene versie van de CSRD introduceert het begrip ‘beschermde onderneming’ (protected undertaking). Een beschermde onderneming heeft niet meer dan 1000 werknemers en is onderdeel van de waardeketen van een onderneming die onder de CSRD valt. Beschermde ondernemingen hebben het recht om informatieverzoeken van rapporterende ondernemingen af te wijzen, voor zover die verder gaan dan wat de beschermde onderneming volgens de vrijwillige standaarden zouden mogen rapporteren. Het is rapporterende ondernemingen bovendien niet toegestaan verdergaande informatieverplichtingen contractueel vast te leggen. Wanneer dit toch gebeurt, zijn de betreffende contractuele bepalingen niet bindend. Indien een rapporterende onderneming om meer informatie verzoekt, dan moet deze onderneming de beschermde onderneming er actief op wijzen welke verzochte informatie verder gaat dan die in de vrijwillige standaarden en op het recht van de beschermde onderneming om dit verzoek te negeren. Deze beperkingen gelden slechts met betrekking tot informatieverzoeken die bedoeld zijn voor de duurzaamheidsrapportage van de rapporterende onderneming. Informatieverzoeken die een ander doel dienen, blijven toegestaan.

Daarnaast voorziet de Richtlijn in een overgangsperiode van drie jaar waarin ondernemingen de ruimte krijgen om uit te leggen waarom zij niet alle noodzakelijke informatie uit hun waardeketen hebben kunnen halen en wat hun plannen zijn om ervoor te zorgen dat zij deze informatie alsnog kunnen verkrijgen.

Geen sectorspecifieke ESRS en geen reasonable assurance

De bevoegdheid van de Europese Commissie om sectorspecifieke European Sustainability Reporting Standards (hierna: ESRS) vast te stellen komt te vervallen. In plaats daarvan is een bepaling opgenomen die de Europese Commissie de mogelijkheid geeft om sectorspecifieke guidelines vast te stellen.

De toekomstige verplichting om reasonable assurance te verkrijgen over de duurzaamheidsrapportage is eveneens geschrapt. Dit betekent dat slechts de verplichting om limited assurance te verkrijgen vervat blijft in de CSRD.

Artikel 8 Taxonomieverordening

De ondernemingen die onder het aangescherpte toepassingsbereik van de CSRD vallen, blijven verplicht om aan artikel 8 van de Taxonomieverordening te voldoen. Op basis van artikel 8 Taxonomieverordening moeten ondernemingen die een duurzaamheidsrapportage opstellen onder de CSRD ook rapporteren over de mate waarin hun activiteiten als ecologisch duurzaam kwalificeren zoals gedefinieerd in de Taxonomieverordening.

Overgangsregeling

Op basis van de CSRD moest een eerste groep ondernemingen al over boekjaar 2024 een duurzaamheidsrapportage openbaar maken. Het betreft de zogenoemde grote organisaties van openbaar belang (OOB’s). Lidstaten krijgen de mogelijkheid om voor grote OOB’s die niet langer onder het aangescherpte toepassingsbereik vallen te voorzien in een overgangsregeling: over 2025 en 2026 hoeven zij dan niet aan de rapportageverplichtingen van de CSRD te voldoen. De ondernemingen die een grote OOB zijn en die wel onder de CSRD blijven vallen moeten nog steeds over de boekjaren 2025 en 2026 een duurzaamheidsrapportage opstellen en openbaar maken.

CSDDD

Toepassingsbereik Het toepassingsbereik van de CSDDD wordt beperkt tot ondernemingen met meer dan 5000 werknemers en meer dan EUR 1,5 miljard netto-omzet wereldwijd en ondernemingen uit derde landen met meer dan EUR 1,5 miljard netto-omzet op de Europese markt (art. 2 lid 1 onder a). Onder de voormalige tekst ging het om ondernemingen met meer dan 1000 werknemers en meer dan EUR 450 miljoen netto-omzet en ondernemingen uit derde landen met meer dan EUR 450 miljoen netto-omzet in de EU (art. 2 lid 2 onder a). De CSDDD bevat echter wel een clausule op basis waarvan de Europese Commissie aanbevelingen of wetsvoorstellen kan doen met betrekking tot het bijstellen van de drempelwaarden in de rapportage die de Europese Commissie voor het Parlement en de Raad opstelt over de implementatie en effectiviteit van de CSDDD (voor het eerst in 2031). Bovendien kan de Europese Commissie aanbevelen om ondernemingen die actief zijn in hoog-risicosectoren alsnog afzonderlijk onder de CSDDD te laten vallen (art. 36). Eenzelfde clausule die betrekking heeft op financiële ondernemingen en die onderdeel uitmaakt van de huidige tekst van de CSDDD, wordt verwijderd. 

Identificatie van negatieve effecten 

Met betrekking tot het identificeren van negatieve effecten moeten ondernemingen zich voorbereiden op het uitvoeren van een scoping exercise van hun activiteiten en die van alle directe en indirecte zakenpartners waarbij gekeken wordt naar de risico’s op- of het bestaan van effecten van activiteiten in het algemeen. Dit houdt in dat ondernemingen op minder gedetailleerd niveau hun “leverketens” hoeven te identificeren en mogen kijken naar de effecten van bijvoorbeeld katoenverbouwing in een bepaalde regio in het algemeen, in plaats van de specifieke activiteiten van alle entiteiten in de leverketen. Een mapping exercise waarbij alle activiteiten en effecten op entiteitsniveau in kaart worden gebracht, is niet langer verplicht.

Ondernemingen mogen hun onderzoek enkel baseren op ‘redelijk beschikbare informatie’. Hiermee moet zo veel als mogelijk worden voorkomen dat kleine zakenpartners worden belast met informatieverzoeken. De scoping exercise moet leiden tot een risico-indexatie die de ‘algemene gebieden’ identificeert waar negatieve effecten het meest waarschijnlijk of het meest zwaarwegend zijn. Naar deze algemene gebieden moet dan nader onderzoek worden uitgevoerd, om de specifieke potentiële of daadwerkelijke negatieve effecten te identificeren. Informatieverzoeken aan zakenpartners mogen alleen worden gedaan wanneer de informatie noodzakelijk is. Wanneer de zakenpartner minder dan 5000 werknemers heeft, mag bovendien alleen informatie worden gevraagd die niet in redelijkheid op een andere manier verkregen kan worden. Als ondernemingen risico’s op negatieve effecten hebben geïdentificeerd die even waarschijnlijk of zwaarwegend zijn op het niveau van directe en indirecte zakenpartners, mogen zij de effecten die plaatsvinden op het niveau van directe zakenpartners prioriteren bij het uitvoeren van nader onderzoek.

Adresseren van potentiële en daadwerkelijke negatieve effecten 

Met betrekking tot mitigatieverplichtingen voor potentiële en daadwerkelijke negatieve effecten zijn alleen de bepalingen aangepast over vervolgmaatregelen die moeten worden genomen indien de eerste-responsmaatregelen ineffectief blijken. Wanneer het risico op of een daadwerkelijk negatief effect wordt geïdentificeerd, zijn ondernemingen verplicht actie te ondernemen om het effect te voorkomen of te beëindigen. De CSDDD verdeelt deze acties in twee fases: de eerste-responsmaatregelen en de vervolgmaatregelen. Onder de eerste-responsmaatregelen vallen onder andere het invoeren van een eerste actieplan om effecten te voorkomen of beëindigen en het zoeken van contractuele garanties van zakenpartners om effecten te voorkomen of te beëindigen. Als de eerste-responsmaatregelen niet effectief blijken, moet de onderneming vervolgmaatregelen nemen. 

De verplichting tot het beëindigen van een zakelijke relatie wanneer niet in redelijkheid kan worden verwacht dat andere vervolgmaatregelen een effect kunnen voorkomen of oplossen/minimaliseren is geschrapt. Individuele Lidstaten kunnen er echter alsnog voor kiezen deze verplichting op te nemen in hun nationale wetgeving, aangezien de vervolgmaatregelen niet langer onder de maximumharmonisatie van de CSDDD vallen. Dit zal dus per jurisdictie kunnen verschillen.

Het opschorten van een zakelijke relatie totdat het negatieve effect adequaat is geadresseerd, hoeft nu alleen nog als het rechtssysteem dat van toepassing is op de contracten tussen de entiteiten dit toelaat. De verplichting tot het opstellen en invoeren van een verbeterd vervolgactieplan is ook aangepast. Dit hoeft alleen nog maar als er een redelijke verwachting bestaat dat deze inspanningen zullen slagen in het voorkomen of oplossen van negatieve effecten. Daarnaast is er aan de bepalingen toegevoegd dat zolang er een redelijke verwachting bestaat dat een actieplan kan slagen, het enkele feit dat de onderneming de zakelijke relatie blijft onderhouden, geen bestuursrechtelijke sancties of civiele aansprakelijkheid in het leven kan roepen. Ook geldt dat als ondernemingen op correcte wijze prioriteit hebben gegeven aan effecten die waarschijnlijker waren of zwaarder wogen, er geen bestuursrechtelijke sancties kunnen worden opgelegd voor het (nog) niet adresseren van minder significante effecten.

Klimaattransitieplan 

De verplichting om een klimaattransitieplan op te stellen en uit te voeren is in zijn totaliteit verwijderd. 

Stakeholder engagement en periodieke evaluatie 

Met betrekking tot stakeholder engagement zijn er twee momenten van verplichte stakeholder engagement verwijderd. De CSDDD verplicht ondernemingen nog steeds om relevante belanghebbenden, of stakeholders, te raadplegen bij het nemen van bepaalde besluiten en hen zo in de gelegenheid stellen hun visie te delen, bijvoorbeeld bij het verzamelen van de informatie die nodig is om effecten te identificeren en bij het opstellen van actieplannen om effecten te voorkomen of beëindigen. Belanghebbenden hoeven niet meer geconsulteerd te worden over het besluit om een zakelijke relatie op te schorten (of te beëindigen wanneer Lidstaten daar nog voor kiezen) en over de kwalitatieve en kwantitatieve indicatoren voor de periodieke evaluatie van het due diligence-beleid.

De bepaling over de periodieke evaluatie van het due diligence-beleid is ook aangepast. In plaats van jaarlijks is de evaluatie nu iedere vijf jaar verplicht, tenzij er significante veranderingen hebben plaatsgevonden of er redelijke vermoedens zijn dat het huidige due diligence-beleid niet langer toereikend is.

Civiele aansprakelijkheid 

Ook het EU-brede geharmoniseerde aansprakelijkheidsregime is verwijderd uit de richtlijn. Lidstaten moeten in verband met ‘effectieve rechtsbescherming’ wel garanderen dat aansprakelijkheidsstelling voor schendingen van de CSDDD mogelijk is, maar dat mag onder het eigen gekozen gebruikelijke of specifieke nationale aansprakelijkheidsregime. Het wordt dus – zoals gebruikelijk in dit soort regelgeving – aan Lidstaten zelf gelaten om de aansprakelijkheidsvoorwaarden, zoals causaliteit en toerekening, in te vullen. Het kan hierdoor per Lidstaat verschillen of een claim succesvol zal zijn. Daarnaast zijn Lidstaten niet meer verplicht de nationaalrechtelijke bepalingen voortkomend uit CSDDD te laten prevaleren in gevallen waarin vorderingen niet worden beheerst door het nationale recht. Dit houdt een belangrijke beperking van het aansprakelijkheidsregime in, want het betekent dat moedermaatschappijen mogelijk niet langer in de EU aansprakelijk kunnen worden gesteld voor milieuschade en schendingen van mensenrechten door hun dochtermaatschappijen buiten de EU. Ook is de verplichting tot het mogelijk maken van collectieve acties verwijderd. Het zal dus per Lidstaat kunnen verschillen of hiervoor een juridisch risico bestaat. Nederland maakt collectieve acties al mogelijk via de WAMCA (een specifieke wet gericht op het afwikkelen van massaschades). 

Maximumharmonisatie 

De maximumharmonisatie met betrekking tot andere verplichtingen is wel uitgebreid. Lidstaten mogen geen strengere regels invoeren met betrekking tot onderzoek en prioritering, eerste-responsmaatregelen, klachten en notificatiemechanismes, periodieke evaluatie van het due diligence-beleid en rapportages, maar nog wel met betrekking tot vervolgmaatregelen.

Sancties

Op het gebied van sancties is het percentage voor de maximumgeldboete aangepast. Onder de oude versie van de CSDDD gold dat de maximumgeldboete op zijn minst 5% van de wereldwijde netto-omzet moest zijn; nu mag de maximumgeldboete ten hoogste 3% van de wereldwijde netto-omzet bedragen.

Implementatiedatum 

Ten slotte wordt de implementatiedatum voor Lidstaten uitgesteld tot 26 juli 2028 en de toepassingsdatum voor ondernemingen tot 26 juli 2029. 

Blik vooruit

De officiële stemming in de Raad van de Europese Unie wordt begin 2026 verwacht. Hierna zullen de richtlijnen tot wijziging van de CSRD en CSDDD worden gepubliceerd in het Publicatieblad van de Europese Unie. Na inwerkingtreding zal ook de implementatieperiode voor de Lidstaten ingaan: Lidstaten hebben een jaar de tijd om de aanpassingen te implementeren, met uitzondering van de aanpassingen van de CSDDD. Die moeten voor 26 juli 2028 zijn geïmplementeerd.