Viktige poenger
- CSDDD-leverandørers due diligence er prosessen der store EU-selskaper og EU-aktive selskaper identifiserer, forebygger og adresserer negative konsekvenser for menneskerettigheter og miljø i sin aktivitetskjede — og den trekker dine oppstrøms råvareleverandører inn i virkeområdet, selv når disse leverandørene er altfor små til å være direkte regulert.
- Forenklingspakken Omnibus I, foreslått tidlig i 2026, ville kraftig innsnevre både CSDDD (direktiv (EU) 2024/1760) og CSRD (bærekraftsrapportering): høyere terskelverdier for selskapsstørrelse, utsatte tidsplaner og et nytt verdikjedetak. Det beveger seg fortsatt gjennom EU-prosessen og den nasjonale gjennomføringen, så behandle enhver terskel og dato som veiledende, og verifiser den mot gjeldende tekst.
- For en kjøper av naturingredienser er det praktiske spørsmålet ikke «er leverandøren min regulert» — de fleste leverandører av botanicals og tørket frukt er det ikke — men «kan leverandøren min gi meg de retningslinjene, den sporbarheten og de ESG-dataene jeg trenger for å oppfylle mine egne due diligence- og rapporteringsforpliktelser?»
- Det nye verdikjedetaket betyr at en CSRD-rapporterende kjøper generelt ikke kan kreve data fra en mindre leverandør utover virkeområdet til den frivillige SMB-standarden (VSME). Det beskytter leverandører mot altfor omfattende spørreskjemaer — og belønner leverandører som kan besvare spørsmålene innenfor virkeområdet korrekt første gang.
- Arovela opererer fra ett enkelt anlegg i Sındırgı (Balıkesir) med et lager i Solingen, Tyskland, drives på ISO 22000-, ISO 9001- og ISO 27001-dokumentasjon og sender med et Certificate of Analysis (COA) per parti — et bevisst gjennomsiktig, revisjonsklart oppstrømsfotavtrykk fremfor et vidt forgrenet og vanskelig sporbart ett.
Innledning: hvorfor due diligence nå når helt ut til råvareleverandøren
Hvis du kjøper naturingredienser til EU-markedet — eteriske oljer, botaniske ekstrakter, tørket frukt, aromatiske planter — har du sannsynligvis lagt merke til at spørreskjemaene fra kundene dine blir lengre. Bak det skiftet ligger et sett med EU-regler bygget rundt CSDDD-leverandørers due diligence og CSRD-bærekraftsrapportering. Begge ble utformet for å gjøre store selskaper ansvarlige ikke bare for sin egen virksomhet, men for menneskerettighets- og miljøatferden i sin verdikjede, som per definisjon omfatter gårdene, destilleriene og bearbeidingsanleggene som befinner seg oppstrøms for ethvert ferdig produkt.
Vrien i 2026 er at disse reglene er et bevegelig mål. Forenklingspakken Omnibus I — foreslått av EU-kommisjonen tidlig i 2026 og, i skrivende stund, fortsatt på vei gjennom EUs lovgivningsprosess — ville omskrive det opprinnelige 2024-rammeverket vesentlig: heve terskelverdiene for selskapsstørrelse, utsette anvendelsen, fjerne noen av de tyngste forpliktelsene og legge til et verdikjedetak som ville begrense hva store kjøpere kan kreve av mindre leverandører. Fordi den endelige teksten og den nasjonale gjennomføringen fortsatt er under behandling, kan de presise reglene som gjelder for en gitt kjøper, variere fra land til land og fra regnskapsår til regnskapsår.
Denne guiden er skrevet for B2B-innkjøps- og kvalitetsteam som kjøper botanicals og naturingredienser. Den forklarer i klare vendinger hva CSDDD og CSRD er, hvordan endringene i 2026 omformet dem, hva en oppstrømsleverandør realistisk bør kunne levere, og hvordan en fokusert, veldokumentert leverandør — ett anlegg, ISO-støttede systemer, COA per parti — gjør din egen etterlevelse enklere. Hvis du allerede kartlegger det bredere regulatoriske bildet, kan du sammenholde dette med vår guide til EUs grønne given for leverandører av naturprodukter.
CSDDD og CSRD: to regelverk, én logikk for forsyningskjeden
Det hjelper å skille de to instrumentene, fordi kjøpere ofte blander dem sammen.
CSDDD — direktivet om selskapers due diligence for bærekraft (direktiv (EU) 2024/1760) handler om atferd. Det krever at selskaper innenfor virkeområdet gjennomfører en risikobasert due diligence-prosess på tvers av sin egen virksomhet og sin aktivitetskjede: identifisere potensielle og faktiske negative konsekvenser for menneskerettigheter og miljø, forebygge eller begrense dem, bringe dem til opphør der de forekommer, og kommunisere om prosessen. Det er i bunn og grunn en styringssystemforpliktelse lagt oppå forsyningskjeden.
CSRD — direktivet om selskapers bærekraftsrapportering handler om offentliggjøring. Det krever at selskaper innenfor virkeområdet rapporterer standardisert bærekraftsinformasjon — miljømessig, sosial og styringsmessig — utarbeidet etter de europeiske standardene for bærekraftsrapportering (ESRS) og underlagt attestasjon. Avgjørende er at CSRD-rapporteringen forventes å dekke vesentlig informasjon om verdikjeden, som er mekanismen som gjør en kjøpers rapporteringsplikt om til en strøm av dataforespørsler rettet mot leverandører.
De to henger sammen etter design. Et selskap som utfører CSDDD-due diligence, genererer nettopp den typen informasjon som CSRD ber det offentliggjøre, og offentliggjøringsplikten gir due diligence-prosessen bitt. For en oppstrømsleverandør er forskjellen for det meste akademisk: begge veier ender med at kunden din ber deg om dokumentasjon på hvordan ingrediensene dine produseres.
Hvem er egentlig omfattet etter Omnibus I?
Det er her endringene i 2026 betyr mest, og der nøye varsomhet er avgjørende. Etter Omnibus I:
| Instrument | Veiledende virkeområde etter Omnibus | Veiledende anvendelse |
|---|---|---|
| CSDDD (direktiv (EU) 2024/1760, som endret) | EU-selskaper over omtrent 1,5 mrd. EUR i netto omsetning og 5 000 ansatte; ikke-EU-selskaper over ~1,5 mrd. EUR i EU-omsetning | Gjennomføring i nasjonal rett innen medio 2028; anvendelse generelt fra medio 2029 (med senere datoer for enkelte rapporteringsartikler) |
| CSRD (bærekraftsrapportering) | Innsnevret til store selskaper over omtrent 1 000 ansatte og 450 mill. EUR i omsetning | Første anvendelse generelt for regnskapsår fra 1. januar 2027 for den berørte kohorten |
| Frivillig standard VSME | Referansetaket for hva mindre verdikjedeleverandører kan bli spurt om | Underbygger verdikjedetaket; understøttende delegerte rettsakter forventes gjennom 2026 |
Behandle dette ærlig. Disse tallene og datoene gjenspeiler Omnibus I-pakken slik den ble publisert tidlig i 2026, men nasjonal gjennomføring, delegerte rettsakter og eventuelle senere endringer kan flytte dem. Bekreft alltid gjeldende terskler og tidsplan mot de offisielle kildene før du støtter deg på dem i en kontrakt eller en etterlevelsessak. EU-kommisjonens side om bærekraftig due diligence for selskaper og den konsoliderte direktivteksten på EUR-Lex (direktiv (EU) 2024/1760) er de autoritative referansene.
Hovedkonklusjonen for ingrediensleverandører: nesten ingen leverandør av botanicals eller tørket frukt er direkte omfattet av CSDDD eller CSRD — tersklene er enorme. Du trekkes inn indirekte, som verdikjedepartner til kunder som er omfattet. Det skillet former alt som følger.
Verdikjedetaket: den viktigste endringen for leverandører
Det enkeltelementet med størst konsekvens i Omnibus I for en oppstrømsleverandør er verdikjedetaket. I brede trekk fastsetter det at et selskap som er underlagt CSRD (og det tilhørende due diligence-rammeverket), generelt ikke kan kreve bærekraftsinformasjon fra verdikjedepartnere med færre enn 1 000 ansatte utover virkeområdet til den frivillige SMB-standarden (VSME). Kontraktsklausuler som forsøker å pålegge mer, er i prinsippet ikke håndhevbare i den grad.
Hvorfor dette betyr noe:
- Det setter tak på spørreskjemaet. Før taket kunne en liten leverandør motta en ESRS-lignende forespørsel med 200 datapunkter fra hver eneste store kunde, hver formatert forskjellig. Taket samler disse forespørslene rundt én, lettere referanse: VSME-standarden, hvis grunnmodul er bygget rundt omtrent et halvt hundre ESG-indikatorer i stedet for hundrevis.
- Det beskytter fokuserte leverandører. En leverandør med ett anlegg og et rent, ISO-støttet system kan realistisk besvare spørsmålene innenfor VSME-virkeområdet. En leverandør som ikke engang kan beskrive sine egne lokasjoner og retningslinjer, vil slite uansett taket.
- Det belønner beredskap. Taket begrenser hva du må svare på; det hindrer ikke en veldrevet leverandør i å svare godt. Leverandører som raskt, presist og med vedlagte dokumenter kan levere data innenfor virkeområdet, blir det enkle «ja» i en kjøpers kvalifiseringsprosess.
For en ingredienskjøper er den praktiske konsekvensen at du bør ramme inn leverandørforespørsler rundt VSME-virkeområdet når du håndterer mindre leverandører, i stedet for å kopiere din fulle interne ESRS-mal. Du vil få renere svar og unngå å sende krav som ikke kan håndheves. Den europeiske standardsetteren EFRAG vedlikeholder referansematerialet for den frivillige VSME-rapporteringsstandarden.
Hva CSDDD-leverandørers due diligence ber en oppstrømspartner om å levere
Fjern forkortelsene, og en kjøpers reelle behov er dokumentasjon i tre kategorier: retningslinjer, sporbarhet og ESG-data. Her er hva en troverdig leverandør av naturingredienser bør kunne legge på bordet, koblet til hvorfor kjøperen trenger det.
1. Retningslinjer og styring (governance)
Disse viser at atferden er styrt, ikke tilfeldig:
- En erklæring om prinsipper for forretningsatferd / leverandørkodeks (menneskerettigheter, ingen tvangs- eller barnearbeid, antikorrupsjon).
- En miljø- / kvalitetspolicy, helst forankret i et anerkjent styringssystem.
- Et kontaktpunkt for klager eller bekymringer i forsyningskjeden.
- Bevis for at retningslinjene er operasjonelle, ikke bare papir — for ingrediensleverandører betyr det som regel et sertifisert styringssystem. Arovelas dokumentasjon bygger på ISO 9001 (kvalitetsstyring), ISO 22000 (styring av mattrygghet) og ISO 27001 (informasjonssikkerhet) — sistnevnte blir stadig mer relevant ettersom kjøpere bekymrer seg for integriteten og konfidensialiteten til dataene de utveksler.
2. Sporbarhet
Sporbarhet er ryggraden i enhver due diligence-påstand, fordi du ikke kan vurdere en risiko du ikke kan lokalisere:
- Fra opprinnelse til parti: evnen til å knytte et levert parti tilbake til en definert opprinnelse og et bearbeidingstrinn. For Arovela er dette konkret — materialet produseres ved ett enkelt anlegg i Sındırgı (Balıkesir), og ferdigvarelager holdes i et lager i Solingen, Tyskland. Ett anlegg betyr en kort, lesbar kjede fremfor et nett av underleverandørsteder som ingen fullt ut kan kartlegge.
- Dokumentasjon per parti: et partispesifikt COA knyttet til det eksakte partinummeret, slik at identitet og nøkkelparametere følger varene.
- Opprinnelseslands- og handelsdokumenter som lar kjøperens toll- og etterlevelsesteam bekrefte hvor materialet kom fra.
For botaniske og landbruksrelaterte innsatsvarer krysser sporbarhet også andre EU-regler. Hvis ingrediensen din berører råvarer omfattet av avskogingsregler, eller du trenger en oppfriskning om opprinnelsesdokumentasjon, dekker vår note om bærekraftig landbruk, geotermisk bearbeiding og ESG de oppstrømspraksisene som gjør sporbarhetspåstander forsvarlige.
3. ESG-data (innenfor VSME-omfanget)
Dette er delen kjøpere i økende grad spør om — og delen verdikjedetaket former. Innenfor VSME-omfanget bør en leverandør kunne redegjøre for:
- Grunnleggende anleggsdata: lokasjon(er), antall ansatte og virksomhetens generelle karakter.
- Miljøindikatorer som passer virksomheten, som energibruk og det overordnede bildet av utslipp, vann og avfallshåndtering — på et detaljnivå en liten bedrift troverdig kan produsere.
- Sosiale indikatorer: grunnleggende forhold om arbeidsstyrken og etterlevelse av arbeidsstandarder.
- Grunnleggende styring: retningslinjene ovenfor, og hvordan de overvåkes.
Den ærlige innrammingen her er avgjørende. En seriøs leverandør oppgir dataene den faktisk har, og finner ikke opp ESG-tall. Arovela publiserer ikke oppdiktede karbontall, fabrikkerte sosiale statistikker eller miljømerker den ikke innehar. Der et tall er iboende variabelt — for eksempel energiintensitet som endrer seg med innhøstingsår og produktmiks — bør det beskrives retningsgivende og forklares, ikke fremstilles som en presis konstant. Kjøpere som utfører reell due diligence, kan se forskjellen, og et fabrikkert tall er en større risiko enn et ærlig «dette varierer, og her er hvorfor».
Sertifiseringer: hva som teller som dokumentasjon, og hva du bør spørre eksplisitt om
En tilbakevendende kilde til friksjon er gapet mellom sertifikatene en kjøpers merkevare ønsker, og sertifikatene en leverandør faktisk innehar. Vær presis på begge sider.
| Dokument / påstand | Hva det dokumenterer | Merknad for kjøpere av naturingredienser |
|---|---|---|
| ISO 9001 | Kvalitetsstyringssystem | Et grunnleggende signal om at prosesser er kontrollerte og reviderbare |
| ISO 22000 | Styringssystem for mattrygghet | Direkte relevant for spiselige botanicals, tørket frukt og mattrygge oljer |
| ISO 27001 | Styring av informasjonssikkerhet | Stadig mer relevant: beskytter integriteten og konfidensialiteten til delte ESG-/sporbarhetsdata |
| COA per parti | Identitet og nøkkelparametere for det leverte partiet | Sporbarhetens praktiske kjerne; be om det knyttet til partinummeret |
| ESG-data i VSME-omfang | Grunnleggende miljømessige, sosiale og styringsmessige indikatorer | Referanseomfanget for hva mindre leverandører kan kreves å rapportere |
| Ordningssertifikater (økologisk, COSMOS, GMP osv.) | Spesifikke markeds- eller merkevarepåstander | Bare meningsfulle hvis leverandøren faktisk innehar dem — bekreft eksplisitt, anta aldri |
Arovelas sertifiseringer er ISO 22000, ISO 9001 og ISO 27001. Vi leverer et COA per parti og handelsdokumentasjonen kjøperens toll- og etterlevelsesteam trenger. Vi hevder ikke økologisk status, COSMOS, ECOCERT, GMP, BRC, FSSC, halal, kosher eller «FDA-registrert» status. Hvis din egen merkevareposisjonering eller din CSRD-fortelling krever et av disse ordningssertifikatene, bør du ta det opp under leverandørkvalifiseringen slik at riktig innkjøpsvei bekreftes fremfor å bli antatt — akkurat den typen tillitsbygging vår B2B-tillitsguide om ISO, HACCP og GMP dekker.
Slik gjør en fokusert leverandør din due diligence enklere
Det er verdt å slå fast den strukturelle fordelen tydelig, for den er lett å overse når man bare sammenligner tilbud på pris.
Færre ledd, kortere kjede. Due diligence er en funksjon av kompleksitet. En leverandør som produserer ved ett anlegg og sender fra ett EU-lager, presenterer en kjede du faktisk kan kartlegge, revidere og beskrive i en rapport. En leverandør som samler fra mange unavngitte underleverandører, presenterer en kjede det er billigere å ignorere enn å verifisere — nettopp den risikoen CSDDD er utformet for å avdekke.
Dokumentasjon som er innebygd, ikke påklistret. Når kvalitets-, mattrygghets- og informasjonssikkerhetssystemer allerede kjører under ISO-disiplin, finnes retningslinjene og registreringene en kjøpers due diligence ber om, allerede. De produseres som et biprodukt av normal drift, ikke settes sammen i panikk når et spørreskjema kommer.
Dataintegritet. ISO 27001 er den stille differensiatoren her. Etter hvert som kjøpere utveksler mer sensitive forsynings- og ESG-data, blir spørsmålet «kan jeg stole på hvordan leverandøren min håndterer denne informasjonen» en del av selve due diligence-prosessen. Et styringssystem for informasjonssikkerhet er et troverdig svar.
En EU-node for å redusere friksjon. Lageret i Solingen, Tyskland forkorter leveringstidene for EU-kjøpere og forenkler bevegelsen innad i EU, noe som reduserer toll- og dokumentasjonsfriksjonen ved å importere fra utenfor blokken på hver ordre. For den praktiske innkjøpssiden håndteres gjeldende kvaliteter, formater og tilbud gjennom vår engrosside.
En praktisk sjekkliste for leverandørberedskap
Hvis du er en kjøper som kvalifiserer en leverandør av naturingredienser mot CSDDD/CSRD-forventninger, er dette en realistisk, VSME-tilpasset forespørsel:
- Retningslinjer: leverandørkodeks / atferdsprinsipper, miljø- og kvalitetspolicy, klagekontakt.
- Styringssystemer: hvilke ISO- (eller andre) sertifikater som innehas, med sertifikatnumre og gyldighet.
- Sporbarhet: evne til å spore fra opprinnelse til parti, COA per parti, opprinnelseslandsdokumenter.
- ESG-data (VSME-omfang): liste over anlegg og antall ansatte, grunnleggende energi-/utslipps-/vann-/avfallsbilde, bekreftelse av arbeidsstandarder.
- Datahåndtering: hvordan delte ESG- og kommersielle data beskyttes (informasjonssikkerhetsposisjon).
- Ærlighetsmarkører: presenteres tall med forbehold for innhøstingsår/prosess, og kreves bare sertifikater som faktisk innehas?
En leverandør som kan besvare alle seks uten å finne på noe, er per definisjon en revisjonsklar oppstrømspartner — og en langt lavere etterlevelsesrisiko enn et billigere, mer ugjennomsiktig alternativ.
Ofte stilte spørsmål
Hva er CSDDD-leverandørers due diligence i enkle vendinger?
Det er forpliktelsen for store, omfattede selskaper til å identifisere, forebygge, begrense og adressere negative konsekvenser for menneskerettigheter og miljø på tvers av sin egen virksomhet og sin aktivitetskjede. Fordi den kjeden inkluderer oppstrøms ingrediensprodusenter, ber CSDDD-leverandørers due diligence i praksis kjøpere om å forstå hvordan leverandørene deres opererer — noe som er grunnen til at leverandører mottar forespørsler om retningslinjer, sporbarhet og ESG-data selv om loven ikke regulerer leverandøren direkte.
Gjelder CSDDD eller CSRD direkte for en liten ingrediensleverandør?
Nesten aldri. Etter Omnibus I-endringene i 2026 er tersklene svært høye — i brede trekk rundt 1,5 mrd. EUR i omsetning med 5 000 ansatte for CSDDD, og omtrent 1 000 ansatte med 450 mill. EUR i omsetning for CSRD. En typisk leverandør av botanicals, eteriske oljer eller tørket frukt ligger langt under disse nivåene. Slike leverandører påvirkes indirekte, som verdikjedepartnere til omfattede kunder, ikke som direkte regulerte enheter. Bekreft alltid gjeldende terskler mot den offisielle teksten, siden de kan endres med gjennomføringen.
Hva er verdikjedetaket, og hvordan påvirker det dataforespørsler?
Verdikjedetaket, innført av Omnibus I, hindrer i brede trekk et CSRD-rapporterende selskap fra å kreve bærekraftsdata fra mindre verdikjedepartnere (under 1 000 ansatte) utover virkeområdet til den frivillige SMB-standarden, VSME. I praksis begrenser det hvor mye en stor kjøper kan be en liten leverandør rapportere, og det samler disse forespørslene rundt et lettere, standardisert referansesett i stedet for hver enkelt kjøpers fulle interne mal. Det beskytter leverandører mot altfor omfattende spørreskjemaer samtidig som det belønner dem som kan besvare spørsmålene innenfor virkeområdet korrekt.
Hvilke dokumenter bør jeg be en ingrediensleverandør om å levere?
Grupper forespørselen i retningslinjer, sporbarhet og ESG-data. Be om en leverandørkodeks / atferdspolicy og en miljø- og kvalitetspolicy; de styringssystemsertifikatene som faktisk innehas (for Arovela ISO 22000, ISO 9001 og ISO 27001); sporbarhet fra opprinnelse til parti med et COA per parti knyttet til partinummeret; opprinnelseslands- og handelsdokumenter; og VSME-baserte ESG-grunndata som anleggsliste, antall ansatte og et retningsgivende energi-/utslipps-/vannbilde. Hvis merkevaren din trenger et spesifikt ordningssertifikat (økologisk, COSMOS, GMP osv.), bekreft det eksplisitt i stedet for å anta at leverandøren innehar det.
Er ISO 27001 relevant for ESG og due diligence, eller bare for IT?
Den blir stadig mer relevant for due diligence. Etter hvert som kjøpere og leverandører utveksler mer sensitive forsynings- og ESG-data, blir integriteten og konfidensialiteten til den informasjonen en del av vurderingen. ISO 27001 dokumenterer et styrt informasjonssikkerhetssystem, som besvarer kjøperens rimelige spørsmål om hvordan de delte dataene deres beskyttes. Sammen med ISO 9001 og ISO 22000 signaliserer den at en leverandørs retningslinjer er operasjonelle fremfor kosmetiske.
Hvordan hjelper innkjøp fra en leverandør med ett anlegg min etterlevelse?
Due diligence skalerer med kompleksitet. En leverandør som produserer ved ett anlegg — for Arovela ett enkelt anlegg i Sındırgı (Balıkesir) med et lager i Solingen, Tyskland — presenterer en kort, lesbar kjede du kan kartlegge, revidere og beskrive i en rapport. En flerkildeaggregator presenterer en kjede som er vanskeligere å verifisere og dermed en større latent risiko. Færre ledd, ISO-støttet dokumentasjon og COA per parti gjør en leverandør enklere å kvalifisere og lavere risiko å opplyse om i din egen CSRD-fortelling.
Samarbeid med en revisjonsklar oppstrømspartner
EUs regler for due diligence og rapportering strammer inn båndet mellom en merkevare for et ferdig produkt og atferden i dens ingrediensforsyningskjede — og Omnibus-endringene i 2026 har, til tross for all sin forenkling, gjort leverandørberedskap til den avgjørende faktoren fremfor antall sider i et spørreskjema. Leverandørene som vinner kvalifiseringen, er de som kan levere ærlige retningslinjer, reell sporbarhet og ESG-data innenfor virkeområdet uten å finne på et eneste tall.
Arovela er bygget for å være den partneren: ett enkelt anlegg i Sındırgı (Balıkesir), et lager i Solingen, Tyskland for korte EU-leveringstider, en dokumentasjonsryggrad av ISO 22000 / ISO 9001 / ISO 27001 og et COA per parti med hver forsendelse, til markeder i EU og Ukraina. Fortell oss målmarkedet ditt og dine due diligence-krav, så deler vi nøyaktig hva vi innehar — verken mer eller mindre. Kontakt Arovela-teamet for å be om dokumentasjon og et tilbud, eller start via vår engrosside.

