Viktiga slutsatser
- CSDDD-leverantörers due diligence är processen genom vilken stora EU-företag och EU-aktiva företag identifierar, förebygger och åtgärdar negativa konsekvenser för mänskliga rättigheter och miljö i sin verksamhetskedja — och den drar in dina uppströms råvaruleverantörer i tillämpningsområdet, även när dessa leverantörer är alldeles för små för att regleras direkt.
- Förenklingspaketet Omnibus I, föreslaget i början av 2026, skulle kraftigt begränsa både CSDDD (direktiv (EU) 2024/1760) och CSRD (hållbarhetsrapportering): högre tröskelvärden för företagsstorlek, framflyttade tidsplaner och ett nytt värdekedjetak. Det rör sig fortfarande genom EU-processen och det nationella genomförandet, så behandla alla tröskelvärden och datum som vägledande och kontrollera dem mot gällande text.
- För en köpare av naturingredienser är den praktiska frågan inte "är min leverantör reglerad" — de flesta leverantörer av botanicals och torkad frukt är det inte — utan "kan min leverantör ge mig de policyer, den spårbarhet och de ESG-data jag behöver för att uppfylla mina egna due diligence- och rapporteringsskyldigheter?"
- Det nya värdekedjetaket innebär att en CSRD-rapporterande köpare i allmänhet inte kan kräva data från en mindre leverantör utöver tillämpningsområdet för den frivilliga SME-standarden (VSME). Det skyddar leverantörer från alltför omfattande frågeformulär — och belönar leverantörer som kan besvara de frågor som ligger inom tillämpningsområdet korrekt första gången.
- Arovela verkar från en enda anläggning i Sındırgı (Balıkesir) med ett lager i Solingen, Tyskland, drivs med dokumentation enligt ISO 22000, ISO 9001 och ISO 27001 och levererar med ett Certificate of Analysis (COA) per parti — ett medvetet transparent, revisionsklart uppströmsavtryck snarare än ett vidsträckt och svårspårat sådant.
Inledning: varför due diligence nu når ända till råvaruleverantören
Om du köper naturingredienser för EU-marknaden — eteriska oljor, botaniska extrakt, torkad frukt, aromatiska växter — har du sannolikt märkt att dina kunders frågeformulär blir längre. Bakom den förskjutningen finns en samling EU-rätt uppbyggd kring CSDDD-leverantörers due diligence och CSRD-hållbarhetsrapportering. Båda utformades för att göra stora företag ansvariga inte bara för sin egen verksamhet, utan för mänskliga rättigheter och miljöuppförande i sin värdekedja, som per definition omfattar de gårdar, destillerier och förädlingsföretag som befinner sig uppströms om varje färdig produkt.
Krånglet 2026 är att dessa regler är ett rörligt mål. Förenklingspaketet Omnibus I — föreslaget av EU-kommissionen i början av 2026 och, i skrivande stund, fortfarande på väg genom EU:s lagstiftningsprocess — skulle skriva om det ursprungliga 2024-regelverket väsentligt: höja tröskelvärdena för företagsstorlek, skjuta upp tillämpningen, ta bort några av de tyngsta skyldigheterna och lägga till ett värdekedjetak som skulle begränsa vad stora köpare kan kräva av mindre leverantörer. Eftersom den slutliga texten och det nationella genomförandet fortfarande är under behandling kan de exakta regler som gäller för en given köpare skilja sig åt mellan länder och räkenskapsår.
Den här guiden är skriven för B2B-inköps- och kvalitetsteam som köper in botanicals och naturingredienser. Den förklarar i klara ordalag vad CSDDD och CSRD är, hur 2026 års förändringar omformade dem, vad en uppströmsleverantör realistiskt bör kunna tillhandahålla, och hur en fokuserad, väldokumenterad leverantör — en anläggning, ISO-stödda system, COA per parti — gör din egen efterlevnad enklare. Om du redan kartlägger den bredare regulatoriska bilden kan du kombinera detta med vår guide för leverantörer inom EU:s gröna giv för naturprodukter.
CSDDD och CSRD: två regelverk, en logik för leveranskedjan
Det underlättar att skilja de två instrumenten åt, eftersom köpare ofta blandar ihop dem.
CSDDD — direktivet om företags due diligence för hållbarhet (direktiv (EU) 2024/1760) handlar om uppförande. Det kräver att företag inom tillämpningsområdet driver en riskbaserad due diligence-process genom sin egen verksamhet och sin verksamhetskedja: identifiera potentiella och faktiska negativa konsekvenser för mänskliga rättigheter och miljö, förebygga eller mildra dem, få dem att upphöra där de förekommer, och kommunicera om processen. Det är i grunden en ledningssystemsskyldighet som läggs ovanpå leveranskedjan.
CSRD — direktivet om företags hållbarhetsrapportering handlar om offentliggörande. Det kräver att företag inom tillämpningsområdet rapporterar standardiserad hållbarhetsinformation — miljömässig, social och styrningsrelaterad — upprättad enligt de europeiska standarderna för hållbarhetsrapportering (ESRS) och föremål för bestyrkande. Avgörande är att CSRD-rapporteringen förväntas täcka väsentlig information om värdekedjan, vilket är mekanismen som omvandlar en köpares rapporteringsskyldighet till en ström av dataförfrågningar riktade mot leverantörer.
De två hänger ihop med avsikt. Ett företag som utför CSDDD-due diligence genererar precis den typ av information som CSRD ber det offentliggöra, och offentliggörandeskyldigheten ger due diligence-processen skärpa. För en uppströmsleverantör är skillnaden mestadels akademisk: båda vägarna slutar med att din kund ber dig om belägg för hur dina ingredienser produceras.
Vem omfattas egentligen efter Omnibus I?
Det är här 2026 års förändringar spelar störst roll, och där noggrann försiktighet är avgörande. Efter Omnibus I:
| Instrument | Vägledande tillämpningsområde efter Omnibus | Vägledande tillämpning |
|---|---|---|
| CSDDD (direktiv (EU) 2024/1760, i ändrad lydelse) | EU-företag över ungefär 1,5 miljarder EUR i nettoomsättning och 5 000 anställda; icke-EU-företag över ~1,5 miljarder EUR i EU-omsättning | Genomförande senast i mitten av 2028; tillämpning i allmänhet från mitten av 2029 (med senare datum för vissa rapporteringsartiklar) |
| CSRD (hållbarhetsrapportering) | Begränsat till stora företag över ungefär 1 000 anställda och 450 miljoner EUR i omsättning | Första tillämpning i allmänhet för räkenskapsår från 1 januari 2027 för den berörda kohorten |
| Frivillig standard VSME | Referens-"taket" för vad mindre värdekedjeleverantörer kan tillfrågas om | Utgör grunden för värdekedjetaket; kompletterande delegerade akter väntas under 2026 |
Hantera detta ärligt. Dessa siffror och datum återspeglar Omnibus I-paketet så som det publicerades i början av 2026, men nationellt genomförande, delegerade akter och eventuella senare ändringar kan flytta dem. Bekräfta alltid gällande tröskelvärden och tidsplan mot de officiella källorna innan du förlitar dig på dem i ett avtal eller en efterlevnadsakt. Europeiska kommissionens sida om företags hållbarhetsdue diligence och den konsoliderade direktivtexten på EUR-Lex (direktiv (EU) 2024/1760) är de auktoritativa referenserna.
Huvudslutsatsen för ingrediensleverantörer: nästan ingen leverantör av botanicals eller torkad frukt omfattas direkt av CSDDD eller CSRD — tröskelvärdena är enorma. Du dras in indirekt, som värdekedjepartner till kunder som omfattas. Den distinktionen formar allt som följer.
Värdekedjetaket: den viktigaste förändringen för leverantörer
Det enskilt mest betydelsefulla inslaget i Omnibus I för en uppströmsleverantör är värdekedjetaket. I stora drag föreskriver det att ett företag som omfattas av CSRD (och det tillhörande due diligence-ramverket) i allmänhet inte får kräva hållbarhetsinformation från värdekedjepartner med färre än 1 000 anställda utöver tillämpningsområdet för den frivilliga SME-standarden (VSME). Avtalsklausuler som försöker ålägga mer är i princip inte verkställbara i den delen.
Varför detta spelar roll:
- Det sätter tak på frågeformuläret. Före taket kunde en liten leverantör få en ESRS-liknande begäran med 200 datapunkter från varje stor kund, var och en formaterad olika. Taket samlar dessa förfrågningar kring en enda, lättare referens: VSME-standarden, vars grundmodul bygger på ett femtiotal ESG-indikatorer i stället för hundratals.
- Det skyddar fokuserade leverantörer. En leverantör med en anläggning och ett rent, ISO-stött system kan realistiskt besvara frågorna inom VSME-omfånget. En leverantör som inte ens kan beskriva sina egna anläggningar och policyer kommer att ha svårt oavsett taket.
- Det belönar beredskap. Taket begränsar vad du måste svara på; det hindrar inte en välskött leverantör från att svara bra. Leverantörer som snabbt, korrekt och med bifogade dokument kan lämna data inom tillämpningsområdet blir det enkla "ja" i en köpares kvalificeringsprocess.
För en ingredienssköpare är den praktiska innebörden att du bör utforma leverantörsförfrågningar kring VSME-omfånget när du hanterar mindre leverantörer, i stället för att kopiera din fullständiga interna ESRS-mall. Du får renare svar och undviker att skicka krav som inte kan verkställas. Den europeiska standardsättaren EFRAG underhåller referensmaterialet för den frivilliga VSME-rapporteringsstandarden.
Vad CSDDD:s leverantörers due diligence ber en uppströmspartner om att leverera
Ta bort förkortningarna, och en köpares verkliga behov är belägg i tre kategorier: policyer, spårbarhet och ESG-data. Här är vad en trovärdig leverantör av naturingredienser bör kunna lägga på bordet, kopplat till varför köparen behöver det.
1. Policyer och styrning (governance)
Dessa visar att uppförandet är styrt, inte slumpmässigt:
- Ett uttalande om principer för affärsuppförande / leverantörskod (mänskliga rättigheter, inget tvångs- eller barnarbete, antikorruption).
- En miljö- / kvalitetspolicy, helst förankrad i ett erkänt ledningssystem.
- En kontaktpunkt för klagomål eller farhågor i leveranskedjan.
- Belägg för att policyerna är operativa, inte bara papper — för ingrediensleverantörer betyder det oftast ett certifierat ledningssystem. Arovelas dokumentation bygger på ISO 9001 (kvalitetsledning), ISO 22000 (livsmedelssäkerhetsledning) och ISO 27001 (informationssäkerhet) — det sistnämnda blir alltmer relevant i takt med att köpare oroar sig för integriteten och sekretessen hos de data de utbyter.
2. Spårbarhet
Spårbarhet är ryggraden i varje due diligence-påstående, eftersom du inte kan bedöma en risk du inte kan lokalisera:
- Från ursprung till parti: förmågan att koppla ett levererat parti tillbaka till ett definierat ursprung och ett förädlingssteg. För Arovela är detta konkret — materialet produceras vid en enda anläggning i Sındırgı (Balıkesir), och färdigt lager förvaras i ett lager i Solingen, Tyskland. En anläggning innebär en kort, läsbar kedja i stället för ett nät av underleverantörsanläggningar som ingen fullt ut kan kartlägga.
- Dokumentation per parti: ett partispecifikt COA kopplat till det exakta partinumret, så att identitet och nyckelparametrar följer med varorna.
- Ursprungslands- och handelsdokument som gör att köparens tull- och efterlevnadsteam kan bekräfta var materialet kom ifrån.
För botaniska och jordbruksrelaterade insatsvaror korsar spårbarhet också andra EU-regler. Om din ingrediens berör råvaror som omfattas av avskogningsregler, eller du behöver en påminnelse om ursprungsdokumentation, täcker vår artikel om hållbart jordbruk, geotermisk förädling och ESG de uppströmspraxis som gör spårbarhetspåståenden försvarbara.
3. ESG-data (inom VSME:s tillämpningsområde)
Det här är den del som köpare i allt högre grad frågar om — och den del som värdekedjetaket formar. Inom VSME-omfånget bör en leverantör kunna redogöra för:
- Grundläggande anläggningsdata: anläggning(ar), antal anställda och verksamhetens allmänna karaktär.
- Miljöindikatorer lämpliga för verksamheten, såsom energianvändning och den övergripande bilden av utsläpp, vatten och avfallshantering — på den detaljnivå som ett litet företag trovärdigt kan producera.
- Sociala indikatorer: grundläggande uppgifter om arbetsstyrkan och efterlevnad av arbetsstandarder.
- Grundläggande styrning: policyerna ovan och hur de kontrolleras.
Den ärliga inramningen här är avgörande. En seriös leverantör lämnar de data den faktiskt har och fabricerar inte ESG-mått. Arovela publicerar inte påhittade koldioxidsiffror, tillverkade sociala statistik eller miljömärkningar den inte innehar. När en siffra i sig varierar — till exempel energiintensitet som förändras med skördeår och produktmix — bör den beskrivas riktningsmässigt och förklaras, inte klädas ut som en exakt konstant. Köpare som genomför verklig due diligence märker skillnaden, och en fabricerad siffra är en större risk än ett ärligt "detta varierar, och här är varför".
Certifieringar: vad som räknas som bevis, och vad du bör efterfråga explicit
En återkommande källa till friktion är klyftan mellan de certifikat en köpares varumärke vill ha och de certifikat en leverantör faktiskt innehar. Var precis på båda sidor.
| Dokument / påstående | Vad det styrker | Notering för köpare av naturingredienser |
|---|---|---|
| ISO 9001 | Kvalitetsledningssystem | En grundläggande signal om att processer är kontrollerade och granskningsbara |
| ISO 22000 | Livsmedelssäkerhetsledningssystem | Direkt relevant för ätbara botanicals, torkad frukt och livsmedelsgodkända oljor |
| ISO 27001 | Informationssäkerhetsledning | Alltmer relevant: skyddar integriteten och sekretessen hos delade ESG-/spårbarhetsdata |
| COA per parti | Identitet och nyckelparametrar för det levererade partiet | Spårbarhetens praktiska kärna; efterfråga det kopplat till partinumret |
| ESG-data inom VSME-omfång | Grundläggande miljömässiga, sociala och styrningsrelaterade indikatorer | Referensomfånget för vad mindre leverantörer kan krävas rapportera |
| Systemcertifikat (ekologiskt, COSMOS, GMP osv.) | Specifika marknads- eller varumärkespåståenden | Bara meningsfulla om leverantören faktiskt innehar dem — bekräfta explicit, anta aldrig |
Arovelas certifieringar är ISO 22000, ISO 9001 och ISO 27001. Vi tillhandahåller ett COA per parti och den handelsdokumentation som en köpares tull- och efterlevnadsteam behöver. Vi hävdar inte ekologisk status, COSMOS, ECOCERT, GMP, BRC, FSSC, halal, koscher eller "FDA-registrerad" status. Om ditt eget varumärkes positionering eller din CSRD-berättelse kräver ett av dessa systemcertifikat, ta upp det under leverantörskvalificeringen så att rätt inköpsväg bekräftas i stället för att antas — precis det slags förtroendebyggande som vår B2B-förtroendeguide om ISO, HACCP och GMP täcker.
Så gör en fokuserad leverantör din due diligence enklare
Det är värt att slå fast den strukturella fördelen tydligt, eftersom den är lätt att missa när man bara jämför erbjudanden på pris.
Färre noder, kortare kedja. Due diligence är en funktion av komplexitet. En leverantör som producerar vid en anläggning och levererar från ett EU-lager presenterar en kedja du faktiskt kan kartlägga, granska och beskriva i en rapport. En leverantör som samlar från många onämnda underleverantörer presenterar en kedja som är billigare att ignorera än att verifiera — precis den risk CSDDD är utformad för att synliggöra.
Dokumentation som är inbyggd, inte påklistrad. När kvalitets-, livsmedelssäkerhets- och informationssäkerhetssystem redan drivs under ISO-disciplin finns de policyer och register som en köpares due diligence efterfrågar redan. De produceras som en biprodukt av normal drift, inte hastigt sammanställda när ett frågeformulär anländer.
Dataintegritet. ISO 27001 är den tysta differentieraren här. I takt med att köpare och leverantörer utbyter alltmer känsliga leveranskedje- och ESG-data blir frågan "kan jag lita på hur min leverantör hanterar den här informationen" en del av själva due diligence-processen. Ett informationssäkerhetsledningssystem är ett trovärdigt svar.
En EU-nod för att minska friktion. Lagret i Solingen, Tyskland förkortar ledtiderna för EU-köpare och förenklar förflyttningen inom EU, vilket minskar den tull- och dokumentationsfriktion som annars följer av att importera från utanför blocket vid varje order. För den praktiska inköpssidan hanteras aktuella kvaliteter, format och offerter via vår grossistsida.
En praktisk checklista för leverantörsberedskap
Om du är en köpare som kvalificerar en leverantör av naturingredienser mot CSDDD/CSRD-förväntningar är detta en realistisk, VSME-anpassad begäran:
- Policyer: leverantörskod / uppförandeprinciper, miljö- och kvalitetspolicy, klagomålskontakt.
- Ledningssystem: vilka ISO- (eller andra) certifikat som innehas, med certifikatnummer och giltighet.
- Spårbarhet: förmåga att spåra från ursprung till parti, COA per parti, ursprungslandsdokument.
- ESG-data (VSME-omfång): anläggningslista och antal anställda, grundläggande energi-/utsläpps-/vatten-/avfallsbild, bekräftelse av arbetsstandarder.
- Datahantering: hur delade ESG- och kommersiella data skyddas (informationssäkerhetsställning).
- Ärlighetsmarkörer: presenteras siffror med förbehåll för skördeår/process, och hävdas bara certifikat som faktiskt innehas?
En leverantör som kan besvara alla sex utan att hitta på något är per definition en revisionsklar uppströmspartner — och en betydligt lägre efterlevnadsrisk än ett billigare, mer ogenomskinligt alternativ.
Vanliga frågor
Vad är CSDDD-leverantörers due diligence i enkla ordalag?
Det är skyldigheten för stora, omfattade företag att identifiera, förebygga, mildra och åtgärda negativa konsekvenser för mänskliga rättigheter och miljö genom sin egen verksamhet och sin verksamhetskedja. Eftersom den kedjan omfattar uppströms ingrediensproducenter ber CSDDD-leverantörers due diligence i praktiken köpare att förstå hur deras leverantörer arbetar — vilket är anledningen till att leverantörer får förfrågningar om policyer, spårbarhet och ESG-data trots att lagen inte reglerar leverantören direkt.
Gäller CSDDD eller CSRD direkt för en liten ingrediensleverantör?
Nästan aldrig. Efter 2026 års Omnibus I-förändringar är tröskelvärdena mycket höga — i stora drag omkring 1,5 miljarder EUR i omsättning med 5 000 anställda för CSDDD, och ungefär 1 000 anställda med 450 miljoner EUR i omsättning för CSRD. En typisk leverantör av botanicals, eteriska oljor eller torkad frukt ligger långt under dessa nivåer. Sådana leverantörer påverkas indirekt, som värdekedjepartner till omfattade kunder, inte som direkt reglerade enheter. Bekräfta alltid gällande tröskelvärden mot den officiella texten, eftersom de kan ändras i takt med genomförandet.
Vad är värdekedjetaket och hur påverkar det dataförfrågningar?
Värdekedjetaket, infört genom Omnibus I, hindrar i stora drag ett CSRD-rapporterande företag från att kräva hållbarhetsdata från mindre värdekedjepartner (under 1 000 anställda) utöver tillämpningsområdet för den frivilliga SME-standarden, VSME. I praktiken begränsar det hur mycket en stor köpare kan be en liten leverantör rapportera, och det samlar dessa förfrågningar kring en lättare, standardiserad referensuppsättning i stället för varje köpares fullständiga interna mall. Det skyddar leverantörer från alltför omfattande frågeformulär samtidigt som det belönar dem som kan besvara frågorna inom tillämpningsområdet korrekt.
Vilka dokument bör jag be en ingrediensleverantör tillhandahålla?
Gruppera begäran i policyer, spårbarhet och ESG-data. Be om en leverantörskod / uppförandepolicy och en miljö- och kvalitetspolicy; de ledningssystemcertifikat som faktiskt innehas (för Arovela ISO 22000, ISO 9001 och ISO 27001); spårbarhet från ursprung till parti med ett COA per parti kopplat till partinumret; ursprungslands- och handelsdokument; samt VSME-baserade ESG-grunddata såsom anläggningslista, antal anställda och en riktningsmässig energi-/utsläpps-/vattenbild. Om ditt varumärke behöver ett specifikt systemcertifikat (ekologiskt, COSMOS, GMP osv.), bekräfta det explicit i stället för att anta att leverantören innehar det.
Är ISO 27001 relevant för ESG och due diligence, eller bara för IT?
Den blir alltmer relevant för due diligence. I takt med att köpare och leverantörer utbyter alltmer känsliga leveranskedje- och ESG-data blir integriteten och sekretessen hos den informationen en del av bedömningen. ISO 27001 styrker ett hanterat informationssäkerhetssystem, vilket besvarar en köpares rimliga fråga om hur deras delade data skyddas. Tillsammans med ISO 9001 och ISO 22000 signalerar den att en leverantörs policyer är operativa snarare än kosmetiska.
Hur hjälper inköp från en leverantör med en enda anläggning min efterlevnad?
Due diligence skalar med komplexitet. En leverantör som producerar vid en anläggning — för Arovela en enda anläggning i Sındırgı (Balıkesir) med ett lager i Solingen, Tyskland — presenterar en kort, läsbar kedja som du kan kartlägga, granska och beskriva i en rapport. En flerkällig aggregator presenterar en kedja som är svårare att verifiera och därmed en större latent risk. Färre noder, ISO-stödd dokumentation och COA per parti gör en leverantör enklare att kvalificera och mindre riskabel att redovisa i din egen CSRD-berättelse.
Samarbeta med en revisionsklar uppströmspartner
EU:s regler för due diligence och rapportering stramar åt kopplingen mellan ett varumärke för en färdig produkt och uppförandet i dess ingrediensleveranskedja — och 2026 års Omnibus-förändringar har, trots all sin förenkling, gjort leverantörsberedskap till den avgörande faktorn snarare än antalet sidor i ett frågeformulär. De leverantörer som vinner kvalificeringen är de som kan lämna ärliga policyer, verklig spårbarhet och ESG-data inom tillämpningsområdet utan att hitta på en enda siffra.
Arovela är byggt för att vara den partnern: en enda anläggning i Sındırgı (Balıkesir), ett lager i Solingen, Tyskland för korta EU-ledtider, en dokumentationsryggrad av ISO 22000 / ISO 9001 / ISO 27001 och ett COA per parti med varje leverans, till marknader i EU och Ukraina. Berätta för oss din målmarknad och dina due diligence-krav, så delar vi exakt vad vi innehar — varken mer eller mindre. Kontakta Arovelas team för att begära dokumentation och en offert, eller börja via vår grossistsida.

