天然原料供应商CSDDD尽职调查指南

核心要点

• CSDDD供应商尽职调查是大型欧盟企业以及在欧盟开展业务的企业,识别、预防并应对其经营活动链中对人权和环境产生不利影响的过程——它会把你的上游原料供应商纳入考量范围,即便这些供应商规模太小、根本不会被直接监管。
• 于2026年初提出的Omnibus I简化一揽子方案,将会大幅收窄CSDDD(指令 (EU) 2024/1760)与CSRD(可持续发展报告)两者的适用范围:提高门槛、推后时间表,并新增价值链上限。它仍在欧盟程序与各国国内转化立法中推进,因此请把每一项门槛和日期都视为参考性的,并对照现行文本加以核实。
• 对于天然原料的采购方而言,实际要问的问题并不是"我的供应商是否受监管"——大多数植物原料和干果供应商并不受监管——而是"我的供应商能否提供我满足自身尽职调查与报告义务所需的政策、可追溯性和ESG数据?"
• 新的价值链上限意味着,一家进行CSRD报告的采购方通常不能向规模较小的供应商索取超出自愿性中小企业标准(VSME)范围的数据。这既保护供应商免受过于宽泛的问卷困扰——也奖励那些能够一次性把范围内问题答得干净利落的供应商。
• Arovela以单一的Sındırgı(Balıkesir)生产基地运营,并在德国索林根(Solingen)设有仓库,依托ISO 22000、ISO 9001和ISO 27001文档体系运行,且每批货物均随附逐批分析证书(COA)——这是一种有意保持透明、可随时接受审计的上游布局,而非庞杂、难以追溯的格局。

引言:为什么尽职调查如今延伸到了原料供应商

如果你为欧盟市场采购天然原料——精油、植物提取物、干果、芳香植物——你很可能已经注意到客户的问卷越来越长。这一转变背后是一套围绕CSDDD供应商尽职调查和CSRD可持续发展报告构建的欧盟法律体系。两者的设计初衷都是让大型企业不仅对自身经营负责,还要对其价值链的人权与环境行为负责,而价值链按定义就包括位于任何成品上游的农场、蒸馏厂和加工方。

2026年的微妙之处在于,这些规则是一个不断变动的目标。Omnibus I简化一揽子方案——由欧盟委员会于2026年初提出,在撰写本文时仍在欧盟立法程序中推进——将会对最初的2024年框架进行大幅改写:它将提高企业规模门槛、推迟适用时间、取消部分最沉重的义务,并新增价值链上限,限制大型采购方可向较小供应商索取的内容。由于最终文本与各国国内转化立法仍未确定,适用于任一具体采购方的确切规则可能因国家、因财政年度而异。

本指南面向采购植物原料和天然成分的B2B采购与质量团队而撰写。它以通俗的措辞解释CSDDD和CSRD是什么、2026年的变化如何重塑了它们、上游供应商现实中应能提供什么,以及一家专注、文档齐全的供应商——单一基地、ISO支撑的体系、逐批COA——如何让你自身的合规更轻松。如果你已经在梳理更宏观的监管图景,可将本文与我们的天然产品欧盟绿色协议供应商指南搭配阅读。

CSDDD与CSRD:两套规则,一套供应链逻辑

把这两项法律工具分开理解会很有帮助,因为采购方常常把它们混为一谈。

CSDDD——《企业可持续发展尽职调查指令》(指令 (EU) 2024/1760) 关乎行为。它要求适用范围内的企业在自身经营及其活动链中开展基于风险的尽职调查流程:识别对人权和环境的潜在与实际不利影响,加以预防或缓解,在发生时予以终止,并就该流程进行沟通。本质上,它是一项叠加在供应链之上的管理体系义务。

CSRD——《企业可持续发展报告指令》 关乎披露。它要求适用范围内的企业报告标准化的可持续发展信息——环境、社会与治理——这些信息依据《欧洲可持续发展报告标准》(ESRS)编制,并需经过鉴证。关键在于,CSRD报告预期将涵盖重大价值链信息,正是这一机制把采购方的报告义务转化为一连串面向供应商的数据请求。

二者在设计上彼此关联。一家开展CSDDD尽职调查的企业,恰好会生成CSRD要求其披露的那类信息;而披露义务又为尽职调查流程赋予了约束力。对于上游供应商而言,二者的差异基本上只是学术性的:两条路径最终都归结为你的客户向你索取关于原料如何生产的证据。

Omnibus I之后,究竟谁在适用范围内?

这正是2026年变化最为关键之处,也是必须谨慎措辞的地方。在Omnibus I之后:

| 法律工具 | Omnibus后的参考性适用范围 | 参考性适用时间 | |---|---|---| | CSDDD(指令 (EU) 2024/1760,经修订) | 净营业额约15亿欧元****且员工5,000人以上的欧盟企业;欧盟营业额约15亿欧元以上的非欧盟企业 | 约2028年中转化立法;通常自2029年中起适用(部分报告条款适用日期更晚) | | CSRD(可持续发展报告) | 收窄至员工约1,000人且营业额4.5亿欧元以上的大型企业 | 受影响群体通常自2027年1月1日起的财政年度首次适用 | | VSME 自愿性标准 | 对较小价值链供应商可被要求内容的基准"上限" | 支撑价值链上限;配套授权细则预计在2026年内陆续出台 |

**诚实地加以保留。**这些数字与日期反映的是2026年初公布的Omnibus I一揽子方案,但国内转化立法、授权法案以及任何进一步的修订都可能改变它们。在将其用于合同或合规档案之前,请务必对照官方来源确认现行门槛与时间表。欧盟委员会的企业可持续发展尽职调查页面以及EUR-Lex上的合并版指令(指令 (EU) 2024/1760)是权威参考依据。

对原料供应商而言,最重要的结论是:几乎没有任何植物原料或干果供应商会直接落入CSDDD或CSRD的适用范围——这些门槛极其庞大。你是间接被纳入的,作为适用范围内客户的价值链合作伙伴。这一区别塑造了接下来的一切。

价值链上限:对供应商而言最重要的变化

对上游供应商而言,Omnibus I中影响最深远的单一要素就是价值链上限。概括地说,它规定:受CSRD约束的企业(以及相关尽职调查框架)通常不得向员工少于1,000人的价值链合作伙伴索取超出自愿性中小企业标准(VSME)范围的可持续发展信息。试图施加更多要求的合同条款,在原则上于该超出范围内不具可执行性。

为什么这很重要:

• **它为问卷设了上限。**在该上限出现之前,一家小型供应商可能会从每个大客户那里收到一份200个数据点的ESRS式请求,而且每份的格式各不相同。该上限把这些请求统一围绕一个更轻量的单一基准——VSME标准——其基础模块大约围绕五十多项ESG指标构建,而非数以百计。
• **它保护专注型供应商。**一家只有一处基地、拥有干净的ISO支撑体系的供应商,现实中能够回答VSME范围内的问题。而一家连自身场地和政策都无法描述的供应商,无论有无上限都会步履维艰。
• **它奖励有准备者。**该上限限制的是你必须回答的内容;它并不阻止一家运营良好的供应商把答案答得出色。能够快速、准确并附上文件返回范围内数据的供应商,会成为采购方资格审核流程中那个轻松的"通过"。

对原料采购方而言,实际含义是:在与较小供应商打交道时,你应当围绕VSME范围来组织供应商请求,而不是照搬你完整的内部ESRS模板。你会得到更干净的回答,并避免发出不可执行的要求。欧洲标准制定机构EFRAG维护着VSME自愿性报告标准的参考资料。

CSDDD供应商尽职调查要求上游合作伙伴提供什么

撇开那些缩略词,采购方真正需要的是三大类证据:政策、可追溯性和ESG数据。以下是一家可信的天然原料供应商应当能够拿出的内容,并对应说明采购方为何需要它。

1. 政策与治理

这些表明行为是受治理的,而非偶然的:

• 一份商业行为准则/供应商守则原则声明(人权、不使用强迫或童工、反腐败)。
• 一份环境/质量政策,最好锚定于一个公认的管理体系。
• 一个用于供应链中申诉或关切的联络点。
• 证明这些政策是可运行的、而非纸面文章的证据——对原料供应商而言,这通常意味着一套经认证的管理体系。Arovela的文档体系运行于ISO 9001(质量管理)、ISO 22000(食品安全管理)和ISO 27001(信息安全)之上——其中最后一项随着采购方愈发担忧所交换数据的完整性与保密性,正变得越来越重要。

2. 可追溯性

可追溯性是任何尽职调查主张的支柱,因为你无法评估一项你无法定位的风险:

• 从源头到批次:能够把交付的某一批货追溯回明确的产地和加工环节。对Arovela而言,这一点是具体的——原料在单一的Sındırgı(Balıkesir)生产基地生产,成品库存存放于德国索林根(Solingen)的仓库。单一基地意味着一条简短、可读的链条,而非一张无人能够完全梳理的分包场地之网。
• 逐批文档:一份与确切批号绑定的逐批COA,使身份与关键参数随货同行。
• 原产国与贸易单据,让采购方的海关与合规团队能够确认原料的来源地。

对于植物类和农业类投入物,可追溯性还与其他欧盟规则相交。如果你的原料涉及受森林砍伐规则覆盖的商品,或者你需要复习一下产地文档,我们关于可持续农业、地热加工与ESG的文章涵盖了那些使可追溯性主张站得住脚的上游做法。

3. ESG数据(VSME范围内)

这是采购方越来越多会询问的部分——也是价值链上限所塑造的部分。在VSME范围内,供应商应当能够就以下方面作出说明:

• **基础场地数据:**场地、员工人数,以及经营活动的总体性质。
• 与经营相符的环境指标,例如能源使用与大致的排放概况、用水以及废弃物处理——以一家小型企业能够可信产出的详细程度呈现。
• **社会指标:**劳动力基本情况以及对劳工标准的遵守。
• **治理基础:**上述政策以及如何对其进行监督。

这里诚实的表述至关重要。**一家信誉良好的供应商提供它确实拥有的数据,而不会捏造ESG指标。**Arovela不会发布虚构的碳排放数字、编造的社会统计数据,或它并不持有的生态标签。当某个数字本身就具有可变性时——例如随作物年份与产品结构而波动的能源强度——它应当被以方向性的方式描述并加以解释,而不是被包装成一个精确的常数。开展真实尽职调查的采购方能分辨出其中的差别,而一个捏造的数字比一句诚实的"这会有所波动,原因如下"是更大的负担。

认证:什么算作证据,以及该明确索取什么

一个反复出现的摩擦来源,是采购方品牌想要的证书与供应商实际持有的证书之间的差距。双方都要表述精确。

| 文件/主张 | 它所证明的内容 | 给天然原料采购方的提示 | |---|---|---| | ISO 9001 | 质量管理体系 | 流程受控且可审计的基础性信号 | | ISO 22000 | 食品安全管理体系 | 与可食用植物原料、干果及食品级油直接相关 | | ISO 27001 | 信息安全管理 | 日益相关:保护所共享ESG/可追溯性数据的完整性与保密性 | | 逐批COA | 所交付批次的身份与关键参数 | 可追溯性的实际核心;索取时务必与批号绑定 | | VSME范围ESG数据 | 基础的环境、社会、治理指标 | 较小供应商可被要求报告内容的基准范围 | | 方案类证书(有机、COSMOS、GMP等) | 特定市场或品牌主张 | 仅在供应商确实持有时才有意义——明确确认,切勿想当然 |

**Arovela的认证为ISO 22000、ISO 9001和ISO 27001。**我们提供逐批COA,以及采购方海关与合规团队所需的贸易单据。我们不主张有机、COSMOS、ECOCERT、GMP、BRC、FSSC、清真(halal)、洁食(kosher)或"FDA注册"等身份。如果你自身的品牌定位或CSRD叙述需要上述某类方案证书,请在供应商资格审核期间提出,以便确认正确的采购路径,而不是想当然地假设——这正是我们ISO、HACCP与GMP B2B信任指南中所涵盖的那种信任建立工作。

一家专注型供应商如何让你的尽职调查更轻松

值得把这种结构性优势直白地说出来,因为在仅凭价格比较报价时,它很容易被忽视。

**节点更少,链条更短。**尽职调查是复杂度的函数。一家在一处基地生产、从一处欧盟仓库发货的供应商,呈现出一条你确实能够梳理、审计并在报告中加以描述的链条。一家从众多不具名分包方处汇集货源的供应商,呈现出的则是一条"忽视它比核实它更省事"的链条——而这恰恰是CSDDD旨在揭示的风险。

**文档是内建的,而非外接的。**当质量、食品安全和信息安全体系已在ISO规范下运行时,采购方尽职调查所要求的政策与记录就已经存在。它们是正常运营的副产品,而不是在问卷送达时手忙脚乱拼凑出来的。

**数据完整性。**ISO 27001在这里是那个低调的差异化要素。随着采购方交换更多敏感的供应链与ESG数据,"我能否信任供应商处理这些信息的方式"这个问题本身就成了尽职调查的一部分。一套信息安全管理体系就是一个可信的答案。

用于减少摩擦的欧盟节点。****德国索林根(Solingen)的仓库缩短了欧盟采购方的交货周期,并简化了欧盟内部的货物流动,从而减少了每一笔订单从欧盟之外进口时的海关与单据摩擦。关于这一点的实际采购层面,现行规格、形态与报价均通过我们的批发页面处理。

一份实用的供应商准备情况清单

如果你是一家正在依据CSDDD/CSRD预期对天然原料供应商进行资格审核的采购方,以下是一份现实、与VSME对齐的索取清单:

1. **政策:**供应商守则/行为准则原则、环境与质量政策、申诉联络点。
2. **管理体系:**持有哪些ISO(或其他)证书,并附证书编号与有效期。
3. **可追溯性:**从源头到批次的能力、逐批COA、原产国单据。
4. **ESG数据(VSME范围):**场地清单与员工人数、基础的能源/排放/用水/废弃物概况、劳工标准确认。
5. **数据处理:**所共享的ESG与商业数据如何受到保护(信息安全态势)。
6. **诚实标志:**各项数字是否带有作物年份/工艺方面的限定说明,以及是否仅主张确实持有的证书?

一家能在不虚构任何内容的前提下回答上述全部六项的供应商,从定义上讲就是一个可随时接受审计的上游合作伙伴——其合规风险远低于一个更便宜、更不透明的替代选项。

常见问题

用简单的话说,CSDDD供应商尽职调查是什么?

它是对大型的、适用范围内的企业所施加的义务,即在其自身经营及其活动链中识别、预防、缓解并应对对人权和环境的不利影响。由于该链条包含上游原料生产者,CSDDD供应商尽职调查实际上要求采购方了解其供应商如何运营——这就是为什么尽管法律并不直接监管供应商,供应商仍会收到关于政策、可追溯性和ESG数据的请求。

CSDDD或CSRD会直接适用于一家小型原料供应商吗?

几乎从不会。在2026年Omnibus I变化之后,门槛非常高——CSDDD大致约为营业额15亿欧元加员工5,000人,CSRD大致约为员工1,000人加营业额4.5亿欧元。一家典型的植物原料、精油或干果供应商远低于这些门槛。此类供应商是间接受影响的,作为适用范围内客户的价值链合作伙伴,而非作为被直接监管的实体。请始终对照官方文本确认现行门槛,因为它们可能随转化立法而变化。

什么是价值链上限,它如何影响数据请求?

由Omnibus I引入的价值链上限,概括地说,阻止一家进行CSRD报告的企业向规模较小的价值链合作伙伴(员工少于1,000人)索取超出自愿性中小企业标准VSME范围的可持续发展数据。实际上,它限制了大型采购方可要求小型供应商报告的数量,并把这些请求统一围绕一套更轻量的标准参考集,而非每个采购方完整的内部模板。它既保护供应商免受过于宽泛的问卷困扰,又奖励那些能够把范围内问题答得干净利落的供应商。

我应当要求原料供应商提供哪些文件?

把请求归为政策、可追溯性和ESG数据三类。索取一份供应商守则/行为政策与环境质量政策;实际持有的管理体系证书(对Arovela而言为ISO 22000、ISO 9001和ISO 27001);与批号绑定的、从源头到批次的可追溯性以及逐批COA;原产国与贸易单据;以及VSME范围内的ESG基础信息,例如场地清单、员工人数和方向性的能源/排放/用水概况。如果你的品牌需要某项特定的方案证书(有机、COSMOS、GMP等),请明确确认,而不要想当然地假设供应商持有它。

ISO 27001与ESG和尽职调查相关吗,还是只与IT相关?

它与尽职调查的相关性正日益增强。随着采购方与供应商交换更多敏感的供应链与ESG数据,这些信息的完整性与保密性便成为评估的一部分。ISO 27001证明存在一套受管理的信息安全体系,从而回答了采购方关于其所共享数据如何受到保护这一合理问题。与ISO 9001和ISO 22000一道,它表明供应商的政策是可运行的,而非装点门面的。

从单一基地供应商采购如何有助于我的合规?

尽职调查随复杂度而扩大。一家在一处基地生产的供应商——对Arovela而言,是单一的**Sındırgı(Balıkesir)场地配以德国索林根(Solingen)**仓库——呈现出一条简短、可读、你能够梳理、审计并在报告中加以描述的链条。而一家多源汇集的整合商呈现出的链条更难核实,因此是更大的潜在风险。更少的节点、ISO支撑的文档以及逐批COA,使一家供应商更易于通过资格审核,并在你自身的CSRD叙述中披露时风险更低。

与一个可随时接受审计的上游合作伙伴合作

欧盟的尽职调查与报告规则正在收紧成品品牌与其原料供应链行为之间的联系——而2026年的Omnibus变化,尽管做了诸多简化,却让供应商准备情况而非问卷页数,成为决定性因素。赢得资格审核的供应商,是那些能够在不虚构任何一个数字的前提下,交出诚实政策、真实可追溯性和范围内ESG数据的供应商。

Arovela正是为成为这样的合作伙伴而打造的:单一的Sındırgı(Balıkesir)生产基地、用于缩短欧盟交货周期的德国索林根(Solingen)仓库、一套ISO 22000 / ISO 9001 / ISO 27001的文档支柱,以及随每批货物附上的逐批COA。告诉我们你的目的地市场和你的尽职调查要求,我们会准确分享我们所持有的内容——不多,也不少。联系Arovela团队以索取文档与报价,或通过我们的批发页面开始。