CSRD og AI-forordningen: Hvad din SMV behøver at vide i 2025

Europæiske SMV'er navigerer i et hidtil uset regulatorisk miljø: to banebrydende retsakter — CSRD (direktivet om virksomheders bæredygtighedsrapportering) og AI-forordningen — konvergerer for grundlæggende at transformere virksomhedsforpligtelserne. At forstå, hvordan de interagerer, er nu en strategisk prioritet, ikke blot en juridisk en.

Hvorfor denne dobbeltregulering berører din SMV

Mange SMV-ledere tror fejlagtigt, at disse forordninger kun gælder for store virksomheder. Det er en kostbar misforståelse. Hvis din virksomhed er leverandør eller underleverandør til en stor virksomhed, der er underlagt CSRD, vil du blive indirekte påvirket af dens rapporteringsforpligtelser. Og hvis du bruger eller anvender AI-systemer — selv HR-værktøjer eller software til kundevurdering — gælder AI-forordningen for dig allerede nu.

CSRD: Tidsplan og tærskler for SMV'er

CSRD indførte obligatorisk bæredygtighedsrapportering i tre bølger:

• 2025: Store virksomheder (>500 medarbejdere), der allerede er underlagt NFRD
• 2026: Store virksomheder (>250 medarbejdere ELLER >40 mio. EUR i omsætning ELLER >20 mio. EUR i balancesum)
• 2027: SMV'er, der er noteret på regulerede markeder (med fravalgsklausul til 2028)

Unoterede SMV'er er ikke direkte underlagt CSRD. Men pas på: store klient- eller partnervirksomheder vil bede dig om ESG-data for at fuldføre deres egen rapportering. Pres fra værdikæden er reelt.

Den frivillige VSME-standard

EFRAG udviklede en forenklet standard for unoterede SMV'er: VSME (Voluntary SME Standard). Den giver dig mulighed for at reagere på partneranmodninger uden at bære de fulde ESRS-krav. At adoptere VSME nu giver dig en kommerciel konkurrencefordel.

AI-forordningen: Hvad der gælder for SMV'er fra 2025

AI-forordningen trådte i kraft den 1. august 2024. Dens udrulning er faset:

• Februar 2025: Forbud mod uacceptable AI-praksisser
• August 2025: Forpligtelser for generelle AI-modeller (GPAI)
• August 2026: Fulde forpligtelser for højrisiko-AI-systemer

Er du berørt af højrisikosystemer?

Annex III i AI-forordningen opregner højrisikodomæner. Din SMV kan være berørt, hvis den bruger eller udvikler AI-systemer til:

• Rekruttering og HR-administration (CV-scoring, præstationsevaluering)
• Adgang til kredit (kreditværdighedsscoring)
• Uddannelse og erhvervsuddannelse
• Væsentlige tjenester (vand, gas, elektricitet)
• Produktsikkerhed i regulerede sektorer

Hvis du falder inden for disse kategorier, gælder efterlevelsesforpligtelser: risikostyring, teknisk dokumentation, hændelseslogfiler, menneskelig kontrol.

SMV-specifikke lettelser

EU-lovgiver inkluderede specifikke foranstaltninger for at reducere byrden for SMV'er:

1. Regulatorisk sandkasse: Prioriteret adgang til at teste dine AI-systemer i et sikkert miljø inden kommercialisering
2. Reducerede gebyrer hos bemyndigede organer for SMV'er og mikrovirksomheder
3. Forenklet dokumentation for visse kategorier
4. Yderligere tidsfrister for udbydere af højrisikosystemer, der allerede er på markedet

Konvergenspunkter: CSRD / AI-forordningen

Disse to tekster forstærker hinanden på flere kritiske punkter:

1. Datastyring

CSRD kræver præcis rapportering om dine miljømæssige og sociale påvirkninger — hvilket indebærer stringent dataindsamling. AI-forordningen pålægger dokumentation af træningsdata for højrisikosystemer. En solid dataarkitektur tjener begge forpligtelser.

2. Gennemsigtighed og reviderbarhed

Begge tekster kræver, at dine processer kan spores og verificeres af tredjeparter. For CSRD er det den finansielle revisor. For AI-forordningen er det markedsovervågningsmyndighederne. At opbygge reviderbare processer er en fælles investering.

3. Menneskelig kontrol

AI-forordningen pålægger effektiv menneskelig kontrol over højrisikosystemer. Dette krav er i overensstemmelse med CSRD's ånd, som værdsætter ansvarlig styring. Dokumentation af dine menneskelige kontrolprocesser over AI-beslutninger adresserer begge rammer.

4. Due diligence i værdikæden

CSRD (via CSDDD) pålægger due diligence om dine påvirkninger i hele værdikæden. AI-forordningen skaber lignende forpligtelser for brugere, der anvender AI-systemer udviklet af tredjeparter. Begge tekster gør dig ansvarlig for, hvad du køber og bruger.

En konkret handlingsplan for din SMV

Her er en pragmatisk køreplan over tre horisonter:

Kort sigt (Nu — Q3 2025)

• [ ] Kortlæg dine AI-systemer: Identificer alle værktøjer, der bruger AI (herunder tredjeparts SaaS), og deres risikoklassifikation
• [ ] Vurder din indirekte CSRD-eksponering: Analyser dine kontrakter med store virksomheder for at forudse deres ESG-anmodninger
• [ ] Udpeg en regulatorisk ansvarlig: Selv på deltid skal nogen styre disse emner
• [ ] Lav en datainventar: Hvad er kvaliteten, sporligheden og styringen af dine ESG- og AI-data?

Mellemlang sigt (Q4 2025 — Q2 2026)

• [ ] Adopter VSME-standarden, hvis du anmodes om det af CSRD-partnere
• [ ] Bring dine højrisiko-AI-systemer i overensstemmelse: teknisk dokumentation, risikostyring, menneskelig kontrol
• [ ] Uddann dine teams i AI-forordningens grundlæggende elementer (herunder AI-kompetenceforpligtelsen for alle medarbejdere, der bruger AI-systemer)
• [ ] Gennemgå dine AI-leverandørkontrakter: Dine SaaS-udbydere skal forsyne dig med den dokumentation, der er nødvendig for din efterlevelse

Langt sigt (Q3 2026 og frem)

• [ ] Integrer ESG- og AI-styring i din strategi: Disse emner er ikke længere perifere
• [ ] Udnyt din efterlevelse over for kunder og investorer
• [ ] Deltag i regulatoriske sandkasser for at teste innovation i en sikker ramme

AI-kompetenceforpligtelsen: Ofte overset, men øjeblikkelig

Article 4 i AI-forordningen pålægger en hyppigt overset forpligtelse: at sikre et tilstrækkeligt niveau af AI-kompetence for alle medarbejdere, der bruger eller fører tilsyn med AI-systemer. Denne forpligtelse gælder allerede nu, uden nogen overgangsperiode.

I praksis betyder dette, at hvis dine medarbejdere bruger værktøjer som ChatGPT, AI-baseret rekrutteringssoftware eller efterspørgselsprognosesystemer, skal du kunne demonstrere, at de forstår disse værktøjers kapaciteter og begrænsninger.

Vores anbefalinger

Behandl ikke CSRD og AI-forordningen som to separate projekter. Synergierne er reelle, og at samle dem reducerer dine efterlevelsesomkostninger betydeligt. Start med en hurtig diagnostik af din eksponering over for begge tekster — dette er grundlaget for enhver realistisk handlingsplan.

Hvis du har spørgsmål om din specifikke situation, er vores sektoranalyser og diagnosticeringsværktøjer tilgængelige på denne platform.

Denne artikel er udarbejdet til informationsformål og udgør ikke juridisk rådgivning. Konsulter venligst en kvalificeret rådgiver vedrørende din specifikke situation.