CSRD en AI Act: Wat Uw KMO Moet Weten in 2025

Europese KMO's navigeren vandaag in een ongekend regelgevend landschap: twee baanbrekende wetgevingsteksten — de CSRD (Corporate Sustainability Reporting Directive) en de AI Act — convergeren om de bedrijfsverplichtingen fundamenteel te transformeren. Begrijpen hoe ze samenhangen is nu een strategische noodzaak, niet alleen een juridische.

Waarom Deze Dubbele Regelgeving Uw KMO Betreft

Veel KMO-leiders denken ten onrechte dat deze regels alleen van toepassing zijn op grote ondernemingen. Dat is een kostbare vergissing. Als uw bedrijf leverancier of onderaannemer is van een grote onderneming die onder de CSRD valt, wordt u indirect geraakt door haar rapportageverplichtingen. En als u AI-systemen gebruikt of inzet — zelfs HR-tools of klantscoringssoftware — geldt de AI Act nu al voor u.

CSRD: Tijdlijn en Drempelwaarden voor KMO's

De CSRD introduceerde verplichte duurzaamheidsrapportage in drie golven:

• 2025: Grote ondernemingen (>500 werknemers) die al onder de NFRD vallen
• 2026: Grote ondernemingen (>250 werknemers OF >€40 M omzet OF >€20 M balanstotaal)
• 2027: KMO's genoteerd op gereglementeerde markten (met opt-outclausule tot 2028)

Niet-beursgenoteerde KMO's vallen niet direct onder de CSRD. Maar let op: grote klanten of partnerondernemingen zullen u om ESG-gegevens vragen om hun eigen rapportage te completeren. De druk vanuit de waardeketen is reëel.

De Vrijwillige VSME-Standaard

EFRAG ontwikkelde een vereenvoudigde standaard voor niet-beursgenoteerde KMO's: de VSME (Voluntary SME Standard). Deze stelt u in staat te reageren op verzoeken van partners zonder de volledige ESRS-vereisten te hoeven nakomen. Het vroeg adopteren van VSME geeft u een commercieel voordeel.

De AI Act: Wat Vanaf 2025 Voor KMO's Geldt

De AI Act trad op 1 augustus 2024 in werking. De uitvoering verloopt gefaseerd:

• Februari 2025: Verbod op onaanvaardbare AI-praktijken
• Augustus 2025: Verplichtingen voor AI-modellen voor algemeen gebruik (GPAI)
• Augustus 2026: Volledige verplichtingen voor hoog-risico AI-systemen

Bent U Betrokken Bij Hoog-Risico Systemen?

Bijlage III van de AI Act somt hoog-risicogebieden op. Uw KMO kan erdoor worden geraakt als het AI-systemen gebruikt of ontwikkelt voor:

• Werving en HR-beheer (cv-scoring, prestatiebeoordeling)
• Toegang tot krediet (kredietwaardigheidsbeoordeling)
• Onderwijs en beroepsopleiding
• Essentiële diensten (water, gas, elektriciteit)
• Productveiligheid in gereguleerde sectoren

Als u in deze categorieën valt, zijn er nalevingsverplichtingen van toepassing: risicobeheer, technische documentatie, gebeurtenislogboeken, menselijk toezicht.

KMO-Specifieke Verlichtingen

De EU-wetgever nam specifieke maatregelen op om de last voor KMO's te verlichten:

1. Regelgevende sandbox: Prioritaire toegang om uw AI-systemen te testen in een veilige omgeving voor commercialisering
2. Verlaagde vergoedingen bij aangemelde instanties voor KMO's en micro-ondernemingen
3. Vereenvoudigde documentatie voor bepaalde categorieën
4. Extra termijnen voor aanbieders van hoog-risico systemen die al op de markt zijn

Convergentiepunten: CSRD / AI Act

Beide teksten versterken elkaar op verschillende kritieke punten:

1. Gegevensbeheer

De CSRD vereist nauwkeurige rapportage over uw milieu- en sociale impacts — wat een rigoureuze gegevensverzameling impliceert. De AI Act verplicht documentatie van trainingsgegevens voor hoog-risico systemen. Een solide gegevensarchitectuur dient beide verplichtingen.

2. Transparantie en Controleerbaarheid

Beide teksten vereisen dat uw processen traceerbaar en verifieerbaar zijn door derden. Voor de CSRD is dat de financieel auditor. Voor de AI Act zijn dat de markttoezichtautoriteiten. Het bouwen van controleerbare processen is een gedeelde investering.

3. Menselijk Toezicht

De AI Act legt effectief menselijk toezicht op over hoog-risico systemen. Deze vereiste sluit aan bij de geest van de CSRD, die verantwoord bestuur waardeert. Het documenteren van uw menselijke controleprocessen over AI-beslissingen beantwoordt aan beide kaders.

4. Due Diligence in de Waardeketen

De CSRD (via de CSDDD) legt due diligence op over uw impacts door de gehele waardeketen. De AI Act creëert vergelijkbare verplichtingen voor gebruikers van AI-systemen die door derden zijn ontwikkeld. Beide teksten maken u verantwoordelijk voor wat u koopt en gebruikt.

Een Concreet Actieplan voor Uw KMO

Hier is een pragmatische roadmap in drie horizonten:

Korte Termijn (Nu — K3 2025)

• [ ] Uw AI-systemen in kaart brengen: Identificeer alle tools die AI gebruiken (inclusief SaaS van derden) en hun risicoklassificatie
• [ ] Uw indirecte CSRD-blootstelling beoordelen: Analyseer uw contracten met grote ondernemingen om hun ESG-verzoeken te anticiperen
• [ ] Een regelgevend verantwoordelijke aanwijzen: Zelfs deeltijds moet iemand deze onderwerpen sturen
• [ ] Uw gegevens inventariseren: Wat is de kwaliteit, traceerbaarheid en governance van uw ESG- en AI-gegevens?

Middellange Termijn (K4 2025 — K2 2026)

• [ ] De VSME-standaard adopteren als u hiertoe wordt verzocht door CSRD-partners
• [ ] Uw hoog-risico AI-systemen in compliance brengen: technische documentatie, risicobeheer, menselijk toezicht
• [ ] Uw teams trainen op de basisvereisten van de AI Act (inclusief de AI-geletterdheidsplicht voor al het personeel dat AI-systemen gebruikt)
• [ ] Uw AI-leverancierscontracten herzien: Uw SaaS-aanbieders moeten u de documentatie leveren die nodig is voor uw naleving

Lange Termijn (K3 2026 en daarna)

• [ ] ESG- en AI-governance integreren in uw strategie: Deze onderwerpen zijn niet langer perifeer
• [ ] Uw naleving benutten bij klanten en investeerders
• [ ] Deelnemen aan regelgevende sandboxen om innovatie te testen in een veilig kader

De AI-Geletterdheidsplicht: Vaak Over het Hoofd Gezien, Maar Onmiddellijk van Kracht

Artikel 4 van de AI Act legt een vaak verwaarloosde verplichting op: een voldoende niveau van AI-geletterdheid waarborgen voor al het personeel dat AI-systemen gebruikt of toeziet daarop. Deze verplichting geldt nu al, zonder overgangsperiode.

In de praktijk betekent dit dat als uw medewerkers tools gebruiken zoals ChatGPT, AI-gebaseerde recruitingsoftware of vraagprognose-systemen, u moet kunnen aantonen dat ze de mogelijkheden en beperkingen van die tools begrijpen.

Onze Aanbevelingen

Behandel CSRD en de AI Act niet als twee afzonderlijke projecten. De synergieën zijn reëel en het bundelen ervan verlaagt uw nalevingskosten aanzienlijk. Begin met een snelle diagnose van uw blootstelling aan beide teksten — dat is de basis van elk realistisch actieplan.

Als u vragen heeft over uw specifieke situatie, zijn onze sectoranalyses en diagnosehulpmiddelen beschikbaar op dit platform.

Dit artikel is uitsluitend informatief en vormt geen juridisch advies. Raadpleeg voor uw specifieke situatie een gekwalificeerde adviseur.