CSRD och AI-förordningen: Vad Ditt SMF Behöver Veta 2025

Europeiska SMF navigerar idag i ett aldrig tidigare skådat regelverk: två banbrytande rättsakter — CSRD (Corporate Sustainability Reporting Directive) och AI-förordningen — konvergerar för att fundamentalt förändra företagens skyldigheter. Att förstå hur de samspelar är nu en strategisk prioritet, inte bara en juridisk.

Varför Denna Dubbla Reglering Berör Ditt SMF

Många SMF-ledare tror felaktigt att dessa regler bara gäller stora företag. Det är ett kostsamt missförstånd. Om ditt företag är leverantör eller underleverantör till ett stort företag som omfattas av CSRD, påverkas du indirekt av dess rapporteringsskyldigheter. Och om du använder eller implementerar AI-system — även HR-verktyg eller kundscoringsystem — gäller AI-förordningen för dig redan nu.

CSRD: Tidslinje och Trösklar för SMF

CSRD introducerade obligatorisk hållbarhetsrapportering i tre vågor:

• 2025: Stora företag (>500 anställda) som redan omfattas av NFRD
• 2026: Stora företag (>250 anställda ELLER >40 M€ i omsättning ELLER >20 M€ i balansomslutning)
• 2027: SMF noterade på reglerade marknader (med opt-out-klausul till 2028)

Onoterade SMF omfattas inte direkt av CSRD. Men observera: stora kund- eller partnerföretag kommer att begära ESG-data från er för att komplettera sin egen rapportering. Värdekedjepressen är verklig.

Den Frivilliga VSME-Standarden

EFRAG utvecklade en förenklad standard för onoterade SMF: VSME (Voluntary SME Standard). Den låter er svara på partnerförfrågningar utan att behöva uppfylla de fullständiga ESRS-kraven. Att tidigt anta VSME ger er en kommersiell fördel.

AI-Förordningen: Vad Gäller för SMF från 2025

AI-förordningen trädde i kraft den 1 augusti 2024. Genomförandet sker stegvis:

• Februari 2025: Förbud mot oacceptabla AI-metoder
• Augusti 2025: Skyldigheter för AI-modeller för allmän användning (GPAI)
• Augusti 2026: Fullständiga skyldigheter för AI-system med hög risk

Berörs Du av System med Hög Risk?

Bilaga III i AI-förordningen listar högriskområden. Ditt SMF kan beröras om det använder eller utvecklar AI-system för:

• Rekrytering och HR-hantering (CV-scoring, prestationsutvärdering)
• Tillgång till kredit (kreditvärdighetsbedömning)
• Utbildning och yrkesutbildning
• Samhällsviktiga tjänster (vatten, gas, el)
• Produktsäkerhet i reglerade sektorer

Om du hamnar i dessa kategorier gäller efterlevnadsskyldigheter: riskhantering, teknisk dokumentation, händelseloggar, mänsklig tillsyn.

SMF-Specifika Lättnader

EU:s lagstiftare inkluderade specifika åtgärder för att minska bördan för SMF:

1. Regulatorisk sandlåda: Prioriterad tillgång till att testa era AI-system i en säker miljö före kommersialisering
2. Reducerade avgifter hos anmälda organ för SMF och mikroföretag
3. Förenklad dokumentation för vissa kategorier
4. Ytterligare tidsfrister för leverantörer av högrisk-system som redan finns på marknaden

Konvergenspunkter: CSRD / AI-Förordningen

De två rättsakterna förstärker varandra på flera kritiska punkter:

1. Datastyrning

CSRD kräver exakt rapportering om era miljö- och sociala påverkan — vilket kräver noggrann datainsamling. AI-förordningen föreskriver dokumentation av träningsdata för högrisk-system. En solid dataarkitektur tjänar båda skyldigheterna.

2. Transparens och Revisionsbarhet

Båda rättsakterna kräver att era processer är spårbara och verifierbara av tredjeparter. För CSRD är det revisorn. För AI-förordningen är det marknadstillsynsmyndigheterna. Att bygga revisionsbara processer är en gemensam investering.

3. Mänsklig Tillsyn

AI-förordningen föreskriver effektiv mänsklig tillsyn över högrisk-system. Detta krav stämmer överens med CSRD:s anda, som värdesätter ansvarsfull styrning. Att dokumentera era mänskliga kontrollprocesser över AI-beslut svarar mot båda ramverken.

4. Due Diligence i Värdekedjan

CSRD (via CSDDD) föreskriver due diligence avseende era påverkningar längs hela värdekedjan. AI-förordningen skapar liknande skyldigheter för de som använder AI-system utvecklade av tredjeparter. Båda rättsakterna gör er ansvariga för vad ni köper och använder.

En Konkret Handlingsplan för Ditt SMF

Här är en pragmatisk färdplan i tre horisonter:

Kort Sikt (Nu — K3 2025)

• [ ] Kartlägga era AI-system: Identifiera alla verktyg som använder AI (inklusive tredjeparts-SaaS) och deras riskklassificering
• [ ] Bedöma er indirekta CSRD-exponering: Analysera era kontrakt med stora företag för att förutse deras ESG-krav
• [ ] Utse ett regelverksansvarigt: Även på deltid måste någon styra dessa frågor
• [ ] Inventera era data: Vad är kvaliteten, spårbarheten och styrningen av era ESG- och AI-data?

Medellång Sikt (K4 2025 — K2 2026)

• [ ] Anta VSME-standarden om CSRD-partners efterfrågar det
• [ ] Få era högrisk-AI-system i efterlevnad: teknisk dokumentation, riskhantering, mänsklig tillsyn
• [ ] Utbilda era team i grunderna för AI-förordningen (inklusive AI-litteraturskyldigheten för all personal som använder AI-system)
• [ ] Se över era AI-leverantörskontrakt: Era SaaS-leverantörer måste ge er den dokumentation som behövs för er efterlevnad

Lång Sikt (K3 2026 och framåt)

• [ ] Integrera ESG- och AI-styrning i er strategi: Dessa frågor är inte längre perifera
• [ ] Nyttja er efterlevnad gentemot kunder och investerare
• [ ] Delta i regulatoriska sandlådor för att testa innovation i en säker ram

AI-Litteraturskyldigheten: Ofta Förbisedd, Men Omedelbar

Artikel 4 i AI-förordningen föreskriver en ofta förbisedd skyldighet: säkerställa en tillräcklig nivå av AI-literacy för all personal som använder eller övervakar AI-system. Denna skyldighet gäller redan nu, utan övergångsperiod.

I praktiken innebär det att om era medarbetare använder verktyg som ChatGPT, AI-baserad rekryteringsprogramvara eller efterfrågeprognossystem, måste ni kunna visa att de förstår dessa verktygs kapacitet och begränsningar.

Våra Rekommendationer

Behandla inte CSRD och AI-förordningen som två separata projekt. Synergierna är verkliga och att slå ihop dem minskar avsevärt era efterlevnadskostnader. Börja med en snabb diagnos av er exponering mot båda rättsakterna — det är grunden för varje realistisk handlingsplan.

Om ni har frågor om er specifika situation finns våra sektoranalyser och diagnosverktyg tillgängliga på denna plattform.

Denna artikel tillhandahålls i informationssyfte och utgör inte juridisk rådgivning. Konsultera en kvalificerad rådgivare för er specifika situation.