¿Qué es la CSRD y a quién obliga en 2026?

La Corporate Sustainability Reporting Directive (CSRD) es la norma europea que establece cómo y cuándo las empresas deben publicar información no financiera sobre su desempeño ambiental, social y de gobernanza. No es un ejercicio voluntario de reputación: es una obligación legal con auditoría externa, formato electrónico estructurado y fechas límite por cohortes. Saber si tu empresa entra en el calendario de 2026, 2027 o 2028 es el primer paso antes de decidir qué recursos destinas.

#Qué cambia respecto al NFRD anterior

Hasta la CSRD existía el NFRD (Non-Financial Reporting Directive), que sólo obligaba a grandes entidades de interés público con más de 500 empleados — unas 11.000 empresas en toda la UE. La CSRD amplía ese universo a más de 50.000 empresas europeas.

El cambio no es sólo de alcance. La CSRD introduce los ESRS (European Sustainability Reporting Standards), un conjunto de estándares elaborados por el EFRAG que define exactamente qué datos hay que publicar y en qué formato. El EFRAG es el organismo asesor europeo en materia de información financiera y de sostenibilidad; sus estándares son los que la Comisión Europea adopta formalmente como norma vinculante.

Los ESRS Set 1 comprenden doce estándares: dos transversales (ESRS 1, sobre requisitos generales, y ESRS 2, sobre información general de la empresa) y diez temáticos que cubren cambio climático, contaminación, agua y recursos marinos, biodiversidad, uso de recursos y economía circular, mano de obra propia, trabajadores en la cadena de valor, comunidades afectadas, consumidores y usuarios finales, y conducta empresarial.

Otro cambio central es el principio de doble materialidad: una empresa debe reportar tanto los riesgos financieros que el clima u otros factores ESG suponen para el negocio, como los impactos que el negocio genera sobre el medio ambiente y la sociedad. Este doble ángulo amplifica considerablemente el número de datos a recopilar.

#Quién está obligado y cuándo

La CSRD establece cuatro cohortes de entrada en vigor. Los umbrales de tamaño usados son los del artículo 3 de la Directiva Contable europea: una empresa es grande si supera al menos dos de estos tres criterios — más de 250 empleados, más de 40 millones de euros de volumen de negocio neto, o más de 20 millones de euros de activos en balance.

Cohorte 1 — ejercicio 2024, informe en 2025. Entidades que ya estaban sujetas al NFRD: grandes empresas de interés público con más de 500 empleados. Bancos, aseguradoras y cotizadas de gran tamaño.

Cohorte 2 — ejercicio 2025, informe en 2026. Todas las grandes empresas europeas (más de 250 empleados o los umbrales financieros equivalentes) que no estaban en la cohorte 1. Aquí entra la gran mayoría de empresas medianas-grandes que tienen que prepararse ahora.

Cohorte 3 — ejercicio 2026, informe en 2027. Pymes cotizadas en mercados regulados europeos, con estándares ESRS simplificados específicamente diseñados para ellas.

Cohorte 4 — ejercicio 2028, informe en 2029. Empresas de fuera de la UE con actividad significativa en Europa (filiales o sucursales que superen ciertos umbrales de facturación dentro de la UE).

Un punto que genera confusión: las pymes no cotizadas no están directamente obligadas por la CSRD. Sin embargo, muchas reciben presión indirecta porque sus clientes grandes sí están obligados y necesitan datos de la cadena de valor para cubrir sus propios ESRS de Scope 3 y categorías sociales. Esta presión de cadena ya está siendo real en sectores industriales, logísticos y de alimentación.

#Qué hay que reportar: los 1.144 datapoints

El volumen de información que exigen los ESRS ha sido objeto de debate. En su primera versión, el conjunto completo de estándares contenía más de 1.100 puntos de datos. Tras el proceso de consulta del EFRAG y las negociaciones políticas, se aplicaron simplificaciones, pero el número sigue siendo elevado para cualquier empresa que no tenga infraestructura de datos ESG.

No todos los datapoints son obligatorios para todas las empresas. Los ESRS aplican el principio de materialidad: una empresa sólo reporta en profundidad los temas que son materiales para ella, según el resultado de su análisis de doble materialidad. Una empresa de servicios informáticos puede tener poca materialidad en biodiversidad o agua; una empresa agrícola, muy alta.

Los datapoints se dividen en cualitativos (políticas, objetivos, planes de acción, gobernanza) y cuantitativos (métricas, indicadores con valores numéricos). Los cuantitativos son los que requieren procesos de recogida de datos robustos y, en muchos casos, verificación de la fuente.

El formato de publicación es iXBRL (Inline XBRL), la misma tecnología que ya se usa para los informes financieros bajo ESEF (European Single Electronic Format). Esto significa que el informe de sostenibilidad tiene que publicarse en formato electrónico legible por máquina, etiquetado con la taxonomía ESRS correspondiente. No es un PDF estático: es un documento estructurado que los reguladores y analistas pueden procesar automáticamente.

#Auditoría, interoperabilidad con GRI e ISSB, y qué hacer ahora

La CSRD exige que el informe de sostenibilidad sea verificado por un auditor o verificador acreditado. En la fase inicial, el nivel requerido es limited assurance (aseguramiento limitado), que equivale a que el auditor revisó los datos y no encontró evidencias de incorrecciones materiales — un nivel de rigor inferior al de una auditoría completa de cuentas anuales, pero significativamente mayor que una revisión interna. A medio plazo está previsto que se eleve a reasonable assurance (aseguramiento razonable), similar al de los estados financieros.

Muchas empresas ya reportan bajo marcos voluntarios como GRI (Global Reporting Initiative) o los estándares del ISSB (International Sustainability Standards Board, que emite IFRS S1 e IFRS S2). Los ESRS están diseñados con interoperabilidad en mente: se ha trabajado para que los datapoints cubiertos por GRI y por IFRS S1/S2 tengan correspondencia con los ESRS equivalentes, reduciendo la duplicación de esfuerzo para quienes ya reportan bajo esos marcos. Sin embargo, los ESRS son más exhaustivos en varias áreas, especialmente en la dimensión de impacto (no sólo financiera).

Si tu empresa entra en la cohorte 2 (ejercicio 2025), el tiempo de preparación es ahora. Los pasos básicos son: realizar el análisis de doble materialidad para identificar qué temas ESRS son relevantes, mapear los datos que ya existen y los que hay que construir, establecer procesos de recogida y trazabilidad, y definir quién será el verificador.

Reporta está diseñado para estructurar este proceso — desde el mapeado de datos hasta la generación del informe en formato compatible con ESRS.

#Preguntas frecuentes

¿Una empresa de 300 empleados con sede en España está obligada por la CSRD?

Si supera al menos dos de los tres umbrales (250 empleados, 40 M€ de facturación neta o 20 M€ de activos), entra en la cohorte 2 y debe reportar sobre el ejercicio 2025. La transposición de la directiva en España establece el marco legal concreto, pero los umbrales europeos son el punto de partida para determinar si aplica.

¿Qué diferencia hay entre CSRD y ESRS?

La CSRD es la directiva legal que establece la obligación. Los ESRS son los estándares técnicos de contenido elaborados por el EFRAG y adoptados por la Comisión. La directiva dice "tienes que reportar"; los ESRS dicen "esto es exactamente lo que tienes que reportar y cómo".

¿Las pymes no cotizadas tienen que hacer algo?

No están directamente obligadas, pero recibirán presión indirecta de sus clientes grandes que necesitan datos de cadena de valor. Existe un estándar ESRS voluntario simplificado para pymes (VSME) que puede servir para responder a esas peticiones sin el nivel de exigencia del Set 1 completo.

¿Cuándo entra en vigor para empresas de fuera de la UE?

Las filiales y sucursales de empresas no europeas entran en la cohorte 4 si su facturación en la UE supera ciertos umbrales. El primer ejercicio de reporte sería 2028, con publicación en 2029. Los umbrales exactos dependen de la transposición nacional de cada Estado miembro.

¿Qué nivel de auditoría exige la CSRD?

En la fase inicial se exige limited assurance. Esto significa que el auditor realiza procedimientos de revisión para detectar incorrecciones materiales, pero no una auditoría completa. Está previsto que el nivel suba a reasonable assurance en años posteriores, aunque la fecha concreta depende de la evolución normativa.

¿Qué es iXBRL y por qué importa para el reporte?

iXBRL (Inline XBRL) es un formato electrónico que permite que el mismo documento sea legible por humanos (como un PDF normal) y procesable por máquina. La CSRD exige que el informe de sostenibilidad se publique en este formato para permitir el análisis automatizado por reguladores, inversores e índices de sostenibilidad.

¿Qué pasa si no cumplimos los plazos?

La CSRD prevé que los Estados miembros establezcan sanciones efectivas, proporcionadas y disuasorias. En España, el régimen sancionador concreto depende de la transposición. Adicionalmente, el incumplimiento puede generar riesgo reputacional con clientes, inversores y entidades financiadoras que ya exigen el informe como condición de acceso a financiación o licitaciones.

Próximo paso

Si tu empresa entra en las cohortes 2 o 3, el análisis de doble materialidad es el primer entregable concreto que necesitas. Sin él no puedes saber qué ESRS son relevantes ni cuánto trabajo de datos tienes por delante. Reporta te guía a través de ese proceso y genera la documentación en el formato que pide el auditor.