Letzte Aktualisierung am 13. Juli 2026:
[cg_add-class=heading-style-h4]In aller Kürze
- Sie sind in Scope, wenn Sie ein EU-Unternehmen mit 1.000 oder mehr Beschäftigten und mehr als 450 Mio. € Nettoumsatz sind. Beide Schwellen zählen, nicht nur eine.
- Wenn Sie noch nicht berichtet haben, umfasst Ihr erster Bericht das GJ 2027 und wird 2028 veröffentlicht. Kapitalmarktorientierte Unternehmen reichen bis zum 30. April 2028 ein.
- Die überarbeiteten ESRS, von der EU-Kommission am 3. Juli 2026 verabschiedet, reduzieren die verpflichtenden Datenpunkte um mehr als 60 Prozent auf rund 320. Sie gelten ab dem GJ 2027, also Ihrem ersten Berichtsjahr.
- Die doppelte Wesentlichkeitsanalyse bleibt verpflichtend. Sie entscheidet, welche der Datenpunkte Sie tatsächlich berichten.
- Das Audit kontrolliert Ihren Prozess, nicht Ihre die Prosa ihres Reports. Wer jetzt schon startet, hat genug Zeit, diesen Prozess aufzubauen.
Seit Juli 2026 ist das Bild nun komplett. Das Omnibus-Paket hat geklärt, wer berichten muss, und am 3. Juli 2026 hat die EU-Kommission die überarbeiteten ESRS verabschiedet, die klären, wie viel. Vieles hat sich verändert, der schwierige Teil jedoch nicht. Die gute Nachricht: Richtig aufgesetzt, wird Ihr erster CSRD-Bericht zu einem System, das Sie jedes Jahr wiederverwenden können. Diese Roadmap ist der Plan, den wir mit Unternehmen nutzen, die zum ersten Mal berichten. Er basiert auf den Erfahrungen unserer Expert*innen, die CSRD-Berichte in der Praxis selbst erstellen, und ist keine bloße Zusammenfassung der Verordnung.
Dies ist der Umsetzungsleitfaden in unserem CSRD-Hub. Für die Verordnung selbst und die dahinterliegenden ESRS-Standards starten Sie im CSRD-Hub.
Sind Sie noch betroffen?
Starten Sie hier, denn die neuen Omnibus-Schwellen nehmen viele Unternehmen aus der Pflicht. Sie sind in Scope, wenn Ihr EU-Unternehmen beide Bedingungen erfüllt: 1.000 oder mehr Beschäftigte und mehr als 450 Mio. € Nettoumsatz. Nur eine der beiden Schwellen reicht nicht. Wave-1-Unternehmen berichten weiterhin nach den Übergangsregeln, kapitalmarktorientierte KMU sind nun vollständig ausgenommen, und Unternehmen ohne Berichtspflicht können freiwillig nach VSME berichten. Was sich durch das Omnibus-Paket genau geändert hat, lesen Sie in unserem Überblick zum Omnibus-Paket. Sind Sie betroffen, ist Ihr erstes Berichtsjahr das GJ 2027 mit Veröffentlichung 2028. Auf diesen Zeithorizont ist die Roadmap ausgelegt.
Was die überarbeiteten ESRS für Erstberichterstattende bedeuten
Die überarbeiteten ESRS (auch ESRS 2026 oder vereinfachte ESRS genannt) wurden am 3. Juli 2026 von der EU-Kommission verabschiedet und gelten verpflichtend für Geschäftsjahre, die am oder nach dem 1. Januar 2027 beginnen — also genau Ihr erstes Berichtsjahr. Gegenüber den Standards von 2023 sinkt die Zahl der verpflichtenden Datenpunkte um mehr als 60 Prozent auf rund 320, die Gesamtzahl um mehr als 70 Prozent. Eine vorzeitige Anwendung für das GJ 2026 ist zulässig, sobald der delegierte Rechtsakt in Kraft tritt. Der Rechtsakt durchläuft derzeit die Prüfphase von Parlament und Rat; am Anwendungsdatum ändert das nichts. Für Erstberichterstattende heißt das praktisch: Sie planen von Anfang an gegen einen stabilen Standard, ohne eine Altfassung berücksichtigen zu müssen.
So lesen Sie diese Roadmap
Die sechs Schritte sind ein Planungsrahmen, keine Beschreibung des tatsächlichen Ablaufs. In der Praxis greifen die Schritte oft ineinander. Ergebnisse der Wesentlichkeitsanalyse verschieben sich, sobald die Datenerhebung beginnt, und die Prüfungsvorbereitung wirft Sie mitunter auf frühere Schritte zurück. Dieses Hin und Her ist normal. Was die Roadmap Ihnen gibt, ist eine gemeinsame Struktur und eine Reihenfolge, die Sie in einen Projektplan überführen können.
Die sechs Schritte zu Ihrem ersten CSRD-Bericht
Schritt 1: Governance und Projektteam aufbauen
Der Erfolg Ihres Bericht entscheidet sich in dem Team, das Sie zu Beginn zusammenstellen. Holen Sie Finanzabteilung, Rechtsabteilung und Geschäftsführung direkt als aktive Beteiligte an Bord und bauen Sie Ihre Dokumentationsstruktur auf, noch bevor sich erste Daten bewegen. Die Prüfung bewertet nicht, wie gut sich der Bericht liest, sondern den Prozess dahinter, die internen Kontrollen und die Nachvollziehbarkeit. Das ist eine Entscheidung in Schritt 1, keine Korrektur in Schritt 5.
Schritt 2: Doppelte Wesentlichkeitsanalyse durchführen
Die doppelte Wesentlichkeitsanalyse entscheidet, welche der rund 320 verpflichtenden Datenpunkte der überarbeiteten ESRS Ihr Unternehmen tatsächlich berichtet. Das Omnibus-Paket hat sie nicht abgeschafft, und auch die ESRS-Überarbeitung hält an ihr fest. Was sich geändert hat: Die Methodik ist leichter geworden. Ein Top-down-Vorgehen ausgehend vom Geschäftsmodell ist jetzt ausdrücklich vorgesehen, und wo das Ergebnis eindeutig ist, genügt eine qualitative Begründung. Der Engpass liegt ohnehin selten in der Methodik. Er liegt in der bereichsübergreifenden Freigabe, und 21 Prozent der eingeschränkten Prüfungsurteile im ersten Berichtsjahr in Mitteleuropa gingen auf Mängel im Prozess der Wesentlichkeitsanalyse zurück (Deloitte CE, Oktober 2025). Zur Methodik selbst finden Sie alles in unserem Leitfaden zur doppelten Wesentlichkeitsanalyse.
Schritt 3: Datenarchitektur und Lücken erfassen
Bevor Sie etwas erheben, kartieren Sie, was bereits vorhanden ist: in EcoVadis, CDP, der Personalabteilung, in Finance und im operativen Reporting. Ermitteln Sie dann die Lücken gegenüber den Datenpunkten, die für Sie relevant sind. Einige sind systematisch schwierig, darunter Scope-3-Emissionen und aufgeschlüsselte Beschäftigtendaten, weil sie eine bereichsübergreifende Verantwortung erfordern, die in den meisten Unternehmen noch fehlt. Unser Leitfaden zu den ESRS-Datenpunkten schlüsselt den vollständigen Satz auf, und die Roadmap als PDF zeigt, welche Sie zuerst angehen sollten.
Schritt 4: Daten erheben und parallel dokumentieren
Erheben Sie Daten und bauen Sie den Audit Trail parallel auf, nicht nacheinander. Halten Sie für jeden Datenpunkt Quelle, Methode und Freigabe fest, denn danach fragt Ihre Prüfungsgesellschaft zuerst. Das Auslassen rächt sich: 66 Prozent der Euro-Stoxx-50-Unternehmen mussten im zweiten Jahr Vorjahresdaten zu Emissionen und Beschäftigten korrigieren, meist weil die Methodik im ersten Jahr nicht solide genug war (SRN, 2026).
Planen Sie vor der Hauptfrist einen Probelauf ein, am besten in der ersten Jahreshälfte 2027. Er testet den gesamten Prozess, solange noch Zeit bleibt, Schwachstellen zu beheben.
Schritt 5: Bericht erstellen
Wenn die ersten vier Schritte gut liefen, ist dies der kürzeste Schritt. Die überarbeiteten ESRS erlauben Querverweise und Anhänge, um Doppelungen zu vermeiden — das hält die Erklärung lesbar. Finanz- und Rechtsabteilung prüfen ihre eigenen Abschnitte, nicht nur das Nachhaltigkeitsteam. Eine Erleichterung am Rande: Die digitale XBRL-Auszeichnung ist verschoben. Verpflichtend wird sie erst, wenn die ESMA-Taxonomie als technischer Regulierungsstandard vorliegt. Für GJ-2027-Berichte kommt sie damit nicht zum Tragen. Mehr dazu erklären wir in unserem Beitrag zur ESRS-XBRL-Taxonomie.
Schritt 6: Prüfung und Limited Assurance bestehen
Die Prüfung betrachtet den Prozess, nicht die Formulierungen. Limited Assurance (begrenzte Prüfungssicherheit) bleibt der Standard. In der Vergangenheit erhielten von 126 mitteleuropäischen Berichten 12 ein eingeschränktes Prüfungsurteil, überwiegend wegen Lücken in Dokumentation und Wesentlichkeitsanalyse (Deloitte CE, Oktober 2025). Zwei Punkte übersehen Erstberichterstattende: Big-Four-Prüfungsgesellschaften akzeptieren keine Excel-basierte Dokumentation, und Prüfende können Vor-Ort-Besuche durchführen. Fehlt eine Angabe oder lässt sie sich nicht schätzen, benennen Sie das klar. Transparenz schneidet besser ab als Verschleierung.
Umsetzung ohne Excel-Overload
Die Roadmap zeigt den Projekt-Plan. Die schwierigere Frage ist, wie Sie ihn über Finanz-, Rechts- und Personalabteilung und ein Dutzend Datenverantwortliche hinweg steuern, ohne dass alles in E-Mail-Verläufen und Versionskonflikten versinkt.
Genau diese Lücke schließt Sunhat, und unser ESRS Use Case zeigt das von Anfang bis Ende. Sie verteilen Aufgaben und verfolgen Verantwortlichkeiten ab dem ersten Tag. Sie führen die vollständige doppelte Wesentlichkeitsanalyse inklusive Freigabe-Tracking durch. Und unsere Proof AI gleicht Ihre vorhandenen Daten aus EcoVadis, CDP und internen Systemen mit den ESRS-Datenpunkten ab, sodass Sie sehen, was vorhanden, was ähnlich und was nicht vorhanden ist. Quelle, Methode und Freigabe werden während der Erhebung erfasst, sodass der Audit Trail bereits vorliegt, noch bevor die Prüfenden danach fragen.
Der Weg zu einem prüfungssicheren Bericht beginnt nicht mit dem Erstellen des Berichts, sondern weit davor. Er beginnt damit, zu wissen, welche Ihrer Daten bereits vorhanden sind und wo die Lücken liegen. Das zeigen wir Ihnen gleich zu Beginn.
Schluss mit Chaos. Einfach nachweisen.
Ihr nächster Kundenfragebogen, Rating oder Audit muss kein "Feuerwehreinsatz" mehr sein. Setzen Sie auf Sunhat´s Collaborative Proof Platform.

Häufig gestellte Fragen
EU-Unternehmen, die beide Schwellen erfüllen: 1.000 oder mehr Beschäftigte und mehr als 450 Mio. € Nettoumsatz. Wave-1-Unternehmen berichten weiter nach den Übergangsregeln, kapitalmarktorientierte KMU sind ausgenommen. Unternehmen ohne Pflicht können freiwillig nach VSME berichten.
Erstberichterstattende unter den Omnibus-Schwellen berichten für das GJ 2027 mit Veröffentlichung 2028. Kapitalmarktorientierte Unternehmen reichen bis zum 30. April 2028 ein, andere innerhalb von zwölf Monaten, also bis zum 31. Dezember 2028.
Ja. Die am 3. Juli 2026 verabschiedeten überarbeiteten ESRS gelten verpflichtend für Geschäftsjahre ab dem 1. Januar 2027 — dem ersten Berichtsjahr für neu betroffene Unternehmen. Sie reduzieren die verpflichtenden Datenpunkte um mehr als 60 Prozent auf rund 320. Eine vorzeitige Anwendung für das GJ 2026 ist zulässig.
Ja. Das Omnibus-Paket hat die Zahl der Datenpunkte reduziert, die Analyse aber nicht abgeschafft, und auch die überarbeiteten ESRS halten an ihr fest, bei leichterer Methodik. Sie bleibt der Schritt, der die verpflichtenden Datenpunkte in die für Ihr Unternehmen tatsächlich relevante Auswahl überführt.
Planen Sie den Start in der zweiten Jahreshälfte 2026 mit Governance und Wesentlichkeitsanalyse, die Datenarbeit über das Jahr 2027 und Erstellung sowie Prüfung bis Anfang 2028. Ein Vorlauf von einem Quartal schafft Puffer. Die Zeitangaben sind Richtwerte, und die Schritte greifen in der Praxis ineinander.
Ja, und Sie sollten es. THG-Daten aus CDP lassen sich E1 zuordnen, Beschäftigtendaten aus dem EcoVadis-Sozialmodul S1. Vorhandenes abzugleichen ist der schnellste Weg, Ihre echten Lücken zu erkennen, bevor Sie Neues erheben.

Schritt für Schritt: Ihre CSRD Roadmap 2026
Lassen Sie sich durch die Komplexität von CSRD nicht ausbremsen. Erfahren Sie, welche konkreten Schritte nach Omnibus I erforderlich sind, um sich auf ein reibungsloses Audit vorzubereiten.








