Eine einzelne Kette aus wenigen klaren Gliedern verläuft ruhig über warmes Papier; ein einziges Glied ist ziegelrot hervorgehoben als Zeichen für Verantwortung und Sorgfaltspflicht in der Lieferkette.
12.07.2026

Cómo la ley de la cadena de suministro alcanza a las pequeñas y medianas empresas

7 min de lectura

Las grandes corporaciones con más de 5.000 empleados y 1,5 mil millones de euros de facturación neta deberán cumplir con los deberes de diligencia a partir del 26 de julio de 2029. Los proveedores medianos reciben los requisitos a través de las cláusulas contractuales de sus clientes. Deben proporcionar análisis de riesgos sobre derechos humanos y medio ambiente, facilitar paquetes de datos y, en su caso, permitir auditorías o presentar justificantes.

Lo más importante en resumen

  • Solo las grandes corporaciones directamente: Los deberes de diligencia de la UE afectarán directamente a partir de 2029 solo a empresas con más de 5.000 empleados y 1,5 mil millones de euros de facturación.
  • El contrato como palanca: A través de los códigos de conducta y los derechos de auditoría, las obligaciones se extienden a la cadena de suministro. Los proveedores deben entregar análisis de riesgos y justificantes.
  • La preparación da sus frutos: Quien amplíe ahora los procesos existentes de la LkSG para convertirlos en paquetes de respuestas estandarizados, responderá a las consultas de los clientes más rápidamente y sin retrasos contractuales.

Relacionado:Las subvenciones frenan a las pymes  /  PSD3: Lo que los directores financieros deben saber ahora

Quién está sujeto directamente a la CSDDD

La Comisión Europea ha elevado los umbrales en la Directiva (UE) 2026/470. Las empresas de la UE directamente afectadas son aquellas con más de 5.000 empleados y más de 1,5 mil millones de euros de facturación neta mundial. Las empresas no comunitarias deben generar al menos 1,5 mil millones de euros de facturación neta en la UE. La Directiva (UE) 2026/470 se publicó en el Diario Oficial el 26 de febrero de 2026 y entró en vigor el 18 de marzo de 2026.

Cifra clave: Las modificaciones ómnibus reducen el grupo de empresas directamente afectadas en torno a un 70 por ciento. Las estimaciones pasan de unas 10.000 a unas 2.000 empresas en la UE.

Solo las grandes corporaciones mencionadas están directamente afectadas. Fuente: Comisión Europea, Directiva (UE) 2026/470; estimaciones de, entre otros, Clifford Chance (febrero de 2026) y Ropes & Gray (diciembre de 2025).

Los proveedores medianos no entran directamente en el ámbito de aplicación. No obstante, las obligaciones les afectan. Los grandes clientes deben auditar sus propias operaciones, filiales y socios comerciales directos, y trasladan los requisitos a través de los contratos.

Cómo los deberes de diligencia llegan a la cadena de suministro a través de cláusulas contractuales

Las empresas dentro del ámbito de aplicación deben identificar, prevenir, mitigar y subsanar los impactos adversos sobre los derechos humanos y el medio ambiente en su cadena de actividades. Tras las modificaciones ómnibus, la evaluación se centra en las operaciones propias, las filiales y los socios comerciales directos. Los socios indirectos (nivel 2 e inferiores) solo se examinarán en profundidad si existe información objetiva y verificable que indique un riesgo concreto.

Los grandes clientes se protegen contractualmente. Exigen el cumplimiento de un código de conducta, garantías de prevención de riesgos y el derecho a información o auditorías. Las meras cláusulas contractuales no son suficientes. Los clientes también deben supervisar y verificar el cumplimiento. La Comisión presentará directrices y cláusulas contractuales tipo voluntarias antes del 26 de julio de 2027. Muchas corporaciones ya utilizan sus propias cláusulas o los requisitos ESG existentes de la LkSG alemana.

Qué pruebas y datos deben aportar concretamente los proveedores

Los proveedores deben, por regla general, presentar una autodeclaración sobre los riesgos mencionados en el anexo de la directiva. Entre ellos figuran el trabajo forzoso e infantil, la discriminación, las vulneraciones de la libertad de asociación, la protección insuficiente en el trabajo y riesgos medioambientales como la contaminación, la pérdida de biodiversidad o la manipulación inadecuada de sustancias peligrosas.

En concreto, los clientes suelen solicitar:

  • Una descripción de los procesos de diligencia debida propios (política, análisis de riesgos, mecanismo de reclamación).
  • Pruebas de las medidas adoptadas en el aprovisionamiento propio (p. ej., códigos para proveedores, auditorías a proveedores previos críticos).
  • Datos sobre los riesgos identificados, su gravedad y probabilidad de ocurrencia.
  • Justificantes de planes de prevención o de medidas correctoras ante problemas detectados.
  • Certificados o informes de auditorías de terceros (p. ej., SMETA o equivalente) en caso de riesgo elevado.

En caso necesario, los proveedores deben conceder a sus clientes acceso para auditorías propias o encargadas. Las solicitudes deben ser necesarias. La directiva contempla salvaguardas para los socios más pequeños.

Calendario hasta 2029 y la situación en Alemania

Los Estados miembros deben transponer las modificaciones de la CSDDD a su legislación nacional a más tardar el 26 de julio de 2028. Las obligaciones se aplicarán de manera uniforme a partir del 26 de julio de 2029 a todas las empresas incluidas en el ámbito de aplicación. La declaración anual en el sitio web corporativo será válida para los ejercicios que comiencen a partir del 1 de enero de 2030. La Comisión proporcionará directrices y cláusulas modelo hasta el 26 de julio de 2027.

En Alemania, la LkSG está en vigor desde 2024 para empresas con más de 1.000 empleados. El Gobierno federal presentó en septiembre de 2025 un proyecto de ley para modificar la LkSG. El objetivo es una disposición transitoria más ágil, con menos obligaciones de información y una concentración de la BAFA en las infracciones graves. La LkSG debe ser sustituida sin solución de continuidad por una ley de responsabilidad empresarial internacional que transponga la CSDDD. Muchos proveedores medianos ya cumplen partes de los requisitos frente a grandes clientes alemanes o europeos.

Cómo se preparan los proveedores para las consultas de los clientes

Muchas solicitudes ya llegan hoy en día. Quien está preparado evita retrasos en los contratos y riesgos reputacionales. Los siguientes pasos ayudan a cumplir los requisitos de forma sistemática.

  1. Inventariar los procesos LkSG existentes o los voluntarios de ESG y ampliarlos con los riesgos relevantes para la CSDDD (anexo).
  2. Crear paquetes de respuesta normalizados: documentos de política, plantilla de análisis de riesgos, pruebas de las medidas y del procedimiento de reclamación.
  3. Priorizar a los proveedores previos críticos y las regiones de aprovisionamiento, y documentar los primeros análisis de riesgos propios.
  4. Revisar las cláusulas contractuales con los grandes clientes y velar por la proporcionalidad; si es necesario, aprovechar los márgenes de negociación.
  5. Definir responsabilidades internas y crear herramientas o plataformas para la información recurrente de datos.

Las empresas que apliquen estos puntos podrán responder a las consultas de los clientes con mayor rapidez y menor esfuerzo. El tiempo de preparación hasta 2029 debe aprovecharse para lograr procesos estables y repetibles.

Preguntas frecuentes

¿Mi empresa de tamaño medio está directamente sujeta a la CSDDD?

Solo si tiene más de 5.000 empleados y unos ingresos superiores a 1.500 millones de euros. La mayoría de los proveedores reciben los requisitos indirectamente a través de cláusulas contractuales de sus grandes clientes.

¿Qué pruebas concretas exigen los grandes clientes?

Lo habitual es una descripción de sus propios procesos de diligencia debida, declaraciones propias sobre riesgos en materia de derechos humanos y medioambientales, pruebas de medidas preventivas y, en caso de alto riesgo, informes de auditorías externas como SMETA.

¿A partir de cuándo entran en vigor las obligaciones?

Los Estados miembros transponen la Directiva al Derecho nacional hasta el 26 de julio de 2028; las obligaciones son aplicables desde el 26 de julio de 2029. Los modelos de cláusulas de la Comisión estarán disponibles hasta el 26 de julio de 2027.

¿Qué sucede con la Ley alemana de cadena de suministro?

El LkSG debe ser sustituido sin solución de continuidad por una Ley de responsabilidad empresarial internacional que transpone la CSDDD. Desde septiembre de 2025 existe un anteproyecto gubernamental para una normativa de transición más ágil.

¿Qué deben hacer primero los proveedores?

Inventariar los procesos existentes de LkSG o ESG, crear paquetes de respuesta estandarizados con documentos de política y plantillas de análisis de riesgos, y priorizar a los proveedores críticos. Así se pueden atender eficientemente las solicitudes recurrentes.

Consejos de lectura de la redacción

Más del grupo editorial MBF Media

Fuente de la imagen: generada por IA (julio de 2026)

También disponible en

Una revista de evernine media GmbH
La revista para directivos del Mittelstand DACH