Cyber-Sicherheit in der Lieferkette. LKWs, die auf einem virtuellen Netzwerk fahren.

12.03.2026

Cybersicherheit in der Lieferkette: Risiken erkennen und systematisch steuern

„Cyber Insecurity“ ist eines der größten Risiken und betrifft die ganze Lieferkette. In diesem Artikel erfahren Sie, warum und wie Sie Cybersicherheit in der Lieferkette umsetzen sollten.

Das World Economy Forum (WEF) stuft in seinem aktuellsten Global Risks Report „Cyber Insecurity“ als eines der größten (Platz 6 Short-Term) globalen Risiken ein – und für Einkaufsverantwortliche ist es laut Hackett Group sogar Risikofaktor Nummer 1. Mit der neuen NIS-2-Richtlinie rückt zudem klar in den Fokus: Cybersicherheit betrifft die gesamte Lieferkette und endet nicht an den eigenen Werkstoren. Zeit also, sich konkret Cybersicherheit in der Lieferkette anzusehen und Cyberrisiken konsequent aus Einkaufs- und Lieferkettenperspektive zu denken.

Das Wichtigste zu Cybersicherheit in der Lieferkette

Was versteht man unter Cybersicherheit in der Lieferkette?

Cybersicherheit in der Lieferkette beschreibt alle Maßnahmen zur Sicherstellung von IT-Sicherheit und Informationssicherheit bei externen Dienstleistern, Zulieferern und Drittanbietern, die Zugriff auf Systeme, Daten oder kritische Prozesse haben. Cybersicherheit in der Lieferkette umfasst damit die systematische Absicherung der gesamten Supply Chain gegen digitale Bedrohungen.

Warum ist Cybersicherheit in der Supply Chain wichtig?

Moderne Lieferketten sind hochgradig vernetzt: Unternehmen arbeiten mit Cloud-Providern, IT-Dienstleistern, Logistikern, Beratungen, Outsourcing-Partnern und vielen weiteren Akteuren zusammen. Daten fließen über Systemgrenzen hinweg, externe Partner greifen auf unternehmensinterne Anwendungen zu, kritische Prozesse hängen von Drittparteien ab. Gerade in global vernetzten Supply Chains entstehen dadurch neue digitale Angriffsflächen.

Genau diese Vernetzung macht die Supply Chain anfällig für Cyberangriffe. Eine einzige Schwachstelle – etwa ein schlecht gesicherter Dienstleister mit VPN-Zugang oder ein Software-Zulieferer mit unzureichenden Sicherheitsstandards – kann ausreichen, um Angreifern den Weg ins eigene Unternehmen zu ebnen. Dieses sogenannte Third-Party-Cyber-Risiko ist heute einer der zentralen Treiber für Sicherheitsvorfälle in Unternehmen und damit ein Kernproblem der Cybersicherheit in der Lieferkette.

So sagt Bitkom-Präsident Dr. Ralf Wintergerst:

„Angreifer suchen sich die schwächste Stelle aus. Gerade bei besonders gut geschützten Unternehmen sind das häufig weniger gut geschützte Zulieferer. (…) Zur Verbesserung der Cybersicherheit muss es darum gehen, Geschäftspartner entlang der Lieferkette zu sensibilisieren, Schutzmaßnahmen zu vereinbaren und gemeinsam zu implementieren.“

Die Folgen reichen von Betriebsunterbrechungen über finanzielle Schäden bis hin zu massiven Reputationsverlusten. Cybersicherheit in der Lieferkette bedeutet daher: Nicht nur das eigene Unternehmen muss widerstandsfähig sein, sondern das gesamte Supply-Chain-Ökosystem, in dem es sich bewegt.

Die Herausforderungen von Cybersicherheit in der Lieferkette

In der Theorie ist klar: Lieferkettenrisiken – auch solche, die mit IT-Sicherheit zu tun haben – müssen systematisch erfasst und gesteuert werden. In der Praxis scheitert das aber selten am fehlenden Willen, sondern an fehlenden Strukturen. Gerade hier zeigt sich, wie anspruchsvoll Cyber-Risikomanagement tatsächlich ist.

Typische Herausforderungen:

Fehlende Transparenz über relevante Lieferanten
Viele Unternehmen wissen nicht genau, welche Lieferanten aus IT-Sicht besonders kritisch sind. Systemzugriffe, Datenflüsse oder Abhängigkeiten sind oft nicht zentral erfasst. Dadurch bleibt unklar, wo ein Angriff besonders wehtun würde.
Unterschiedliche Reifegrade bei Lieferanten
Während einige Partner etablierte Sicherheitsstandards und Zertifizierungen vorweisen können, verfügen andere kaum über dokumentierte Maßnahmen oder Sicherheitsniveaus. Diese Heterogenität erschwert eine einheitliche Bewertung von Risiken und Maßnahmen und macht sichtbar, dass es keine One-Size-Fits-All-Lösung gibt: Stattdessen sind dedizierte Lieferanten-Engagement-Gespräche notwendig.
Manuelle und unstrukturierte Abfragen
Informationen zu Sicherheitsvorkehrungen werden häufig per E-Mail, Excel oder individuellen Fragebögen eingeholt. So eine manuelle Risikoanalyse ist aufwendig, fehleranfällig und nicht skalierbar – insbesondere bei großen Lieferantenportfolios.
Fehlende Aktualität der Informationen
Einmal erhobene Daten werden selten regelmäßig aktualisiert. So bleiben Veränderungen – etwa bei der IT-Landschaft eines Lieferanten, bei Vorfällen oder bei neuen Zertifizierungen – häufig unentdeckt.
Mangelnde Nachweisfähigkeit im Prüfungsfall
Selbst wenn Maßnahmen umgesetzt werden, sind sie oft nicht konsistent dokumentiert. Kommt es zu Audits, regulatorischen Prüfungen oder Sicherheitsvorfällen, fehlt ein zentraler, belastbarer Überblick.

Diese Punkte machen deutlich: Cybersicherheit in der Lieferkette lässt sich nicht mit einzelnen, punktuellen Maßnahmen lösen. Was fehlt, sind strukturierte, wiederholbare und nachvollziehbare Risikobewertungen, die Transparenz schaffen und Risiken dauerhaft steuerbar machen.

Cyber Risk Management als Grundlage für Cybersicherheit in der Lieferkette

Um Cyber-Risiken in der Lieferkette wirksam zu adressieren, braucht es einen ganzheitlichen Ansatz. Cybersicherheit in der Lieferkette ist dabei kein isoliertes IT-Thema, sondern Teil des strategischen Supply-Chain-Risikomanagements.

Wichtige Überlegungen sind:

Strukturiertes Risikomanagement für Lieferanten
Lieferanten sollten nicht nur nach Preis, Qualität und Lieferfähigkeit bewertet werden, sondern auch nach ihrem Cyber-Risikoprofil. Dazu gehören standardisierte Risikoanalysen, klare Kriterien und einheitliche Bewertungslogiken.
Verbindliche Sicherheitsanforderungen an Dritte
Sicherheitsstandards – etwa zu Zugriffen, Verschlüsselung, Incident-Management oder Patch-Management – sollten vertraglich verankert werden. Nur so wird Cybersicherheit zu einem festen Bestandteil der Zusammenarbeit.
Klare Kommunikations- und Eskalationswege
Im Ernstfall zählt jede Minute. Unternehmen benötigen definierte Ansprechpartner, Meldewege und Prozesse, um Vorfälle bei Lieferanten schnell zu erkennen, zu bewerten und gemeinsam zu beheben.
Regelmäßige Überprüfung und Aktualisierung
Bedrohungslagen verändern sich, ebenso wie IT-Landschaften, Lieferantenbeziehungen und Risikobewertungen. Cyber-Risiken müssen deshalb kontinuierlich überprüft und Bewertungen regelmäßig aktualisiert werden – nicht nur einmalig beim Onboarding eines Lieferanten.

Wie stellt man Cyber-Sicherheit in der Lieferkette sicher?

Wie können Unternehmen nun konkret vorgehen, um Cybersicherheit als Lieferkettenrisiko systematisch zu managen? Bewährt hat sich ein schrittweises Vorgehen:

1. Relevante Lieferanten, Zugriffe und Abhängigkeiten identifizieren und priorisieren

Zu Beginn muss Transparenz darüber geschaffen werden, welche externen Partner aus Cyber-Sicht tatsächlich kritisch sind. Entscheidend sind dabei nicht nur Vertragsbeziehungen, sondern konkrete Systemzugriffe, Datenflüsse und operative Abhängigkeiten – also der tatsächliche potenzielle Impact auf Verfügbarkeit, Integrität und Vertraulichkeit. Das ist zu tun, damit Sie die wirklich relevanten Partner und Abhängigkeiten gezielt segmentieren:

Alle externen Systemzugriffe (z. B. VPN, APIs, Cloud-Integrationen) zentral erfassen
Lieferanten anhand ihres Zugriffs- und Daten-Impacts in Kritikalitätsklassen einteilen
Besonders sensible oder geschäftskritische Abhängigkeiten (Single Points of Failure) identifizieren
Nicht mehr benötigte oder überprivilegierte Zugänge konsequent reduzieren (Least-Privilege-Prinzip)

2. Risiken kontinuierlich überwachen und transparent machen

Cyber-Risiken in der Lieferkette verändern sich fortlaufend – durch neue Bedrohungen, veränderte IT-Landschaften oder Anpassungen in der Zusammenarbeit. Bewertungen sollten daher nicht nur regelmäßig aktualisiert, sondern auch übergreifend steuerbar gemacht werden:

Regelmäßige Re-Assessments für kritische Lieferanten etablieren
Anlassbezogene Neubewertungen bei Vorfällen oder wesentlichen Änderungen durchführen
Aggregierte Risiko-Dashboards zur Portfolio-Steuerung einführen
Zentrale KPIs (z. B. offene High-Risk-Findings, Remediation-Quote, Assessment-Abdeckung, Security Monitoring) kontinuierlich überwachen
Einhaltung regulatorischer Compliance-Anforderungen inkl. Dokumentation für NIS-2-Compliance

3. Maßnahmen dokumentieren und Nachweisfähigkeit sicherstellen

Alle Bewertungen, Entscheidungen und Maßnahmen sollten zentral dokumentiert werden. So lässt sich nachweisen,

dass Risiken erkannt und adressiert wurden,
welche Anforderungen an Lieferanten gestellt wurden,
wie auf Vorfälle reagiert wurde.

Diese Nachweisfähigkeit ist nicht nur für Audits und Regulatorik wichtig, sondern auch für das interne Vertrauen in den eigenen Sicherheitsansatz.

Fazit: Cybersicherheit neu denken – aus Risiko in der Lieferkette

Cybersicherheit ist heute weit mehr als Firewalls, Virenscanner und interne IT-Policies. Wer sein Unternehmen schützen will, muss die gesamte Lieferkette in den Blick nehmen – von der Auswahl kritischer Dienstleister über klare Anforderungen und Verträge bis hin zu wiederkehrenden Assessments und sauberer Dokumentation.

Die gute Nachricht: Unternehmen, die ihre Cybersicherheitsstrategie konsequent um den Lieferkettenblick erweitern, gewinnen nicht nur an Resilienz, sondern auch an Steuerbarkeit. Sie wissen, wo ihre größten Abhängigkeiten liegen, können Risiken priorisieren und sind im Ernstfall schneller handlungsfähig.

Kurz gesagt: Cybersicherheit beginnt bei Ihnen – aber sie endet nicht an Ihren Werkstoren.

Wir unterstützen Sie gerne dabei, die notwendigen Informationen Ihrer Lieferanten zentral und effizient auf einer Plattform zu sammeln.

Kontaktieren Sie uns für ein Kennenlernen.

Kennenlernen vereinbaren

* Bei diesen Informationen handelt es sich um redaktionell zusammengefassten Content, der nicht als Rechtsberatung zu verstehen ist. VERSO übernimmt keine Haftung.

Abonnieren Sie unseren Newsletter!

Tragen Sie sich ein und erhalten Sie regelmäßig Neuigkeiten zu:

Aktuellen ESG-Themen und Gesetzesänderungen
Best Practices aus den Bereichen ESG und nachhaltige Lieferketten
News zu VERSO
Sustainability Events uvm.

Das Bild zeigt Pakete (Karton-Verpackungen), die von einem Logisitkmitarbeitenden in einer Lagerhalle von einem Ort zum anderen geschoben werden. Es sind Verpackungen, die künftig von der PPWR betroffen sind.

23.02.2026

PPWR: Die wichtigsten Fragen und Antworten für Unternehmen

Die PPWR (Packaging and Packaging Waste Regulation) bringt umfassende Anforderungen für Unternehmen entlang der gesamten Verpackungswertschöpfungskette. In diesem Artikel beantworten wir die wichtigsten PPWR-Fragen und zeigen, welche Pflichten ab 2026 gelten.

Die PPWR (Packaging and Packaging Waste Regulation) – auch bekannt als neue EU-Verpackungsverordnung – bringt umfassende Anforderungen für Unternehmen entlang der gesamten Verpackungswertschöpfungskette. Sie betrifft Design, Recyclingfähigkeit, Kennzeichnung, erweiterte Herstellerverantwortung (EPR) sowie die Reduktion von Verpackungsabfällen. Hier finden Sie die wichtigsten PPWR-Fragen und erfahren, welche Pflichten ab 2026 gelten.

1. Was ist die PPWR (Packaging and Packaging Waste Regulation)?

Die PPWR (Packaging and Packaging Waste Regulation) ist ein zentraler Baustein des europäischen Green Deal. Als einheitliches, direkt geltendes Rahmenwerk ersetzt sie die bisherige Verpackungsrichtlinie. Ziel der Verordnung ist es, in der EU die Kreislaufwirtschaft zu stärken und Verpackungsabfälle zu reduzieren, Recyclingfähigkeit und Materialeffizienz zu erhöhen und die bisherigen Vorschriften EU-weit zu harmonisieren.

2. Ab wann gilt die PPWR?

Die PPWR ist am 11.02.2025 in Kraft getreten, gilt ab dem 12.08.2026 in der Anwendung und wird bis 2040 schrittweise ausgeweitet – mit wichtigen Meilensteinen in den Jahren 2028 und 2030.

3. Wen betrifft die PPWR?

Die PPWR gilt für alle Verpackungen und verpackten Produkte, die auf dem EU-Markt in Verkehr gebracht werden. Ab dem 12. August 2026 dürfen Waren in Verpackungen, die der Verordnung nicht entsprechen, in der EU nicht mehr vermarktet werden. Für Verpackungen gefährlicher Güter, Medizinprodukte, kontaktkritischer Lebensmittel und innovative Verpackungen gelten Ausnahmen und Sonderregelungen, die dort Flexibilität bieten, wo Sicherheits- oder Innovationsaspekte dies rechtfertigen.

Bleibt die Frage nach der konkreten Rolle in der PPWR: Die PPWR hat einen enorm breiten Anwendungsbereich. Deshalb betrifft sie zahlreiche Unternehmen, darunter:

Lieferanten von Verpackungen oder Verpackungsmaterialien
Hersteller von Verpackungen oder verpackten Produkten
Distributoren, Importeure und Fulfillment-Dienstleister
Markeninhaber, die verpackte Waren auf dem EU‑Markt in Verkehr bringen
Nicht-EU-Lieferanten, die Produkte oder Verpackungen für die EU liefern

Folgende Sektoren sind besonders betroffen:

FMCG / Konsumgüter des täglichen Bedarfs (Lebensmittel, Getränke, Körperpflege)
Einzelhandel, E‑Commerce und Online-Marktplätze
Verpackungsherstellung
Logistik, Fulfillment und Transportverpackungen
Textilien, Bekleidung und Schuhe (Aspekte der Verpackung)
Gastronomie, Bewirtung und Take-away (HORECA)

4. Welche Rollen definiert die PPWR?

Die PPWR legt klare Verpflichtungen für jeden Wirtschaftsakteur entlang der Lieferkette fest und unterscheidet grundsätzlich zwischen Erzeugern, Importeuren, Vertreibern und Lieferanten.

Erzeuger

Eine natürliche oder juristische Person, die Verpackungen oder ein verpacktes Produkt fertigt oder unter eigenem Namen oder eigener Marke entwickeln oder fertigen lässt. (Bedeutet Verpackungshersteller oder Unternehmen wie Amazon).

Lieferant

Jede natürliche oder juristische Person, die Verpackungen oder Verpackungsmaterialien an einen Erzeuger liefert.

Importeur

Jede natürliche oder juristische Person in der EU, die Verpackungen aus einem Nicht‑EU‑Land auf den EU‑Markt bringt.

Vertreiber

Jede natürliche oder juristische Person in der Lieferkette (außer Erzeuger/Importeur), die Verpackungen oder verpackte Produkte auf dem Markt bereitstellt.

5. Was bedeutet die PPWR-Rolle „Producer” bzw. „Hersteller” und was ist der Unterschied zum Erzeuger?

Diese Frage taucht bei der PPWR besonders häufig auf. Als Hersteller gelten alle Erzeuger, Importeure oder Vertreiber – unabhängig vom Sitz –, die Verpackungen oder verpackte Produkte erstmals in einem Mitgliedstaat auf den Markt bringen. Sie haben dann noch zusätzliche Pflichten, z.B. die erweiterte Herstellerverantwortung (EPR) für Sammlung und Recycling. Der Begriff ist nicht zu verwechseln mit dem „Erzeuger”. Der Erzeuger ist eine der Rollen, die unter den Sammelbegriff „Hersteller” fallen. Auch im Englischen besteht Verwechslungsgefahr: Hier wird der Hersteller übrigens Producer genannt und der Erzeuger Manufacturer.

Es ist wichtig zu verstehen, dass es in einer Verpackungswertschöpfungskette nur einen Erzeuger gibt, aber durchaus mehrere Hersteller geben kann (hier ist pro Mitgliedsstaat zu prüfen, ob man Erstinverkehrbringer ist).

6. Was bedeutet “Erweiterte Herstellerverantwortung” im Kontext der PPWR?

Ein wichtiger Bestandteil der PPWR ist das Prinzip der erweiterten Herstellerverantwortung, auch als Extended Producer Responsibility oder kurz EPR bekannt. Die EPR-Compliance verpflichtet Hersteller nicht nur zur Verantwortung für die Herstellung und den Vertrieb ihrer Produkte, sondern auch für die Entsorgung der damit verbundenen Verpackungen.

Ein Beispiel: Online-Händler aus Deutschland, die Waren nach Österreich an einen Endkunden verkaufen, sind verpflichtet, dort einen Bevollmächtigen zu ernennen, um sich im nationalen Herstellerregister zu registrieren und entsprechende Gebühren zu bezahlen.

7. Wie verändern sich mit der PPWR die EPR-Gebühren?

Ab 18 Monate nach Veröffentlichung der EU-Kriterien werden die EPR-Gebühren nach der Umweltfreundlichkeit der Verpackung gestaffelt (=modulierte Gebühren). Sie sind dann z. B. günstiger, wenn die Recyclingfähigkeit höher ist.

8. Welche Pflichten bringt die PPWR für Unternehmen mit sich?

Die PPWR führt umfassende Nachhaltigkeits- und Informationspflichten für Unternehmen entlang der gesamten Wertschöpfungskette ein. Sie betreffen sowohl das Design und die Materialwahl von Verpackungen als auch Dokumentation, Kennzeichnung, Rückverfolgbarkeit und Berichterstattung.

Zu den zentralen Pflichten, die je nach Rolle variieren, gehören:

1. Konformität & chemische Sicherheit (ab 2026)

Einhaltung von Grenzwerten für besorgniserregende Stoffe (z. B. PFAS, Schwermetalle), insbesondere bei Lebensmittelkontakt
Durchführung von Konformitätsbewertungsverfahren
Erstellung technischer Dokumentationen
Ausstellung einer EU-Konformitätserklärung (DoC)

2. Kennzeichnung & Transparenz (ab 2028 ff.)

Harmonisierte Kennzeichnung zur Materialzusammensetzung
Angaben zu Kompostierbarkeit, Rücknahme- oder Pfandsystemen
Kennzeichnung von Mehrwegverpackungen
Bereitstellung von Informationen gegenüber Behörden und Marktüberwachung
Registrierung und Pflichten im Rahmen der erweiterten Herstellerverantwortung (EPR)

3. Design- und Nachhaltigkeitsanforderungen (schrittweise bis 2040)

Minimierung von Gewicht, Volumen und Leerraum (max. 50 % bei Transport- und E-Commerce-Verpackungen ab 2030)
Verbot bestimmter Einwegkunststoffverpackungen
Vorgaben zur Recyclingfähigkeit (mind. 70 % ab 2030, 80 % ab 2038)
Design for Recycling (werkstoffliches Recycling ermöglichen)
Mindestrezyklatanteile in Kunststoffverpackungen (10–35 % ab 2030, bis zu 65 % ab 2040)
Erfüllung verbindlicher Wiederverwendungsquoten
Industrielle Recyclingfähigkeit im großen Maßstab (ab 2035)

4. Spezifische Vorgaben für bestimmte Verpackungen

Kompostierbarkeit bestimmter Anwendungen (z. B. Tee- oder Obstetiketten)
Wiederverwendungsangebote im Take-away-Bereich
Nutzung eigener Behälter ermöglichen

9. Welche Anforderungen gelten ab 2026 konkret?

Wenn Sie Erzeuger der Verpackungen bzw. der verpackten Produkte sind:

müssen Sie ein Konformitätsbewertungsverfahren durchführen sowie die technischen Dokumentation und Konformitätserklärung erstellen,
dürfen Sie keine besorgniserregenden Stoffen in Verpackungsmaterial (PFAS, Schwermetalle) verwenden und
haben Sie eine allgemeine Kennzeichnungspflicht.

Wenn sie nachgelagert von einem Erzeuger bzw. von Ihren Lieferanten Verpackungen oder verpackte Produkte einkaufen, dann haben Sie Prüfpflichten u.a. hinsichtlich der Konformität der Verpackungen und der Kennzeichnungspflichten.

10. Welche Vorgaben gibt es hinsichtlich Leerraum und Überverpackung?

Ab dem 01.01.2030 dürfen Gruppen-, Transport- und E-Commerce-Verpackungen maximal 50 % Leerraum aufweisen, wobei auch Füllmaterial als Leerraum gilt. Das Gewicht bzw. Volumen der Verpackung muss dann auf das Nötige reduziert sein und kosmetische Tricks (z. B. Doppelwände, falsche Böden) sind bis auf wenige Ausnahmen verboten.

11. Welche Auswirkungen hat die PPWR auf die Lieferkette?

Die PPWR erhöht die Datenanforderungen an Lieferanten und Verpackungshersteller entlang der gesamten Verpackungslieferkette, verlangt klare Verantwortlichkeiten in der Verpackungswertschöpfungskette und führt zu einem höheren Abstimmungsaufwand zwischen Einkauf, Nachhaltigkeit, Qualität und Lieferanten. Gleichzeitig steigen die Risiken durch unvollständige oder veraltete Lieferantendaten, weshalb Transparenz und eine digitale, jederzeit verfügbare Datenbasis an Bedeutung gewinnen.

12. Wie sollten sich Unternehmen jetzt auf die PPWR vorbereiten?

Unternehmen sollten frühzeitig Transparenz über betroffene Verpackungen und Lieferanten schaffen, bestehende Daten und Nachweise prüfen sowie klare Prozesse für Datenerhebung und -pflege definieren. Entscheidend ist zudem, Lieferanten rechtzeitig einzubinden und digitale Strukturen aufzubauen, um die Anforderungen skalierbar und revisionssicher zu erfüllen.

Unsere Herangehensweise:

PPWR-Readiness der Lieferkette feststellen
Lieferanten sensibilisieren und schulen – ohne Mehraufwand
Verpackungsdaten automatisiert einholen und auswerten
Optionale Beratung zur strategischen und operativen Umsetzung

13. Wie hängt die PPWR mit anderen ESG-Anforderungen zusammen?

Dekarbonisierung der Lieferkette

Die PPWR fördert recyclingfähige und materialeffiziente Verpackungen, wodurch der Einsatz von Primärrohstoffen sinkt und energieintensive Produktionsschritte reduziert werden – ein direkter Hebel zur Reduktion von Scope-3-Emissionen.

REACH / RoHS

Die PPWR baut auf bestehenden Chemikalienregulierungen auf und konkretisiert Stoffanforderungen für Verpackungen, etwa durch Grenzwerte für PFAS und Schwermetalle, um Umwelt- und Gesundheitsrisiken systematisch zu reduzieren.

ESRS E5 – Kreislaufwirtschaft

Die PPWR operationalisiert die Anforderungen des ESRS E5, indem sie verbindliche Kriterien zur Recyclingfähigkeit, Materialzusammensetzung und Wiederverwertbarkeit von Verpackungen definiert und damit belastbare ESG-Kennzahlen ermöglicht.

EUDR – Rückverfolgbarkeit

Wie die EUDR verlangt auch die PPWR eine transparente Rückverfolgbarkeit von Materialien und Lieferanten, um regulatorische Konformität entlang der Lieferkette nachweisen zu können.

Digital Product Passport (DPP)

Die PPWR liefert zentrale Datenpunkte für den Digital Product Passport, insbesondere zu Materialzusammensetzung, Stoffen, Recyclingfähigkeit und Konformität, und schafft damit die Grundlage für eine digitale, standardisierte Produkt- und Verpackungstransparenz.

14. Warum sollten Unternehmen die PPWR frühzeitig umsetzen?

Unternehmen sollten die PPWR frühzeitig umsetzen, um Compliance-, Haftungs- und Marktzugangsrisiken zu senken und kurzfristige Umsetzungs- sowie Lieferkettenengpässe zu vermeiden. Wer jetzt handelt, baut belastbare Datenstrukturen statt manueller Ad-hoc-Lösungen auf und positioniert sich besser gegenüber Kunden, Handel und Behörden. Gleichzeitig lässt sich die PPWR als Hebel für effiziente, nachhaltige Verpackungsstrategien nutzen, während notwendige Anpassungen in Forschung und Entwicklung ausreichend Zeit für Planung, Tests und Skalierung erhalten.

15. Welche Strafen sind bei PPWR-Verstößen zu beachten?

In Deutschland muss für fehlende Konformitätserklärungen, technische Dokumentationen, Registrierungen, Lizenzierungen oder falschen Angaben mit bis zu 200.000 Euro Strafe gerechnet werden. Zusätzlich können auch Vertriebsverbote verhängt werden. Die ganz konkreten Strafen für einzelne PPWR-Pflichten werden noch durch weitere Rechtsakte festgelegt.

PPWR unkompliziert umsetzen

Wir hoffen, nun einige Ihrer Fragen zur PPWR beantwortet zu haben, denn: Ab 2026 wird PPWR-Compliance zur operativen Realität – manuelle Excel-Listen reichen dafür nicht mehr aus. Mit VERSO digitalisieren Sie Datenerhebung, Lieferantenkommunikation und Nachweisführung zentral in einer Plattform.

Sie wollen Ihre konkreten Pflichten herausfinden? Machen Sie den PPWR-Check! 3 Minuten und ein paar Klicks später wissen Sie, was auf Sie zukommt und erhalten obendrauf noch eine praktische Checkliste zum Starten!

Jetzt PPWR-Check machen

* Bei diesen Informationen handelt es sich um redaktionell zusammengefassten Content, der nicht als Rechtsberatung zu verstehen ist. VERSO übernimmt keine Haftung.

Abonnieren Sie unseren Newsletter!

Tragen Sie sich ein und erhalten Sie regelmäßig Neuigkeiten zu:

Aktuellen ESG-Themen und Gesetzesänderungen
Best Practices aus den Bereichen ESG und nachhaltige Lieferketten
News zu VERSO
Sustainability Events uvm.

Bild von einem Cyber-Angriff mit Computer und Code.

04.02.2026

Was bedeutet die Cybersicherheitsrichtlinie NIS-2 für die Lieferkette?

NIS-2 verschärft die Anforderungen an die Cybersicherheit – erstmals steht die gesamte Lieferkette im Fokus, von Ihren Dienstleistern bis zu Cloud-Providern. Erfahren Sie, welche Unternehmen betroffen sind und wie Sie Schritt für Schritt ein wirksames Risikomanagement für Ihre Lieferkette und NIS-2-Compliance aufbauen.

Was ist die NIS-2-Richtlinie und was bedeutet sie für die Lieferkette?

Mit der NIS‑2-Richtlinie verschärft die EU die Anforderungen an die Cyber-Resilienz von Unternehmen. Im Fokus steht dabei nicht nur die eigene IT, sondern die gesamte Lieferkette: Dienstleister, Zulieferer und IT- oder Cloud-Provider werden zunehmend zum Einfallstor für Angriffe. Unternehmen müssen daher ihre Abhängigkeiten kennen, Risiken systematisch bewerten und geeignete Sicherheitsmaßnahmen auch bei Partnern und Dienstleistern umsetzen. Die Lieferkette wird so zu einem zentralen Hebel für die Einhaltung der Richtlinie und für die digitale Resilienz des Unternehmens.

Welche Einrichtungen und Unternehmen sind von NIS-2 betroffen?

Betroffen sind nicht mehr nur klassische Betreiber kritischer Infrastrukturen, sondern zahlreiche sogenannte „besonders wichtige” und „wichtige” Einrichtungen – darunter viele Unternehmen aus Industrie, Produktion, IT, Logistik, Energie, Gesundheit und digitalen Diensten ab 50 Mitarbeitenden bzw. ab 10 Mio. Euro Umsatz. Die „besonders wichtigen” Einrichtungen, in der Tabelle dargestellt, haben die strengsten Anforderungen umzusetzen.

Besonders wichtige Einrichtungen	Einrichtungen / Beispiele
Energie	Strom, Gas, Öl, Fernwärme/-kälte, Wasserversorgung, Ladeinfrastruktur für E-Fahrzeuge
Transport & Logistik	Luft-, Schienen-, Straßen- und Schifffahrtsverkehr, inklusive Reedereien und Hafenbetreibern
Finanzwesen	Banken, Handelsplattformen, Marktinfrastrukturen, Versicherungen
Gesundheitswesen	Krankenhäuser, Forschungseinrichtungen, Pharmaunternehmen, Medizintechnik
Wasserversorgung	Trink- und Abwasserwirtschaft
Digitale Infrastruktur	DNS-Dienste, Betreiber von Top-Level-Domains
Öffentliche Verwaltung	Behörden und andere staatliche Einrichtungen

Die „wichtigen” Einrichtungen haben zwar – je nach Größe und Branche – nicht ganz so weitreichende Pflichten und werden nicht per se als kritisch eingestuft, dennoch müssen sie NIS-konform handeln. Dazu zählen:

Lebensmittelproduktion
Post- und Kurierdienste
Chemische Industrie
Fertigungsindustrie
Digitale Dienste
Forschungseinrichtungen
Abfallwirtschaft

Ab wann gilt die NIS-2 für Unternehmen und ihre Lieferketten?

Alle EU-Staaten hätten die NIS-2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen müssen, doch viele, darunter Deutschland, haben die Frist verpasst. In Deutschland gilt NIS-2 daher erst seit Dezember 2025 als Gesetz.

Ob in einem Land früher oder später, Fakt ist: Unternehmen in der EU müssen ihre Sicherheitsmaßnahmen im Unternehmen und in der Lieferkette nun an NIS-2 anpassen. Dabei gilt es aufzupassen: NIS-2 betrifft deutlich mehr Unternehmen als die Vorgänger-Richtlinie NIS-1. In Deutschland fallen mit der rund 30.000 Organisationen unter NIS-2, von NIS-2 waren weniger als 2.000 betroffen.

Der Unterschied zwischen NIS-2 und ISO-27001

Im Unterschied zu etablierten Informationssicherheitsstandards wie der ISO/IEC 27001 geht NIS-2 deutlich weiter: Im Fokus steht nicht nur die Absicherung der eigenen IT, sondern ein ganzheitliches Risikomanagement, das das gesamte Unternehmensumfeld inklusive der Lieferkette einbezieht.

Aspekt	ISO 27001	NIS-2
Regulatorischer Status	Internationaler Standard (freiwillig)	EU-Richtlinie (verpflichtend)
Anwendungsbereich	Branchenunabhängig, für Organisationen jeder Größe	Bestimmte Sektoren und Unternehmen
Zielsetzung	Aufbau und Betrieb eines Informationssicherheits-Managementsystems (ISMS)	Erhöhung des Cyber-Sicherheitsniveaus kritischer und wichtiger Infrastrukturen in der EU
Informationsschutz	Schutz aller Informationsarten (digital, physisch, Cloud)	Fokus auf IT-, OT- und Netzwerksicherheit mit kritischer Bedeutung
Risikomanagement	Systematisches Informationssicherheits-Risikomanagement	Erweiterte und tiefere Anforderungen an Cyber- und Informationssicherheits-Risiken
Asset Management	Bestandteil des ISMS	Deutlich ausgeweitet und explizit gefordert
Supply-Chain- & Beschaffungssicherheit	Grundsätzlich adressiert	Explizite und zentrale Anforderung (Lieferanten & Partner)
Awareness & Schulungen	Mitarbeiterschulungen empfohlen	Schulungen vorgesehen, v. a. für Geschäftsführung und Vorstand verpflichtend
Management-Einbindung	Verantwortung definiert, aber begrenzte persönliche Haftung	Starke Einbindung des Top-Managements inkl. persönlicher Haftung
Abdeckungsgrad	Deckt ca. 70 % der NIS-2-Anforderungen ab	Geht deutlich über ISO 27001 hinaus

Was fordert NIS-2 von Unternehmen und Lieferketten?

Die NIS-2-Richtlinie hebt Cybersicherheit auf ein neues Niveau – organisatorisch, technisch und strategisch. Im Kern lassen sich die Anforderungen in drei zentrale Handlungsfelder gliedern:

1. Systematisches Risikomanagement etablieren: Einsatz technischer Schutzmaßnahmen wie Multi-Faktor-Authentifizierung (MFA), dokumentierte Kryptographierichtlinien, etablierte Incident-Response- und Notfallpläne, regelmäßige Schulungen zur Sensibilisierung der Mitarbeitenden

2. Klare Verantwortlichkeiten auf Führungsebene: Aktive Mitgestaltung und Freigabe der Cybersecurity-Maßnahmen, verpflichtende Weiterbildungen, persönliche Haftung bei groben Pflichtverletzungen

3. Verbindliche Meldepflichten & Business Continuity: Frühwarnmeldung innerhalb von 24 Stunden bei schwerwiegenden Vorfällen, detaillierter Bericht nach 72 Stunden mit Ursachenanalyse und ersten Gegenmaßnahmen, Abschlussbericht innerhalb eines Monats inklusive langfristiger Präventionsmaßnahmen

Anforderungen von NIS-2 ans Lieferkettenmanagement

Besonders relevant ist bei der NIS-2, dass die Anforderungen bis in die Lieferkette hineinreichen. Unternehmen müssen nachvollziehbar darlegen können, welche Lieferanten und Dienstleister Zugriff auf Systeme, Daten oder kritische Prozesse haben – und wie die damit verbundenen Risiken gesteuert werden. Das betrifft insbesondere IT- und Cloud-Dienstleister, Softwareanbieter, externe Dienstleister mit System- oder Datenzugriff und Lieferanten mit digital angebundenen Prozessen.

Die konkreten Anforderungen an das Lieferkettenmanagement:

Risikomanagement für Drittparteien

Unternehmen müssen Risiken identifizieren, die sich aus der Zusammenarbeit mit Lieferanten und Dienstleistern ergeben – insbesondere dort, wo externe Partner Zugriff auf Systeme, Daten oder kritische Prozesse haben.

Beispiel: Ein externer IT-Dienstleister hat Remote-Zugriff auf produktive Systeme oder administriert Cloud-Infrastrukturen. Unternehmen müssen bewerten, welche Auswirkungen ein Ausfall, ein Sicherheitsvorfall oder unzureichende Schutzmaßnahmen bei diesem Dienstleister hätten.

Bewertung von Sicherheitsmaßnahmen bei Lieferanten

Es reicht nicht aus, sich auf vertragliche Zusicherungen zu verlassen. Unternehmen müssen nachvollziehen können, welche Sicherheitsmaßnahmen bei relevanten Lieferanten tatsächlich bestehen und ob diese zum eigenen Risikoprofil passen.

Beispiel: Ein Softwareanbieter bestätigt „angemessene Sicherheitsmaßnahmen“. NIS-2-konform ist erst dann, wenn klar ist, ob z. B. Zugriffskontrollen, Patch-Management, Incident-Response-Prozesse oder Zertifizierungen vorhanden sind – und wie aktuell diese sind.

Dokumentation und Nachweisfähigkeit

Bewertungen, Entscheidungen und Maßnahmen müssen strukturiert dokumentiert sein. Im Prüfungs- oder Vorfallsfall zählt nicht nur, was umgesetzt wurde, sondern dass Risiken systematisch bewertet, Entscheidungen begründet und Maßnahmen nachvollziehbar festgehalten wurden.

Beispiel: Warum ein bestimmter Lieferant als „vertretbares Risiko“ eingestuft wurde – oder warum zusätzliche Maßnahmen erforderlich sind – muss auch Monate später noch transparent erklärbar sein.

Regelmäßige Überprüfung statt einmaliger Abfragen

NIS-2 versteht Cyber-Sicherheit als laufenden Prozess. Informationen aus der Lieferkette dürfen daher nicht einmalig erhoben werden, sondern müssen regelmäßig überprüft und aktualisiert werden.

Beispiel: Bei Vertragsverlängerungen, neuen Systemzugriffen, geänderten Leistungen oder sicherheitsrelevanten Vorfällen muss die Risikobewertung angepasst werden – nicht erst beim nächsten Audit.

Wie Unternehmen NIS-2-Compliance (auch in der Lieferkette) sicherstellen

NIS-2 kann auf den ersten Blick komplex wirken, doch mit einem klaren Fahrplan lassen sich die Anforderungen systematisch umsetzen. Diese Schritt-für-Schritt-Anleitung zeigt, welche Maßnahmen Unternehmen jetzt ergreifen sollten – von der Risikobewertung bis zur Audit-Vorbereitung.

Schritt-für-Schritt-Anleitung für die NIS-2-Compliance – welche Maßnahmen Unternehmen jetzt ergreifen sollten – von der Risikobewertung bis zur Audit-Vorbereitung.

1. NIS-2-Betroffenheit klären

Zu Beginn sollte geprüft werden, ob Ihr Unternehmen vom Anwendungsbereich der Richtlinie betroffen ist. Auch wer Teil der Lieferkette ist, kann unter die Vorgaben fallen.

2. Gap-Analyse durchführen

Überprüfen Sie insbesondere Risikomanagement und Incident Response: Gibt es klare Prozesse zur Erkennung und Meldung von Vorfällen? Sind Zugriffsrechte, Verschlüsselung und MFA umgesetzt? Wie gut sind Ihre Dienstleister abgesichert, und sind Notfall- sowie Wiederanlaufpläne aktuell?

3. Risikomanagement-Strategie entwickeln

Ein wirksames Risikomanagement bildet die Basis jeder NIS-2-Strategie.
Kernbausteine sind:

regelmäßige Risikobewertungen zur frühzeitigen Identifikation von Schwachstellen
starke Zugangskontrollen (inkl. MFA)
Verschlüsselung
konsequentes Patch-Management
regelmäßige Penetrationstests
strukturierten Incident-Response-Plan und Meldeprozess etablieren

Wer diese Maßnahmen proaktiv umsetzt, reduziert Risiken nachhaltig und stärkt die Cybersicherheit im gesamten Unternehmen.

4. Governance und Verantwortlichkeiten klären und stärken

Cybersecurity wird durch NIS-2 klar zur Führungsaufgabe. Die Geschäftsleitung trägt die Verantwortung, Sicherheitsrichtlinien aktiv zu gestalten, zu verabschieden und regelmäßig zu überprüfen.

Zentrale Elemente dabei sind:

verpflichtende Schulungen für Führungskräfte
eindeutig geregelte Zuständigkeiten (z. B. ein benannter Security-Beauftragter)
ein systematisches Review der gesamten Sicherheitsstrategie
eine laufend gepflegte und vollständige Sicherheitsdokumentation

So sorgt eine starke Governance nicht nur für weniger Sicherheitsrisiken, sondern verringert zugleich persönliche Haftungsrisiken für das Management.

5. Lieferkette absichern

Drittanbieter und Dienstleister entwickeln sich zunehmend zu einem zentralen Cyber-Risikofaktor – und stehen mit NIS-2 ebenfalls klar in der Verantwortung.

Um Ihre Lieferkette abzusichern, sollten Sie insbesondere:

Sicherheitsniveau und Schutzmaßnahmen Ihrer Dienstleister systematisch prüfen
NIS-2- und Compliance-Anforderungen verbindlich in Verträgen verankern
Laufende Monitoring- und Kontrollmechanismen etablieren, um Risiken frühzeitig zu erkennen

So wird die Lieferkette zu einem wirksamen Schutzschild: Ihr Unternehmen reduziert sowohl die reale Angriffsfläche als auch das regulatorische Risiko.

Fazit: NIS-2 beginnt nicht in der IT, sondern in der Lieferkette

NIS-2 macht deutlich: Cyber-Risiken lassen sich nicht isoliert in der IT steuern. Entscheidend ist Transparenz in der Lieferkette, einheitliche Bewertungen und die Fähigkeit, Risiken laufend zu überwachen und nachzuweisen. Genau hier scheitern viele Unternehmen an manuellen Prozessen und fehlender Struktur.

Mit dem VERSO Supply Chain Hub lassen sich die NIS-2-Richtlinie und Cyber-Sicherheit in der Lieferkette zentral abbilden: von strukturierten Risikoabfragen bei Lieferanten über eine einheitliche Bewertung von Drittparteien bis hin zur laufenden Aktualisierung und zentralen Dokumentation aller Nachweise. So wird NIS-2 in der Lieferkette nicht nur regelkonform, sondern auch praktikabel und skalierbar umgesetzt.

Sprechen Sie uns an.

* Bei diesen Informationen handelt es sich um redaktionell zusammengefassten Content, der nicht als Rechtsberatung zu verstehen ist. VERSO übernimmt keine Haftung.

Abonnieren Sie unseren Newsletter!

Tragen Sie sich ein und erhalten Sie regelmäßig Neuigkeiten zu:

Aktuellen ESG-Themen und Gesetzesänderungen
Best Practices aus den Bereichen ESG und nachhaltige Lieferketten
News zu VERSO
Sustainability Events uvm.

Mann schweißt ein Stahlrohr – Symbolbild für den CBAM

30.01.2026

CBAM: Die wichtigsten Fragen und Antworten

Als Teil der EU-Klimastrategie bepreist der CBAM CO2-Emissionen von Importwaren aus Nicht-EU-Ländern. So sollen Wettbewerbsfähigkeit und Emissionsreduktion in der EU gestärkt werden. Lesen Sie in diesem Beitrag, worauf es bei CBAM-Compliance ankommt.

Inhaltsverzeichnis

Der CBAM kurz erklärt
Betroffene Unternehmen und Waren
CBAM-Bericht und Zertifikate: Fristen und To-dos
Häufige Fragen zum CBAM
Tipps zur Umsetzung
Hintergrundwissen zum CBAM
Leitfaden zum Download

Was ist der CBAM?

CBAM („Carbon Border Adjustment Mechanism“ bzw. „CO₂-Grenzausgleichssystem“) ist der offizielle Titel der EU-Verordnung 2023/956.

Der CBAM trat am 1. Oktober 2023 in Kraft und ergänzt den EU-Emissionshandel (EU-EHS). Zusammen sollen sie die CO₂-Emissionen aller Waren begrenzen, die in der EU produziert oder in die EU importiert werden.

Ziele des CBAM:

Bestehende Maßnahmen zur Emissionsminderung stärken
Unternehmen anregen, ihre Produktions-Emissionen zu reduzieren statt zu verlagern
Unternehmen, die weiterhin in der EU produzieren, vor kostenbedingten Wettbewerbsnachteilen schützen

Welche Waren und Unternehmen betrifft der CBAM?

Ähnlich wie die EUDR funktioniert der CBAM produktbasiert, also unabhängig von Umsatz- oder Mitarbeitendenzahlen Ihres Unternehmens. Sobald Ihr Unternehmen CBAM-Produkte in reiner oder verarbeiteter Form aus Nicht-EU-Ländern importiert, gilt der CBAM für Sie.

Diese Produkte fallen unter den CBAM:

Eisen und Stahl
Zement
Düngemittel
Aluminium
Wasserstoff
Strom

Anhang I der CBAM-Verordnung listet im Detail die betroffenen KN-Codes auf – einfacher finden Sie diese aber auch in unserem kompakten CBAM-Factsheet.

Die EU plant, den Anwendungsbereich des CBAM künftig auszuweiten. Bis 2030 sollen alle Produkte, die dem EU-EHS unterliegen, in den CBAM einbezogen sein.

Welche Fristen gelten für CBAM-Berichte und Zertifikate?

Übergangsphase 2023–2025: Quartalsberichte („Meldepflicht“)

Einzureichen bis 1 Monat nach Quartalsende
Stammdaten Ihres Unternehmens
CBAM-Accountnummer
Anzahl und Art importierter Waren
CBAM-relevante Treibhausgasemissionen
- spezifisch, keine Standardwerte!
- direkte und indirekte Emissionen (gemäß CBAM-Scope der Übergangsphase)
CO₂-Ausgleichspreis im Herkunftsland

Ab 2026: Jährliche CBAM-Erklärung – Zertifikate ab 2027

Ab 01.01.2026 gilt:

Ab dem 01.01.2026 werden die Emissionen der importierten CBAM-Waren erstmals für die spätere finanzielle Abrechnung erfasst. Der tatsächliche Ausgleich über CBAM-Zertifikate erfolgt jedoch erst ab 2027 im Rahmen der jährlichen CBAM-Erklärung. Voraussetzung ist die Registrierung als zugelassener CBAM-Anmelder, da nur zugelassene Anmelder ab 2026 CBAM-Waren importieren dürfen.

Ab 2027 können CBAM-Zertifikate über eine zentrale Plattform erworben werden.
Der Preis der CBAM-Zertifikate richtet sich nach dem wöchentlichen Durchschnittspreis der EU-ETS-Zertifikate.

Ab Beginn der Zertifikatspflicht (ab 2027) müssen jederzeit ausreichend CBAM-Zertifikate vorgehalten werden, um mindestens 80 Prozent der importierten CBAM-Waren abzudecken. Den nötigen Ausgleich und die entsprechende Menge an Zertifikaten müssen Sie dabei selbst ermitteln – das CBAM-Modul im VERSO Supply Chain Hub unterstützt Sie dabei.

Wichtig: Nur „zugelassene Anmelder“ sind ab 2026 berechtigt, CBAM-Waren zu importieren und Zertifikate zu erwerben.

Ab 2027: Erste jährliche CBAM-Erklärung

Ab 2027 wird der CBAM-Quartalsbericht durch die jährliche CBAM-Erklärung ersetzt.

Einzureichen bis 30.09. des Folgejahres
(Beispiel: Die CBAM-Erklärung für 2026 ist am 30.09.2027 fällig.)
Gesamtmenge importierter Waren
Gesamtmenge grauer Emissionen jeder Warengruppe
Gesamtanzahl der CBAM-Zertifikate, die den Grauemissionen zugeordnet sind – minus des im Ursprungsland entrichteten CO₂-Preises

FAQ zum CBAM

Wo reiche ich meine CBAM-Berichte ein?

Berichtspflichtige Anmelder reichen ihre Berichte vorerst im CBAM-Übergangsregister ein. Sie erreichen das Register über das Zoll-Portal.

Sieht der CBAM Sanktionen vor?

Ja. Bei Missachten sieht die CBAM-Verordnung „verhältnismäßige und abschreckende Sanktionen“ vor. Bereits in der Übergangsphase sind Strafen in Höhe von 10 bis 50 Euro pro nicht gemeldeter Tonne CO₂-Emissionen vorgesehen.

Mehr dazu in unserem Beitrag „Sanktionen bei Fehler in ESG-Reporting- und Umsetzung“.

Gibt es Schwellenwerte beim Import von CBAM-Produkten?

Ja. Überschreitet ein Unternehmen die Schwelle von 50 Tonnen pro Jahr, greifen die vollständigen CBAM-Pflichten.

Darf ich im CBAM-Bericht noch Standardwerte nutzen?

CBAM-meldepflichtige Unternehmen dürfen seit dem 31.07.2024 eigentlich nicht mehr auf Standard-Emissionswerte zurückgreifen. Fehlen Ihnen die Echtdaten noch immer – z.B., weil Ihre Lieferanten diese nicht bereitstellen – erlaubt die Deutsche Emissionshandelsstelle Standardwerte unter Umständen. Gehen Sie dazu wie folgt vor:

Bilden Sie Ihr Vorgehen beim Ermitteln der Echtdaten ab
Belegen Sie Ihre Bemühungen bzw. begründen Sie nachvollziehbar, dass Sie „alle zumutbaren Anstrengungen“ unternommen haben
Nutzen Sie dazu das Feld „Kommentare“ im CBAM-Übergangsregister
Im abgegebenen Bericht darf es ansonsten keine Unstimmigkeiten geben – also genau hinschauen!

Ändert sich mit Omnibus etwas beim CBAM?

Im Omnibus-Paket sind auch Veränderungen beim CBAM geplant, um die Umsetzung zu erleichtern. Geplante Vereinfachungen umfassen u.a.:

Neuer Einfuhr-Schwellenwert von 50 Tonnen pro Jahr und einführendem Unternehmen – nur wenn dieser Schwellenwert überschritten wird, gilt der CBAM und damit auch die Registrierung als zugelassener Anmelder.
Beim CBAM-Bericht: Freie Wahl zwischen Standardwerten (mit Aufschlag) und tatsächlichen Emissionen, außerdem werden nachgelagerte Herstellungsprozesse ausgeklammert.
Verschiebung der Frist für die CBAM-Erklärung auf August
Verschiebung der Zertifikatephase auf 2027
Reduktion der benötigten Menge an Zertifikaten von 80 % auf 50 %

Mehr Details zu den vorgeschlagenen Änderungen finden Sie bei der DEHSt

Welche Tools helfen mir bei der Umsetzung des CBAM?

Mit der CBAM-Regulatorik hat ihr Unternehmen wieder einiges vor sich. Was als sinnvoller und vor allem wichtiger Schritt für Umwelt und Wirtschaft gedacht ist, ist in der Praxis mit viel Bürokratie und Aufwand verbunden – vor allem beim Sammeln der vielen benötigten Daten. Hier kommt es auf eine enge Zusammenarbeit mit Ihren Lieferanten an.

Softwarelösungen wie das CBAM-Modul im VERSO Supply Chain Hub helfen Unternehmen bei der automatisierten Erfassung aller Daten, die das neue CO₂-Grenzausgleichssystem von Ihnen fordert – inklusive Nachweis Ihrer Bemühungen.

Hintergrundwissen zum CBAM

2005 wurde der Europäische Emissionshandel (EU-EHS) eingeführt; das europäische Instrument zur Umsetzung des Kyoto-Protokolls. Um die gesteckten Klimaschutzziele tatsächlich zu erreichen, hat die EU das Emissionshandelssystem mehrmals angepasst – zuletzt 2021, im Rahmen des Fit-for-55-Pakets.

Mit einem Cap & Trade-System will das EU-ETS die Emissionen begrenzen. Für Unternehmen wird eine Obergrenze an Emissionen festgelegt, die sie ausstoßen dürfen. Reichen diese nicht aus, können Berechtigungen zugekauft werden.

Genau dadurch ergab sich in den vergangenen Jahren ein Problem. Um den strengen EU-Auflagen und den damit verbundenen Kosten zu entgehen, verlagerten einige Unternehmen ihre CO2-intensive Produktion in Länder mit keinen oder niedrigeren CO2-Preisen. Dieses Phänomen ist auch als „Carbon Leakage“ bzw. „Verlagerung von CO2-Emissionen“ bekannt.

Dem wirkt der CBAM nun entgegen.

*Bei diesen Informationen handelt es sich um redaktionell zusammengefassten Content, der nicht als Rechtsberatung zu verstehen ist. VERSO übernimmt keine Haftung.

Abonnieren Sie unseren Newsletter!

Tragen Sie sich ein und erhalten Sie regelmäßig Neuigkeiten zu:

Aktuellen ESG-Themen und Gesetzesänderungen
Best Practices aus den Bereichen ESG und nachhaltige Lieferketten
News zu VERSO
Sustainability Events uvm.

Jetzt anmelden!

LKW-Fahrer mit Klemmbrett – Symbolbild für die Dekarbonisierung der Lieferkette

02.12.2025

Lieferkette dekarbonisieren: So erreichen Unternehmen ihre Klimaziele entlang der Supply Chain

Lieferanten an Bord holen und strategisch die Supply-Chain-Emissionen senken – Ihre Anleitung zur Dekarbonisierung der Lieferkette.

Ca. 80 % der Emissionen eines Unternehmens entstehen entlang der Lieferkette. Der Weg zur Net Zero braucht daher auch klare Klimaziele für die Lieferkette. Aber Ziele allein sind nicht alles. Lesen Sie in diesem Beitrag, wie Sie gezielt Ihre Lieferkette dekarbonisieren.

Warum ist Klimaschutz gerade in der Lieferkette so wichtig?

Schauen wir uns zunächst aus zwei Perspektiven an, warum die Lieferkette beim Klimaschutz eine führende Rolle spielt.

Klimaschutz ist gesetzlich vorgeschrieben

LkSG/CSDDD, die EUDR und der CBAM verlangen Transparenz in der Lieferkette. Der Standard ESRS E1 („Klimaschutz und Klimawandel“) der CSRD fordert zudem Klimaziele und Maßnahmen zur Reduzierung von Emissionen. Bis in Scope 3 hinein, was demenstrechend Emissionsdaten aus der Lieferkette erfordert. Hinzu kommen Anforderungen an nachhaltige Produkte und Verpackungen, wie der Product Carbon Footprint, der digitale Produktpass (DPP), die Verpackungsrichtlinie PPWR oder auch die ESPR und weitere Branchenverordnungen.

Übersicht: Unterschiede zwischen Scope 1, Scope 2 und Scope 3

So sieht die trockene Sicht des Gesetzes aus. Wer sich aber nicht umfassend mit Nachhaltigkeit beschäftigt, hat nur bürokratischen Aufwand statt echten Nutzen.

Schauen wir uns deshalb an, warum die Dekarbonisierung der Lieferkette grundsätzlich Top-Prio hat.

Lieferketten-Dekarbonisierung macht Unternehmen zukunftssicher

Auch wenn Ihr Unternehmen nicht regulatorisch zum Klimaschutz verpflichtet ist, lohnt er sich dennoch allemal.

3 gute Gründe für die freiwillige Dekarbonisierung Ihrer Lieferkette:

1.    Der Klimawandel birgt Risiken für die Lieferkette. Extremwetter-Ereignisse werden häufiger und können Produktionsstätten und Transportwege beschädigen, blockieren oder ganz zerstören. Die Folge: Lieferverzögerungen und Produktions- und Ernteausfällen mit erheblichen finanziellen Verlusten und Frust bei Kunden.

2.    Klimafreundliche Produkte werden zum Wettbewerbsvorteil. 79 % der befragten Konsument:innen einer Capgemini-Studie wollen im Sinne der Nachhaltigkeit ihr Kaufverhalten ändern. 66 % antworteten sogar, dass sie bei der Auswahl von Produkten und Services gezielt auf Umweltfreundlichkeit achten.

3.    ESG-Commitment wird Entscheidungs-Kriterium bei der Auftragsvergabe. Allein schon bei großen Auftraggebern, die unter CSRD oder CSDDD fallen. Laut Business Development Bank of Canada werden 92 % der großen Unternehmen klare ESG-Informationen von ihren Zulieferern einfordern.

Vom Warum zum Wie: Schauen wir uns jetzt Schritt für Schritt an, wie Sie Ihre Lieferkette dekarbonisieren.

4 Schritte zur Dekarbonisierung Ihrer Lieferkette

Schritt 1: Scope-3-Emissionen abschätzen

Verschaffen Sie sich einen Überblick über Ihre Lieferanten, um Ihre Lieferkette strategisch zu dekarbonisieren. Stellen Sie sich eine Liste der Ausgaben und Warengruppen zusammen. Daraus können Sie Lieferanten-Emissionen abschätzen.

Fehlen Ihnen genaue Daten, können Sie dafür zunächst auf Durchschnittsdaten der Branche zurückgreifen. Präzisieren Sie die Verteilung, sobald Ihnen Primärdaten der Lieferanten zur Verfügung stehen.

Schritt 2: Scope-3-Hotspots erfassen und Klimareifegrad der Lieferanten bewerten

Filtern Sie Ihre Lieferanten dann nach ihrem Klimareifegrad. Der VERSO Supply Chain Hub ermöglicht das über direkte Anfragen.

Kein Reifegrad vorhanden: Dekarbonisierungsstrategie oder -maßnahmen fehlen gänzlich.
Geringer Reifegrad: Erste Schritte zur CO₂-Reduktion wurden unternommen, aber noch kein systematisches Vorgehen.
Fortgeschrittener Reifegrad: Konkrete Reduktionsmaßnahmen werden umgesetzt, sind aber noch nicht in den Geschäftsprozessen verankert.
Hoher Reifegrad: Der Lieferant setzt die Dekarbonisierung systematisch um, Reduktionsmaßnahmen sind fest in die Unternehmensstrategie integriert.
Sehr hoher Reifegrad: Nachhaltigkeit steht schon lange auf der Agenda. Mit innovativen Herangehensweisen und hohen Standards geht der Lieferant als Paradebeispiel voran.

Anhaltspunkte hierfür sind bspw.:

Rohstoffherkunft
Energie- und Ressourceneffizienz
Einsatz erneuerbarer Energien in Produktion und Transport
Verifizierte (!) CO₂-Kompensationsprojekte
Freiwilliges Bereitstellen eines Nachhaltigkeitsberichts.

Sie wissen nun, wie die Emissions-Lasten in Ihrer Lieferkette verteilt sind. Außerdem können Sie abschätzen, wie ernst Ihre Lieferanten das Thema Nachhaltigkeit schon nehmen. Das verschafft Ihnen einen Überblick, welche Lieferanten besondere Aufmerksamkeit und Unterstützung benötigen.

Schritt 3: Klimaziele festlegen, Lieferanten onboarden

Legen Sie klare, wissenschaftsbasierte Klimaziele für Ihre Lieferkette fest. Die sollten mit den Ergebnissen der Klimaforschung übereinstimmen und das Pariser Klimaabkommen unterstützen. Branchenspezifische Hilfestellungen finden Sie z.B. bei der Science Based Targets Initiative (SBTi).

Dann geht es an die eigentliche Dekarbonisierung der Lieferkette. Die SBTi empfiehlt hierzu folgendes Vorgehen:

Kommunikation
Zusammenarbeit
Unterstützung
Überwachung
Verstärkung

Informieren Sie nun also Ihre Lieferanten über Ihre Klimaziele für die Lieferkette und motivieren Sie sie zur Zusammenarbeit.

Unser Tipp: Beziehen Sie Ihre Lieferanten von Anfang an ein. Das erhöht die Chance auf eine gute Zusammenarbeit. Net Zero ist Teamwork!

Schritt 4: Klimastrategie implementieren

Langfristig senken Sie die Emissionen Ihrer Lieferkette nur, wenn Sie eng mit Ihren Lieferanten zusammenarbeiten. Unterstützen Sie sie deshalb beim Umsetzen der Ziele.

Das könnte z.B. so aussehen:

Spezifische Maßnahmen durchsetzen: Walmart hat seine Lieferanten etwa beim Umstieg auf erneuerbare Energien unterstützt. Der Konzern erreichte seine Supply-Chain-Emissionsziele damit 6 Jahre früher als geplant.
Mit Wissen oder Ressourcen supporten: Steigern Sie bspw. durch Schulungen das Nachhaltigkeits-Know-how und somit auch den Klimareifegrad Ihrer Lieferanten.
Wettbewerb unter den Lieferanten anregen: Vor allem große Unternehmen werden ESG-Daten von ihren Lieferanten verlangen. In den kommenden 5 Jahren steigt außerdem die Anzahl der Kriterien, zu denen Lieferanten berichten müssen.

Helfen Sie Ihren Lieferanten auch, Prozesse zu optimieren oder gar komplett neue Wege zu gehen. Überprüfen Sie kontinuierlich den Fortschritt und machen Sie die Klimaziele zum festen Punkt auf der Agenda Ihrer Lieferantengespräche.

Echte Nachhaltigkeit braucht einerseits Transparenz und Ehrlichkeit. Aber sie braucht auch Konsequenz. Geben Sie Ihren Lieferanten also auch zu verstehen: Wer nicht mitmacht, fliegt über kurz oder lang raus.

Besonders Lieferanten mit geringem Reifegrad werden nicht von heute auf morgen umsteigen können. Dennoch sollten sie langfristig den Willen zeigen, Produktion und Transport nachhaltig zu gestalten. Schließlich hilft das nicht nur dem Klima – sondern auch der eigenen Unternehmensresilienz.

Wie dekarbonisiere ich meine Lieferkette möglichst einfach?

Je komplexer Ihre Lieferkette, desto schwieriger wird auch die Datensammlung und das Management. Fehlende Ressourcen und umherfliegende, lückenhafte Daten machen es schwer, Lieferkettenemissionen gezielt zu senken.

Mit den richtigen Tools dekarbonisieren Sie Ihre Lieferkette mit weniger Aufwand.

Der VERSO Climate Hub und der VERSO Supply Chain Hub helfen Ihnen beim strategischen Klima-Management:

Der VERSO Climate Hub vereinfacht Ihnen die Berechnung Ihres CO₂-Fußabdrucks unter Berücksichtigung der einzelnen Scopes sowie auch die Berechnung von Product Carbon Footprints (PCF).

Mit dem VERSO Supply Chain Hub erfassen Sie automatisiert den Klimaschutz-Reifegrad Ihrer Lieferanten und holen CO₂-Fußabdrücke ein. Diese wiederum helfen Ihnen, Ihre Klimastrategie im Climate Hub zu verfeinern und Einsparungen transparent zu machen.

Mit der Reporting-Funktion erstellen Sie anschließend qualifizierte Berichte gemäß GRI/CSRD für das CDP oder die SBTi.

So managen Sie mit VERSO Ihre Klimaziele

* Bei diesen Informationen handelt es sich um redaktionell zusammengefassten Content, der nicht als Rechtsberatung zu verstehen ist. VERSO übernimmt keine Haftung.

Abonnieren Sie unseren Newsletter!

Tragen Sie sich ein und erhalten Sie regelmäßig Neuigkeiten zu:

Aktuellen ESG-Themen und Gesetzesänderungen
Best Practices aus den Bereichen ESG und nachhaltige Lieferketten
News zu VERSO
Sustainability Events uvm.

Jetzt anmelden!

18.11.2025

PCF-Automatisierung in 6 Schritten

Die Berechnung eines Product Carbon Footprints (PCF), wird für viele Unternehmen immer wichtiger. Automatisierung kann hier ein echter Gamechanger sein. Mit diesen 6 Schritten kommen Sie sinnvoll von der manuellen PCF-Erhebung hin zur Vollautomatisierung des Prozesses.

Die Berechnung der Produktemissionen, also ein Product Carbon Footprint (PCF), wird für viele Unternehmen immer wichtiger. Bei einer großen Produktvielfalt ist das schnell eine Mammutaufgabe.

Automatisierung kann hier ein echter Gamechanger sein. Um die Automatisierungspotenziale für Ihr Unternehmen heben zu können, lohnt es sich, den gesamten PCF-Prozess in kleine, nachvollziehbare Schritte aufzuteilen. Mit diesen 6 Schritten kommen Sie sinnvoll von der manuellen PCF-Erhebung hin zur Vollautomatisierung des Prozesses.

1. Grundlagen klären: Was, an wen und nach welchem Standard wird berichtet?

Bevor es an die praktische Umsetzung geht, sollten Sie einige zentrale Fragen beantworten können:

An wen werden die PCF-Daten berichtet – Kunden, Behörden, interne Stakeholder?
Wie sollen sie präsentiert werden – als Report, digitale Schnittstelle oder Auditergebnis?
Nach welchen Standards soll berichtet werden – GHG Protocol, ISO 14067 oder andere Normen?

Diese Fragen definieren den methodischen Rahmen: Sie bestimmen, wie tief die Berechnung gehen muss (z. B. Cradle-to-Gate oder Cradle-to-Grave) und welche Systemgrenzen gelten.

2. Die eigene Rolle in der Wertschöpfungskette verstehen

Die Position im Wertschöpfungsnetzwerk entscheidet darüber, welche Daten relevant sind:

Wer nur an einen einzelnen Kunden liefert, braucht meist standardisierte Weitergabedaten.
Wer am Ende der Lieferkette steht, muss Informationen für Endprodukte und -kunden aufbereiten.
Zwischenlieferanten benötigen wiederum beides: Datenaufnahme und Datenweitergabe.

Diese Einordnung hilft, die passenden Schnittstellen zu identifizieren – und später zu automatisieren.

3. Ohne Datenqualität keine Automatisierung

Automatisierung steht und fällt mit der Datenbasis. Unternehmen müssen sich fragen:

Woher stammen die Daten – ERP-System, Produktionsdaten, Lieferanteninformationen?
Wie können sie produktbezogen und nutzbar strukturiert werden?
Und wie lässt sich sicherstellen, dass sie vollständig, konsistent und aktuell sind?

Erst wenn diese Fragen beantwortet sind, lohnt sich der Schritt zur technischen Automatisierung. Sonst vervielfachen sich Fehler, anstatt sich zu verringern.

4. Von Datenbanken zu Faktoren direkt aus der Lieferkette: Emissionen richtig bewerten

Für den Product Carbon Footprint natürlich der zentrale Schritt: Materialdaten mit Emissionen zu verknüpfen. Dafür gibt es zwei Wege:

Emissionsfaktoren aus Datenbanken – einfach zugänglich, aber nur Richtwerte und Durchschnittsdaten.
Faktoren basierend auf Daten aus der eigenen Lieferkette – aufwendiger, aber deutlich präziser.

Kurzfristig arbeiten viele Unternehmen mit Datenbanken. Hierfür gibt es auch schon viele zuverlässige Quellen mit Filtermöglichkeiten, um einen möglichst präzisen Faktor zu finden. Wir bei VERSO bieten Ihnen beispielsweise Zugang zu rund 50 Datenbanken mit über 200.000 Emissionsfaktoren.

Langfristig führt jedoch kein Weg an Daten aus Lieferketten vorbei, um echte Transparenz und Vergleichbarkeit zu schaffen. Sie sollten also versuchen, möglichst schnell Emissionsdaten bzw. eigene PCFs von Ihren Lieferanten einzufordern. Das können Sie auch über den VERSO Supply Chain Hub tun. Anschließen übertragen Sie die Daten direkt im VERSO Climate Hub in Ihren PCF.

5. Schritt für Schritt automatisieren – statt zu schnell schießen

Eine Automatisierung des PCF-Prozesses sollte definitiv das Ziel sein. Häufig beginnen Unternehmen aber bereits mit der Automatisierung, bevor die richtigen Grundlagen dafür geschaffen wurden. Oft werden dann einfach nur Materialdaten mit Emissionsfaktoren verknüpft – das spart vielleicht Zeit, liefert aber keine belastbaren Ergebnisse.

Der bessere Weg: zunächst eine tragfähige Methodik aufbauen, Prozesse modular gestalten und Stück für Stück automatisieren. Ein Baukastensystem hilft, um mit wenigen, aber sauber definierten Prozessen zu beginnen. So lassen sich Regeln und Berechnungslogiken später auf andere Produkte übertragen.

6. Von der Teil- zur Vollautomatisierung

Wenn Methodik und Datenqualität stimmen, kann die Automatisierung Schritt für Schritt wachsen:

Automatische Datentransfers zwischen internen Systemen (ERP) und PCF-Software
Intelligente und automatisierte Zuordnung von Emissionsfaktoren zu Materialien
Vollautomatisierte Berechnungsprozesse
Automatische Verwaltung und Aktualisierung von Emissionsfaktoren
…

Das Ziel: eine durchgängige, valide PCF-Berechnung – ohne manuelle Eingriffe.
So können sich Teams wieder auf das Wesentliche konzentrieren: Emissionen reduzieren, Maßnahmen umsetzen, Produkte verbessern.

Fazit: Automatisierung mit Plan

Automatisierung im PCF gelingt, wenn man zuerst Methodik und Datenqualität sichert. Klare Ziele, Rollen und Standards, strukturierte Datenquellen und schrittweise Automatisierung führen zu belastbaren Ergebnissen bei geringerem Aufwand. Ein modulares Vorgehen fördert Automatisierung, Transparenz und Vergleichbarkeit – bis zur durchgängigen PCF-Berechnung ohne manuelle Eingriffe.

Wir unterstützen Sie dabei gerne mit Software und Beratung.

* Bei diesen Informationen handelt es sich um redaktionell zusammengefassten Content, der nicht als Rechtsberatung zu verstehen ist. VERSO übernimmt keine Haftung.

Abonnieren Sie unseren Newsletter!

Tragen Sie sich ein und erhalten Sie regelmäßig Neuigkeiten zu:

Aktuellen ESG-Themen und Gesetzesänderungen
Best Practices aus den Bereichen ESG und nachhaltige Lieferketten
News zu VERSO
Sustainability Events uvm.

Jetzt anmelden!

Schlafender Kauz in einem abgestorbenen Baum. Symbolbild für die EUDR

17.07.2025

Von der Fichte zum Furnier: Was die EUDR für die Holzindustrie bedeutet

Die EUDR stellt die Holz- und Papierindustrie vor neue Herausforderungen. Ab dem 30. Dezember 2025 dürfen nur noch Holzprodukte in der EU gehandelt werden, deren legale und entwaldungsfreie Herkunft zweifelsfrei nachgewiesen ist. Was das konkret für Waldbesitzer, Sägewerke, Druckereien, Möbelhersteller, Verlagshäuser oder Händler bedeutet, zeigt dieser Beitrag. Klar ist schon jetzt: Die Pflichten variieren – aber niemand ist ganz raus.

Inhaltsverzeichnis

EUDR, EUTR, FLEGT, FSC/PEFC – Was gilt noch?
Welche Holzprodukte sind genau betroffen?
Allgemeine Umsetzung der EUDR
Konkrete Umsetzung für die Holz- und Papierindustrie

Das Wichtigste in Kürze

Unternehmen in der Holzindustrie dürfen ab 30.12.2025 nur noch Holzprodukte in der EU handeln, deren Herkunft legal und entwaldungsfrei belegt ist. Entscheidend für die konkreten Pflichten sind Marktrolle und Unternehmensgröße. Wer Produkte importiert oder auf dem EU-Markt handelt, muss eine Sorgfaltserklärung abgeben.

Nachgelagerte KMU-Unternehmen profitieren von Erleichterungen, bleiben aber in bestimmten Fällen verantwortlich. Bereits geprüfte Produkte können mit übernommenen Referenznummern weiterverarbeitet oder vertrieben werden – vorausgesetzt, die Sorgfaltspflicht wurde korrekt erfüllt.

EUDR, EUTR, FLEGT, FSC/PEFC: Was ändert sich?

Kurz: Die EUTR wird abgelöst, FLEGT sowie FSC/PEFC bleiben relevant.

Für Unternehmen in der Holzindustrie ist die EUDR nicht völlig neu. Schon die EU-Holzhandelsverordnung EUTR verbot die illegale Einfuhr von Holz und Holzprodukten sowie deren Verarbeitung in der EU.

Was macht die EUDR also anders – und was bedeutet das für FLEGT-Vereinbarungen?

EUTR

Wird ab 30.12.2025 von der EUDR abgelöst. Hier gilt jedoch eine Übergangsregelung für EUTR-Produkte, die vor dem 29.06.2023 hergestellt wurden und ab dem 30.12.2025 in Verkehr gebracht werden. Die EUDR ist hier erst ab 01.01.2029 anzuwenden.

Die EUDR erweitert u.a. die Sorgfaltspflichten der EUTR, aber auch den Umfang der betroffenen Holzprodukte.

FLEGT

Die Risikoanalyse der EUDR unterscheidet zwischen Legalitäts- und Entwaldungsrisiko. FLEGT, das Genehmigungssystem für Holzeinfuhren aus Partnerländern, bleibt vorerst ein Stempel für die Legalität Ihrer Holzprodukte.

FSC/PEFC

Ähnlich wie bei FLEGT liefern FSC- und PEFC-Zertifizierungen Informationen über nachhaltige Waldwirtschaft. Die beiden Zertifizierungen werden im Rahmen der EUDR-Risikoanalyse als unterstützender Nachweis anerkannt, dass die Produkte legal und entwaldungsfrei sind. Trotzdem entbinden sie Sie nicht von der Pflicht, relevante Daten zu sammeln und Sorgfaltserklärungen zu erstellen.

Holz ist nicht gleich Holz: Welche Verarbeitungsformen fallen unter die EUDR?

Holz ist in reiner und verarbeiteter Form von der EUDR betroffen. Hier mal eine lange Liste aller relevanten Holzprodukte:

Brennholz, Holzspäne, Sägemehl etc.
Holzkohle
Rohholz
Holz für Fassreifen, Pfähle etc.
Holzwolle, Holzmehl
Bahnschwellen aus Holz
Holz, längs gesägt, gehobelt etc., >6 mm Dicke
Furnierblätter, Sperrholzlagen ≤ 6 mm
Profilholz, auch gehobelt, geschliffen
Spanplatten, Faserplatten, OSB etc.
Sperrholz, furniertes Holz, Lagenholz
Verdichtetes Holz
Holzrahmen, Holzverpackungen, Paletten etc.
Böttcherwaren aus Holz
Werkzeuggriffe, Schuhleisten etc. aus Holz
Bautischlerarbeiten, Fußböden etc.
Holzwaren für Tisch und Küche, Sitzmöbel und Teile davon aus Holz, Holzmöbel und Teile davon
Intarsien, Holzkästen, Ziergegenstände
Halbstoffe und Papier, Grafische Erzeugnisse, Pläne, Bücher etc.
Vorgefertigte Gebäude aus Holz

Oder anders gesagt: Vom Sägewerk über den Möbelhersteller bis zum Buchhändler sind allerhand Unternehmen zur EUDR-Compliance verpflichtet.

Wie also vorgehen, bei hunderten verschiedenen Ausgangssituationen? Nachfolgend finden Sie einen allgemeinen Fahrplan zur Umsetzung der EUDR sowie konkrete Praxisbeispiele für die Holzindustrie.

So wird die EUDR allgemein umgesetzt

Grundsätzlich ist die Vorgehensweise für alle Unternehmen gleich:

EUDR-Marktrolle klären. Bin ich Händler oder Marktteilnehmer? Unser EUDR-Check nimmt Ihnen diese Aufgabe ab.
Daten sammeln. Sie brauchen einen genauen Überblick über Ihre Rohstoffe und Waren und müssen als produzierendes Unternehmen wissen, welche Produkte in Ihr Endprodukt fließen. Für Importeure heißt das: Geodaten der Waldflächen ermitteln. Nachgelagerte Unternehmen benötigen wiederum Referenz- oder Prüfnummern. Besonders wenn Sie keine getrennte Lagerhaltung haben, mitunter nicht einfach – also hier gewissenhaft vorgehen.
Risikobewertung durchführen. Als betroffenes Unternehmen dürfen Sie nur noch Produkte einführen, die kein oder nur ein vernachlässigbares Waldschädigungsrisiko haben und Legalitätsrisiko haben.
Erkannte Risiken mindern. Am besten gemeinsam mit Ihren Lieferanten.
Prozesse dokumentieren und Sorgfaltserklärung erstellen. Nicht-KMU (im Sinne der EUDR) müssen zudem öffentlich jährlich über ihre EUDR-Compliance berichten.

Eine ausführlichere Erläuterung aller Schritte zur EUDR-Compliance finden Sie in unserem EUDR-Praxisleitfaden.

… und so wird die EUDR im Holzhandel umgesetzt

Um die Umsetzung der EUDR zu erleichtern, hat die EU ein EUDR-Benutzerhandbuch mit verschiedenen Szenarien veröffentlicht. An den folgenden vier Szenarien können Sie sich orientieren, wenn Sie Holzprodukte produzieren oder mit diesen handeln:

Szenario 1: Vom Baum zum Papierprodukt

Ausgangslage:
Ein Waldbesitzer verkauft stehende Bäume an ein großes Holzunternehmen. Nach der Ernte überträgt er das Eigentum an dem Rohholz an das Unternehmen und bringt es damit erstmals auf den EU-Markt.

Der Waldbesitzer gilt als vorgelagerter KMU-Marktteilnehmer und ist verantwortlich dafür, dass das Holz entwaldungsfrei und legal im Sinne der EUDR ist. Die Sorgfaltserklärung muss im Informationssystem eingereicht werden – er kann hierfür das Holzunternehmen als bevollmächtigten Vertreter einsetzen. Die rechtliche Verantwortung bleibt jedoch bei ihm.

Weiterverarbeitung und Export:
Das Holzunternehmen fällt die Bäume, verarbeitet einen Teil des Holzes in der eigenen Papierfabrik zu Papierprodukten und exportiert diese teilweise aus der EU. Da die Produkte weiterverarbeitet wurden, gelten sie erneut als relevante Erzeugnisse. Das Unternehmen muss eine eigene Sorgfaltserklärung einreichen, kann sich aber auf die bereits eingereichte Erklärung des Waldbesitzers beziehen (inkl. Referenznummer).

Vertrieb innerhalb der EU:
Ein Papiervertriebsunternehmen verkauft das Papier an Druckereien in der EU weiter. Auch wenn das Papier bereits auf dem Markt ist, handelt es sich bei diesem Unternehmen um einen Nicht-KMU-Händler, der dieselben Pflichten wie ein Marktteilnehmer hat. Das bedeutet: Auch das Vertriebsunternehmen muss eine Sorgfaltserklärung im System einreichen. Es kann sich aber ebenfalls auf die frühere Erklärung beziehen, sofern es nachweisen kann, dass die Sorgfaltspflicht korrekt erfüllt wurde.

Fazit:
Entlang der gesamten Lieferkette – vom Wald bis zum Papierregal – müssen Marktteilnehmer und Händler ihre EUDR-Verantwortung wahrnehmen. Frühzeitig eingereichte Sorgfaltserklärungen können dabei genutzt werden, entbinden aber nicht von der Pflicht zur Prüfung und Dokumentation.

Szenario 2: Vom Sägewerk bis ins Möbelhaus

Ausgangslage:
Ein KMU-Sägewerk verarbeitet Holzstämme zu Schnittholz und verkauft dieses an Möbelhersteller innerhalb der EU.

Das Sägewerk bringt ein neues Produkt auf den Markt, muss aber keine eigene Sorgfaltspflicht erfüllen, da es ausschließlich bereits geprüftes Holz verarbeitet. Es ist jedoch verpflichtet, die erhaltene Referenznummer der ursprünglichen Sorgfaltserklärung aufzubewahren. Sie dient als Nachweis für die Rückverfolgbarkeit.

Weiterverarbeitung:
Zwei Möbelunternehmen kaufen das Schnittholz und stellen daraus Möbel her. Beide bringen damit ein neues relevantes Produkt auf den Markt. Sie gelten damit als Marktteilnehmer und müssen die Herkunft der eingesetzten Rohstoffe sauber dokumentieren – auch über Verarbeitungsschritte hinweg.

Dazu gehört, eingehende Lieferungen eindeutig dem jeweiligen Endprodukt zuzuordnen und in der eigenen Sorgfaltserklärung (DDS) auf die entsprechenden vorgelagerten DDS zu referenzieren.

Die weiteren Pflichten unterscheiden sich hier je nach Unternehmensgröße:

Das größere Unternehmen muss selbst eine Sorgfaltserklärung einreichen, darf sich dabei aber auf die frühere Erklärung des Holzlieferanten beziehen. Es trägt die Verantwortung, dass alle EUDR-Vorgaben eingehalten wurden.
Das kleinere Unternehmen ist von der Pflicht zur eigenen Sorgfaltserklärung befreit, muss aber ebenfalls die entsprechende Referenznummer aufbewahren.

Achtung bei Mischquellen:
Verwenden die Möbelhersteller auch Schnittholz, das nicht bereits geprüft wurde – z. B. durch eigenen Import – sind sie selbst vollständig für die EUDR-Konformität verantwortlich und müssen eine eigene Sorgfaltserklärung mit allen erforderlichen Angaben (inkl. Geolokalisierung) einreichen.

Fazit:
Je nach Position in der Lieferkette und Unternehmensgröße gelten unterschiedliche Pflichten. Wer ausschließlich mit bereits geprüften Materialien arbeitet, profitiert von Erleichterungen – muss aber jederzeit den Ursprung und die EUDR-Konformität nachweisen können.

Szenario 3: Zeitung aus eigenen Wäldern

Ausgangslage:
Ein Papierhersteller in der EU produziert Zeitungspapier aus Holz aus eigenen Wäldern und bringt es auf den EU-Markt.

Als großer Marktteilnehmer muss der Papierhersteller sicherstellen, dass das Papier entwaldungsfrei und legal ist. Für alle Chargen, die er auf den Markt bringt, muss er eine Sorgfaltserklärung im zentralen Informationssystem einreichen. Wenn alle Produkte aus derselben Herkunft stammen, kann eine einzige Erklärung für mehrere Lieferungen über einen Zeitraum von bis zu einem Jahr genutzt werden.

Weiterverarbeitung:
Ein Verlagsunternehmen kauft das Papier, druckt Zeitungen und bringt diese erstmals auf den Markt. Als großer Marktteilnehmer muss der Verlag ebenfalls eine eigene Sorgfaltserklärung einreichen. Dabei kann er auf die Erklärung des Papierherstellers verweisen. Voraussetzung: Er prüft, dass diese vollständig und korrekt ist. Auch hier kann eine einzige Erklärung für mehrere Zeitungsausgaben (z.B. Quartal) gelten.

Ein zweiter, kleiner Verlag verwendet ebenfalls Papier des gleichen Herstellers, um Zeitungen zu drucken. Da das Papier bereits geprüft wurde und der Verlag als KMU gilt, muss er keine eigene Sorgfaltspflicht erfüllen, sondern nur die Referenznummern der bestehenden Erklärung aufbewahren.

Verkauf im Einzelhandel:
Die Zeitungen werden an zwei Einzelhändler verkauft:

Der große Einzelhändler muss wie ein Marktteilnehmer handeln. Auch er muss eine eigene Sorgfaltserklärung einreichen, kann aber auf die Erklärung des Verlags verweisen – vorausgesetzt, er prüft deren Gültigkeit. Eine gemeinsame Erklärung für mehrere Lieferungen ist möglich.
Der kleine Einzelhändler muss keine eigene Erklärung abgeben, aber die Lieferkette dokumentieren und die entsprechenden Referenznummern aufbewahren. Für die Konformität der Produkte ist er nicht verantwortlich.

Fazit:
Ob Produzent, Verarbeiter, Händler oder Verleger: Die Pflichten im Rahmen der EUDR hängen sowohl von der Position in der Lieferkette als auch von der Unternehmensgröße ab. Wer mit bereits geprüften Materialien arbeitet und ein KMU ist, profitiert von Vereinfachungen. Große Unternehmen müssen jedoch eigene Erklärungen abgeben – und die Verantwortung für die Einhaltung der Verordnung tragen.

Szenario 4: Importiertes Papier und eigene Zeitung

Ausgangslage:
Ein kleiner EU-Verleger importiert Papier aus einem Drittland, verarbeitet es zu Zeitungen und vertreibt diese in der EU.

Obwohl der Verleger ein KMU ist, bringt er das Papier erstmals auf den EU-Markt. Er gilt damit als Marktteilnehmer. Der Verleger muss also nachweisen, dass das Papier entwaldungsfrei und legal ist und eine Sorgfaltserklärung im zentralen Informationssystem einreichen. Nutzt er über einen Zeitraum hinweg Papier aus derselben Herkunft, reicht eine einzige Erklärung für mehrere Chargen bis zu einem Jahr.

Weiterverarbeitung zu Zeitungen:
Der Verleger nutzt das Papier, um daraus Zeitungen herzustellen. Diese stellt er anschließend auf dem EU-Markt bereit. Als KMU, das bereits geprüftes Material verwendet, muss er für die Zeitungen keine neue Sorgfaltserklärung abgeben. Er ist jedoch verpflichtet, die Referenznummern der bestehenden Erklärung aufzubewahren.

Vertrieb durch einen Großhändler:
Ein größerer Großhändler kauft die Zeitungen und vertreibt sie weiter. Obwohl sich am Produkt nichts ändert, muss der Großhändler eine eigene Sorgfaltserklärung für die Zeitungen einreichen.

Er kann dabei auf die bestehende Erklärung des Verlegers verweisen – muss aber zuvor prüfen, ob diese vollständig und korrekt ist. Auch hier ist eine gemeinsame Erklärung für mehrere Lieferungen über einen längeren Zeitraum möglich, solange die Sorgfaltspflicht für alle Produkte erfüllt ist.

Fazit:
Kleinere Marktteilnehmer profitieren von Erleichterungen, bleiben aber in bestimmten Rollen verantwortlich – vor allem beim Import. Größere Händler müssen auch bei scheinbar „fertigen“ Produkten wie Zeitungen die Verantwortung für deren Herkunft übernehmen und aktiv dokumentieren, dass alle EUDR-Anforderungen erfüllt wurden.

Die Pflichten variieren – VERSO unterstützt Sie in jeder Situation

Wer Holz oder Holzprodukte in der EU vermarktet, muss ihre Herkunft dokumentieren und potenzielle Entwaldungsrisiken ausschließen – egal ob kleines Möbelhaus oder internationaler Papierkonzern. Jetzt kommt es darauf an, die eigene Marktrolle zu kennen, die richtigen Daten zu sammeln und Verantwortung nicht weiterzureichen, sondern mitzutragen.

Unsere EUDR-Softwarelösung hilft Ihnen, Ihre Pflichten zu erfüllen – automatisiert und effizient.

* Bei diesen Informationen handelt es sich um redaktionell zusammengefassten Content, der nicht als Rechtsberatung zu verstehen ist. VERSO übernimmt keine Haftung.

Abonnieren Sie unseren Newsletter!

Tragen Sie sich ein und erhalten Sie regelmäßig Neuigkeiten zu:

Aktuellen ESG-Themen und Gesetzesänderungen
Best Practices aus den Bereichen ESG und nachhaltige Lieferketten
News zu VERSO
Sustainability Events uvm.

Jetzt anmelden!

Näherinnen in einer Textilfabrik – Symbolbild für die Zwangsarbeit-Verordnung für Lieferketten

22.05.2025

Zwangsarbeit-Verordnung: Das Wichtigste in Kürze

2027 tritt die neue Europäische Verordnung gegen Zwangsarbeit in Kraft und erweitert die CSDDD. Wir fassen für Sie zusammen, was dahintersteckt – und was das für Ihre Lieferkette bedeutet.

Ab dem 14. Dezember 2027 ist der Handel mit Produkten, die unter Zwangsarbeit hergestellt wurden, in der EU verboten. Die Verordnung gilt unabhängig von Unternehmensgröße, Umsatz oder Branche und ergänzt bestehende Sorgfaltspflichten wie LkSG und CSDDD. Lieferkettenmanager sind angehalten, Transparenz in ihren Lieferketten zu schaffen und ihre Sorgfaltspflichten zu erweitern.

Was ist die Zwangsarbeit-Verordnung?

Ende 2024 wurde die „Verordnung über ein Verbot von in Zwangsarbeit hergestellten Produkten auf dem Unionsmarkt“ – oder, kurz und verständlich: die „Zwangsarbeit-Verordnung/Forced Labour Regulation“ – verabschiedet. Sie gilt ab 14.12.2027.

Ziel der neuen Verordnung: Sämtliche Produkte, die unter Zwangsarbeit hergestellt wurden, dürfen in der EU nicht mehr gehandelt werden. Das betrifft Import, Export und das Bereitstellen auf dem Markt.

Ähnlich wie EUDR und CBAM verfolgt die Zwangsarbeit-Verordnung einen produktbasierten Ansatz, gilt also unabhängig von Unternehmensgröße, Umsatz oder Branche. Sobald Waren in Ihrer Lieferkette unter Zwangsarbeit hergestellt wurden, gilt die Verordnung für Sie.

Damit ergänzt die Zwangsarbeit-Verordnung bestehende bzw. kommende menschenrechtliche Sorgfaltspflichten von LkSG und CSDDD.

Was heißt „Zwangsarbeit“?

Die Zwangsarbeit-Verordnung orientiert sich an der Zwangsarbeit-Definition der Internationalen Arbeitsorganisation (ILO):

„Jede Art von Arbeit oder Dienstleistung, die von einer Person unter Androhung irgendeiner Strafe verlangt wird und für die sie sich nicht freiwillig zur Verfügung gestellt hat“

Indikatoren für Zwangsarbeit sind laut ILO:

Ausnutzung schutzbedürftiger Personen
Täuschung
Einschränkung der Bewegungsfreiheit
Isolation
Körperliche und sexuelle Gewalt
Einschüchterung und Drohungen
Einbehaltung von Ausweisdokumenten
Vorenthalt von Löhnen
Schuldknechtschaft
Missbräuchliche Arbeits- und Lebensbedingungen
Übermäßige Überstunden

Was bedeutet das für Lieferkettenverantwortliche?

Kurz gesagt: Erweitern Sie Ihre Sorgfaltspflichten-Prozesse und beziehen Sie bei der Risikoanalyse auch die Zwangsarbeits-Kriterien der IAO ein.

Die Forced Labour Regulation richtet sich in erster Instanz an Behörden auf nationaler Ebene und EU-Ebene. Sie sind zur Analyse potenzieller Zwangsarbeitsrisiken verpflichtet und müssen Informationen zu Hochrisiko-Gebieten sowie Unterstützungsangebote bereitstellen (siehe auch: Erläuterung des EU-Rats zum Untersuchungsverfahren). Die EU wird dazu das „EU Forced Labour Single Portal“ einrichten.

Stellen Behörden in diesem Rahmen Zwangsarbeitsrisiken bei Unternehmen fest, werden weitere Untersuchungen eingeleitet.

Um die neue Zwangsarbeit-Verordnung zu erfüllen bzw. zwangsarbeitsfreie Lieferketten nachzuweisen, braucht Ihr Unternehmen also:

Lieferkettentransparenz – Verschaffen Sie sich einen genauen Überblick über potenziell riskante Produkte, Hersteller und Lieferanten.
Aktives Supplier Management – Arbeiten Sie gemeinsam mit Ihren Lieferanten daran, Zwangsarbeit in Ihren Lieferketten abzuschaffen. Tipps finden Sie in unserem Beitrag „Best Practices im Supplier Management“.
Erweiterte Prozesse – Sie können hier auf bestehenden Sorgfaltspflichten-Prozessen aufbauen, die Sie bereits für LkSG, CSDDD und Co. eingerichtet haben. Unterstützung bietet z.B. der ILO Helpdesk for Business on International Labour Standards.

Wie unterscheidet sich die Zwangsarbeit-Verordnung von der CSDDD?

Als Lieferketten-Regulatorik beinhaltet die CSDDD bereits Vorgaben zu Menschenrechten und verpflichtet Unternehmen, menschenrechtliche Risiken in der Lieferkette zu erkennen und abzuschaffen. Wozu braucht es also noch einmal zusätzlich die Forced Labour Regulation?

Die Zwangsarbeit-Verordnung ist branchenübergreifend und nicht – wie die CSDDD – auf Unternehmen bestimmter Umsatzgrenzen und Mitarbeitendenzahlen beschränkt. Sie hat also einen deutlich größeren Anwendungsbereich.
Gleichzeitig ist sie deutlich spezifischer: Der Fokus liegt konkret auf Zwangsarbeit statt generell auf Nachhaltigkeit in der Lieferkette.
Die Zwangsarbeit-Verordnung schließt betroffene Produkte kategorisch vom Handel aus, während die Sanktionen der CSDD „nur“ Bußgelder, Haftungsansprüche und die öffentliche Bekanntmachung der Verstöße umfassen.

Wie hilft mir VERSO bei der Umsetzung der Zwangsarbeit-Verordnung?

VERSO unterstützt den Mittelstand seit 2010 bei der Umsetzung von Nachhaltigkeit – auch in Lieferketten. Mit dem VERSO Supply Chain Hub gewinnen Sie volle Transparenz über Ihre gesamte Lieferkette, können Risiken analysieren, Maßnahmen steuern und Bemühungen dokumentieren.

Kontaktieren Sie uns gern direkt und lassen Sie uns besprechen, wie VERSO Sie konkret beim Aufdecken von Zwangsarbeit in Ihrer Lieferkette unterstützen kann.

Kontakt aufnehmen

* Bei diesen Informationen handelt es sich um redaktionell zusammengefassten Content, der nicht als Rechtsberatung zu verstehen ist. VERSO übernimmt keine Haftung.

Abonnieren Sie unseren Newsletter!

Tragen Sie sich ein und erhalten Sie regelmäßig Neuigkeiten zu:

Aktuellen ESG-Themen und Gesetzesänderungen
Best Practices aus den Bereichen ESG und nachhaltige Lieferketten
News zu VERSO
Sustainability Events uvm.

Baumstamm mit Efeublättern als Symbolbild für die EU-Entwaldungsverordnung

04.04.2025

EUDR: Die wichtigsten Fragen und Antworten

Mit der EUDR Verordnung will die EU den Handel mit Produkten, die zur Entwaldung beitragen, streng regulieren. Doch was bedeutet das konkret für betroffene Unternehmen und wie können Sie sich darauf vorbereiten? In diesem Beitrag erhalten Sie Anworten auf die wichtigsten Fragen rund um die neue Entwaldungsverordnung sowie praktische Tipps zur Umsetzung.

Was ist die EUDR? Die Entwaldungsverordnung kurz erklärt

Mit der neuen EU-Entwaldungsverordnung kommen umfassende Sorgfaltspflichten auf Unternehmen zu. Diese müssen sicherstellen, dass ihre Produkte entwaldungsfrei sind. Der Fokus liegt dabei auf der Transparenz und Nachverfolgbarkeit der Lieferketten. Unternehmen müssen in der Lage sein, den gesamten Weg eines Produkts lückenlos nachzuverfolgen.

Die EUDR fordert von betroffenen Unternehmen umfangreiche Daten und Angaben. „Angesichts der doch enormen Komplexität muss man sagen: Dieses Gesetz schreit nach einer Umsetzung per Software. Bei LkSG und CSDDDD gilt das natürlich schon, aber bei der EUDR gilt das noch mehr, da eine Umsetzung ohne Software nahezu nicht möglich ist, wenn man es in irgendeiner Weise pragmatisch halten möchte”, betont unser Supply-Chain-Experte Klaus Wiesen.

Wann tritt die EUDR Verordnung in Kraft?

Ab 30.12.2026 beginnt die Anwendungsphase der EUDR für große und mittlere Unternehmen. Der Ende 2025 verabschiedete Vorschlag der EU-Kommission sieht vor, dass kleine Unternehmen ein Jahr mehr Zeit zur Umsetzung haben. Auch werden mit diesen Änderungen Kontrollen und Sanktionen erst ab dem 30. Juni 2026 stattfinden.

Ab 30.12.2026	Ab 30.06.2027
Große und mittlere Unternehmen, die mindestens zwei der folgenden Kriterien erfüllen: > 50 Mitarbeitende > 10 Mio. € Umsatz > 5 Mio. € Bilanzsumme	Kleine Unternehmen und Kleinstunternehmen, die mindestens zwei der folgenden Kriterien erfüllen: < 50 Mitarbeitende < 10 Mio. € Umsatz < 5 Mio. € Bilanzsumme

Ab 30.12.2026

Ab 30.06.2027

Große und mittlere Unternehmen, die mindestens zwei der folgenden Kriterien erfüllen:

> 50 Mitarbeitende
> 10 Mio. € Umsatz
> 5 Mio. € Bilanzsumme

Kleine Unternehmen und Kleinstunternehmen, die mindestens zwei der folgenden Kriterien erfüllen:

< 50 Mitarbeitende
< 10 Mio. € Umsatz
< 5 Mio. € Bilanzsumme

Zeitachse mit Fristen der EUDR Verordnung zur Anwendung für große, mittlere sowie kleine Unternehmen.

Für wen gilt die EUDR (EU Entwaldungsverordnung)?

Die EUDR ist produktbasiert und gilt damit ausnahmslos für alle Unternehmen, die EUDR-relevante Rohstoffe und Waren handeln.

Betroffene Unternehmen werden nach Marktrolle unterschieden. Daraus ergeben sich auch unterschiedliche Pflichten – mehr dazu im Abschnitt EUDR-Marktrolle klären.

Marktteilnehmer	Händler
Unternehmen, die EUDR-relevante Erzeugnisse erstmalig in den EU-Markt importieren oder von dort exportieren.	Unternehmen, die EUDR-relevante Erzeugnisse auf dem EU-Markt bereitstellen.

Welche Produkte sind von der EUDR Verordnung betroffen?

Die neue Entwaldungsverordnung betrifft die folgenden Rohstoffe sowie Erzeugnisse, die unter Verwendung dieser Rohstoffe hergestellt wurden:

Holz
Palmöl
Kaffee
Kakao
Rind
Soja
Kautschuk

Sie sieht dabei keine Schwellen- oder Volumenwerte vor. Zukünftig soll die Liste der betroffenen Rohstoffe übrigens noch erweitert werden.

Ausnahmen macht die EUDR Verordnung bei:

100-prozentigen Recyclingwaren, d.h. Waren aus Rohstoffen/Folgeprodukten, deren Lebenszyklus ohnehin schon abgeschlossen ist
Verpackungsmaterialien, die allein zum Unterstützen, Schützen oder Tragen von Waren dienen
Bedienungsanleitungen
Bambusprodukten
Produkte, die vor dem Inkrafttreten der EUDR am 29.06.2023 erzeugt wurden (ausgenommen Holzprodukte)

Infografik: Übersicht der von der EUDR betroffenen Rohstoffe und Produkte wie Holz, Palmöl, Kaffee, Kakao, Rind, Soja und Kautschuk.

Welche Bedingungen müssen Produkte nach der EUDR Verordnung erfüllen?

Import, Handel und Export der genannten Rohstoffe und ihrer Folgeprodukte auf dem EU-Binnenmarkt sind mit Beginn der Anwendungsphase nur erlaubt, wenn diese drei Bedingungen erfüllt sind:

Entwaldungsfreiheit: Die Erzeugnisse wurden hergestellt, ohne dass dafür nach dem 31.12.2020 natürlicher Wald in Landwirtschaftsflächen oder Baumplantagen umgewandelt wurde. Das gilt auch, wenn die Entwaldung im Ursprungsland als legal galt!
Erzeugung gemäß den einschlägigen Rechten des Ursprungslands: Hier geht es sowohl um Umweltschutz- als auch um Menschenrechte. Artenschutzmaßnahmen, Antikorruptionsmaßnahmen, Arbeitsrechte, die UN-Deklaration der Rechte indigener Völker, Handelsrecht usw. wurden eingehalten.
Sorgfaltserklärung liegt vor: Für das Produkt wurde eine Risikobewertung durchgeführt, die Sorgfaltspflichten wurden gewahrt und es liegt kein oder nur ein vernachlässigbares Risiko der Entwaldung vor.

Welche Anforderungen gibt es für die unterschiedlichen Marktrollen?

Die EU-Entwaldungsverordnung kategorisiert betroffene Unternehmen nach Händlern und Marktteilnehmern, sowie nach KMU und Nicht-KMU (Achtung: Die EUDR hat hierfür eigene Maßstäbe!)

Daraus ergeben sich jeweils unterschiedliche Anforderungen – zum Beispiel:

Marktteilnehmer müssen laut EUDR-Verordnung eine Risikobewertung durchführen, Risiken mindern und über das EU-System „Traces“ eine Sorgfaltserklärung abgeben.
Händler können sich auf diese Sorgfaltserklärung berufen. Große Händler müssen darüber hinaus die erfolgte Risikobewertung stichprobenartig verifizieren.
Weiterhin bringt die EUDR eine Dokumentations- und Berichtspflicht.
KMU (lt. EUDR-Definition) wird die Umsetzung durch einen schmaleren Pflichtenkatalog vereinfacht. Sie müssen u.a. weniger Informationen über ihre vor- und nachgelagerte Lieferkette bereitstellen und keinen öffentlichen EUDR-Bericht einreichen.

Der aktuelle Vorschlag des EU-Parlaments sieht bei diesen Rollen nun einige Änderungen vor. Es gelten folgende neue Anforderungen:

Nachgelagerte Marktteilnehmer und Händler („Downstream Operators or Traders“) als neue Kategorie und vereinfachte Pflichten: Erste nachgelagerte Marktteilnehmer und Händler müssen keine Sorgfaltspflichtenprüfung der Vorlieferanten mehr durchführen (DDS Validierung) und keine eigene Sorgfaltserklärungen (DDS) mehr erstellen. Sie sind weiterhin verpflichtet, DDS ihrer Lieferanten einzusammeln und aufzubewahren. Sie müssen die DDS jedoch nicht an weitere nachgelagerte Marktteilnehmer und Händler (ihre Kunden) weitergeben.
Kleine und Kleinst-Primärmarktteilnehmer in Niedrigrisikoländern (z. B. kleine Waldbesitzer in der EU): Auch das ist eine neue Kategorie mit vereinfachten Regeln. Eine einmalige, vereinfachte Deklaration ist möglich – ohne Geodaten, nur mit Angabe der Postadresse. Das Ziel ist die Entlastung kleiner Farmer innerhalb der EU.
Für Marktteilnehmer, die importieren (Erstinverkehrbringer), bleibt alles beim Alten.

Finden Sie im ersten Schritt mit unserem kostenlosen Check einfach heraus, in welche Kategorie Ihr Unternehmen fällt und welche Pflichten für Sie anfallen.

EUDR-Check starten

Wie können sich Importeure vorbereiten? Praktische Tipps zur Umsetzung der EUDR

Schritt 1: Daten für die EUDR-Verordnung sammeln

Verschaffen Sie sich einen genauen Überblick über Ihre Waren und Rohstoffe. Hier sind unter anderem Informationen wie genaue Beschreibungen, Mengenangaben, Lieferanten und Herkunftsländer gefordert.

Außerdem verlangt die Entwaldungsverordnung eine Geolokalisierung aller Grundstücke, auf denen die betroffenen Rohstoffe hergestellt wurden – inklusive Zeitpunkt oder Zeitraum der Erzeugung. Nicht nur zukünftig, sondern auch rückwirkend bis 31.12.2020.

Beschaffen Sie sich außerdem einen Nachweis, dass im Ursprungsland sämtliche Rechte gewahrt bleiben.

Schritt 2: Risikobewertung durchführen

Ziel ist eine Bewertung des Entwaldungsrisikos neu eingebrachter Produkte und Rohstoffe. Kriterien zur Risikobewertung sind z.B. das Ursprungsland, die Entwaldungsdynamik in diesem Land, die politische/soziale Lage oder die Komplexität der Lieferkette des einführenden Unternehmens.

Die EU stellt dafür ein Benchmarking-System bereit, das Erzeugerländer nach Risikoklassen kategorisiert. Nur Produkte mit keinem oder vernachlässigbarem Risiko dürfen laut EUDR auf dem EU-Binnenmarkt gehandelt werden.

Schritt 3: Risiken mindern

Haben Sie Risiken in Ihrer Lieferkette erkannt, sind diese nun weitestgehend zu reduzieren. Entwickeln Sie gemeinsam mit Ihren Lieferanten einen neuen Verhaltenskodex sowie anpassungsfähige Strategien und Kontrollmaßnahmen. Prüfen Sie die Einhaltung, z.B. durch Lieferantenaudits oder das Anfordern zusätzlicher Unterlagen.

Schritt 4: Dokumentieren und berichten

Die EUDR Verordnung bringt auch eine interne Dokumentationspflicht sowie eine Berichtspflicht. Pro Charge betroffener Waren ist eine Sorgfaltspflichtenerklärung bzw. eine Bestätigung der EUDR-Konformität beizulegen, die der Zoll risikobasiert kontrolliert.

Mit Ausnahme von „KMU“ sind darüber hinaus alle Unternehmen zur öffentlichen Berichterstattung über Risikobewertung, Sorgfaltsprozess und ergriffene Maßnahmen verpflichtet. Fällt Ihr Unternehmen unter die EU-Richtlinie zur Nachhaltigkeitsberichterstattung (CSRD), können Sie die EUDR-Berichterstattung über den CSRD-Bericht abwickeln.

Welche Sanktionen bringt die EUDR?

Geplante Sanktionen umfassen u.a.:

Abschöpfung von Gewinnen, die durch die Nichtbeachtung unrechtmäßig erzielt wurden
Bußgelder im Verhältnis zu Waldschaden und Warenwert, mindestens jedoch 4 % des Jahresumsatzes
Beschlagnahmung von Waren bzw. Erzeugnissen
Vorübergehende Einfuhrverbote
Ausschluss von öffentlichen Mitteln und öffentlichen Ausschreibungen
Naming and Shaming (öffentliche Bekanntmachung des Unternehmens und seiner Verstöße)

Mehr dazu in unserem Beitrag „Sanktionen bei Fehler in ESG-Reporting- und Umsetzung“.

Hintergrundwissen zur EUDR Verordnung

In den letzten 30 Jahren haben wir weltweit eine Waldfläche verloren, die insgesamt größer als die Europäische Union ist. Waldschädigung und Entwaldung schreiten weiterhin mit enormer Geschwindigkeit voran, was die Erderwärmung und den Verlust der biologischen Vielfalt nur noch verstärkt.

Doch das Wachstum von Wohlstand und Wirtschaft kann nicht endlos auf dem Rücken der Umwelt ausgebaut werden. Bereits 2013 hatte die EU deshalb mit der EU-Holzhandelsverordnung EUTR (in der deutschen Umsetzung das Holzhandels-Sicherungsgesetz HolzSiG) der Entwaldung einen ersten Riegel vorgeschoben. Standards und Durchsetzung der EUTR wurden jedoch immer wieder als schwach kritisiert.

Im Rahmen des Green Deal wurde nun die EUDR Verordnung eingeführt, um die Maßnahmen zu stärken. Mit der EUDR werden die Ersteinführung, das Inverkehrbringen/Bereitstellen auf dem EU-Binnenmarkt sowie der Export bestimmter Waren verboten, für die seit Anfang 2021 Wälder gerodet oder Wald-Ökosysteme beschädigt wurden. Dabei ist es egal, ob dieser Wald in Thüringen, in Rumänien oder in Brasilien steht.

* Bei diesen Informationen handelt es sich um redaktionell zusammengefassten Content, der nicht als Rechtsberatung zu verstehen ist. VERSO übernimmt keine Haftung.

Abonnieren Sie unseren Newsletter!

Tragen Sie sich ein und erhalten Sie regelmäßig Neuigkeiten zu:

Aktuellen ESG-Themen und Gesetzesänderungen
Best Practices aus den Bereichen ESG und nachhaltige Lieferketten
News zu VERSO
Sustainability Events uvm.

Jetzt anmelden!

14.02.2025

ESG in der Lieferkette: 19+1 To-dos für den Einkauf

Anforderungen bis zum Horizont: Wo sollten Sie am besten anfangen, um ESG-Compliance entlang der Lieferkette zu schaffen und die vielen Chancen von ESG für Ihr Unternehmen zu realisieren? Dieser Beitrag zeigt’s – mit 19 To-dos und einem Bonustipp.

Für Einkaufs- und Supply-Chain-Verantwortliche bedeuten Regularien wie das LkSG, die CSDDD, die CSRD, die EUDR und der CBAM: mehr Dokumentationspflichten, höhere Transparenzanforderungen und steigender Druck auf Lieferanten.

Trotz aller Herausforderungen ist ESG-Compliance in der Lieferkette eine Chance, Risiken frühzeitig zu erkennen, Kosten zu senken und die eigene Marktposition zu stärken. Mit der richtigen Strategie wird Nachhaltigkeit vom Cost Center zum Profit Center.

Doch wo fangen Sie am besten an? Diese praxisnahe Checkliste mit 19 umsetzbaren To-dos und einem Bonustipp verschafft Klarheit.

Leiten Sie diesen Beitrag gern weiter, wenn er Ihnen weitergeholfen hat.

ESG-Regularien überblicken und priorisieren

1. Abgleichen, welche ESG-Regularien Ihre Lieferkette betreffen könnten

Lieferketten-Regularien mit Anwendung in 2025	Lieferketten-Regularien mit Anwendung nach 2025
LkSG	Forced Labour Regulation
CSRD	CSDDD
EUDR	ESPR/Digitaler Produktpass
EU-Taxonomie	Right to Repair
CBAM
EU-ETS
Weitere Regularien wie Batterie-VO oder Kreislaufwirtschaftsgesetz

2. Prüfen, welche Regularien für Ihr Unternehmen gelten und wann – einige Regularien (z.B. CSRD, CSDDD und EUDR) werden gestaffelt umgesetzt

3. Für die meisten Unternehmen sind aktuell vor allem CSRD, LkSG/CSDDD, CBAM und EUDR relevant

Zum Weiterlesen:

ESG-Daten in der Lieferkette erfassen und Transparenz erhöhen

4. Aktuelle Lieferanten-Stammdaten einholen und Ansprechpartner festlegen

5. Standardisierte ESG-Abfragen für Lieferanten nutzen, durch gezielte Audits überprüfen

6. Scope-3-Emissionen und Hotspots erfassen

7. Klimaziele für die Lieferkette festlegen, Klimastrategie implementieren

Zum Weiterlesen:

Lieferkette dekarbonisieren

ESG-Risiken identifizieren und managen

8. Lieferanten nach menschenrechtlichen, umweltbezogenen und Klimarisiken überprüfen (abstrakte, konkrete und anlassbezogene Risikoanalyse)

9. Maßnahmen zur Risikoprävention etablieren und Abhilfemaßnahmen schaffen

10. Ganzheitliches, zukunftssicheres Managementsystem für Lieferketten-Risiken etablieren

Lieferantenmanagement für langfristige ESG-Compliance stärken

11. ESG-Kriterien in Lieferverträgen verankern, Code of Conduct kommunizieren

12. ESG-Reifegrad der Lieferanten ermitteln

13. Schulungen und Unterstützungen für Lieferanten anbieten, um ESG-Standards zu verbessern

14. ESG-Performance der Lieferanten regelmäßig prüfen

Zum Weiterlesen:

Best Practices im Supplier Management

IT-Systeme prüfen und Datenverwaltung optimieren

15. Schnittstellenfähigkeit Ihrer IT-Systeme prüfen

16. Digitale ESG-Datenverwaltung einführen, um vollständige Transparenz und Kommunikation mit Lieferanten zu gewährleisten

ESG-Reporting abhaken und Compliance sicherstellen

17. Daten konsolidieren und Berichtsprozesse standardisieren

18. Regelmäßiges Reporting sicherstellen, dabei Synergien nutzen: Einige BAFA-Anforderungen (LkSG) überschneiden sich mit den ESRS (CSRD), EUDR- und CBAM-Daten und können für CSRD-Bericht weiterverwendet werden

19. Externe Prüfstellen (z.B. Wirtschaftsprüfer:innen) frühzeitig einbinden

Bonustipp: So gelingt ESG-Compliance in der Lieferkette mit weniger Aufwand

Zugegeben: Die ESG-Vorgaben für Lieferkettenverantwortliche sind anspruchsvoll. Aber mit der richtigen Strategie lassen sie sich effizient bewältigen. Nutzen Sie diese Checkliste als ersten Anhaltspunkt, um Ihre Lieferkette ESG-konform aufzustellen. Eine genauere Aufschlüsselung finden Sie in unserem Praxisleitfaden für nachhaltige Lieferketten.

Unser Bonus-Tipp: Der VERSO Supply Chain Hub schafft Transparenz und unterstützt Sie effizient bei der Umsetzung von LkSG, CSRD, CBAM und EUDR – automatisiert und rechtlich abgesichert.

* Bei diesen Informationen handelt es sich um redaktionell zusammengefassten Content, der nicht als Rechtsberatung zu verstehen ist. VERSO übernimmt keine Haftung.

Abonnieren Sie unseren Newsletter

Tragen Sie sich ein und erhalten Sie regelmäßig Neuigkeiten zu:

Aktuellen ESG-Themen und Gesetzesänderungen
Best Practices aus den Bereichen ESG und nachhaltige Lieferketten
News zu VERSO
Sustainability Events uvm.

Cybersicherheit in der Lieferkette: Risiken erkennen und systematisch steuern

Das Wichtigste zu Cybersicherheit in der Lieferkette

Was versteht man unter Cybersicherheit in der Lieferkette?

Warum ist Cybersicherheit in der Supply Chain wichtig?

Die Herausforderungen von Cybersicherheit in der Lieferkette

Cyber Risk Management als Grundlage für Cybersicherheit in der Lieferkette

Wie stellt man Cyber-Sicherheit in der Lieferkette sicher?

Fazit: Cybersicherheit neu denken – aus Risiko in der Lieferkette

* Bei diesen Informationen handelt es sich um redaktionell zusammengefassten Content, der nicht als Rechtsberatung zu verstehen ist. VERSO übernimmt keine Haftung.

Das könnte Sie auch interessieren:

PPWR: Fragen und Antworten

NIS-2 in der Lieferkette

Abonnieren Sie unseren Newsletter!

PPWR: Die wichtigsten Fragen und Antworten für Unternehmen

1. Was ist die PPWR (Packaging and Packaging Waste Regulation)?

2. Ab wann gilt die PPWR?

3. Wen betrifft die PPWR?

Lernen Sie den Supply Chain Hub in einer kostenlosen Demo kennen

4. Welche Rollen definiert die PPWR?

Erzeuger

Lieferant

Importeur

Vertreiber

PPWR: To Dos in der Lieferkette

5. Was bedeutet die PPWR-Rolle „Producer” bzw. „Hersteller” und was ist der Unterschied zum Erzeuger?

6. Was bedeutet “Erweiterte Herstellerverantwortung” im Kontext der PPWR?

7. Wie verändern sich mit der PPWR die EPR-Gebühren?

8. Welche Pflichten bringt die PPWR für Unternehmen mit sich?

1. Konformität & chemische Sicherheit (ab 2026)

2. Kennzeichnung & Transparenz (ab 2028 ff.)

3. Design- und Nachhaltigkeitsanforderungen (schrittweise bis 2040)

4. Spezifische Vorgaben für bestimmte Verpackungen

9. Welche Anforderungen gelten ab 2026 konkret?

10. Welche Vorgaben gibt es hinsichtlich Leerraum und Überverpackung?

11. Welche Auswirkungen hat die PPWR auf die Lieferkette?

12. Wie sollten sich Unternehmen jetzt auf die PPWR vorbereiten?

Mit Software und Beratung zur PPWR-Compliance

13. Wie hängt die PPWR mit anderen ESG-Anforderungen zusammen?

Dekarbonisierung der Lieferkette

REACH / RoHS

ESRS E5 – Kreislaufwirtschaft

EUDR – Rückverfolgbarkeit

Digital Product Passport (DPP)

14. Warum sollten Unternehmen die PPWR frühzeitig umsetzen?

15. Welche Strafen sind bei PPWR-Verstößen zu beachten?

PPWR unkompliziert umsetzen

* Bei diesen Informationen handelt es sich um redaktionell zusammengefassten Content, der nicht als Rechtsberatung zu verstehen ist. VERSO übernimmt keine Haftung.

Das könnte Sie auch interessieren:

Lieferkette dekarbonisieren: So erreichen Unternehmen ihre Klimaziele entlang der Supply Chain

NIS-2 in der Lieferkette

Abonnieren Sie unseren Newsletter!

Was bedeutet die Cybersicherheitsrichtlinie NIS-2 für die Lieferkette?

Was ist die NIS-2-Richtlinie und was bedeutet sie für die Lieferkette?

Welche Einrichtungen und Unternehmen sind von NIS-2 betroffen?

Ab wann gilt die NIS-2 für Unternehmen und ihre Lieferketten?

Der Unterschied zwischen NIS-2 und ISO-27001

Was fordert NIS-2 von Unternehmen und Lieferketten?

Anforderungen von NIS-2 ans Lieferkettenmanagement

Risikomanagement für Drittparteien

Bewertung von Sicherheitsmaßnahmen bei Lieferanten

Dokumentation und Nachweisfähigkeit

Regelmäßige Überprüfung statt einmaliger Abfragen

Wie Unternehmen NIS-2-Compliance (auch in der Lieferkette) sicherstellen

1. NIS-2-Betroffenheit klären

2. Gap-Analyse durchführen

3. Risikomanagement-Strategie entwickeln

4. Governance und Verantwortlichkeiten klären und stärken

5. Lieferkette absichern

Fazit: NIS-2 beginnt nicht in der IT, sondern in der Lieferkette

* Bei diesen Informationen handelt es sich um redaktionell zusammengefassten Content, der nicht als Rechtsberatung zu verstehen ist. VERSO übernimmt keine Haftung.

Das könnte Sie auch interessieren:

PCF-Automatisierung in 6 Schritten

Lieferkette dekarbonisieren: So erreichen Unternehmen ihre Klimaziele entlang der Supply Chain

Abonnieren Sie unseren Newsletter!

CBAM: Die wichtigsten Fragen und Antworten

Inhaltsverzeichnis

Was ist der CBAM?

Ziele des CBAM:

Welche Waren und Unternehmen betrifft der CBAM?

Die wichtigsten Fakten zum CBAM