Cómo cumplir con la CSRD en España: guía estratégica 2026

La Corporate Sustainability Reporting Directive (CSRD) entró en vigor en enero de 2023, pero el paquete Omnibus de febrero de 2025 y la directiva «stop-the-clock» de abril de 2025 han redibujado el calendario completo. Para una empresa española obligada, eso significa una cosa: lo que parecía un reporte 2025 con cierre en 2026 hoy es, en muchos casos, un reporte 2027 con preparación 2026. El cambio no es cosmético. Reabre la ventana para construir el sistema bien, no para improvisarlo.

Esta guía es lo que diríamos en una primera reunión con un director financiero o un responsable de sostenibilidad: qué obliga la norma hoy en España, qué cambió con Omnibus, qué decisiones hay que tomar en los próximos seis meses y dónde están los errores caros de evitar.

Puntos clave

Calendario revisado: Omnibus (feb 2025) + stop-the-clock (abr 2025) retrasan dos años la entrada de la segunda y tercera olas de empresas obligadas.
Umbrales endurecidos en la propuesta Omnibus: el corte se mueve hacia empresas con más de 1.000 empleados y más de 450 M€ de facturación o 25 M€ de balance.
ESRS simplificados: la Comisión ha pedido a EFRAG reducir los datapoints obligatorios desde los 1.144 originales hasta un objetivo cercano a 450.
Auditoría limitada obligatoria desde el primer ejercicio reportado. Auditoría razonable, aplazada (en estudio hacia 2028-2030).
Doble materialidad sigue siendo el corazón metodológico. Sin un análisis defendible, el resto del reporte se descarga sobre cimientos débiles.
La penalización real no es la sanción administrativa: es el coste de capital. Bancos y fondos ya descuentan margen a quienes presentan datos ESG opacos o inconsistentes.

Tabla de contenidos

1. El marco regulatorio CSRD en España tras Omnibus
2. A quién obliga y cuándo: el nuevo calendario
3. Hoja de ruta operativa en cinco pasos
4. Los ESRS: qué cubren y cómo se priorizan
5. Preparar la auditoría limitada y el formato ESEF
6. Cómo encaja Voombu en este proceso
7. De compliance a estrategia
8. Preguntas frecuentes

1. El marco regulatorio CSRD en España tras Omnibus

La CSRD sustituye a la antigua Directiva de Información No Financiera (NFRD, transpuesta en España por la Ley 11/2018) y obliga a reportar siguiendo los European Sustainability Reporting Standards (ESRS), aprobados por la Comisión en julio de 2023. Hasta aquí, todo el mundo de acuerdo. El terreno cambió a principios de 2025.

En febrero de 2025 la Comisión publicó el paquete Omnibus de simplificación. La propuesta tiene tres efectos sobre CSRD:

Estrecha el ámbito: pasa de un umbral de 250 empleados a 1.000 empleados, combinado con criterios de facturación (>450 M€) o balance (>25 M€).
Aplaza dos años la entrada de la segunda ola (grandes empresas no cotizadas) y la tercera (pymes cotizadas).
Reduce de forma material los datapoints obligatorios de los ESRS y elimina los estándares sectoriales en su forma inicial.

En abril de 2025 el Consejo y el Parlamento Europeo aprobaron la directiva «stop-the-clock», que fija formalmente el aplazamiento mientras se negocia el contenido sustantivo del Omnibus. Resultado práctico: hay empresas que iban a publicar su primer reporte en 2026 sobre el ejercicio 2025 y ahora lo harán en 2028 sobre el ejercicio 2027.

Conviene desactivar una lectura optimista. Ningún cambio de Omnibus elimina la obligación. Ningún cambio reduce la exigencia técnica de los ESRS para las empresas que quedan dentro del perímetro. Y ningún cambio afecta a la presión de los grandes clientes corporativos y de la banca, que ya están pidiendo información ESG a sus proveedores, esté o no esté la pyme jurídicamente obligada.

Qué se ha mantenido

La transposición española sigue su curso. El Ministerio de Economía publicó en 2024 un anteproyecto de ley para incorporar CSRD a la legislación nacional y se espera la versión definitiva alineada con el Omnibus a lo largo de 2026. Las disposiciones sobre auditoría obligatoria, formato XBRL y publicación en el informe de gestión permanecen.

2. A quién obliga y cuándo: el nuevo calendario

Con Omnibus aprobado en su forma final, el calendario para una empresa española queda aproximadamente así:

Primera ola — ya obligados

Empresas de interés público con más de 500 empleados que ya reportaban bajo NFRD. Primer reporte CSRD sobre el ejercicio 2024, publicado en 2025. Continúan reportando con normalidad.

Segunda ola — aplazada a 2028

Grandes empresas no cotizadas que superen dos de los tres criterios: más de 1.000 empleados, más de 450 M€ de facturación, más de 25 M€ de balance total (umbrales propuestos en Omnibus, pendientes de cierre legislativo). Primer reporte sobre ejercicio 2027, publicado en 2028.

Tercera ola — aplazada a 2029

Pymes cotizadas que cumplan criterios de tamaño definidos en el texto final. Primer reporte sobre ejercicio 2028, publicado en 2029. Se mantiene la opción del estándar simplificado VSME para pymes no obligadas que necesiten reportar a clientes o financiadores.

La pregunta práctica que nos hacen casi todas las empresas mid-market españolas no es «¿estoy obligada?». Es «¿cuándo me empezarán a pedir datos los demás?». Y ahí el calendario no espera: los grandes clientes industriales y la banca ya están pidiendo datos en 2026 sobre el ejercicio 2025, aunque la pyme no esté en el perímetro CSRD directamente.

3. Hoja de ruta operativa en cinco pasos

Lo que sigue es la secuencia que recomendamos a un equipo que empieza desde cero. Cada paso tiene una duración indicativa para una empresa de tamaño medio.

Paso 1 — Diagnóstico y análisis de doble materialidad (8–12 semanas)

Es el paso que más empresas hacen mal y, paradójicamente, el que más condiciona el resto. La doble materialidad obliga a evaluar dos dimensiones para cada asunto ESG: el impacto que la empresa genera sobre personas y entorno (materialidad de impacto) y el efecto financiero que ese asunto puede tener sobre la propia empresa (materialidad financiera). Un asunto es material si supera el umbral en cualquiera de las dos dimensiones.

El resultado debe ser una lista priorizada de asuntos materiales, vinculada a stakeholders identificados y con la lógica de puntuación documentada. Si el auditor llega y no encuentra trazabilidad, el reporte completo queda en cuestión.

Paso 2 — Inventario de datos y brechas (4–8 semanas)

Cada asunto material activa una serie de datapoints obligatorios del ESRS correspondiente. Hay que identificar qué información ya existe en SAP, en hojas de Excel descentralizadas o en los sistemas de recursos humanos, y qué información no se está capturando. Las brechas más habituales en empresas españolas: alcance 3 de huella de carbono, datos sociales desagregados por género y país, e información sobre cadena de valor aguas arriba.

Paso 3 — Diseño de la arquitectura de datos (6–10 semanas)

Aquí se decide cómo se va a capturar, validar y almacenar la información. Tres opciones razonables:

Hojas de cálculo centralizadas con control de versiones. Funciona el primer año, deja de funcionar el segundo.
Módulos de sostenibilidad añadidos al ERP existente. Útil si la empresa ya tiene un ecosistema SAP o similar maduro.
Plataforma ESG dedicada, integrada con los sistemas operativos. Es la opción que reduce el coste recurrente y que el auditor entiende sin esfuerzo.

Paso 4 — Recolección, cálculo y narrativa (12–16 semanas)

Recoger los datos no es el trabajo. El trabajo es validarlos, conciliarlos con los estados financieros y construir la narrativa que exige el ESRS 2 (governance, estrategia, impactos, riesgos y oportunidades, métricas y objetivos). Buena parte del reporte es texto razonado, no tablas. Y el texto razonado se audita igual que las cifras.

Paso 5 — Auditoría limitada y publicación (4–6 semanas)

Auditor designado, papeles de trabajo entregados, evidencias trazables. La auditoría limitada es menos exigente que la razonable, pero no es opcional: desde el primer ejercicio reportado bajo CSRD, el verificador independiente firma un informe que se publica junto al reporte.

Guía de Cumplimiento CSRD

4. Los ESRS: qué cubren y cómo se priorizan

Los European Sustainability Reporting Standards son la columna técnica de CSRD. El conjunto original contenía 1.144 datapoints. La revisión que la Comisión ha encargado a EFRAG tras Omnibus persigue reducirlos a un orden cercano a 450, eliminar redundancias y endurecer el principio de materialidad como filtro. La cifra final dependerá del proceso de consulta abierto en 2025-2026.

Estructura

Los ESRS se organizan en dos transversales (ESRS 1 y ESRS 2), cinco medioambientales (E1 a E5), cuatro sociales (S1 a S4) y uno de gobernanza (G1).

ESRS 1 — Principios generales: la base metodológica. Define cómo aplicar materialidad, cómo presentar la información y cómo conectar el reporte con los estados financieros.
ESRS 2 — Disclosures generales: gobernanza, estrategia, gestión de impactos, riesgos y oportunidades. Aplica siempre, sin filtro de materialidad.
E1 — Cambio climático: huella de carbono alcances 1, 2 y 3, plan de transición, objetivos alineados con 1,5 °C, riesgos físicos y de transición.
E2 — Contaminación: aire, agua, suelo, sustancias preocupantes.
E3 — Recursos hídricos y marinos: consumo, vertidos, dependencia de zonas estresadas.
E4 — Biodiversidad y ecosistemas: impacto sobre especies, hábitats y áreas protegidas.
E5 — Economía circular: uso de recursos, residuos, productos sostenibles.
S1 — Trabajadores propios: condiciones de empleo, igualdad, salud y seguridad, formación, diversidad.
S2 — Trabajadores en la cadena de valor: condiciones laborales en proveedores.
S3 — Comunidades afectadas: impacto sobre comunidades locales.
S4 — Consumidores y usuarios finales: seguridad de producto, accesibilidad, protección de datos.
G1 — Conducta empresarial: cultura, prevención de corrupción, lobbying, relación con proveedores.

Cómo se prioriza

Después del análisis de doble materialidad, cada empresa termina con un subconjunto de estándares plenamente aplicables, otro de aplicación parcial y otro descartado por no material. Para una manufacturera industrial española típica, lo material suele ser E1, E5, S1 y G1 con peso alto, y E2-E3 con peso medio. Una empresa de servicios financieros tendrá un perfil muy distinto, con S4 y G1 cobrando relevancia frente a E3-E4.

5. Preparar la auditoría limitada y el formato ESEF

Dos exigencias técnicas que se subestiman con frecuencia.

Auditoría limitada

La diferencia con la auditoría razonable está en el nivel de evidencia y en el redactado de la opinión. En la limitada, el auditor concluye con una fórmula negativa: «nada ha llamado nuestra atención que indique…». En la razonable, el auditor afirma directamente que la información es correcta. La CSRD obliga a la limitada desde el primer reporte. La razonable está en estudio para etapas posteriores, posiblemente a partir de 2028-2030 según se confirme en el desarrollo legislativo.

Lo que el auditor pedirá, independientemente del nivel:

Política de sostenibilidad documentada y aprobada por consejo.
Análisis de doble materialidad con metodología explícita y stakeholders consultados.
Trazabilidad de cada dato: origen, fórmula de cálculo, responsable, fecha de actualización.
Controles internos sobre la información ESG, idealmente integrados en el marco COSO ERM.
Conciliación entre cifras ESG y estados financieros (especialmente perímetro de consolidación).

Formato ESEF y etiquetado XBRL

El reporte de sostenibilidad se publica como parte del informe de gestión, en el mismo paquete ESEF que las cuentas anuales, y debe estar etiquetado en XBRL siguiendo la taxonomía de los ESRS. Para empresas que ya etiquetan sus cuentas financieras en ESEF, es una extensión del proceso. Para las que no, supone un proyecto técnico autónomo que conviene anticipar.

6. Cómo encaja Voombu en este proceso

Voombu es un sistema de gestión ESG impulsado por inteligencia artificial. La tesis de producto es directa: la mayoría de empresas no necesitan una nueva consultora ni otra hoja de cálculo. Necesitan una plataforma que conecte el dato operativo, automatice los cálculos y produzca el reporte trazable que el auditor pueda firmar.

La plataforma se estructura en cuatro pilares:

Reporting automatizado. Carga datos desde ERP, sistemas de RR. HH. y proveedores, calcula los datapoints obligatorios y genera el borrador del informe en formato ESEF con etiquetado XBRL.

Gestión de riesgos ESG bajo metodología COSO ERM. Identifica, evalúa y monitoriza riesgos materiales con una matriz 5×3 integrada con el resto del sistema de control interno.

ESG Score dinámico. Indicador interno ponderado (Ambiental 40 %, Social 35 %, Gobernanza 25 %) que evoluciona en tiempo real con los datos y permite vincular incentivos, KPIs internos o cláusulas de financiación sostenible.

Dashboard ejecutivo. Vista única para dirección y consejo, con drill-down hasta el dato original y exportación lista para auditoría.

La empresa que llega a Voombu con un análisis de doble materialidad ya hecho puede tener un primer reporte CSRD funcional en cuestión de semanas. La que llega antes, lo construye paso a paso dentro de la propia plataforma. Para consultoras que operan en este espacio, existe una modalidad multi-licencia (MLC) pensada para gestionar varios clientes desde una única infraestructura.

7. De compliance a estrategia

La trampa habitual en CSRD es tratarla como un proyecto contable: cargar el reporte, firmar la auditoría, archivar y volver el año siguiente. Las empresas que lo hacen así obtienen lo que pagan por obtener: un coste recurrente sin retorno visible.

La lectura alternativa, que es la que recomendamos sin condescendencia, parte de tres ideas:

El reporte ESG es, ante todo, una fotografía operativa. Mide consumos, emisiones, rotación, accidentes y proveedores. Esa información es útil para gestionar el negocio mucho antes de que sea útil para reportar.
Los datos ESG empiezan a afectar al coste de capital. Los préstamos vinculados a sostenibilidad (SLLs) ya ofrecen mejoras o penalizaciones de margen del orden de 5 a 15 puntos básicos en función del cumplimiento de KPIs. No es una cifra que cambie un balance, pero sí marca la diferencia entre tener acceso al producto o no tenerlo.
Los grandes clientes están filtrando la cadena de suministro por desempeño ESG. La pyme española que no pueda responder un cuestionario en 2027 perderá tenders que hoy gana.

CSRD no es la causa de este movimiento. Es la consecuencia. La regulación está alineando lo que el mercado financiero, el cliente corporativo y la opinión pública ya están pidiendo. Lo razonable para una empresa mid-market española en 2026 es invertir el tiempo y el dinero en construir el sistema bien, en lugar de pelearse cada año con la cifra.

8. Preguntas frecuentes

¿Mi empresa está obligada si tiene 600 empleados?

Con la propuesta Omnibus en su forma actual, una empresa de 600 empleados quedaría fuera del perímetro obligatorio. La cifra de corte se mueve hacia los 1.000 empleados combinada con facturación o balance. Conviene seguir el proceso legislativo: el texto final podría matizar los criterios.

¿Qué pasa si me piden datos ESG aunque no esté obligada?

Es el escenario más habitual. Los grandes clientes y la banca piden información para sus propias obligaciones de cadena de valor. La pyme tiene dos opciones: responder con datos propios estructurados (idealmente alineados con el estándar VSME) o responder de forma improvisada. La primera opción cuesta poco más y genera un activo reutilizable.

¿Cuánto cuesta cumplir con CSRD?

Depende mucho del tamaño y de la complejidad operativa. Para una empresa mid-market española típica, el coste interno y externo del primer ejercicio suele moverse entre 80.000 € y 250.000 €, con una caída pronunciada en los años siguientes una vez el sistema está montado. La auditoría limitada añade un coste anual recurrente que tiende a estabilizarse.

¿Es obligatorio incluir alcance 3 de huella de carbono?

Si E1 (cambio climático) resulta material, sí. Para la mayoría de empresas industriales y de consumo, alcance 3 es donde está la mayor parte de la huella, y el ESRS exige su cálculo y publicación junto a alcances 1 y 2. La metodología de referencia es el GHG Protocol.

¿Puedo usar el reporte CSRD para responder a CDP o SBTi?

Sí, y conviene hacerlo. CDP ha alineado su cuestionario con los ESRS para reducir la doble carga. SBTi sigue una lógica propia (objetivos científicos alineados con 1,5 °C), pero usa los mismos datos de huella que CSRD. Una plataforma que automatice los cálculos sirve para los tres frentes.

¿Qué relación tiene CSRD con la Taxonomía de la UE?

La Taxonomía es un sistema de clasificación: define qué actividades económicas son sostenibles. CSRD obliga a reportar qué proporción de la facturación, del CapEx y del OpEx encaja en actividades elegibles y alineadas con la Taxonomía. Son dos piezas complementarias del mismo paquete normativo.

¿Qué pasa si no cumplo?

Las sanciones administrativas existirán y se transpondrán al ordenamiento español, pero el coste real es comercial y financiero. Pérdida de licitaciones, condiciones peores en financiación bancaria, exclusión de cadenas de suministro internacionales y deterioro reputacional. La sanción regulatoria llega tarde; la sanción del mercado, no.

Próximos pasos

Si su empresa está en el perímetro de la segunda o tercera ola, 2026 no es un año para esperar. Es el año en el que se decide si el primer reporte se hará con un sistema o con una guerra de hojas de cálculo. Voombu acompaña a empresas mid-market y a consultoras especializadas en esa transición. Una demo de 30 minutos suele bastar para identificar qué piezas faltan y qué orden tiene sentido.