Firma produkcyjna z Mazowsza zatrudniająca 280 pracowników i generująca przychód przekraczający 220 mln PLN rocznie nie miała dotąd obowiązku publikowania raportu niefinansowego. Od roku obrotowego 2025 sytuacja się zmienia. Dyrektywa CSRD nakłada na nią nowe obowiązki, a brak przygotowania oznacza nie tylko sankcje regulacyjne, lecz także utratę kontraktów z partnerami wymagającymi danych ESG w łańcuchu dostaw.

Dyrektywa CSRD (Dyrektywa UE 2022/2464) zastępuje dotychczasowe przepisy NFRD i rozszerza obowiązek raportowania zrównoważonego rozwoju na znacznie szerszy krąg podmiotów. Polska ustawa implementująca CSRD – nowelizacja ustawy o rachunkowości – została podpisana 12 grudnia 2024 roku. Pierwsze raporty według nowych standardów ESRS obejmą rok obrotowy 2025 dla dużych jednostek spełniających odpowiednie progi.

Ten przewodnik wyjaśnia, kto w Polsce podlega CSRD i od kiedy, jakie progi decydują o objęciu obowiązkiem, czego wymagają przepisy w praktyce oraz jakich błędów unikać na każdym etapie wdrożenia. Omówione zostaną trzy scenariusze biznesowe: spółka produkcyjna, firma IT oraz inwestor zagraniczny wchodzący na rynek polski.

Które podmioty obejmuje CSRD i od kiedy?

CSRD wprowadza trójstopniowe wejście w życie obowiązku raportowania. Każda fala dotyczy innej grupy podmiotów i wiąże się z innym terminem pierwszego raportu. Dyrektywa UE 2022/2464 zmieniła dyrektywę rachunkowości i jest stosowana bezpośrednio po implementacji przez państwa członkowskie.

Pierwsza fala obejmuje podmioty, które już raportowały na podstawie NFRD – czyli duże spółki interesu publicznego zatrudniające powyżej 500 pracowników. Te podmioty złożą pierwsze raporty CSRD za rok obrotowy 2024, publikując je w 2025 roku. W Polsce chodzi o kilkadziesiąt największych spółek giełdowych, banków i ubezpieczycieli nadzorowanych przez KNF.

Druga fala – i ta dotyczy największej liczby polskich firm – obejmuje duże jednostki spełniające co najmniej dwa z trzech kryteriów: suma bilansowa powyżej 110 mln PLN, przychody netto ze sprzedaży powyżej 220 mln PLN, zatrudnienie powyżej 250 pracowników. Pierwotny termin to rok obrotowy 2025, z raportem w 2026 roku. Propozycja Omnibus z 2025 r. przewiduje przesunięcie tej fali do 2028 roku, jednak do czasu przyjęcia zmian obowiązują dotychczasowe terminy.

Trzecia fala miała objąć małe i średnie spółki notowane na regulowanych rynkach. Propozycja Omnibus zawiera wniosek o całkowite wyłączenie MŚP z zakresu CSRD – decyzja legislacyjna na poziomie UE jest jednak wciąż otwarta. Spółki z tej grupy powinny śledzić postępy prac w Parlamencie Europejskim i Radzie UE.

Instytucje nadzorcze – KNF dla sektora finansowego, Komisja Nadzoru Audytowego dla audytorów, a pośrednio KRS poprzez wymogi rejestrowe – będą weryfikować spełnienie obowiązków. Warto też pamiętać, że CRBR i powiązane rejestry beneficjentów rzeczywistych tworzą dodatkową warstwę przejrzystości, z którą raportowanie ESG musi być spójne.

Mikro-przypadek 1: Spółka logistyczna z Dolnego Śląska, zatrudniająca 260 pracowników i osiągająca 230 mln PLN przychodu, jesienią 2024 roku zidentyfikowała, że spełnia dwa z trzech kryteriów drugiej fali. Zarząd zlecił audyt luk ESG i rozpoczął wdrożenie już w I kwartale 2025 roku, zyskując 12 miesięcy na przygotowanie dokumentacji przed pierwszym raportem.

Jakie progi i kryteria decydują o obowiązku raportowania?

Zasada „co najmniej dwa z trzech kryteriów" jest kluczowym mechanizmem selekcji podmiotów objętych CSRD. Progi mają charakter alternatywny – wystarczy przekroczyć dwa, by znaleźć się w zakresie dyrektywy. Ustawa o rachunkowości po nowelizacji z 12 grudnia 2024 r. implementuje te progi do polskiego porządku prawnego.

Trzy kryteria to: (1) suma aktywów bilansu przekraczająca 110 mln PLN, (2) przychody netto ze sprzedaży przekraczające 220 mln PLN, (3) średnioroczne zatrudnienie powyżej 250 pracowników w przeliczeniu na pełne etaty. Weryfikacja odbywa się na podstawie danych za rok poprzedzający rok raportowania.

Dla grup kapitałowych zasady są odmienne. Podmiot dominujący sporządza skonsolidowany raport zrównoważonego rozwoju obejmujący całą grupę. Spółki zależne mogą być zwolnione z obowiązku sporządzania własnych raportów, jeśli są objęte raportem grupy – pod warunkiem, że raport grupy jest dostępny publicznie i sporządzony zgodnie z ESRS.

Spółki spoza UE prowadzące działalność w Polsce przez oddziały lub spółki zależne podlegają CSRD, jeżeli ich skonsolidowane przychody w UE przekraczają 150 mln EUR, a w Polsce funkcjonuje jednostka spełniająca kryteria dużej jednostki lub notowana MŚP. To ważny aspekt dla inwestorów zagranicznych – struktura holdingowa może wpłynąć na zakres obowiązków raportowych w Polsce.

Compliance w obszarze ESG raportowania nie działa w próżni. Obowiązki wynikające z CSRD przenikają się z wymogami AML dotyczącymi identyfikacji beneficjentów rzeczywistych, z rejestrem CRBR oraz z obowiązkami wynikającymi z dyrektywy o sygnalistach. Zgodnie z art. 8 ustawy o sygnalistach, pracodawcy zatrudniający powyżej 50 pracowników muszą prowadzić wewnętrzny kanał zgłoszeń – co jest elementem szerszego systemu compliance, który CSRD weryfikuje jako element ładu korporacyjnego.

Scenariusz IT: Polska spółka programistyczna zatrudniająca 320 programistów i osiągająca 180 mln PLN przychodu spełnia tylko jedno kryterium (zatrudnienie). Nie podlega drugiej fali CSRD. Jednak jej główny klient – korporacja z listy CSRD Wave 1 – wymaga danych ESG w ramach due diligence łańcucha dostaw. W praktyce firma musi przygotować dane porównywalne z ESRS, nawet bez formalnego obowiązku.

Co musi zawierać raport CSRD i jak go przygotować?

Raport zrównoważonego rozwoju sporządzany według CSRD opiera się na Europejskich Standardach Raportowania Zrównoważonego Rozwoju (ESRS). Standardy obejmują zagadnienia środowiskowe (E), społeczne (S) i ładu korporacyjnego (G). Podmiot stosuje zasadę podwójnej istotności – analizuje zarówno wpływ swojej działalności na środowisko i społeczeństwo, jak i wpływ kwestii ESG na wyniki finansowe firmy.

Raport musi być włączony do sprawozdania zarządu lub sporządzony jako odrębny dokument stanowiący jego część. Podlega obowiązkowemu atestacji przez biegłego rewidenta lub uprawnioną firmę audytorską – początkowo na poziomie ograniczonej pewności (limited assurance), docelowo na poziomie rozsądnej pewności (reasonable assurance).

Proces przygotowania obejmuje cztery etapy. Pierwszym jest analiza podwójnej istotności – identyfikacja kwestii ESG istotnych dla firmy z perspektywy wpływu i perspektywy finansowej. Drugim jest zebranie danych według wskaźników ESRS. Trzecim jest opracowanie polityk, celów i planów działania. Czwartym jest sporządzenie raportu w formacie XHTML z tagowaniem ESEF.

  • Analiza podwójnej istotności: minimum 8–12 tygodni dla średniej firmy
  • Zebranie danych ESG z działów HR, produkcji, finansów i łańcucha dostaw
  • Weryfikacja przez audytora zewnętrznego: co najmniej 6 tygodni przed złożeniem
  • Tagowanie cyfrowe w formacie ESEF (XHTML + iXBRL)
  • Złożenie w KRS wraz ze sprawozdaniem finansowym w ustawowym terminie

Uważamy, że bezpieczniejszym rozwiązaniem jest rozpoczęcie analizy istotności co najmniej 18 miesięcy przed pierwszym raportem. Firmy, które zaczęły przygotowania w 2023 roku na potrzeby raportu za 2025, miały czas na iteracyjne testowanie wskaźników i korygowanie luk danych.

Koszty pierwszego wdrożenia CSRD w średniej firmie (250–500 pracowników) wynoszą typowo od 150 000 PLN do 400 000 PLN, uwzględniając konsultacje zewnętrzne, oprogramowanie ESG i honorarium audytora. Koszty kolejnych lat są znacznie niższe – systemy i procesy są już wdrożone.

Mikro-przypadek 2: Producent opakowań z Wielkopolski, zatrudniający 380 pracowników, wiosną 2025 roku odkrył, że jego dział zakupów nie zbierał danych o emisjach Scope 3 od dostawców. Uzupełnienie tej luki wymagało 3 miesięcy pracy i renegocjacji klauzul informacyjnych w 40 umowach z kooperantami. Brak tych danych groził negatywną opinią audytora w raporcie za 2025 rok.

Dla spółek rozważających optymalizację struktury własnościowej pod kątem obowiązków raportowych, warto przeanalizować, jak program compliance i ramy antykorupcyjne wpisują się w szerszy system zarządzania ryzykiem wymaganego przez ESRS.

Jakie są najczęstsze błędy i jak ich uniknąć?

Compliance ESG to proces, nie dokument. Najpoważniejszy błąd to potraktowanie raportu CSRD jako jednorazowego projektu, a nie jako trwałego systemu zarządzania danymi i ryzykiem. Firmy, które popełniają ten błąd, stają przed koniecznością kosztownych korekt w kolejnych latach raportowania.

Pierwszy błąd: błędna ocena progu. Wiele spółek sprawdza tylko przychód, pomijając sumę bilansową lub zatrudnienie. Tymczasem wystarczy spełnić dwa z trzech kryteriów. Spółka holdingowa może spełniać kryterium bilansowe nawet przy umiarkowanym przychodzie, jeśli posiada znaczne aktywa trwałe lub finansowe.

Drugi błąd: pominięcie wymiaru łańcucha dostaw. ESRS wymaga danych dotyczących emisji Scope 3, co oznacza konieczność zbierania informacji od dostawców i podwykonawców. W praktyce – wiele firm o tym zapomina – umowy z dostawcami nie zawierają klauzul zobowiązujących do udostępniania danych ESG, co blokuje kompletność raportu.

Trzeci błąd: opóźnienie wyboru audytora. Firmy audytorskie uprawnione do atestacji raportów CSRD mają ograniczone moce przerobowe. Wybór audytora powinien nastąpić co najmniej 12 miesięcy przed planowaną datą złożenia raportu. Opóźnienie w tym zakresie może uniemożliwić terminowe złożenie dokumentów w KRS.

Czwarty błąd: brak integracji z systemem compliance. Raportowanie CSRD obejmuje zagadnienia ładu korporacyjnego – w tym polityki antykorupcyjne, kanały zgłoszeń dla sygnalistów zgodne z art. 8 ustawy o sygnalistach, procedury AML i weryfikację beneficjentów rzeczywistych w CRBR. Firma, która traktuje ESG i compliance jako odrębne silosy, generuje niespójności w raporcie, które audytor zakwestionuje.

Piąty błąd: ignorowanie propozycji Omnibus jako pretekstu do bezczynności. Nawet jeśli Omnibus przesunie termin drugiej fali do 2028 roku, duże kontrakty B2B i finansowanie bankowe już teraz wymagają danych ESG. Firma, która nie zbiera danych od 2025 roku, straci 3 lata historycznych danych porównawczych wymaganych przez ESRS przy pierwszym raporcie.

Scenariusz inwestora zagranicznego: Niemiecka spółka matka notowana na DAX, podlegająca CSRD Wave 1, wymaga od swojej polskiej spółki zależnej zatrudniającej 180 pracowników dostarczenia danych ESG według ESRS do końca marca każdego roku. Polska spółka formalnie nie podlega CSRD samodzielnie, ale jest de facto objęta obowiązkiem przez strukturę grupy. Brak przygotowania na poziomie polskiej spółki zależnej blokuje konsolidację raportu grupy i naraża zarząd polskiej spółki na odpowiedzialność kontraktową.

Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny progów, struktury grupy i zakresu danych do zebrania. Nieodwracalnym skutkiem opóźnienia jest utrata danych historycznych, bez których pierwszy raport CSRD nie spełni wymogów porównywalności.

Jeśli Państwa spółka zatrudnia powyżej 200 pracowników lub osiąga przychody powyżej 150 mln PLN – przeprowadzimy analizę progów CSRD, mapowanie luk danych ESG i przegląd systemu compliance: info@kordeckipartners.com.

Często zadawane pytania

P: Czy spółka z o.o. nieprowadząca działalności giełdowej musi raportować zgodnie z CSRD?

O: Tak, jeżeli spełnia co najmniej dwa z trzech kryteriów wielkości: suma bilansowa powyżej 110 mln PLN, przychody powyżej 220 mln PLN lub zatrudnienie powyżej 250 osób. Dyrektywa CSRD nie ogranicza obowiązku do spółek publicznych – obejmuje wszystkie duże jednostki w rozumieniu dyrektywy rachunkowości, niezależnie od formy prawnej. Spółka z o.o. spełniająca progi drugiej fali złoży pierwszy raport za rok obrotowy 2025 (lub 2028, jeśli propozycja Omnibus zostanie przyjęta).

P: Ile kosztuje pierwsze wdrożenie CSRD i jak długo trwa?

O: Koszt pierwszego wdrożenia dla firmy zatrudniającej 250–500 pracowników wynosi typowo od 150 000 PLN do 400 000 PLN, w zależności od stopnia dojrzałości systemu danych i zakresu wsparcia zewnętrznego. Czas przygotowania to minimum 12–18 miesięcy od momentu rozpoczęcia analizy podwójnej istotności do złożenia raportu. Największe pozycje kosztowe to konsultacje ESG, licencje na oprogramowanie do zbierania danych oraz honorarium audytora atestującego raport.

P: Czy propozycja Omnibus zwalnia firmy z obowiązku raportowania CSRD?

O: Propozycja Omnibus z 2025 roku przewiduje przesunięcie terminu dla drugiej fali do 2028 roku oraz wyłączenie notowanych MŚP z zakresu dyrektywy. Jednak na dzień dzisiejszy są to wyłącznie propozycje – obowiązują dotychczasowe terminy wynikające z Dyrektywy UE 2022/2464 i polskiej nowelizacji ustawy o rachunkowości z 12 grudnia 2024 roku. Firmy, które wstrzymają przygotowania w oczekiwaniu na Omnibus, ryzykują utratę danych historycznych i presję ze strony partnerów biznesowych wymagających danych ESG niezależnie od regulacji.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ESG raportowania, compliance i wdrożeń CSRD. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.