Spółka z Małopolski – 280 pracowników, przychody powyżej 100 milionów złotych – dostaje od audytora pytanie: czy macie raport ESG? Zarząd patrzy po sobie. Nikt nie wiedział, że obowiązek już dotyczy tej firmy. Takich przypadków jest w Polsce coraz więcej.

Dyrektywa CSRD (Corporate Sustainability Reporting Directive, Dyrektywa UE 2022/2464) wprowadza obowiązek raportowania zrównoważonego rozwoju dla kolejnych grup przedsiębiorstw. Polska ustawa implementująca CSRD – nowelizacja ustawy o rachunkowości – została podpisana 12 grudnia 2024 roku. Obowiązek raportowania wchodzi falami: pierwsza objęła podmioty już raportujące na podstawie NFRD za rok 2024, kolejna fala dotyczy dużych spółek za rok obrotowy 2025, choć propozycja Omnibus przesuwa ten termin na 2028 rok.

Ten alert wyjaśnia, kogo obowiązek dotyczy teraz, kogo obejmie wkrótce i co trzeba zrobić, zanim okno na przygotowanie się zamknie. Brak działania oznacza nie tylko ryzyko reputacyjne – oznacza realne koszty dostosowania w pośpiechu i utratę przewagi konkurencyjnej wobec firm, które zaczęły wcześniej.

Kogo CSRD obejmuje w Polsce i jakie są progi?

CSRD działa kaskadowo. Nie uderza we wszystkich naraz – ale każda kolejna fala jest szersza. Zrozumienie, do której grupy należy Twoja spółka, to pierwszy krok do oceny ryzyka.

Fala pierwsza objęła podmioty, które dotychczas raportowały na podstawie dyrektywy NFRD (Non-Financial Reporting Directive). W Polsce to przede wszystkim spółki publiczne, banki i zakłady ubezpieczeń zatrudniające powyżej 500 pracowników. Te podmioty złożyły już pierwsze raporty za rok 2024 według nowych standardów ESRS.

Fala druga – pierwotnie zaplanowana na rok obrotowy 2025 – miała objąć duże przedsiębiorstwa spełniające co najmniej dwa z trzech kryteriów:

  • suma bilansowa powyżej 110 milionów złotych (25 milionów euro),
  • przychody netto ze sprzedaży powyżej 220 milionów złotych (50 milionów euro),
  • średnioroczne zatrudnienie powyżej 250 pracowników.

Propozycja pakietu Omnibus z lutego 2025 roku sugeruje przesunięcie tej fali na rok 2028. Jednak – i to jest pułapka, w którą wpada wiele zarządów – propozycja Omnibus to nadal tylko projekt. Do czasu formalnej zmiany dyrektywy i jej implementacji w Polsce obowiązuje dotychczasowy harmonogram. Spółki, które czekają na oficjalne potwierdzenie, tracą czas na budowę systemów zbierania danych ESG.

Fala trzecia, zaplanowana na rok obrotowy 2026, miała objąć małe i średnie spółki notowane na rynkach regulowanych – z wyjątkiem mikroprzedsiębiorstw. Tu również Omnibus proponuje odroczenie. Jednak spółki notowane na GPW powinny monitorować sytuację co najmniej kwartalnie.

Co grozi firmom, które nie przygotują się na czas?

Brak raportu ESG to nie tylko problem formalny wobec KNF czy biegłego rewidenta. To sygnał dla całego łańcucha dostaw, że spółka nie spełnia rosnących wymogów partnerów biznesowych. Duże korporacje – szczególnie z Niemiec i Francji – już teraz wymagają danych ESG od polskich podwykonawców w ramach własnych obowiązków raportowych wynikających z CSRD.

Konsekwencje braku przygotowania są wielowymiarowe. Rewidenci mają obowiązek weryfikacji raportów zrównoważonego rozwoju – brak raportu lub raport niezgodny ze standardami ESRS może skutkować odmową wydania opinii. To z kolei blokuje dostęp do finansowania bankowego i obligacyjnego, gdzie ESG stało się standardowym kryterium oceny kredytobiorcy.

W praktyce – wiele firm o tym zapomina – obowiązki CSRD splatają się z innymi regulacjami compliance. Ustawa o sygnalistach z 14 czerwca 2024 roku, która weszła w życie 25 września 2024 roku, nakłada na pracodawców zatrudniających powyżej 50 pracowników obowiązek wdrożenia wewnętrznego kanału zgłoszeń (art. 8 ustawy o sygnalistach). Brak tego kanału to kara do 1 080 000 złotych. Spółki budujące system ESG powinny jednocześnie zadbać o compliance w tym obszarze.

Podobnie – dane raportowane w ramach CSRD dotyczące struktury właścicielskiej muszą być spójne z informacjami w CRBR (Centralnym Rejestrze Beneficjentów Rzeczywistych). Rozbieżności między raportem ESG a danymi w CRBR mogą przyciągnąć uwagę organów AML i podważyć wiarygodność całego raportu. Warto przy tym pamiętać, że kwestie reprezentacji spółki – np. przy podpisywaniu umów z audytorem ESG – regulują odrębne przepisy; więcej o różnicach między prokurą a pełnomocnictwem można przeczytać w naszym materiale o prokurze i pełnomocnictwie.

Dla firm z sektora finansowego dodatkowym kontekstem jest DORA (Rozporządzenie UE 2022/2554), obowiązujące od 17 stycznia 2025 roku. Zarządzanie ryzykiem ICT stało się elementem szerszego obrazu governance, który audytorzy ESG będą oceniać w ramach kryterium G (ład korporacyjny).

Co zrobić teraz – lista działań na najbliższe 90 dni

Niezależnie od tego, czy propozycja Omnibus wejdzie w życie, przygotowanie do CSRD wymaga czasu. Firmy, które zaczną zbierać dane ESG od razu, będą w lepszej pozycji – zarówno wobec audytorów, jak i wobec kontrahentów wymagających raportów. Utracona szansa na wczesne przygotowanie jest trudna do odrobienia w krótkim czasie.

Poniżej lista działań, które każda spółka potencjalnie objęta CSRD powinna podjąć w ciągu najbliższych 90 dni:

  • Przeprowadź analizę progów – sprawdź, czy spółka spełnia co najmniej dwa z trzech kryteriów fali drugiej (suma bilansowa, przychody, zatrudnienie).
  • Zidentyfikuj luki w zbieraniu danych ESG – standardy ESRS wymagają danych środowiskowych, społecznych i dotyczących ładu korporacyjnego za pełny rok obrotowy.
  • Zweryfikuj zgodność z ustawą o sygnalistach – kanał zgłoszeń musi działać, zanim audytor ESG oceni obszar G.
  • Zaktualizuj dane w CRBR – rozbieżności w strukturze właścicielskiej to ryzyko w kontekście zarówno AML, jak i raportowania ESG.
  • Oceń wymogi kontrahentów – zapytaj kluczowych partnerów biznesowych, jakich danych ESG już teraz wymagają od dostawców.

Uważamy, że bezpieczniejszym rozwiązaniem jest traktowanie harmonogramu CSRD jako wiążącego – nawet jeśli Omnibus ostatecznie przyniesie odroczenie. Firmy, które wdrożą systemy raportowania wcześniej, zyskują przewagę, a nie ponoszą zbędnych kosztów. Więcej o budowaniu programów compliance – w tym ram antykorupcyjnych, które stanowią element obszaru G w CSRD – znajdą Państwo w naszym przewodniku po antykorupcji i ramach compliance.

Konkretna sytuacja Państwa firmy – jej wielkość, struktura właścicielska, branża i relacje z kontrahentami – decyduje o tym, który harmonogram CSRD jest dla niej wiążący. Opóźnienie w ocenie tej sytuacji może oznaczać nieodwracalne konsekwencje: brak opinii rewidenta, utratę kontraktów z wymagającymi partnerami lub kary za naruszenie powiązanych obowiązków compliance.

Jeśli Państwa spółka zatrudnia powyżej 200 pracowników lub przekracza próg przychodów 220 milionów złotych – przeprowadzimy analizę obowiązków CSRD, audyt luk ESG i ocenę zgodności z ustawą o sygnalistach: info@kordeckipartners.com.

Często zadawane pytania

P: Czy propozycja Omnibus zwalnia moją spółkę z obowiązku CSRD za rok 2025?

O: Nie automatycznie. Pakiet Omnibus to na razie projekt zmian dyrektywy – do czasu jego formalnego przyjęcia i implementacji w Polsce obowiązuje dotychczasowy harmonogram. Spółki objęte falą drugą powinny przygotowywać się do raportowania za rok 2025, monitorując jednocześnie postępy legislacyjne. Czekanie na oficjalne potwierdzenie odroczenia może oznaczać brak czasu na zebranie danych za pełny rok obrotowy.

P: Jakie kary grożą za brak raportu ESG zgodnego z CSRD?

O: Dyrektywa CSRD zobowiązuje państwa członkowskie do wprowadzenia skutecznych sankcji – polska ustawa implementująca przewiduje odpowiedzialność za nieprawidłowe raportowanie w ramach przepisów o rachunkowości. Praktyczne konsekwencje to jednak przede wszystkim odmowa opinii przez biegłego rewidenta, problemy z finansowaniem bankowym oraz utrata kontraktów z partnerami wymagającymi danych ESG. Dla spółek notowanych na GPW brak raportu oznacza też ryzyko działań ze strony KNF.

P: Czy mała spółka z o.o. niespełniająca progów CSRD musi się tym zajmować?

O: Bezpośrednio – nie. Jednak duże spółki objęte CSRD muszą raportować dane dotyczące łańcucha wartości, co oznacza, że będą wymagać informacji ESG od swoich dostawców i podwykonawców. Mała spółka nieobjęta obowiązkiem raportowania może więc zostać pośrednio zmuszona do zbierania danych ESG przez wymagania kontraktowe partnerów. Warto też pamiętać o obowiązku wdrożenia kanału zgłoszeń sygnalistów dla firm zatrudniających powyżej 50 pracowników – niezależnie od progów CSRD.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ESG, compliance i raportowania zrównoważonego rozwoju. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.