Polska ustawa implementująca CSRD została podpisana 12 grudnia 2024 roku. Od tej chwili obowiązek raportowania zrównoważonego rozwoju przestał być odległą perspektywą – stał się realnym wymogiem prawnym z konkretnymi terminami i progami. Dla wielu firm oznacza to konieczność natychmiastowego działania.
Dyrektywa CSRD (Dyrektywa UE 2022/2464) nakłada na określone kategorie przedsiębiorstw obowiązek ujawniania informacji o wpływie na środowisko, kwestiach społecznych i ładzie korporacyjnym. Polska implementacja zmieniła ustawę o rachunkowości w grudniu 2024 roku. Pierwsze raporty za rok obrotowy 2024 składają podmioty objęte dotychczasową dyrektywą NFRD – pozostałe duże jednostki raportują za rok 2025, choć propozycja Omnibus przesuwa ten termin na 2028 rok.
Ten alert wyjaśnia, które polskie firmy są objęte obowiązkiem, jakie progi decydują o zakwalifikowaniu, oraz co należy zrobić już teraz – zanim okno na przygotowania się zamknie.
Co się zmieniło i jakie progi decydują o obowiązku?
Nowelizacja ustawy o rachunkowości z grudnia 2024 roku wdrożyła CSRD do polskiego porządku prawnego. Dyrektywa zastąpiła wcześniejszą dyrektywę NFRD i radykalnie rozszerzyła krąg podmiotów zobowiązanych. Zmiana nie jest kosmetyczna – obejmuje kilkakrotnie więcej firm niż poprzedni reżim.
CSRD wprowadza trzy fale wdrożenia. Pierwsza – za rok obrotowy 2024 – dotyczy podmiotów już raportujących na podstawie NFRD. To największe spółki giełdowe, banki i ubezpieczyciele zatrudniające ponad 500 pracowników. Ich raporty trafiają do KRS i podlegają weryfikacji przez biegłego rewidenta.
Druga fala – pierwotnie za rok 2025 – obejmuje duże jednostki spełniające co najmniej dwa z trzech kryteriów: suma aktywów powyżej 110 mln PLN, przychody netto powyżej 220 mln PLN lub zatrudnienie powyżej 250 pracowników. Propozycja Omnibus Komisji Europejskiej przesuwa ten termin na rok 2028. Polskie firmy powinny jednak monitorować sytuację legislacyjną – ostateczna decyzja nie zapadła.
Trzecia fala dotyczy małych i średnich spółek notowanych na rynkach regulowanych. Dla nich termin to rok obrotowy 2026, z możliwością opt-out do 2028 roku. Spółki z o.o. niepubliczne – nawet duże – co do zasady nie wchodzą w zakres CSRD, chyba że są częścią grupy kapitałowej objętej obowiązkiem na poziomie konsolidacji.
- Suma aktywów powyżej 110 mln PLN
- Przychody netto powyżej 220 mln PLN
- Zatrudnienie powyżej 250 pracowników (co najmniej 2 z 3 kryteriów)
- Spółki notowane na rynku regulowanym – niezależnie od wielkości
W praktyce – wiele firm o tym zapomina – obowiązek może objąć polską spółkę zależną zagranicznej grupy. Jeżeli spółka matka raportuje na poziomie grupy zgodnie z CSRD, polska jednostka zależna może być zwolniona z odrębnego raportu. Wymaga to jednak weryfikacji struktury grupy i potwierdzenia, że konsolidacja faktycznie obejmuje dane polskiej spółki. Bez tej analizy ryzyko podwójnego raportowania – lub pominięcia obowiązku – pozostaje realne.
Kto jest objęty obowiązkiem i jakie są konsekwencje braku działania?
Obowiązek raportowania CSRD spoczywa na konkretnych kategoriach podmiotów. Decydują trzy zmienne: forma prawna, wielkość i status giełdowy. Brak raportu lub raport niezgodny ze standardami ESRS grozi sankcjami administracyjnymi i odpowiedzialnością osobistą członków zarządu.
Spółki akcyjne i spółki europejskie notowane na Giełdzie Papierów Wartościowych w Warszawie wchodzą w zakres CSRD jako pierwsze. Dla nich termin pierwszego raportu za rok 2024 już minął lub zbliża się. Opóźnienie w złożeniu raportu do KRS może skutkować postępowaniem przed Komisją Nadzoru Finansowego (KNF) i sankcjami finansowymi.
Duże spółki niepubliczne – spełniające progi z poprzedniej sekcji – są objęte drugą falą. Tu propozycja Omnibus daje chwilę oddechu, ale nie zwalnia z przygotowań. Zbieranie danych ESG, budowanie systemów raportowania i weryfikacja łańcucha dostaw wymagają co najmniej 12–18 miesięcy pracy. Firma z Mazowsza, która zaczęła ten proces w połowie 2024 roku, zdążyła zidentyfikować luki w danych środowiskowych zanim termin stał się aktualny.
Odpowiedzialność osobista zarządu to element, który często umyka w dyskusji o CSRD. Raport zrównoważonego rozwoju jest częścią sprawozdania zarządu. Podpisuje go zarząd – i ponosi odpowiedzialność za jego rzetelność. Biegły rewident weryfikuje raport w zakresie limited assurance. Niezgodność z wymogami ESRS może prowadzić do zastrzeżeń w opinii biegłego, co z kolei wpływa na ocenę wiarygodności całego sprawozdania finansowego.
Warto też uwzględnić wymiar łańcucha dostaw. Duże firmy objęte CSRD będą wymagać danych ESG od swoich dostawców – nawet tych niepodlegających bezpośrednio dyrektywie. Polskie MŚP działające jako poddostawcy dla korporacji mogą stanąć przed faktycznym obowiązkiem raportowania, nawet jeśli formalnie są poza zakresem CSRD. Compliance to proces, nie dokument.
Co zrobić teraz – lista działań z terminami
Niezależnie od fali, w której firma jest objęta obowiązkiem, działania przygotowawcze powinny rozpocząć się natychmiast. Każdy miesiąc zwłoki zawęża pole manewru i zwiększa koszty wdrożenia. Poniżej lista priorytetów na pierwsze 90 dni.
Pierwszym krokiem jest ustalenie, czy firma w ogóle podlega CSRD – i w której fali. Wymaga to analizy struktury grupy kapitałowej, weryfikacji progów finansowych i sprawdzenia, czy spółka matka raportuje na poziomie konsolidacji. Bez tego kroku każde dalsze działanie może być skierowane w złą stronę. Warto przy tym uwzględnić zasady rejestracji beneficjentów rzeczywistych w CRBR – struktura własnościowa ma znaczenie dla oceny zakresu konsolidacji.
Równolegle należy przeprowadzić analizę podwójnej istotności (double materiality). ESRS wymaga oceny, jakie tematy ESG są istotne zarówno z perspektywy wpływu firmy na otoczenie, jak i z perspektywy ryzyk finansowych. To nie jest zadanie dla jednej osoby – wymaga zaangażowania zarządu, działu finansowego, HR i operacji. Dobrze zaprojektowany program compliance, analogiczny do rozwiązań stosowanych przy budowie kanałów zgłoszeń wewnętrznych zgodnie z wymogami technicznymi dla systemów sygnalistów, może posłużyć jako wzorzec organizacyjny.
Trzecim działaniem jest audyt danych. Standardy ESRS wymagają danych ilościowych – emisji CO2, zużycia energii, wskaźników zatrudnienia, danych o łańcuchu dostaw. Wiele firm odkrywa na tym etapie, że dane albo nie są zbierane, albo są rozproszone w różnych systemach. Luka danych to najczęstszy powód opóźnień w pierwszym raporcie.
- Zidentyfikuj, w której fali CSRD jesteś objęty obowiązkiem – do 30 dni
- Przeprowadź analizę podwójnej istotności z udziałem zarządu – do 60 dni
- Zinwentaryzuj dostępne dane ESG i zidentyfikuj luki – do 60 dni
- Wybierz standard raportowania i narzędzie do zbierania danych – do 90 dni
- Zweryfikuj, czy obowiązek obejmuje polskie spółki zależne w grupie – do 30 dni
Firmy z sektora finansowego podlegają dodatkowo wymogom DORA w zakresie zarządzania ryzykiem ICT – od 17 stycznia 2025 roku. Jeżeli system raportowania ESG jest oparty na zewnętrznych dostawcach technologicznych, ich kwalifikacja jako dostawców ICT może generować dodatkowe obowiązki kontraktowe i nadzorcze wobec KNF. Kwestie te warto rozwiązać łącznie, nie sekwencyjnie. Przy okazji – dla firm z elementem transgranicznym – model compliance stosowany przy projektowaniu programów compliance dla spółek zależnych w Polsce pokazuje, jak unikać luk między jurysdykcjami.
Ustawa o sygnalistach z 14 czerwca 2024 roku, która weszła w życie 25 września 2024 roku, nakłada na pracodawców zatrudniających co najmniej 50 pracowników obowiązek wdrożenia wewnętrznego kanału zgłoszeń (art. 8 ustawy o sygnalistach). Sankcje za brak kanału lub za działania odwetowe wobec sygnalistów sięgają 1 080 000 PLN i do 3 lat pozbawienia wolności (art. 54 ustawy o sygnalistach). Firmy objęte CSRD niemal zawsze spełniają próg 50 pracowników – oba obowiązki powinny być wdrażane równolegle. Egzekwowanie wyroków w sprawach compliance, w tym związanych z naruszeniami obowiązków raportowania, regulują odrębne przepisy – szczegółowy opis procedury zawiera przewodnik po egzekucji orzeczeń w Polsce.
Konkretna sytuacja Państwa firmy – jej struktura własnościowa, przynależność do grupy kapitałowej i aktualny poziom danych ESG – decyduje o tym, które działania są pilne, a które można zaplanować na kolejne kwartały. Błędna ocena zakresu obowiązku lub opóźnienie w przygotowaniu danych może zamknąć drogę do terminowego złożenia raportu i narazić zarząd na odpowiedzialność osobistą.
Jeśli Państwa spółka spełnia co najmniej dwa z progów CSRD lub jest częścią grupy kapitałowej podlegającej konsolidacji – przeprowadzimy analizę zakresu obowiązku, ocenę luk w danych i plan wdrożenia: info@kordeckipartners.com.
Często zadawane pytania
P: Czy polska spółka z o.o. niepubliczna musi raportować zgodnie z CSRD?
O: Co do zasady – nie, jeżeli nie spełnia progów wielkości i nie jest notowana na rynku regulowanym. Jednak spółka z o.o. będąca częścią grupy kapitałowej, w której spółka matka podlega CSRD, może być objęta obowiązkiem raportowania na poziomie konsolidacji. Wymaga to indywidualnej analizy struktury grupy i zakresu konsolidacji. Samo przekroczenie progu 250 pracowników nie przesądza o obowiązku – decyduje łączne spełnienie co najmniej dwóch z trzech kryteriów wielkościowych.
P: Kiedy dokładnie wchodzi w życie obowiązek dla dużych firm niepublicznych w Polsce?
O: Pierwotnie dyrektywa CSRD przewidywała raportowanie za rok obrotowy 2025, z terminem złożenia raportu w 2026 roku. Propozycja Omnibus Komisji Europejskiej z początku 2025 roku przesuwa ten termin na rok 2028. Propozycja nie jest jeszcze wiążącym prawem – do czasu jej formalnego przyjęcia polskie firmy powinny traktować termin 2026 jako punkt odniesienia i kontynuować przygotowania. Zatrzymanie prac w oczekiwaniu na ostateczną decyzję legislacyjną to jedno z najczęstszych błędnych założeń w tej dziedzinie.
P: Czy AML i ESG reporting mają ze sobą związek w kontekście compliance?
O: Bezpośredniego związku prawnego nie ma – AML i ESG to odrębne reżimy regulacyjne. Jednak w praktyce compliance firmy budują systemy zarządzania ryzykiem, które obejmują oba obszary. Analiza beneficjentów rzeczywistych w CRBR, wymagana przez przepisy AML, dostarcza danych o strukturze własnościowej przydatnych przy ocenie zakresu konsolidacji dla celów CSRD. Compliance lawyer w Warszawie pracujący z klientami biznesowymi regularnie łączy oba obszary w jednym projekcie wdrożeniowym.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ESG, compliance i raportowania zrównoważonego rozwoju. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.