CSRD i AI Act: Co Twoja Firma MŚP Musi Wiedzieć w 2025 roku

Europejskie MŚP poruszają się dziś w bezprecedensowym środowisku regulacyjnym: dwa kluczowe akty prawne — CSRD (Dyrektywa w sprawie sprawozdawczości przedsiębiorstw w zakresie zrównoważonego rozwoju) i AI Act — zbiegają się, fundamentalnie transformując obowiązki przedsiębiorstw. Zrozumienie ich wzajemnych relacji jest teraz priorytetem strategicznym, nie tylko prawnym.

Dlaczego Ta Podwójna Regulacja Dotyczy Twojego MŚP

Wielu liderów MŚP błędnie sądzi, że przepisy te dotyczą wyłącznie dużych korporacji. To kosztowny błąd. Jeśli Twoja firma jest dostawcą lub podwykonawcą dużego przedsiębiorstwa podlegającego CSRD, pośrednio zostaniesz dotknięty jego obowiązkami sprawozdawczymi. A jeśli używasz lub wdrażasz systemy AI — nawet narzędzia HR lub oprogramowanie do scoringu klientów — AI Act dotyczy Cię już teraz.

CSRD: Harmonogram i Progi dla MŚP

CSRD wprowadziła obowiązkowe raportowanie zrównoważonego rozwoju w trzech falach:

• 2025: Duże przedsiębiorstwa (>500 pracowników) już podlegające NFRD
• 2026: Duże przedsiębiorstwa (>250 pracowników LUB >40 mln € obrotu LUB >20 mln € sumy bilansowej)
• 2027: MŚP notowane na rynkach regulowanych (z klauzulą opt-out do 2028 r.)

Nienotowane MŚP nie podlegają CSRD bezpośrednio. Ale uwaga: duże przedsiębiorstwa klienci lub partnerzy będą prosić Cię o dane ESG do własnego raportowania. Presja łańcucha wartości jest realna.

Dobrowolny Standard VSME

EFRAG opracował uproszczony standard dla nienotowanych MŚP: VSME (Voluntary SME Standard). Pozwala on odpowiadać na żądania partnerów bez spełniania pełnych wymogów ESRS. Wczesne przyjęcie VSME daje Ci przewagę komercyjną.

AI Act: Co Dotyczy MŚP od 2025 roku

AI Act wszedł w życie 1 sierpnia 2024 r. Jego wdrożenie jest stopniowe:

• Luty 2025: Zakaz niedopuszczalnych praktyk AI
• Sierpień 2025: Obowiązki dla modeli AI ogólnego przeznaczenia (GPAI)
• Sierpień 2026: Pełne obowiązki dla systemów AI wysokiego ryzyka

Czy Dotyczą Cię Systemy Wysokiego Ryzyka?

Załącznik III AI Act wymienia obszary wysokiego ryzyka. Twoje MŚP może być objęte, jeśli używa lub rozwija systemy AI do:

• Rekrutacji i zarządzania zasobami ludzkimi (scoring CV, ocena wydajności)
• Dostępu do kredytu (scoring zdolności kredytowej)
• Edukacji i szkoleń zawodowych
• Usług podstawowych (woda, gaz, energia elektryczna)
• Bezpieczeństwa produktów w regulowanych sektorach

Jeśli wpadasz w te kategorie, obowiązują wymogi compliance: zarządzanie ryzykiem, dokumentacja techniczna, dzienniki zdarzeń, nadzór ludzki.

Ulgi Specyficzne dla MŚP

Unijny ustawodawca uwzględnił konkretne środki zmniejszające obciążenia dla MŚP:

1. Piaskownica regulacyjna: Priorytetowy dostęp do testowania systemów AI w bezpiecznym środowisku przed komercjalizacją
2. Obniżone opłaty w jednostkach notyfikowanych dla MŚP i mikroprzedsiębiorstw
3. Uproszczona dokumentacja dla określonych kategorii
4. Dodatkowe terminy dla dostawców systemów wysokiego ryzyka już obecnych na rynku

Punkty Zbieżności: CSRD / AI Act

Oba akty wzajemnie się wzmacniają w kilku kluczowych punktach:

1. Zarządzanie Danymi

CSRD wymaga dokładnego raportowania o wpływach środowiskowych i społecznych — co oznacza rygorystyczne gromadzenie danych. AI Act nakłada obowiązek dokumentowania danych treningowych dla systemów wysokiego ryzyka. Solidna architektura danych służy obu obowiązkom.

2. Przejrzystość i Audytowalność

Oba akty wymagają, aby Twoje procesy były identyfikowalne i weryfikowalne przez strony trzecie. Dla CSRD to biegły rewident. Dla AI Act to organy nadzoru rynku. Budowanie audytowalnych procesów to wspólna inwestycja.

3. Nadzór Ludzki

AI Act nakłada skuteczny nadzór ludzki nad systemami wysokiego ryzyka. Ten wymóg wpisuje się w ducha CSRD, która ceni odpowiedzialne zarządzanie. Dokumentowanie procesów kontroli ludzkiej nad decyzjami AI odpowiada obu ramom.

4. Należyta Staranność w Łańcuchu Wartości

CSRD (poprzez CSDDD) nakłada należytą staranność w zakresie wpływów na całym łańcuchu wartości. AI Act tworzy podobne obowiązki dla podmiotów wdrażających systemy AI opracowane przez strony trzecie. Oba akty czynią Cię odpowiedzialnym za to, co kupujesz i używasz.

Konkretny Plan Działania dla Twojego MŚP

Oto pragmatyczny plan na trzech horyzontach:

Krótki Termin (Teraz — K3 2025)

• [ ] Zmapować systemy AI: Zidentyfikuj wszystkie narzędzia używające AI (w tym SaaS od zewnętrznych dostawców) i ich klasyfikację ryzyka
• [ ] Ocenić pośrednią ekspozycję na CSRD: Przeanalizuj umowy z dużymi przedsiębiorstwami, aby przewidzieć ich żądania ESG
• [ ] Wyznaczyć osobę odpowiedzialną za regulacje: Nawet w niepełnym wymiarze czasu ktoś musi kierować tymi tematami
• [ ] Zinwentaryzować dane: Jaka jest jakość, identyfikowalność i zarządzanie Twoimi danymi ESG i AI?

Średni Termin (K4 2025 — K2 2026)

• [ ] Przyjąć standard VSME, jeśli proszą o to partnerzy CSRD
• [ ] Doprowadzić systemy AI wysokiego ryzyka do zgodności: dokumentacja techniczna, zarządzanie ryzykiem, nadzór ludzki
• [ ] Szkolić zespoły z podstawowych wymogów AI Act (w tym obowiązek znajomości AI dla całego personelu używającego systemów AI)
• [ ] Przejrzeć umowy z dostawcami AI: Dostawcy SaaS muszą dostarczyć Ci dokumentację niezbędną do Twojej zgodności

Długi Termin (K3 2026 i dalej)

• [ ] Zintegrować ESG i zarządzanie AI ze strategią: Te tematy nie są już peryferyjne
• [ ] Wykorzystać swoją zgodność wobec klientów i inwestorów
• [ ] Uczestniczyć w piaskownicach regulacyjnych, aby testować innowacje w bezpiecznych ramach

Obowiązek Znajomości AI: Często Pomijany, Ale Natychmiastowy

Artykuł 4 AI Act nakłada często ignorowany obowiązek: zapewnienie wystarczającego poziomu znajomości AI dla całego personelu używającego lub nadzorującego systemy AI. Ten obowiązek obowiązuje już teraz, bez okresu przejściowego.

W praktyce oznacza to, że jeśli Twoi pracownicy używają narzędzi takich jak ChatGPT, oprogramowania rekrutacyjnego opartego na AI lub systemów prognozowania popytu, musisz być w stanie wykazać, że rozumieją możliwości i ograniczenia tych narzędzi.

Nasze Rekomendacje

Nie traktuj CSRD i AI Act jako dwóch oddzielnych projektów. Synergie są realne, a ich łączenie znacznie obniża koszty compliance. Zacznij od szybkiej diagnozy ekspozycji na oba akty — to podstawa każdego realistycznego planu działania.

Jeśli masz pytania dotyczące Twojej konkretnej sytuacji, nasze analizy sektorowe i narzędzia diagnostyczne są dostępne na tej platformie.

Ten artykuł jest dostarczany wyłącznie w celach informacyjnych i nie stanowi porady prawnej. W sprawie Twojej konkretnej sytuacji skonsultuj się z wykwalifikowanym doradcą.