CSRD i DMA dla IT i telekomunikacji

Czym jest CSRD / DMA?

CSRD (Corporate Sustainability Reporting Directive) to dyrektywa Unii Europejskiej, która znacząco rozszerza obowiązki sprawozdawczości zrównoważonego rozwoju dla przedsiębiorstw. Zastępuje dotychczasową dyrektywę NFRD i wprowadza jednolite europejskie standardy raportowania ESG (ESRS). Kluczowym elementem CSRD jest DMA, czyli Double Materiality Assessment (Ocena Podwójnej Istotności), która wymaga od firm analizy zarówno wpływu czynników zrównoważonego rozwoju na wyniki finansowe przedsiębiorstwa, jak i wpływu samego przedsiębiorstwa na środowisko oraz społeczeństwo.

CSRD / DMA a branża IT i telekomunikacja

Sektor IT i telekomunikacji podlega obowiązkom wynikającym z CSRD w sposób, który wielu menedżerów wciąż niedocenia. Choć branża technologiczna nie jest kojarzona z bezpośrednim oddziaływaniem środowiskowym tak silnie jak przemysł ciężki, jej rzeczywisty wpływ jest znaczący i wielowymiarowy.

Centra danych stanowią jeden z najszybciej rosnących konsumentów energii elektrycznej w Europie. Według szacunków Komisji Europejskiej, do 2030 roku mogą odpowiadać za nawet 3,2% całkowitego zużycia energii w UE. Firma telekomunikacyjna zarządzająca infrastrukturą sieciową, serwerownią lub oferująca usługi chmurowe musi w ramach DMA przeanalizować, w jaki sposób jej operacje wpływają na emisje gazów cieplarnianych, zużycie wody do chłodzenia oraz generowanie elektroodpadów.

Z perspektywy podwójnej istotności równie ważny jest kierunek odwrotny. Firmy IT i telekomunikacyjne muszą ocenić, jak zmiany klimatyczne oraz regulacyjne wpływają na ich model biznesowy. Rosnące ceny energii, wymogi dotyczące efektywności energetycznej budynków (w których znajdują się serwerownie), a także oczekiwania klientów korporacyjnych dotyczące śladu węglowego dostawców technologicznych to konkretne ryzyka finansowe, które należy uwzględnić w raportowaniu.

Firmy tworzące oprogramowanie również nie są zwolnione z obowiązków. Łańcuch wartości obejmuje produkcję sprzętu (często w krajach o niskich standardach pracowniczych), zużycie energii przez użytkowników końcowych korzystających z aplikacji, a także kwestie społeczne takie jak ochrona danych osobowych, algorytmiczna sprawiedliwość czy dostępność cyfrowa.

Kluczowe wymagania

Firmy z branży IT i telekomunikacji objęte dyrektywą CSRD muszą spełnić szereg konkretnych wymagań:

• Przeprowadzenie oceny podwójnej istotności (DMA) — identyfikacja tematów ESG istotnych zarówno z perspektywy wpływu firmy na otoczenie, jak i wpływu czynników zewnętrznych na wyniki finansowe. Dla firm IT oznacza to analizę tematów takich jak zużycie energii przez infrastrukturę, elektroniczne odpady, cyberbezpieczeństwo czy warunki pracy w łańcuchu dostaw sprzętu.
• Raportowanie zgodne ze standardami ESRS — przygotowanie sprawozdania zrównoważonego rozwoju według europejskich standardów, obejmujących zagadnienia środowiskowe (E), społeczne (S) i ładu korporacyjnego (G). Standardy wymagają zarówno danych jakościowych, jak i ilościowych.
• Ujawnianie emisji gazów cieplarnianych w zakresach 1, 2 i 3 — firmy telekomunikacyjne muszą raportować emisje bezpośrednie (Zakres 1), pośrednie z zakupionej energii (Zakres 2) oraz emisje w całym łańcuchu wartości (Zakres 3), co obejmuje między innymi produkcję sprzętu sieciowego i użytkowanie urządzeń przez klientów.
• Włączenie interesariuszy w proces oceny istotności — konsultacje z pracownikami, klientami, dostawcami i społecznościami lokalnymi przy określaniu priorytetów ESG. Dla firm IT szczególne znaczenie mają konsultacje dotyczące ochrony prywatności i etyki sztucznej inteligencji.
• Integracja raportowania ESG ze sprawozdaniem zarządu — informacje o zrównoważonym rozwoju nie mogą być publikowane jako osobny dokument, lecz muszą stanowić integralną część sprawozdania z działalności.
• Audyt zewnętrzny raportu ESG — sprawozdanie podlega obowiązkowej weryfikacji przez biegłego rewidenta, początkowo na poziomie ograniczonej pewności (limited assurance), a docelowo pełnej pewności (reasonable assurance).
• Oznakowanie cyfrowe (digital tagging) — raport musi być przygotowany w formacie umożliwiającym odczyt maszynowy (XBRL), co pozwala na automatyczną analizę i porównywanie danych między firmami.
• Opracowanie planów transformacji klimatycznej — przedstawienie strategii redukcji emisji zgodnej z celami Porozumienia Paryskiego, w tym konkretnych celów krótko-, średnio- i długoterminowych.

Kroki wdrożenia w firmie z branży IT i telekomunikacja

1. Określ, czy Twoja firma podlega obowiązkom CSRD — sprawdź kryteria: ponad 250 pracowników, obrót netto przekraczający 50 mln EUR lub suma bilansowa powyżej 25 mln EUR. Pamiętaj, że od 2026 roku obowiązek obejmuje również mniejsze spółki giełdowe, a od 2028 roku podmioty spoza UE z istotną działalnością na rynku europejskim. Nawet jeśli Twoja firma nie spełnia tych progów bezpośrednio, klienci korporacyjni mogą wymagać danych ESG w ramach raportowania Zakresu 3.
2. Powołaj zespół projektowy i wyznacz odpowiedzialności — wdrożenie CSRD wymaga współpracy między działami: finansowym, operacyjnym, IT, HR i prawnym. Wyznacz koordynatora ESG, który będzie odpowiadał za cały proces. W firmach technologicznych warto zaangażować również dział infrastruktury (odpowiedzialny za dane o zużyciu energii) oraz dział zakupów (łańcuch dostaw sprzętu).
3. Przeprowadź ocenę podwójnej istotności (DMA) — zidentyfikuj wszystkie potencjalne tematy ESG istotne dla Twojej działalności, a następnie oceń je pod kątem istotności wpływu oraz istotności finansowej. Dla firmy IT kluczowe tematy to zazwyczaj: zmiana klimatu (zużycie energii przez centra danych i sieci), gospodarka o obiegu zamkniętym (elektroodpady), warunki pracy (w tym w łańcuchu dostaw), prywatność danych oraz etyka technologii. Zaangażuj w ten proces kluczowych interesariuszy poprzez warsztaty i ankiety.
4. Zbuduj system zbierania danych ESG — zmapuj źródła danych w organizacji i ustal procesy ich regularnego pozyskiwania. Obejmuje to dane o zużyciu energii (rachunki, systemy monitoringu w serwerowniach), emisjach (kalkulatory śladu węglowego), rotacji pracowników, szkoleniach, incydentach bezpieczeństwa, a także danych dotyczących dostawców. Firmy IT mają tę przewagę, że mogą wykorzystać własne kompetencje technologiczne do automatyzacji zbierania danych.
5. Przeprowadź analizę luk i opracuj plan naprawczy — porównaj aktualny stan raportowania z wymaganiami ESRS. Zidentyfikuj brakujące dane, procesy i polityki. W branży IT typowe luki dotyczą: braku monitoringu zużycia energii na poziomie poszczególnych usług, niepełnych danych o emisjach w Zakresie 3, braku formalnej polityki dotyczącej elektroodpadów oraz niewystarczającej dokumentacji due diligence dostawców sprzętu.
6. Wdróż narzędzia do zarządzania danymi ESG — wybierz platformę do gromadzenia, walidacji i raportowania danych ESG. Rozwiązanie powinno wspierać standardy ESRS, umożliwiać współpracę wielu działów i generować raporty w wymaganym formacie cyfrowym. Dedykowane platformy ESG, takie jak PlanBe Eco, pozwalają zautomatyzować znaczną część procesu i zapewnić zgodność ze standardami.
7. Przygotuj pierwszy raport i poddaj go weryfikacji — opracuj raport zrównoważonego rozwoju zgodny z wymaganiami ESRS, zintegrowany ze sprawozdaniem z działalności. Przed publikacją przeprowadź wewnętrzny przegląd, a następnie poddaj raport audytowi zewnętrznemu. Warto przygotować pierwszy raport z wyprzedzeniem, aby mieć czas na poprawki i dostosowanie procesów.
8. Ustanów cykl ciągłego doskonalenia — CSRD to nie jednorazowy projekt, lecz trwały obowiązek. Ustanów roczny cykl zbierania danych, aktualizacji oceny istotności, przeglądu celów i publikacji raportu. Monitoruj zmiany regulacyjne, ponieważ standardy ESRS będą rozwijane o kolejne wytyczne sektorowe, które mogą bezpośrednio dotyczyć branży ICT.

Najczęstsze pytania

Czy firma produkująca oprogramowanie (software house) musi raportować emisje z centrów danych, z których korzysta?

Tak, jeśli firma podlega CSRD. Korzystanie z zewnętrznych centrów danych (chmury obliczeniowej) generuje emisje w Zakresie 3, które należy uwzględnić w raportowaniu. Dotyczy to zarówno własnych środowisk deweloperskich i produkcyjnych, jak i infrastruktury, na której działają produkty firmy. W praktyce oznacza to konieczność pozyskania danych od dostawców chmury (AWS, Azure, GCP udostępniają narzędzia do szacowania emisji) i uwzględnienia ich w ocenie śladu węglowego.

Kiedy firma z branży IT musi opublikować pierwszy raport zgodny z CSRD?

Harmonogram zależy od wielkości firmy. Duże spółki interesu publicznego (powyżej 500 pracowników) raportują za rok obrotowy 2024. Pozostałe duże przedsiębiorstwa spełniające kryteria progowe raportują za rok 2025. Małe i średnie spółki giełdowe mają czas do roku obrotowego 2026, z możliwością odroczenia o dwa lata. Nawet jeśli Twoja firma nie jest jeszcze objęta obowiązkiem, warto rozpocząć przygotowania, ponieważ klienci korporacyjni coraz częściej wymagają danych ESG od swoich dostawców technologicznych.

Czym różni się ocena podwójnej istotności od tradycyjnej analizy ryzyk?

Tradycyjna analiza ryzyk koncentruje się wyłącznie na czynnikach, które mogą wpłynąć na wyniki finansowe firmy (perspektywa outside-in). Ocena podwójnej istotności (DMA) dodaje drugą perspektywę: wpływ firmy na środowisko i społeczeństwo (inside-out). Dla firmy telekomunikacyjnej oznacza to, że oprócz analizy ryzyka regulacyjnego czy kosztów energii, musi również ocenić, jak jej infrastruktura wpływa na środowisko lokalne, jak warunki pracy w łańcuchu dostaw sprzętu wpływają na prawa człowieka, a także jaki jest społeczny wpływ wykluczenia cyfrowego.

Czy CSRD dotyczy również firm spoza Unii Europejskiej?

Tak. Od 2028 roku CSRD obejmie przedsiębiorstwa z krajów trzecich, które generują przychody netto powyżej 150 mln EUR na terenie UE i posiadają co najmniej jedną spółkę zależną lub oddział w Unii. Dla globalnych firm technologicznych z siedzibą w USA czy Azji, które prowadzą istotną działalność na rynku europejskim, oznacza to konieczność dostosowania się do europejskich standardów raportowania ESG.

Podsumowanie

Dyrektywa CSRD wraz z wymogiem oceny podwójnej istotności (DMA) zmienia zasady gry dla branży IT i telekomunikacji. Firmy technologiczne, które traktowały kwestie ESG jako marginalne, muszą teraz zmierzyć się z konkretnymi obowiązkami raportowymi dotyczącymi zużycia energii, śladu węglowego, elektronicznych odpadów czy etyki w łańcuchu dostaw. Wczesne rozpoczęcie przygotowań daje przewagę konkurencyjną: uporządkowane dane ESG to nie tylko spełnienie wymogów regulacyjnych, ale również argument w rozmowach z klientami korporacyjnymi, którzy coraz częściej wybierają dostawców technologicznych zdolnych udokumentować swoje zaangażowanie w zrównoważony rozwój. Nie czekaj na ostatni moment, zacznij od oceny podwójnej istotności i zbuduj fundament pod wiarygodne raportowanie ESG.