Przejrzystość łańcuchów dostaw oraz cyberbezpieczeństwo. Wskazujemy kluczowe wyzwania w erze ESG

Firmy, które stawiają na zrównoważony rozwój, nie tylko przyciągają kapitał, lecz także budują silniejsze relacje z konsumentami i inwestorami. Zgodność z normami ESG (ang. environmental, social, governance) zyskuje na znaczeniu nie tylko w oczach rynku, lecz także w związku z takimi regulacjami prawnymi jak rozporządzenie EUDR i dyrektywa NIS2, które nakładają na firmy nowe obowiązki.

Zapobieganie wylesianiu

Rozporządzenie EUDR ma zapobiegać wylesianiu, a większość jego regulacji trzeba będzie stosować od 30 grudnia 2025 r. Wymaga ono od firm, by monitorowały pochodzenie następujących surowców i towarów: drewno, kauczuk, bydło, kawa, kakao, olej palmowy i soja, a także produktów pochodnych.

Przedsiębiorstwa będą musiały dokumentować procesy związane ze swoimi dostawcami, zapewniając pełną zgodność z wymaganiami prawnymi. Będą również musiały przeprowadzać ocenę ryzyka, uwzględniając m.in. złożoność łańcucha dostaw, poziom korupcji kraju produkcji, naruszenia praw człowieka i wnioski ze spotkań grup ekspertów Komi sji Europejskiej wspierających wdrażanie rozporządzenia (na pierwsze wnioski eksperckie KE wciąż czekamy).

Uwaga! Firmy będą musiały przechowywać dokumentację przez co najmniej pięć lat, a organy kontrolujące będą mogły żądać dostępu do niej w razie potrzeby.

Wdrożenie w grupie kapitałowej

Działając wspólnie, cała grupa ma szansę nie tylko sprawnie przeprowadzić dostosowanie do wymogów EUDR, lecz także zyskać na efektywności dzięki lepszej koordynacji łańcuchów dostaw i wymianie know-how pomiędzy spółkami. W międzynarodowych grupach kapitałowych mogą wystąpić różnice w implementacji regulacji w poszczególnych krajach, co sprawia, że współpraca między podmiotami powiązanymi staje się kluczowa.

Jednym z głównych atutów wspólnego podejścia jest ułatwienie procesu należytej staranności. Dzięki wprowadzeniu numerów referencyjnych dla wspólnych dostawców i surowców można bardziej efektywnie monitorować cały łańcuch dostaw. Centralizacja danych oraz stworzenie wspólnych baz informacji pozwalają na szybszą weryfikację i kontrolę zgodności działań poszczególnych spółek z wymogami EUDR. Co więcej, w międzynarodowych strukturach taka centralizacja sprzyja wymianie najlepszych praktyk oraz umożliwia lepszą koordynację między różnymi jurysdykcjami.

Wartością dodaną jest także opracowanie jednolitych procedur, które obejmują:

• polityki zakupowe,
• wybór dostawców;
• wytyczne dotyczące dokumentowania oraz
• mechanizmy monitorowania i raportowania.

Wszystkie spółki w grupie mogą działać według zbliżonych zasad, co upraszcza zarządzanie i zapewnia większą spójność działań. Warto również zwrócić uwagę na możliwość wyznaczania upoważnionych przedstawicieli, o których mowa w art. 6 rozporządzenia EUDR. Koordynacja procesu przez upoważnionych przedstawicieli grupy może znacznie zmniejszyć obciążenie administracyjne poszczególnych spółek. Będą oni pełnili rolę centralnego punktu kontaktowego zarówno dla kontrahentów, organów kontrolnych, jak i innych interesariuszy.

Chociaż wyżej opisane wspólne podejście może ułatwić proces, to odpowiedzialne za zgodność z EUDR są poszczególne spółki. Każda firma musi o to indywidualnie zadbać, co może prowadzić do wyzwań w zakresie koordynacji i nadzoru nad całym procesem. Ważne jest, aby działania były odpowiednio kontrolowane na poziomie międzynarodowym. Trzeba więc się upewnić, że integracja działań związanych z EUDR między spółkami z różnych państw przebiega bez zakłóceń.

Uwaga! Podmioty niezaliczające się do kategorii MŚP, które znajdują się dalej w łańcuchu dostaw, muszą samodzielnie weryfikować prawidłowość oświadczeń o należytej staranności składanych przez wcześniejsze ogniwa – a nie jedynie powołać się na numer referencyjny istniejącego oświadczenia na żądanie organu. To nie tylko wymaga dodatkowych zasobów kadrowych, lecz także może być czasochłonne, zwłaszcza gdy łańcuch dostaw jest rozbudowany i złożony.

Ocena ryzyka

Przeprowadzenie oceny ryzyka ma zapewnić zgodność produktów z przepisami prawa. Cały proces opiera się na weryfikacji i analizie informacji oraz dokumentów, które przedsiębiorstwa muszą gromadzić zgodnie z obowiązkami wskazanymi w art. 9 rozporządzenia EUDR. Podmioty muszą dokładnie przeanalizować zebrane dane, aby ocenić, czy istnieje ryzyko niezgodności produktów z regulacjami. Ważne jest, że w ramach tej weryfikacji informacje są sprawdzane po kolei, przy uwzględnieniu kryteriów, które mogą być rozszerzone w zależności od potrzeb.

Dokonanie oceny ryzyka w kontekście art. 10 rozporządzenia EUDR obejmuje przypisanie ryzyka do kraju produkcji, a Komisja Europejska musi dokonać klasyfikacji ryzyka do 30 czerwca 2025 r. Krajom zostaną przypisane kategorie: wysokie ryzyko, niskie ryzyko, standardowe ryzyko oraz kraje „braku ryzyka”. Kategoryzacja „braku ryzyka” została wprowadzona równolegle z rocznym przesunięciem stosowania rozporządzenia.

Kraje o dużych obszarach leśnych, gdzie rolnictwo wywiera szczególną presję na środowisko, mogą być bardziej narażone na wylesianie. Obecność ludności rdzennej w danym regionie to kolejny ważny element analizy. Jej tradycyjne prawa do ziemi mogą być ignorowane lub nieformalnie uznawane, co prowadzi do sporów prawnych i naruszenia jej praw. Z tego powodu konsultacje z tymi społecznościami są kluczowe, by uniknąć łamania ich praw i zapewnić zgodność z przepisami.

Następnie firmy muszą uwzględnić skalę wylesiania w danym kraju, a także ocenić wiarygodność dostępnych źródeł informacji. W tym kontekście istotnymi elementami analizy są poziom korupcji, częstotliwość fałszowania dokumentów i skuteczność egzekwowania prawa w danym regionie. Dodatkowo złożoność łańcucha dostaw, liczba pośredników oraz różne etapy przetwarzania produktów mogą zwiększać ryzyko niezgodności. Istnieje też ryzyko, że niektóre podmioty mogą próbować obejść przepisy, fałszując dokumentację lub mieszając produkty zgodne z normami z tymi, których pochodzenie jest nieznane.

Aby skutecznie ocenić ryzyko, przedsiębiorstwa mogą sięgnąć po narzędzia analityczne, takie jak analizy danych dotyczące korupcji, naruszeń praw człowieka czy certyfikacji od organizacji zewnętrznych. W przypadku bardziej złożonych łańcuchów dostaw, obejmujących wiele krajów, ocena ryzyka może stać się bardziej skomplikowana i wymagać większych nakładów oraz zasobów. Warto również korzystać z raportów publikowanych przez organizacje międzynarodowe,

Gromadzenie powyższych informacji jest znacznie ułatwione dzięki prowadzonemu przez Komisję Europejską Obserwatorium UE wylesiania i degradacji lasów. Jego głównym celem będzie udostępnianie dokładnych i aktualnych danych dotyczących lasów, ich degradacji oraz wylesiania na całym świecie, a także analiza ich związków z rynkami surowców i produktów. Na platformie znajdą się globalne mapy leśne, umożliwiające wizualizację zmian w pokrywie leśnej oraz monitorowanie postępów w ochronie lasów lub stopnia ich degradacji. Dostępne będą również dane przestrzenne dotyczące zasięgu i jakości lasów, a także ich kondycji, co będzie istotne dla monitorowania procesów związanych z regulacjami EUDR. Obserwatorium będzie także oferowało informacje o łańcuchach dostaw, łącząc dane o wylesianiu z zapotrzebowaniem UE na określone surowce, co ma ułatwić identyfikację źródeł związanych z nielegalnym pozyskiwaniem surowców. Dodatkowo platforma ma udostępniać zasoby naukowe, w tym wyniki badań i analizy dotyczące procesów wylesiania oraz ich skutków społecznych, środowiskowych i ekonomicznych, co będzie pomocne w ocenie ryzyka. Platforma obecnie jest dostępna niestety tylko w języku angielskim.

Uwaga! Choć dane udostępniane przez obserwatorium będą pomocne w monitorowaniu zgodności z przepisami, to nie będą gwarantować automatycznego spełnienia wymogów EUDR ani innych wymagań prawnych.

Cyberbezpieczeństwo

Dyrektywa NIS2 wprowadza nowe standardy w zakresie cyberbezpieczeństwa dla przedsiębiorstw działających na terenie UE. Dotyczy ona średnich i dużych firm w kluczowych sektorach gospodarki, takich jak: energetyka, transport, bankowość, zdrowie i administracja publiczna. Przedsiębiorstwa te są zobowiązane do wdrożenia środków zarządzania ryzykiem, monitorowania systemów IT oraz raportowania incydentów. Dyrektywa rozszerza również zakres na nowe sektory uznawane za krytyczne oraz na dostawców usług cyfrowych, takich jak usługi chmurowe.

Jeden z głównych elementów dyrektywy NIS2 to wymagania w zakresie bezpieczeństwa, które obejmują wdrażanie procedur ochrony systemów, stosowanie kryptografii i uwierzytelniania wieloskładnikowego. Państwa UE musiały wprowadzić przepisy do października 2024 r., ale w Polsce ich implementacja nowych jma bastąoić w II kw. 2025 r. w ramach nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa.

Wdrożenie NIS2 w praktyce

Praktyczne wdrożenie dyrektywy NIS2 w kontekście zgłaszania incydentów bezpieczeństwa wymaga od organizacji podjęcia kilku ważnych kroków. Przede wszystkim istotne jest ustanowienie jasnych procedur zgłaszania incydentów, które obejmują identyfikację, klasyfikację i ocenę incydentów pod kątem ich wpływu na bezpieczeństwo sieci i informacji. Organizacje muszą być przygotowane do szybkiego zgłaszania incydentów odpowiednim organom krajowym, co wymaga posiadania odpowiednich kanałów komunikacji i przeszkolonego personelu.

Wymagane dokumenty i informacje, które należy dostarczyć podczas zgłaszania incydentu, obejmują szczegółowy opis zdarzenia, jego potencjalnych skutków oraz podjętych działań zaradczych. Ważne jest, aby dokumentacja była kompletna i dokładna. Umożliwi to organom nadzorczym ocenę sytuacji i podjęcie odpowiednich kroków. Organizacje powinny również prowadzić rejestr incydentów, co pozwala na analizę trendów i identyfikację obszarów wymagających poprawy.

Znaczenie wiarygodnych łańcuchów dostaw usług cyfrowych jest kluczowe w kontekście NIS2, ponieważ bezpieczeństwo całego ekosystemu zależy od najsłabszego ogniwa. Organizacje muszą dokładnie weryfikować swoich dostawców usług cyfrowych, aby upewnić się, że spełniają oni wymagania bezpieczeństwa i są w stanie szybko reagować na potencjalne zagrożenia.

Uwaga! Współpraca z zaufanymi partnerami oraz regularne audyty i oceny ryzyka dostawców pomagają w utrzymaniu wysokiego poziomu bezpieczeństwa.

Podmioty ważne i kluczowe

Identyfikacja podmiotów jako ważnych lub kluczowych w kontekście dyrektywy NIS2 opiera się na określonych kryteriach, które mają zapewnić, że najważniejsze sektory i usługi są odpowiednio chronione przed zagrożeniami cybernetycznymi. Podmioty te są klasyfikowane na podstawie prowadzenia działalności gospodarczej w obrębie sektora uznanego za kluczowy lub ważny. Sektory kluczowe to m.in. energetyka, transport, bankowość, opieka zdrowotna, a sektory ważne, to m.in. usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja, dostawcy usług cyfrowych.

Uwaga! Dyrektywa przewiduje konieczność samodzielnej identyfikacji i w rezultacie ustalenia, czy podmiot jest kluczowy, czy ważny.

Efektem analizy będzie podjęcie decyzji o dokonaniu wpisu do rejestru podmiotów ważnych/kluczowych, co w dalszej kolejności wymusza na takim podmiocie przestrzeganie innych obowiązków nałożonych dyrektywą, w tym:

• wdrożenie systemu zarządzania bezpieczeństwem informacji obejmującego zarówno zarządzanie ryzykiem, jak i wdrażającego odpowiednie środki techniczne i organizacyjne;
• prowadzenie dokumentacji bezpieczeństwa systemów informatycznych;
• przeprowadzanie audytów bezpieczeństwa;
• zgłaszanie organom incydentów;
• szkolenie personelu i kadry zarządzającej, które muszą być dokumentowane.

Kluczowe wyzwania w erze ESG - podsumowanie

Rozporządzenie EUDR oraz dyrektywa NIS2 to kluczowe elementy strategii ESG. Zbliżają się terminy wdrożenia tych regulacji, dlatego firmy muszą szybko dostosować swoje działania, aby uniknąć konsekwencji. Kary za nieprzestrzeganie tych regulacji są surowe. W przypadku EUDR grzywny mogą wynieść do 4 proc. rocznego obrotu przedsiębiorstwa, a dodatkowe sankcje obejmują wykluczenie z zamówień publicznych oraz konfiskatę niezgodnych produktów. W ramach NIS2 przewidziano kary finansowe dla podmiotów kluczowych do 10 mln euro lub 2 proc. rocznego obrotu, a dla podmiotów ważnych do 7 mln euro lub 1,4 proc. obrotu. W przypadku poważnych naruszeń kierownicy firm mogą zostać obciążeni karami finansowymi do 600 proc. ich wynagrodzenia, a w skrajnych przypadkach pozbawieni prawa do pełnienia funkcji kierowniczych.©℗