Krajobraz regulacyjny dla przedsiębiorców działających w Polsce ulegnie w 2026 roku zasadniczej transformacji. Niniejsza kompleksowa analiza przedstawia najistotniejsze zmiany legislacyjne, które wpłyną na działalność operacyjną, obowiązki podatkowe, praktyki zatrudnienia oraz wymogi zgodności. Reformy obejmują wiele obszarów – od harmonizacji przepisów wynikającej z prawa unijnego po krajowe inicjatywy polityczne mające na celu modernizację polskiego środowiska biznesowego.

Inwestorzy zagraniczni oraz korporacje międzynarodowe posiadające polskie spółki zależne powinni zwrócić szczególną uwagę na kilka przełomowych zmian:

• obowiązkowe wdrożenie Krajowego Systemu e-Faktur (KSeF),
• transpozycję unijnej dyrektywy o przejrzystości wynagrodzeń,
• rozszerzone obowiązki w zakresie cyberbezpieczeństwa wynikające z dyrektywy NIS2 oraz
• etapowe wejście w życie rozporządzenia o sztucznej inteligencji (AI Act).

Każdy z tych aktów prawnych wprowadza znaczące obciążenia compliance, ale także nowe możliwości operacyjne.

Niniejsza analiza zawiera szczegółowe omówienie każdej zmiany regulacyjnej, w tym harmonogramy wdrożenia, zakres stosowania, wymogi zgodności oraz potencjalne sankcje za naruszenia. W stosownych przypadkach wskazujemy przepisy przejściowe oraz praktyczne uwagi dla przedsiębiorców planujących proaktywne dostosowanie swoich operacji.

I. Prawo pracy i regulacje zatrudnienia

1. Dyrektywa UE o przejrzystości wynagrodzeń – transformacja praktyk płacowych

Ramy prawne i harmonogram wdrożenia

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2023/970 z dnia 10 maja 2023 r. w sprawie wzmocnienia stosowania zasady równości wynagrodzeń dla mężczyzn i kobiet za taką samą pracę lub pracę o takiej samej wartości za pośrednictwem mechanizmów przejrzystości wynagrodzeń oraz mechanizmów egzekwowania stanowi jedną z najbardziej doniosłych reform prawa pracy ostatnich lat. Dyrektywa weszła w życie 6 czerwca 2023 r., a państwa członkowskie zobowiązane są do transpozycji jej przepisów do prawa krajowego do 7 czerwca 2026 r.

Pierwsze przepisy w Polsce weszły w życie 24 grudnia 2025 r. Pełne wdrożenie wszystkich obowiązków przewidywane jest do czerwca 2026 r. Oznacza to, że pracodawcy muszą niezwłocznie dostosować swoje procesy rekrutacyjne i polityki wynagrodzeń do nowych wymogów.

Zakres zastosowania

Dyrektywa ma zastosowanie do wszystkich pracodawców w sektorze publicznym i prywatnym, przy czym niektóre obowiązki są skalowane w zależności od wielkości zatrudnienia. Ramy regulacyjne rozróżniają:

• Wszyscy pracodawcy: wymogi przejrzystości przed zatrudnieniem oraz indywidualne prawa do informacji
• Pracodawcy zatrudniający 100+ pracowników: obowiązkowa sprawozdawczość dotycząca luki płacowej (początkowo pracodawcy z 250+ pracownikami, rozszerzenie na 100+ do 7 czerwca 2031 r.)
• Pracodawcy zatrudniający 250+ pracowników: roczne obowiązki sprawozdawcze od 7 czerwca 2027 r.

Kluczowe obowiązki compliance

• Przejrzystość przed zatrudnieniem: Pracodawcy muszą przekazywać kandydatom do pracy informacje o początkowym poziomie wynagrodzenia lub przedziale wynagrodzeń dla ogłaszanego stanowiska. Informacja ta musi być ujawniona w ogłoszeniu o pracę lub przed rozmową kwalifikacyjną, w ostateczności przed zawarciem umowy o pracę – bez konieczności zwracania się o nią przez kandydata. Co istotne, pracodawcom zakazuje się pytania kandydatów o historię ich wynagrodzeń w obecnym lub poprzednich stosunkach pracy.

• Indywidualne prawa do informacji: Pracownicy uzyskują prawo do żądania i otrzymania pisemnej informacji o ich indywidualnym poziomie wynagrodzenia oraz średnich poziomach wynagrodzeń, w podziale na płeć, dla kategorii pracowników wykonujących taką samą pracę lub pracę o takiej samej wartości. Pracodawcy muszą odpowiedzieć w ciągu dwóch miesięcy i muszą corocznie informować pracowników o tym prawie.

• Sprawozdawczość dotycząca luki płacowej: Pracodawcy spełniający kryteria będą musieli składać sprawozdania dotyczące luki płacowej ze względu na płeć w całej swojej załodze, w tym informacje o średniej i medianie luki płacowej, proporcji pracownic i pracowników w każdym kwartylu wynagrodzeń oraz średniej luce płacowej według kategorii pracowników w podziale na zwykłe wynagrodzenie zasadnicze oraz składniki uzupełniające lub zmienne.

• Wspólna ocena wynagrodzeń: Jeżeli sprawozdawczość płacowa ujawnia lukę płacową ze względu na płeć wynoszącą 5% lub więcej w jakiejkolwiek kategorii pracowników, a pracodawca nie może uzasadnić tej luki obiektywnymi czynnikami neutralnymi pod względem płci, pracodawca musi przeprowadzić wspólną ocenę wynagrodzeń we współpracy z przedstawicielami pracowników. Ocena ta musi określać środki naprawcze i być udostępniona pracownikom oraz ich przedstawicielom.

Egzekwowanie i sankcje

Dyrektywa znacząco wzmacnia mechanizmy egzekwowania. Państwa członkowskie muszą zapewnić, aby pracownicy, którzy doznali dyskryminacji płacowej, mogli uzyskać pełne odszkodowanie, w tym zaległe wynagrodzenie i związane z nim premie lub świadczenia rzeczowe, a także odszkodowanie za utracone możliwości i szkody niematerialne. Co istotne, dyrektywa przenosi ciężar dowodu: gdy pracownik przedstawi fakty, z których można domniemywać, że doszło do dyskryminacji, to pracodawca musi udowodnić, że nie doszło do naruszenia zasady równości wynagrodzeń.

Krajowa ustawa implementacyjna ma wprowadzić kary administracyjne za nieprzestrzeganie przepisów, choć konkretne kwoty sankcji oczekują na ostateczne opracowanie legislacyjne. Dyrektywa wymaga, aby kary były skuteczne, proporcjonalne i odstraszające.

Praktyczne aspekty wdrożenia

Organizacje, które jeszcze nie rozpoczęły przygotowań, powinny niezwłocznie przeprowadzić kompleksowy audyt równości płac, opracować lub udoskonalić metodologie wartościowania stanowisk w celu identyfikacji pracy o takiej samej wartości, dokonać przeglądu i standaryzacji struktur płacowych i polityk wynagradzania, przeszkolić personel HR i menedżerów rekrutujących w zakresie nowych wymogów przejrzystości, zaktualizować procesy rekrutacyjne i szablony ogłoszeń o pracę oraz ustanowić systemy śledzenia i raportowania danych płacowych według płci. Firmy działające w wielu jurysdykcjach UE powinny zauważyć, że choć dyrektywa ustanawia minimalne standardy, państwa członkowskie mogą wprowadzić bardziej rygorystyczne wymogi.

2. Zreformowane zasady obliczania stażu pracy

Kontekst legislacyjny

Data wejścia w życie: 1 stycznia 2026 r.

Nowelizacja Kodeksu pracy zasadniczo przekształca sposób obliczania stażu pracy dla celów uprawnień pracowniczych. Reforma ta ma na celu zniwelowanie wieloletnich nierówności między pracownikami zatrudnionymi na podstawie tradycyjnych umów o pracę a osobami pracującymi na podstawie umów cywilnoprawnych lub jako samozatrudnieni.

Zmiany merytoryczne

Zgodnie z nowymi przepisami do stażu pracy mogą być zaliczane następujące okresy: okresy zatrudnienia na podstawie umów cywilnoprawnych (umowa zlecenie, umowa o dzieło), w przypadku których dana osoba podlegała ubezpieczeniom społecznym, okresy prowadzenia zarejestrowanej działalności gospodarczej oraz okresy pracy wykonywanej na podstawie innych udokumentowanych form spełniających określone kryteria.

Zmiana ta wpływa na liczne uprawnienia zależne od stażu, w tym wymiar urlopu wypoczynkowego (który wzrasta wraz z całkowitym stażem), dodatki stażowe przewidziane w układach zbiorowych pracy lub regulaminach wewnętrznych, okresy wypowiedzenia umowy o pracę oraz niektóre obliczenia z zakresu ubezpieczeń społecznych.

Wymogi compliance dla pracodawców

Pracodawcy muszą ustanowić procedury dokumentowania i weryfikacji okresów zgłaszanych przez pracowników, zaktualizować systemy kadrowo-płacowe w celu uwzględnienia rozszerzonego obliczania stażu, dokonać przeglądu układów zbiorowych i regulaminów wewnętrznych pod kątem potencjalnych skutków kosztowych oraz poinformować obecnych pracowników o nowych uprawnieniach. Skutki finansowe mogą być znaczące dla organizacji zatrudniających dużą liczbę pracowników, którzy wcześniej pracowali w niestandardowych formach zatrudnienia.

II. Zmiany w prawie podatkowym

1. Podwyższenie limitu zwolnienia z VAT

Data wejścia w życie: 1 stycznia 2026 r.

Próg zwolnienia podmiotowego z VAT dla małych przedsiębiorców na podstawie art. 113 ustawy o VAT wzrośnie z 200 000 zł do 240 000 zł rocznego obrotu. Ten 20% wzrost odzwierciedla korektę o inflację i jest zgodny z dyrektywą UE 2020/285, która zezwala państwom członkowskim na ustalanie progów zwolnień do 85 000 EUR (lub równowartości).

Przepisy przejściowe: Podatnicy, którzy przekroczyli próg 200 000 zł w 2025 r., ale pozostali poniżej 240 000 zł, mogą wybrać korzystanie ze zwolnienia od 1 stycznia 2026 r. Podatnicy dotychczas zarejestrowani jako czynni podatnicy VAT, których obrót obecnie spadłby poniżej nowego progu, mogą złożyć wniosek o wyrejestrowanie, z zastrzeżeniem standardowych wymogów proceduralnych.

Rozważania strategiczne: Choć podwyższony próg przynosi korzyści mikroprzedsiębiorcom poprzez zmniejszenie obciążeń compliance, przedsiębiorcy powinni dokładnie ocenić, czy zwolnienie z VAT pozostaje korzystne. Podmioty zwolnione z VAT nie mogą odliczać VAT naliczonego, co może być niekorzystne dla firm ponoszących znaczące koszty nakładów lub sprzedających głównie klientom zarejestrowanym jako podatnicy VAT, którzy mogą odliczyć VAT należny.

2. Obowiązkowy Krajowy System e-Faktur (KSeF)

Ramy regulacyjne

KSeF stanowi polską implementację obowiązkowego e-fakturowania B2B, pozycjonując Polskę wśród pierwszych państw członkowskich UE, które wprowadzają tak kompleksową cyfrową infrastrukturę fakturowania. System został ustanowiony na mocy ustawy z dnia 29 października 2021 r. o zmianie ustawy o podatku od towarów i usług oraz niektórych innych ustaw, z późniejszymi nowelizacjami doprecyzowującymi harmonogram wdrożenia i wymogi techniczne.

Etapowy harmonogram wdrożenia

1. 1 lutego 2026 r.: Obowiązkowy dla dużych podatników z wartością sprzedaży przekraczającą 200 mln zł w roku podatkowym 2024. Podmioty te muszą wystawiać faktury ustrukturyzowane za pośrednictwem KSeF dla wszystkich transakcji B2B.
2. 1 kwietnia 2026 r.: Obowiązkowy dla wszystkich pozostałych podatników VAT, w tym zarówno podatników czynnych, jak i zwolnionych. Ta faza obejmuje zdecydowaną większość polskich przedsiębiorców.
3. 1 stycznia 2027 r.: Mikropodatnicy z miesięcznym obrotem nieprzekraczającym 10 000 zł muszą spełnić wymogi. Do tej daty takie podmioty mogą kontynuować wystawianie faktur poza KSeF.

Uwaga krytyczna: Obowiązek odbierania faktur za pośrednictwem KSeF ma zastosowanie do wszystkich podatników od 1 lutego 2026 r., niezależnie od tego, kiedy rozpoczyna się ich obowiązek wystawiania.

Architektura techniczna

KSeF funkcjonuje jako scentralizowana platforma rządowa do tworzenia, przesyłania, przechowywania i archiwizowania ustrukturyzowanych faktur elektronicznych. Kluczowe specyfikacje techniczne obejmują: faktury muszą być zgodne ze strukturą schematu XML FA(3) określoną w specyfikacjach Ministerstwa Finansów, każda faktura otrzymuje unikalny numer identyfikacyjny KSeF po przesłaniu, system zapewnia walidację danych faktury w czasie rzeczywistym względem informacji o zarejestrowanych podatnikach, faktury są przechowywane przez 10 lat od końca roku, w którym zostały wystawione, eliminując odrębne obowiązki archiwizacyjne dla podatników.

Korzyści operacyjne

Poza zgodnością KSeF oferuje wymierne korzyści operacyjne. Termin zwrotu VAT zostaje skrócony z 60 do 40 dni dla podatników korzystających wyłącznie z KSeF. Eliminowany jest obowiązek składania plików JPK_FA na żądanie. Widoczność faktur w czasie rzeczywistym usprawnia zarządzanie przepływami pieniężnymi i redukuje spory. Standaryzowany format ułatwia automatyczne przetwarzanie i integrację z systemami ERP.

Przepisy przejściowe (do 31 grudnia 2026 r.)

Przepisy przewidują ulgę przejściową w początkowym okresie wdrożenia. Faktury uproszczone dla transakcji nieprzekraczających 450 zł mogą być nadal wystawiane poza KSeF, do miesięcznego limitu łącznego 10 000 zł. Faktury wystawiane za pośrednictwem kas fiskalnych pozostają ważne. Wymóg umieszczania numerów identyfikacyjnych KSeF w przelewach zostaje odroczony do 2027 r. Kary za naruszenia związane z KSeF nie będą nakładane w okresie przejściowym, umożliwiając przedsiębiorcom adaptację bez konsekwencji karnych.

Przepisy awaryjne

System zawiera mechanizmy awaryjne na wypadek zakłóceń technicznych. Tryb 'Offline24′ umożliwia wystawianie faktur poza KSeF podczas niedostępności systemu, z obowiązkowym przesłaniem w ciągu 24 godzin od przywrócenia systemu. Ponadto przepisy regulują scenariusze przestojów KSeF oraz procedury awaryjne dla fakturowania o krytycznym znaczeniu biznesowym.

3. Estoński CIT – koniec pierwszego okresu rozliczeniowego

Kontekst i aktualny status

Polski ryczałt od dochodów spółek, potocznie zwany 'estońskim CIT’, został wprowadzony w 2021 r. i znacząco rozszerzony w 2022 r. Reżim ten pozwala kwalifikującym się spółkom na odroczenie podatku dochodowego od osób prawnych do momentu dystrybucji zysków do wspólników, zachęcając tym samym do reinwestycji.

31 grudnia 2025 r. oznacza zakończenie pierwszego czteroletniego okresu rozliczeniowego dla wielu wczesnych użytkowników. Spółki muszą ocenić, czy kontynuować stosowanie tego reżimu przez kolejny czteroletni okres, czy przejść na standardowe opodatkowanie CIT. Decyzja ta niesie istotne implikacje w zakresie planowania podatkowego.

Planowane zmiany (projekt UD116)

Ministerstwo Finansów zaproponowało zmiany w reżimie estońskiego CIT, które – choć nie weszły w życie od 1 stycznia 2026 r. z powodu opóźnień legislacyjnych – sygnalizują kierunek przyszłej polityki. Przedsiębiorcy powinni przewidywać wejście w życie następujących zmian w 2026 r. lub na początku 2027 r.

Rozszerzona definicja ukrytych zysków: Proponowane zmiany znacząco poszerzają katalog transakcji traktowanych jako 'ukryte zyski’, w tym płatności czynszowe na rzecz wspólników, opłaty licencyjne za znaki towarowe, wynagrodzenia za usługi doradcze oraz pożyczki między podmiotami powiązanymi. Pozycje te powodują natychmiastowe opodatkowanie nawet w przypadku braku formalnej dystrybucji zysków.

Domniemanie dotyczące dystrybucji po wyjściu: Zastosowanie miałoby wzruszalne domniemanie, że dystrybucje dokonane po wyjściu z estońskiego CIT pochodzą z zysków zgromadzonych w okresie opodatkowania ryczałtem, przy czym ciężar dowodu przeciwnego spoczywa na podatniku.

Skodyfikowane wydatki niezwiązane z działalnością: Nowelizacja miałaby wprowadzić ustawową definicję 'wydatków niezwiązanych z działalnością gospodarczą’, rozstrzygając spory interpretacyjne powstałe na gruncie obecnych przepisów.

Złagodzone wymogi formalne: Jako przeciwwaga, propozycje złagodziłyby niektóre wymogi proceduralne, takie jak wyeliminowanie utraty prawa do estońskiego CIT z powodu niedociągnięć technicznych w sporządzaniu sprawozdań finansowych.

4. Fundacje rodzinne – niepewność legislacyjna

Reżim fundacji rodzinnej, wprowadzony w maju 2023 r., był przedmiotem proponowanych zmian pod koniec 2025 r., które zostały zawetowane przez Prezydenta RP z przyczyn proceduralnych. Weto powoływało się na naruszenie trzyletniej gwarancji stabilności towarzyszącej uchwaleniu pierwotnej ustawy.

Proponowane zmiany (obecnie zawieszone): Projekt nowelizacji miał wprowadzić 36-miesięczny wymóg okresu posiadania aktywów wniesionych do fundacji lub przez nią nabytych przed zbyciem, aby mogły kwalifikować się do traktowania zwolnionego z podatku. Przychody z najmu krótkoterminowego miały być klasyfikowane jako działalność gospodarcza podlegająca 25% CIT zamiast dochodu zwolnionego. Fundacje miały zostać objęte zakresem przepisów o zagranicznych spółkach kontrolowanych (CFC) w określonych okolicznościach.

Dalszy los legislacyjny tych propozycji pozostaje niepewny. Sejm może podjąć próbę odrzucenia weta lub rząd może wprowadzić zmienione ustawodawstwo uwzględniające zastrzeżenia proceduralne. Inwestorzy korzystający lub rozważający struktury fundacji rodzinnych powinni ściśle monitorować rozwój sytuacji legislacyjnej.

III. Infrastruktura cyfrowa i regulacja technologii

1. Obowiązkowy system e-Doręczeń

Data wejścia w życie: 

System e-Doręczeń stanowi polską implementację wymogów rozporządzenia UE 910/2014 (eIDAS) dotyczących kwalifikowanych usług rejestrowanego doręczenia elektronicznego. Od 1 stycznia 2026 r. wszystkie podmioty wpisane do Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG) oraz Krajowego Rejestru Sądowego (KRS) muszą posiadać adres do doręczeń elektronicznych umożliwiający odbieranie oficjalnej korespondencji od organów publicznych.

Termin wdrożenia e-Doręczeń

Termin na wdrożenie e-Doręczeń, zależy od daty rejestracji firmy w CEIDG albo w KRS:

• firmy, które rejestrowały działalność w CEIDG albo w KRS od 1 stycznia 2025 roku, zakładają skrzynki do e-Doręczeń podczas rejestracji
• firmy, które zarejestrowały działalność w CEIDG przed 1 stycznia 2025 roku, muszą mieć adres do e- Doręczeń od 1 października 2026 roku
• firmy, które zarejestrowały działalność w KRS przed 1 stycznia 2025 roku, muszą mieć adres do e-Doręczeń od 1 kwietnia 2025 roku.

Uwaga! Przedstawiciele zawodów zaufania publicznego, mają obowiązek posługiwania się e-Doręczeniami od 1 stycznia 2025 roku.

Zakres funkcjonalny

System e-Doręczeń zapewnia prawnie równoważną usługę listu poleconego za potwierdzeniem odbioru. Cała oficjalna korespondencja administracyjna, w tym komunikaty organów podatkowych, powiadomienia z ZUS, dokumenty sądowe i korespondencja agencji regulacyjnych, będzie przesyłana elektronicznie. System zapewnia opatrzone znacznikiem czasowym dowody wysłania i odbioru, ustanawiając prawnie wiążące potwierdzenie doręczenia.

Wymogi compliance

Przedsiębiorcy muszą zarejestrować się na adres do e-Doręczeń za pośrednictwem platformy rządowej (administrowanej przez Pocztę Polską lub kwalifikowanych dostawców usług zaufania), wyznaczyć odpowiedzialny personel do monitorowania i odpowiadania na oficjalną korespondencję, zintegrować zarządzanie e-Doręczeniami z procesami compliance oraz zapewnić procedury zastępcze na wypadek nieobecności personelu lub problemów z dostępem do systemu. Brak ważnego adresu do e-Doręczeń może skutkować uznaniem doręczenia za skuteczne pomimo nieodebrania, z istotnymi konsekwencjami proceduralnymi.

2. Dyrektywa NIS2 – rozszerzone obowiązki cyberbezpieczeństwa

Kontekst regulacyjny

Dyrektywa (UE) 2022/2555 (NIS2) uchyla i zastępuje pierwotną dyrektywę w sprawie bezpieczeństwa sieci i informacji, znacząco rozszerzając zarówno zakres objętych podmiotów, jak i głębokość wymaganych środków bezpieczeństwa. Państwa członkowskie były zobowiązane do transpozycji NIS2 do 17 października 2024 r.; Polska nie ukończyła jeszcze transpozycji, choć projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa przeszedł przez Radę Ministrów w listopadzie 2025 r. i jest procedowany w Sejmie.

Zakres zastosowania

NIS2 ma zastosowanie do podmiotów działających w 18 określonych sektorach, sklasyfikowanych jako 'podmioty kluczowe’ lub 'podmioty ważne’. Sektory kluczowe obejmują: energetykę (energia elektryczna, ropa naftowa, gaz, wodór, ciepłownictwo), transport (lotniczy, kolejowy, wodny, drogowy), bankowość i infrastrukturę rynków finansowych, sektor zdrowia (świadczeniodawcy, laboratoria, badania medyczne, farmaceutyki, wyroby medyczne), zaopatrzenie w wodę pitną i jej dystrybucję, gospodarkę ściekową, infrastrukturę cyfrową (punkty wymiany ruchu internetowego, usługi DNS, rejestry TLD, przetwarzanie w chmurze, centra danych, sieci dostarczania treści, dostawców usług zaufania, łączność elektroniczną), zarządzanie usługami ICT (dostawców usług zarządzanych, dostawców zarządzanych usług bezpieczeństwa) oraz administrację publiczną (podmioty administracji centralnej). Sektory ważne obejmują: usługi pocztowe i kurierskie, gospodarkę odpadami, produkcję chemikaliów, produkcję i dystrybucję żywności, przemysł wytwórczy (wyroby medyczne, komputery, elektronikę, maszyny, pojazdy silnikowe), dostawców usług cyfrowych (platformy handlowe online, wyszukiwarki, platformy społecznościowe) oraz organizacje badawcze.

Progi wielkości

NIS2 zasadniczo ma zastosowanie do średnich i większych przedsiębiorstw, zdefiniowanych jako podmioty zatrudniające 50 lub więcej pracowników lub z rocznym obrotem i/lub roczną sumą bilansową przekraczającą 10 mln EUR. Jednakże niektórzy operatorzy infrastruktury krytycznej wchodzą w zakres stosowania niezależnie od wielkości.

Podstawowe obowiązki

Środki zarządzania ryzykiem: Podmioty muszą wdrożyć odpowiednie środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykami dla bezpieczeństwa sieci i informacji. Środki te muszą obejmować: polityki dotyczące analizy ryzyka i bezpieczeństwa systemów informatycznych, procedury obsługi incydentów, ciągłość działania i zarządzanie kryzysowe, bezpieczeństwo łańcucha dostaw, bezpieczeństwo w nabywaniu, rozwoju i utrzymaniu sieci i systemów informatycznych, obsługę i ujawnianie podatności, polityki dotyczące kryptografii i szyfrowania, bezpieczeństwo zasobów ludzkich i polityki kontroli dostępu oraz uwierzytelnianie wieloskładnikowe i ciągły monitoring.

Zgłaszanie incydentów: Podmioty muszą zgłaszać znaczące incydenty do właściwego CSIRT (Computer Security Incident Response Team) zgodnie z etapowym harmonogramem:

• wczesne ostrzeżenie w ciągu 24 godzin od powzięcia wiedzy o znaczącym incydencie,
• powiadomienie o incydencie w ciągu 72 godzin z wstępną oceną oraz
• raport końcowy w ciągu miesiąca zawierający szczegółowy opis, ocenę skutków i środki naprawcze.

Odpowiedzialność organów zarządzających: Członkowie organów zarządzających ponoszą osobistą odpowiedzialność za zapewnienie zgodności ze środkami zarządzania ryzykiem cyberbezpieczeństwa. Kierownictwo musi zatwierdzać i nadzorować wdrażanie środków cyberbezpieczeństwa oraz przechodzić odpowiednie szkolenia.

Sankcje

Polski projekt implementacji przewiduje kary administracyjne do 100 mln zł lub 2% całkowitego światowego rocznego obrotu. Podmioty kluczowe mogą podlegać maksymalnym karom 10 mln EUR lub 2% obrotu, podczas gdy podmioty ważne – do 7 mln EUR lub 1,4% obrotu. Ponadto organy nadzorcze mogą nakładać ograniczenia operacyjne, wymagać konkretnych działań naprawczych lub w skrajnych przypadkach tymczasowo zawiesić usługi bądź zakazać członkom organów zarządzających pełnienia funkcji zarządczych.

3. Rozporządzenie UE o sztucznej inteligencji (AI Act)

Ramy regulacyjne

Rozporządzenie (UE) 2024/1689 ustanawiające zharmonizowane przepisy dotyczące sztucznej inteligencji (AI Act) wprowadza pierwsze na świecie kompleksowe ramy regulacyjne dla systemów AI. Jako rozporządzenie UE stosuje się bezpośrednio we wszystkich państwach członkowskich bez konieczności transpozycji krajowej. AI Act wszedł w życie 1 sierpnia 2024 r., a poszczególne przepisy stają się stosowane etapowo.

Etapowy harmonogram wdrożenia

1. 2 lutego 2025 r.: Zakaz systemów AI stanowiących niedopuszczalne ryzyko (w tym scoring społeczny, niektóre systemy kategoryzacji biometrycznej, rozpoznawanie emocji w miejscach pracy/edukacji oraz manipulacyjne techniki AI). Wchodzą również w życie wymogi dotyczące umiejętności w zakresie AI dla dostawców i podmiotów wdrażających.
2. 2 sierpnia 2025 r.: Obowiązki dla modeli AI ogólnego przeznaczenia (GPAI), w tym wymogi dokumentacyjne, obowiązki przejrzystości oraz wzmocnione wymogi dla modeli o ryzyku systemowym. Struktury zarządzania i ramy sankcji stają się operacyjne.
3. 2 sierpnia 2026 r.: Pełne stosowanie wymogów dla systemów AI wysokiego ryzyka. Jest to najistotniejszy termin compliance dla większości przedsiębiorców.
4. 2 sierpnia 2027 r.: Wydłużony termin dla systemów AI wysokiego ryzyka będących elementami bezpieczeństwa produktów objętych szczególnymi unijnymi przepisami harmonizacyjnymi (np. wyroby medyczne, maszyny, pojazdy).

System klasyfikacji oparty na ryzyku

AI Act stosuje podejście oparte na ryzyku, kategoryzując systemy AI na cztery poziomy: ryzyko niedopuszczalne (zakazane), wysokie ryzyko (podlegające rygorystycznym wymogom), ograniczone ryzyko (obowiązki przejrzystości) oraz minimalne ryzyko (nieuregulowane poza dobrowolnymi kodeksami).

Systemy AI wysokiego ryzyka – compliance do 2 sierpnia 2026 r.

Termin 2 sierpnia 2026 r. dotyczy przede wszystkim systemów AI wysokiego ryzyka, które obejmują: systemy AI stosowane jako elementy bezpieczeństwa produktów objętych unijnymi przepisami harmonizacyjnymi wymagającymi oceny zgodności przez stronę trzecią, systemy identyfikacji i kategoryzacji biometrycznej, systemy AI do zarządzania infrastrukturą krytyczną (ruch drogowy, woda, gaz, ogrzewanie, energia elektryczna), systemy AI w edukacji (przyjęcia, oceny, monitoring), systemy AI w zatrudnieniu (rekrutacja, selekcja, ocena wyników, decyzje o awansach i zwolnieniach), dostęp do usług kluczowych (scoring kredytowy, ocena ryzyka ubezpieczeniowego, dyspozytor służb ratunkowych), systemy AI w egzekwowaniu prawa i kontroli granicznej, systemy AI w migracji i azylu (przetwarzanie wiz, ocena wniosków) oraz systemy AI we wymiarze sprawiedliwości (narzędzia badawcze prawne, wsparcie decyzji sądowych).

Wymogi dla systemów wysokiego ryzyka

Dostawcy i podmioty wdrażające systemy AI wysokiego ryzyka muszą wdrożyć kompleksowe ramy compliance. Dostawcy (wprowadzający AI na rynek) muszą:

• ustanowić systemy zarządzania ryzykiem z ciągłym monitoringiem,
• zapewnić zarządzanie danymi dla zbiorów danych szkoleniowych,
• przygotować szczegółową dokumentację techniczną,
• wdrożyć mechanizmy logowania dla identyfikowalności,
• zapewnić czytelne instrukcje użytkownika,
• umożliwić nadzór człowieka oraz
• zapewnić dokładność, solidność i cyberbezpieczeństwo.

Przed wprowadzeniem na rynek systemy wysokiego ryzyka muszą przejść ocenę zgodności (samoocenę lub przez stronę trzecią w zależności od kategorii), nosić oznakowanie CE i być zarejestrowane w unijnej bazie danych.

Podmioty wdrażające (korzystające z systemów AI pod własnym nadzorem) muszą: używać systemów zgodnie z instrukcjami, wdrożyć środki nadzoru człowieka, monitorować działanie pod kątem ryzyk, prowadzić rejestry i informować pracowników o wykorzystaniu AI w decyzjach HR oraz przeprowadzać oceny wpływu na prawa podstawowe (w przypadku niektórych podmiotów wdrażających, takich jak podmioty publiczne).

Polskie środki implementacyjne

Polska tworzy Komisję Rozwoju i Bezpieczeństwa Sztucznej Inteligencji jako główny organ nadzoru rynku w zakresie zgodności z AI Act. Projekt ustawy implementacyjnej przewiduje również: piaskownice regulacyjne umożliwiające kontrolowane testowanie innowacyjnych systemów AI, mechanizm opinii wiążących dla wytycznych regulacyjnych oraz koordynację z istniejącymi regulatorami sektorowymi.

Środki wsparcia dla MŚP

AI Act zawiera szczególne przepisy wspierające małe i średnie przedsiębiorstwa, w tym: preferencyjne struktury opłat za oceny zgodności, priorytetowy dostęp do piaskownic regulacyjnych, proporcjonalne kalkulacje kar w zależności od wielkości przedsiębiorstwa oraz materiały informacyjne dostosowane do potrzeb MŚP. Przepisy te mają na celu zapobieganie nieproporcjonalnemu obciążeniu mniejszych innowatorów.

IV. Prawo własności intelektualnej

1. Modernizacja ochrony wzorów przemysłowych

Ramy legislacyjne

UE przeprowadziła kompleksową reformę ochrony wzorów przemysłowych za pośrednictwem dwóch komplementarnych instrumentów: Rozporządzenia (UE) 2024/2822 zmieniającego rozporządzenie w sprawie wzorów wspólnotowych, którego przepisy pierwszej fazy stosuje się od 1 maja 2025 r., a drugiej fazy od 1 lipca 2026 r., oraz Dyrektywy (UE) 2024/2823 w sprawie prawnej ochrony wzorów (przekształcającej dyrektywę 98/71/WE), z terminem implementacji przez państwa członkowskie do 9 grudnia 2027 r. Reformy te stanowią najistotniejszą aktualizację unijnego prawa wzorów od ponad dwóch dekad.

Kluczowe zmiany merytoryczne

1. Rozszerzony zakres ochrony: Zreformowana definicja 'wzoru’ wyraźnie obejmuje produkty cyfrowe i niefizyczne, w tym graficzne interfejsy użytkownika, animacje, elementy projektowania stron internetowych, ikony i symbole w formie elektronicznej, kroje pisma typograficznego oraz wzory istniejące wyłącznie w środowiskach wirtualnych lub przeznaczone do druku 3D.
2. Zharmonizowana klauzula naprawy: Wprowadzenie obowiązkowej klauzuli naprawy zezwala stronom trzecim na produkcję, sprzedaż i używanie części zamiennych do celów naprawczych bez naruszania praw z wzorów obejmujących komponenty 'must-match’. Przepis ten harmonizuje obszar, w którym prawa państw członkowskich znacząco się różniły.
3. Uproszczone zgłoszenia wielowzorowe: Pojedyncze zgłoszenia mogą teraz obejmować do 50 wzorów (wzrost z poprzednich limitów), niezależnie od klasy produktów. To znacząco redukuje koszty zgłoszeń i obciążenia administracyjne dla branż intensywnie korzystających z wzorów.
4. Modyfikacja struktury opłat: Początkowe opłaty rejestracyjne i za wczesne przedłużenie są obniżone, przy wyższych opłatach za późniejsze okresy przedłużenia. Struktura ta zachęca do racjonalizacji portfeli wzorów, jednocześnie redukując bariery dla początkowej ochrony.
5. Wzmocnione egzekwowanie: Ochrona rozciąga się na towary w tranzycie przez UE, a uprawnieni z wzorów uzyskują wzmocnione narzędzia przeciwko podrabianiu. Nowy symbol rejestracji (litera D w okręgu) zapewnia wyraźne oznaczenie statusu ochrony.
6. Wzory pracownicze: Wzory stworzone przez pracowników w toku zatrudnienia należą do pracodawcy, chyba że umowa stanowi inaczej, zapewniając domyślną jasność w tej często spornej kwestii.

Implikacje strategiczne

Przedsiębiorcy powinni dokonać przeglądu istniejących portfeli wzorów pod kątem możliwości wykorzystania nowego zakresu ochrony, ocenić strategie dotyczące części zamiennych i komponentów w świetle klauzuli naprawy, zaktualizować umowy o pracę i polityki IP dotyczące wzorów tworzonych przez pracowników oraz rozważyć timing nowych zgłoszeń wzorów w kontekście zmian struktury opłat.

V. Reżim kontroli przedsiębiorców i deregulacja

1. System kontroli oparty na analizie ryzyka

Data wejścia w życie: 1 stycznia 2026 r.

Ustawa deregulacyjna wprowadza fundamentalne zmiany w sposobie planowania i przeprowadzania kontroli regulacyjnych. Reforma ma na celu zastąpienie arbitralnych schematów kontroli systematycznym podejściem opartym na ryzyku, koncentrującym zasoby organów egzekwowania na podmiotach o podwyższonym ryzyku nieprzestrzegania przepisów, przy jednoczesnym zmniejszeniu obciążeń dla przedsiębiorców o dobrej historii compliance.

System kategoryzacji ryzyka

Przedsiębiorcy zostaną przypisani do jednej z trzech kategorii ryzyka: niskiego, średniego lub wysokiego. Kategoryzacja będzie oparta na okresowej analizie uwzględniającej czynniki takie jak:

• historia zgodności,
• sektorowe profile ryzyka,
• wzorce skarg oraz
• inne obiektywne wskaźniki.

Proces kategoryzacji będzie dokumentowany i podlegał kontroli administracyjnej.

Implikacje operacyjne

Częstotliwość i intensywność kontroli będą skorelowane z kategoryzacją ryzyka, przy czym podmioty niskiego ryzyka będą podlegać rzadszym kontrolom rutynowym. Organy kontrolne muszą opracowywać i publikować okresowe plany kontroli oparte na analizie ryzyka. Reforma ma na celu zwiększenie przewidywalności przy zachowaniu skutecznego nadzoru nad działalnościami wysokiego ryzyka.

2. Priorytety egzekwowania UODO w 2026 roku

Prezes Urzędu Ochrony Danych Osobowych (PUODO) publikuje roczne plany kontroli sektorowych określające priorytetowe obszary egzekwowania. Plan na 2026 r. zostanie opublikowany na początku stycznia 2026 r.

Na podstawie priorytetów z 2025 r. oraz bieżących tendencji egzekwowania następujące obszary wymagają wzmożonej uwagi:

• bezpieczeństwo danych w sektorze ochrony zdrowia, w szczególności systemy elektronicznej dokumentacji medycznej i platformy telemedyczne,
• przetwarzanie danych osobowych dzieci, w tym przetwarzanie wizerunku, mechanizmy zgody i weryfikacja wieku,
• przetwarzanie danych w wielkoskalowych systemach UE (SIS II, VIS, Eurodac) przez upoważnione podmioty krajowe oraz
• bezpieczeństwo aplikacji internetowych i środki zapobiegania naruszeniom danych.

UODO staje się coraz bardziej aktywny w nakładaniu znaczących kar administracyjnych, z niedawnymi sankcjami sięgającymi milionów złotych za poważne naruszenia RODO. Organizacje powinny zapewnić, że ich programy zgodności z ochroną danych uwzględniają bieżące priorytety egzekwowania.

3. Uproszczenie prawa spółek handlowych

Data wejścia w życie: 1 stycznia 2026 r.

Nowelizacja Kodeksu spółek handlowych redukuje formalności administracyjne dla spółek kapitałowych. Kluczowe zmiany obejmują: wyeliminowanie niektórych wymogów składania dokumentów w sądach rejestrowych, uproszczone procedury podejmowania uchwał przez wspólników i organy zarządzające oraz usprawnione wymogi dotyczące dokumentacji korporacyjnej. Zmiany te mają na celu redukcję kosztów compliance przy zachowaniu integralności ładu korporacyjnego.

4. Podwyższony limit działalności nierejestrowej

Data wejścia w życie: 1 stycznia 2026 r.

Próg prowadzenia działalności gospodarczej bez rejestracji (działalność nieewidencjonowana) zgodnie z art. 5 ustawy Prawo przedsiębiorców wzrasta do 225% minimalnego wynagrodzenia obliczanego kwartalnie. Przy płacy minimalnej w 2026 r. na poziomie 4 806 zł przekłada się to na około 10 813 zł na kwartał. Warto zauważyć, że kwota ta może być zarobiona nierównomiernie w ramach kwartału, w tym w całości w ciągu jednego miesiąca, pod warunkiem nieprzekroczenia kwartalnego limitu. Zwolnienie pozostaje niedostępne dla osób, które prowadziły zarejestrowaną działalność gospodarczą w ciągu ostatnich 60 miesięcy.

VI. Pozostałe istotne zmiany regulacyjne

1. Korekta progów zamówień publicznych

Od 1 stycznia 2026 r. próg obowiązkowego stosowania ustawy Prawo zamówień publicznych wzrasta ze 130 000 zł do 170 000 zł wartości netto. Zamówienia poniżej tego progu mogą być udzielane w uproszczonych procedurach. Dodatkowo od lipca 2026 r. zostanie wprowadzony dobrowolny system certyfikacji wykonawców, umożliwiający prekwalifikowanym wykonawcom uczestnictwo w przetargach ze zmniejszonymi wymogami dokumentacyjnymi.

2. Rozszerzenie systemu SENT

Od 17 marca 2026 r. system monitorowania przewozu towarów (SENT) zostanie rozszerzony na odzież, dodatki odzieżowe i obuwie, gdy przesyłka przekracza 10 kg lub 20 sztuk. Rozszerzenie to odpowiada na zidentyfikowane ryzyka oszustw VAT w sektorze tekstylnym i odzieżowym. Dotknięci przedsiębiorcy muszą rejestrować przewozy w systemie PUESC i przestrzegać ustalonych protokołów monitorowania.

3. Termin planów ogólnych gmin

Gminy mają termin do 30 czerwca 2026 r. na uchwalenie 'planów ogólnych’ zastępujących dotychczasowe 'studia uwarunkowań i kierunków zagospodarowania przestrzennego’. Od 1 lipca 2026 r. decyzje o warunkach zabudowy mogą być wydawane wyłącznie dla obszarów wyznaczonych jako 'obszary uzupełnienia zabudowy’. Zmiana ta istotnie wpływa na planowanie inwestycji deweloperskich i wymaga wczesnego zaangażowania w procesy planistyczne gmin.

Strategiczne rekomendacje compliance

Zmiany regulacyjne przedstawione w niniejszej analizie wymagają skoordynowanych, proaktywnych działań ze strony przedsiębiorców działających w Polsce. Rekomendujemy następujące priorytetowe działania:

Priorytety natychmiastowe (I kwartał 2026)

1. Wdrożenie KSeF: Ukończenie integracji technicznej z Krajowym Systemem e-Faktur. Przetestowanie procedur wystawiania i odbierania faktur. Przeszkolenie personelu księgowego i finansowego. Ustanowienie procedur awaryjnych na wypadek niedostępności systemu.
2. Rejestracja e-Doręczeń: Rejestracja adresu do doręczeń elektronicznych przed 1 stycznia 2026 r. Wyznaczenie odpowiedzialnego personelu i ustanowienie procedur monitorowania.
3. Wdrożenie przejrzystości wynagrodzeń: Przepisy już częściowo obowiązują od 24 grudnia 2025 r. Natychmiastowe przeprowadzenie audytu równości płac. Aktualizacja szablonów ogłoszeń o pracę i procedur rekrutacyjnych. Wdrożenie systemu zbierania i raportowania danych płacowych.

Priorytety średnioterminowe (II-III kwartał 2026)

4. Ocena zgodności z NIS2: Ustalenie, czy organizacja wchodzi w zakres NIS2. Przeprowadzenie analizy luk względem wymaganych środków bezpieczeństwa. Opracowanie procedur reagowania na incydenty i raportowania. Uwzględnienie wymogów odpowiedzialności kierownictwa.
5. Inwentaryzacja systemów AI: Skatalogowanie wszystkich wdrożonych lub rozwijanych systemów AI. Sklasyfikowanie systemów według kategorii ryzyka AI Act. Rozpoczęcie planowania zgodności dla systemów wysokiego ryzyka przed terminem sierpniowym 2026.
6. Przegląd estońskiego CIT: Dla spółek obecnie objętych estońskim CIT – ocena kontynuacji lub wyjścia w świetle proponowanych zmian i okoliczności biznesowych.

Bieżący monitoring

• Śledzenie postępu legislacyjnego oczekujących reform (nowelizacja estońskiego CIT, fundacje rodzinne, transpozycja NIS2)
• Monitorowanie priorytetów egzekwowania UODO i zmian w ochronie danych
• Współpraca ze stowarzyszeniami branżowymi i doradcami profesjonalnymi w zakresie wytycznych implementacyjnych
• Ocena zmian w planowaniu przestrzennym gmin wpływających na inwestycje w nieruchomości

Podsumowanie

Krajobraz regulacyjny 2026 r. prezentuje zarówno wyzwania, jak i możliwości dla przedsiębiorców w Polsce. Podczas gdy obowiązki compliance znacząco rosną – szczególnie w obszarach cyfryzacji, cyberbezpieczeństwa i przejrzystości – reformy oferują również korzyści poprzez uproszczone procedury, zwiększoną pewność prawną i zmodernizowane ramy dostosowane do współczesnych operacji biznesowych. Organizacje, które podejdą do tych zmian proaktywnie, z odpowiednim planowaniem i alokacją zasobów, będą najlepiej przygotowane do poruszania się w zmieniającym się środowisku regulacyjnym, utrzymując jednocześnie przewagę konkurencyjną.