Harmonogram 2025–2028

Regulacje prawne 2025–2028: Przewodnik dla prawników

AI Act, MiCA, CSRD, DORA, DSA – przegląd kluczowych regulacji unijnych wchodzących w życie w najbliższych latach. Sprawdź harmonogram wdrożenia i przygotuj się na nowe wymogi compliance.

Kluczowe terminy w 2025 roku

Rok 2025 przynosi istotne zmiany: od stycznia obowiązuje DORA dla sektora finansowego, od lutego – zakazy określonych praktyk AI, a od sierpnia – wymogi dla systemów GPAI i wysokiego ryzyka. Warto rozpocząć przygotowania odpowiednio wcześniej.

Aktualizacja terminów CSRD

W związku z mechanizmem „Stop-the-clock" wprowadzonym przez Komisję Europejską, terminy raportowania CSRD dla fal 2 i 3 zostały przesunięte o 2 lata. Duże przedsiębiorstwa rozpoczną raportowanie za rok 2027 (publikacja w 2028), a notowane MŚP – za rok 2028 (publikacja w 2029).

Faza I: Okres intensywnych zmian

Styczeń – Grudzień 2025

Regulacje i terminy

AI Act

II/VIII 2025

Rozporządzenie w sprawie sztucznej inteligencji wchodzi etapami: zakazy stosowania określonych praktyk AI obowiązują od lutego 2025, natomiast wymogi dla systemów GPAI oraz systemów wysokiego ryzyka – od sierpnia 2025.

Znaczenie: IstotnyAdresaci: Dostawcy i wdrażający systemy AI, sektor finansowy, administracja publiczna

MiCA

Q3/Q4 2025

Rozporządzenie w sprawie rynków kryptoaktywów. Polska ustawa implementacyjna została przyjęta we wrześniu 2025, z okresem przejściowym dla dotychczasowych podmiotów. Pełna implementacja nastąpi w Q4 2025.

Znaczenie: IstotnyAdresaci: Giełdy kryptowalut, dostawcy usług w zakresie kryptoaktywów (CASP), sektor fintech

DORA

Styczeń 2025

Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego. Stosowane bezpośrednio od 17 stycznia 2025 roku. Nakłada obowiązki w zakresie zarządzania ryzykiem ICT oraz nadzoru nad dostawcami usług technologicznych.

Znaczenie: IstotnyAdresaci: Banki, zakłady ubezpieczeń, instytucje płatnicze, dostawcy usług ICT

DSA

2024/2025

Akt o usługach cyfrowych obowiązuje w UE od lutego 2024. Polska wciąż proceduje pełną implementację krajową – projekt ustawy przewiduje wejście w życie przepisów wykonawczych w 2025 roku.

Znaczenie: UmiarkowanyAdresaci: Platformy internetowe, pośrednicy cyfrowi, duże platformy (VLOP)

Poszukiwane specjalizacje

Inspektor Zgodności AI(5/5)Ekspert Licencjonowania MiCA(5/4)Prawnik DORA(4/5)Prawnik DSA(4/5)

Faza II: Rozszerzenie obowiązków raportowych

Styczeń 2026 – Grudzień 2027

Regulacje i terminy

CSRD – spółki giełdowe

2025 (za 2024)

Dyrektywa w sprawie sprawozdawczości przedsiębiorstw w zakresie zrównoważonego rozwoju. Największe spółki giełdowe (dotychczas objęte NFRD) raportują już za rok 2024. Raporty publikowane w 2025 roku.

Znaczenie: IstotnyAdresaci: Duże spółki giełdowe (ok. 150 podmiotów w Polsce)

CSRD – duże przedsiębiorstwa

2028 (za 2027)

W związku z mechanizmem „Stop-the-clock" wprowadzonym przez UE, duże przedsiębiorstwa nieraportujące dotychczas rozpoczną raportowanie za rok obrotowy 2027 (publikacja raportów w 2028).

Znaczenie: IstotnyAdresaci: Duże przedsiębiorstwa spełniające kryteria wielkościowe (ok. 3.600 podmiotów)

AI Act – pełna implementacja

Sierpień 2027

Do sierpnia 2027 roku wejdą w życie wszystkie przepisy rozporządzenia AI Act, w tym wymogi dla systemów AI wbudowanych w produkty objęte prawodawstwem harmonizacyjnym UE.

Znaczenie: IstotnyAdresaci: Wszyscy dostawcy i operatorzy systemów AI w UE

Poszukiwane specjalizacje

Prawnik CSRD/ESG(5/5)Zarządzanie Ryzykiem Modeli AI(5/5)Audytor Algorytmiczny(5/5)

Faza III: Perspektywa długoterminowa

2028 i kolejne lata

Regulacje i terminy

CSRD – notowane MŚP

2029 (za 2028)

Małe i średnie przedsiębiorstwa notowane na rynkach regulowanych rozpoczną raportowanie za rok obrotowy 2028 (publikacja raportów w 2029). Możliwość skorzystania z uproszczonych standardów ESRS.

Znaczenie: UmiarkowanyAdresaci: Notowane MŚP (kilkaset podmiotów)

Kryptografia post-kwantowa

Do 2030

NIST opublikował standardy algorytmów post-kwantowych w 2024 roku. Zalecana migracja systemów krytycznych do 2030 roku. Wiodący dostawcy (m.in. Cloudflare) już wdrażają nowe rozwiązania.

Znaczenie: RosnącyAdresaci: Infrastruktura krytyczna, sektor finansowy, administracja

ATMP i terapie genowe

2026+

Produkty lecznicze terapii zaawansowanej zyskują na znaczeniu. Do końca 2023 roku EMA zatwierdziła 19 produktów ATMP. Rok 2023 był przełomowy dla technologii CRISPR. Polski rynek w fazie rozwoju.

Znaczenie: RosnącyAdresaci: Firmy biotechnologiczne, szpitale, sektor farmaceutyczny

Prawo do naprawy

2026+

Dyrektywa UE w sprawie prawa do naprawy oraz rozporządzenie o ekoprojekcie wprowadzają wymóg stosowania cyfrowych paszportów produktów i zapewnienia dostępu do części zamiennych.

Znaczenie: UmiarkowanyAdresaci: Producenci AGD, elektroniki użytkowej, przemysł

Poszukiwane specjalizacje

Specjalista ATMP(5/5)Doradca Post-Quantum(4/5)Ekspert Prawa do Naprawy(3→5)

Zestawienie regulacji

Regulacja	Termin stosowania	Adresaci	Znaczenie
AI Act	II–VIII 2025, do VIII 2027	Dostawcy i operatorzy AI	Istotny
MiCA	Q3/Q4 2025 (PL)	CASP, giełdy krypto	Istotny
DORA	Styczeń 2025	Sektor finansowy, dostawcy ICT	Istotny
CSRD (fala 1)	2025 (za 2024)	Duże spółki giełdowe	Istotny
CSRD (fala 2)	2028 (za 2027)	Duże przedsiębiorstwa	Przyszły
DSA	2024 (UE), 2025 (PL impl.)	Platformy cyfrowe	Umiarkowany
Post-Quantum	Do 2030 (NIST)	Infrastruktura krytyczna	Rosnący

Najczęściej zadawane pytania

Jakie są etapy wejścia w życie AI Act?

Rozporządzenie AI Act wchodzi w życie stopniowo: od lutego 2025 roku obowiązują zakazy stosowania określonych praktyk AI (np. manipulacji podprogowej, scoringu społecznego). Od sierpnia 2025 roku wchodzą wymogi dla modeli GPAI oraz systemów wysokiego ryzyka. Pełna implementacja, obejmująca systemy AI w produktach objętych prawodawstwem harmonizacyjnym UE, nastąpi do sierpnia 2027 roku.

Kiedy firmy w Polsce muszą rozpocząć raportowanie CSRD?

Harmonogram CSRD uległ zmianie w związku z mechanizmem „Stop-the-clock". Największe spółki giełdowe (objęte wcześniej NFRD) raportują już za 2024 rok. Pozostałe duże przedsiębiorstwa rozpoczną raportowanie za rok 2027 (publikacja w 2028). Notowane MŚP – za rok 2028 (publikacja w 2029). Łącznie obowiązek obejmie ok. 3.800 podmiotów w Polsce.

Jakie obowiązki nakłada MiCA na giełdy kryptowalut?

Rozporządzenie MiCA wprowadza obowiązek uzyskania licencji CASP (Crypto Asset Service Provider) od właściwego organu nadzoru – w Polsce jest to KNF. Podmioty muszą wdrożyć procedury AML/KYC, spełnić wymogi kapitałowe oraz zapewnić ochronę środków klientów. Sankcje za naruszenia mogą sięgać równowartości 22 mln zł.

Czym jest DORA i jakie podmioty obejmuje?

DORA (Digital Operational Resilience Act) to rozporządzenie UE dotyczące operacyjnej odporności cyfrowej sektora finansowego. Stosowane jest bezpośrednio od 17 stycznia 2025 roku. Obejmuje banki, zakłady ubezpieczeń, firmy inwestycyjne, instytucje płatnicze, a także ich kluczowych dostawców usług ICT, którzy podlegają bezpośredniemu nadzorowi europejskich organów nadzoru.

Jaki jest status DSA w Polsce?

Akt o usługach cyfrowych (DSA) obowiązuje bezpośrednio w całej UE od lutego 2024 roku. Polska wciąż proceduje przepisy wykonawcze określające m.in. właściwy organ nadzoru (Koordynatora ds. Usług Cyfrowych) oraz sankcje. Projekt ustawy przewiduje wejście w życie w 2025 roku. Do tego czasu stosuje się bezpośrednio przepisy rozporządzenia.

Przygotuj się na zmiany regulacyjne

Znajdź specjalizację dopasowaną do nadchodzących wymogów prawnych.

AI Compliance FinTech i kryptoaktywa ESG i zrównoważony rozwój