Cybersicherheit ist ein wichtiges ESG-Thema – so argumentieren Sie dafür
Die Frage nach der Offenlegung, die nun unausweichlich ist
In den meisten Fällen wurde Cybersicherheit in Rahmenwerken zur Nachhaltigkeits- und ESG-Berichterstattung bisher eher als Nebensache behandelt – als Fußnote im Abschnitt zur Unternehmensführung oder als Offenlegungspflicht in branchenspezifischen Standards für den Technologiesektor, jedoch selten als wesentliches Thema erster Ordnung, wie dies bei Klima, Arbeitspraktiken oder der Vielfalt im Vorstand der Fall ist. Dies ändert sich derzeit rasch, und ESG-Experten, die Cybersicherheit noch nicht in ihre Wesentlichkeitsbewertung und Offenlegungspraxis integriert haben, sehen sich zunehmend mit dieser Lücke konfrontiert.
Die Gründe dafür sind leicht nachvollziehbar. Cybervorfälle gehören mittlerweile zu den am häufigsten gemeldeten wesentlichen Ereignissen in der Offenlegung von Unternehmensrisiken. Die finanziellen Folgen schwerwiegender Sicherheitsverletzungen – Bußgelder, Betriebsstörungen, Prozesskosten, Reputationsschäden und der Verlust des Kundenvertrauens – können erheblich sein und sich rasch bemerkbar machen. Die menschlichen Folgen – Offenlegung personenbezogener Daten, Unterbrechung wesentlicher Dienste, Schaden für schutzbedürftige Bevölkerungsgruppen – sind echte gesellschaftliche Auswirkungen. Und die Governance-Versäumnisse, die typischerweise großen Cybervorfällen vorausgehen – unzureichende Aufsicht, unklare Verantwortlichkeiten, unzureichende Investitionen, mangelhaftes Management von Drittanbietern – sind genau die Art von Governance-Versäumnissen, die ESG-Rahmenwerke aufdecken und angehen sollen.
Was „Wesentlichkeit“ in diesem Zusammenhang bedeutet
Unter Wesentlichkeit versteht man im ESG-Kontext die Bedeutung eines Themas im Hinblick auf seine potenziellen Auswirkungen auf die Organisation und ihre Stakeholder. Verschiedene Rahmenwerke wenden unterschiedliche Prüfkriterien an. Die GRI-Standards wenden ein stakeholderorientiertes Kriterium an: Ist dieses Thema für die Stakeholder so wichtig, dass eine Nichtberücksichtigung Informationen auslassen würde, die sie zur Beurteilung der Nachhaltigkeitsleistung der Organisation benötigen? Die Rahmenwerke von ISSB und TCFD wenden ein finanzielles Wesentlichkeitskriterium an: Könnte dieses Thema die Finanzlage, die Leistung oder die Aussichten der Organisation in angemessener Weise beeinflussen? Die ESRS der EU wenden ein doppeltes Wesentlichkeitskriterium an, das beide Aspekte kombiniert.
Die Cybersicherheit erfüllt all diese Wesentlichkeitskriterien für ein breites Spektrum von Organisationen. Aus finanzieller Sicht ist das Potenzial eines schwerwiegenden Cybervorfalls, erheblichen finanziellen Schaden zu verursachen, allgemein anerkannt und wird in Risikohinweisen zunehmend quantifiziert. Aus Sicht der Stakeholder haben Kunden, Mitarbeiter, Investoren und Aufsichtsbehörden ein direktes Interesse daran, wie Organisationen Cyberrisiken managen. Und aus der Perspektive der doppelten Wesentlichkeit beeinflussen Cybervorfälle die umfassenderen sozialen und ökologischen Auswirkungen der Organisation und werden gleichzeitig von diesen beeinflusst – der Verlust von Umweltüberwachungsdaten, die Offenlegung persönlicher Daten von Mitarbeitern oder Kunden, die Störung von Dienstleistungen, auf die Gemeinschaften angewiesen sind.
Cybersicherheit ist kein technisches Nischenthema. Es handelt sich um ein Geschäftsrisiko mit finanziellen, sozialen und governancebezogenen Aspekten, die sich direkt auf die Wesentlichkeitskriterien aller wichtigen ESG-Berichtsrahmen beziehen.
Was NIST CSF 2.0 im Hinblick auf die Offenlegung bietet
Für ESG-Experten, die Argumente für die Wesentlichkeit der Cybersicherheit erarbeiten – oder die Inhalte für die Offenlegung entwickeln, sobald die Wesentlichkeit festgestellt wurde –, bietet NIST CSF 2.0 sowohl ein praktisches Bewertungsinstrument als auch eine Struktur für die Offenlegung.
Als Bewertungsinstrument bieten die sechs CSF 2.0-Funktionen – Govern, Identify, Protect, Detect, Respond, Recover – einen umfassenden Überblick über die Aktivitäten im Bereich des Cybersicherheits-Risikomanagements, die eine Organisation durchführen sollte. Ein ESG-Experte kann diese Übersicht nutzen, um die aktuelle Praxis anhand der Erwartungen zu bewerten: Verfügt die Organisation über die Governance-Strukturen, die die Funktion „Govern“ erfordert? Verfügt sie über ein aktuelles und umfassendes Bestandsverzeichnis der Vermögenswerte und Risiken, wie es die Funktion „Identify“ erfordert? Verfügt sie über getestete Verfahren zur Reaktion auf Vorfälle, wie es die Funktion „Respond“ erfordert? Die Lücken zwischen der aktuellen Praxis und den Erwartungen von CSF 2.0 stellen die offenlegungspflichtigen Risiken dar.
Als Rahmen für die Berichterstattung bieten die Ergebnisse und Kategorien des CSF 2.0 einen Leitfaden für die Gestaltung der narrativen Berichterstattung über Cybersicherheits-Governance und Risikomanagement. Anstatt einen allgemeinen Absatz darüber zu verfassen, wie ernst die Organisation das Thema Cybersicherheit nimmt, können ESG-Experten ihre Berichterstattung anhand spezifischer, am CSF ausgerichteter Ergebnisse strukturieren: welche Governance-Prozesse vorhanden sind, wie Risiken in der Lieferkette gesteuert werden, wie die Reaktionsfähigkeit bei Vorfällen aussieht und wie die Organisation ihre Cybersicherheitslage im Laufe der Zeit überwacht und verbessert.
Der regulatorische Rahmen
Das regulatorische Umfeld unterstreicht zunehmend die Wesentlichkeit der Cybersicherheit für Offenlegungszwecke. Die Offenlegungsvorschriften der US-Börsenaufsichtsbehörde SEC zur Cybersicherheit, die im Dezember 2023 für große Unternehmen mit beschleunigter Berichterstattung in Kraft traten, verpflichten börsennotierte Unternehmen, wesentliche Cybersicherheitsvorfälle innerhalb von vier Werktagen offenzulegen und jährliche Angaben zum Risikomanagement, zur Strategie und zur Governance im Bereich Cybersicherheit zu machen. Die NIS2-Richtlinie der EU, die die EU-Mitgliedstaaten bis Oktober 2024 in nationales Recht umsetzen mussten, erlegt Organisationen in einer Vielzahl von Branchen erhebliche Verpflichtungen auf und enthält Meldepflichten für schwerwiegende Vorfälle.
Über die branchenspezifischen Vorschriften hinaus enthalten die ESRS – die Nachhaltigkeitsberichtsstandards, die gemäß der Richtlinie über die Nachhaltigkeitsberichterstattung von Unternehmen für große EU-Unternehmen gelten – Offenlegungspflichten zur Unternehmensführung, die das Risikomanagement im Bereich Cybersicherheit für Organisationen umfassen, bei denen dies von wesentlicher Bedeutung ist. Im Rahmen des Überarbeitungsprozesses der GRI Universal Standards wurde die Technologie-Governance, einschließlich der Cybersicherheit, als ein Bereich identifiziert, der für die Berichterstattung gegenüber Stakeholdern zunehmend an Bedeutung gewinnt.
Für ESG-Experten, die Offenlegungspflichten im Rahmen verschiedener Rahmenwerke verwalten, bietet NIST CSF 2.0 die Möglichkeit, die zugrunde liegenden Inhalte zu Governance und Risikomanagement einmalig zu erarbeiten und für verschiedene Offenlegungsdokumente wiederzuverwenden. Das Rahmenwerk genießt ein hohes Maß an Anerkennung und Akzeptanz, sodass der Verweis darauf in Offenlegungsdokumenten einer ansonsten eher allgemeinen Darstellung mehr Glaubwürdigkeit und Konkretheit verleiht.
Einbeziehung von Cybersicherheit in Ihre Wesentlichkeitsanalyse
Der praktische Ansatzpunkt für ESG-Experten besteht darin, die Cybersicherheit ausdrücklich in den nächsten Wesentlichkeitsbewertungsprozess einzubeziehen. Dies bedeutet, mit den Bereichen IT-Sicherheit, Risikomanagement und Compliance zusammenzuarbeiten, um das aktuelle Risikoprofil und die Risikomanagementpraxis zu erfassen. Es bedeutet, die finanziellen Risiken potenzieller Vorfälle zu bewerten – wobei öffentlich zugängliche Daten zu den Kosten von Vorfällen als Referenz herangezogen werden, sofern keine internen Schätzungen vorliegen. Und es bedeutet, die Erwartungen der Stakeholder hinsichtlich der Cybersicherheits-Governance zu erfassen, die zunehmend in Investorenfragebögen, Anforderungen zur Kunden-Due-Diligence und regulatorischen Leitlinien zum Ausdruck kommen.
Sobald die Cybersicherheit als wesentlich eingestuft wurde, bietet die NIST CSF 2.0-Funktion „Govern“ den Governance-Rahmen, um sicherzustellen, dass die Reaktion der Organisation auf diese Wesentlichkeit verhältnismäßig ist – mit klarer Verantwortlichkeit, dokumentierten Richtlinien, einer definierten Risikobereitschaft und einem glaubwürdigen Überwachungsprozess, über den zuverlässig berichtet werden kann.
Unternehmen, die diesen Zusammenhang – zwischen der Wesentlichkeit der Cybersicherheit und der Stringenz der ESG-Governance – bereits jetzt erkennen, werden auf die künftigen Offenlegungsanforderungen besser vorbereitet sein als diejenigen, die Cybersicherheit weiterhin als das Problem anderer betrachten.
Kernaussage: Cybersicherheit erfüllt die Wesentlichkeitskriterien aller wichtigen ESG-Rahmenwerke. Das NIST CSF 2.0 bietet sowohl das Bewertungsinstrument als auch die Offenlegungsstruktur, um dieses Thema glaubwürdig und konkret in die ESG-Berichterstattung zu integrieren.