Regieren Sie zuerst: Wie die neue Funktion von NIST CSF 2.0 Cyberrisiken mit ESG-Führung verbindet
Die Veränderung, die den entscheidenden Unterschied macht
Als das NIST im Februar 2024 das CSF 2.0 veröffentlichte, bestand die bedeutendste strukturelle Änderung in der Hinzufügung einer völlig neuen Funktion: „Govern“. Dabei handelte es sich nicht um eine geringfügige Überarbeitung oder eine Umbenennung bestehender Inhalte. Es war ein bewusstes Signal einer der weltweit maßgeblichen Normungsorganisationen, dass das Risikomanagement im Bereich Cybersicherheit nicht von der Unternehmensführung getrennt werden kann – und dass Vorstände, Führungsteams und die sie beratenden Fachleute entsprechend Verantwortung dafür übernehmen müssen.
Für ESG-Fachleute ist diese Veränderung von enormer Bedeutung. Die Govern-Funktion ist keine technische Funktion. Es handelt sich um eine Funktion, die Führung, Strategie und Kultur umfasst. Sie deckt die Richtlinien, Prozesse und Verantwortlichkeiten ab, die bestimmen, wie eine Organisation Cybersicherheitsrisiken in allen ihren Tätigkeitsbereichen angeht. In Bezug auf Inhalt, Struktur und Zielsetzung entspricht sie direkt der Governance-Arbeit, die ESG-Fachleute tagtäglich leisten.
Was die Funktion „Govern“ abdeckt
Die CSF 2.0-Governance-Funktion gliedert sich in sechs Kategorien. Ein Verständnis jeder einzelnen Kategorie hilft ESG-Experten zu erkennen, wo ihre bestehende Arbeit ansetzt und wo neue Schwerpunkte gesetzt werden müssen.
Der organisatorische Kontext setzt voraus, dass die Organisation ihren Auftrag, das regulatorische Umfeld, in dem sie tätig ist, sowie die Risikobereitschaft ihrer Stakeholder versteht – und dass dieser Kontext ihre Entscheidungen zum Cybersicherheits-Risikomanagement prägt. Für ESG-Experten ist dies vertrautes Terrain. Wesentlichkeitsanalysen, Stakeholder-Einbindungsprozesse und die Beobachtung regulatorischer Entwicklungen sind allesamt gängige ESG-Aktivitäten, die unmittelbar in den organisatorischen Kontext einfließen, den die Govern-Funktion benötigt.
Die Risikomanagementstrategie verlangt, dass das Unternehmen über einen festgelegten, dokumentierten und kommunizierten Ansatz für Cybersicherheitsrisiken verfügt – einschließlich definierter Risikotoleranzen und der Kriterien, anhand derer Maßnahmen zur Risikobewältigung priorisiert werden. ESG-Experten, die an Rahmenwerken für das Unternehmensrisikomanagement arbeiten, werden erkennen, dass dies in direktem Zusammenhang mit den Risikobereitschaftserklärungen und Toleranzschwellen steht, die sie für ökologische und soziale Risiken mitentwickeln.
„Rollen, Verantwortlichkeiten und Befugnisse“ erfordern, dass die Zuständigkeiten im Bereich Cybersicherheit klar zugewiesen, verstanden und unternehmensweit kommuniziert werden – auch auf Vorstandsebene und in der obersten Führungsebene. ESG-Experten sind gut aufgestellt, um Unternehmen dabei zu unterstützen, dies klar zu durchdenken, da die Zuweisung von Verantwortlichkeiten für nichtfinanzielle Risiken ein zentraler Bestandteil guter Governance-Praxis ist.
Die Richtlinien schreiben vor, dass Richtlinien zur Cybersicherheit festgelegt, dokumentiert und kommuniziert werden müssen – und dass diese die Risikostrategie und -toleranz der Organisation widerspiegeln. Für ESG-Experten, die für die Entwicklung von Richtlinien und die Offenlegung von Governance-Informationen zuständig sind, ist dies eine direkt anwendbare Aufgabe.
Die Aufsicht verlangt, dass die Ergebnisse der Maßnahmen zum Cybersicherheitsrisikomanagement dazu genutzt werden, die allgemeine Risikomanagementstrategie der Organisation zu untermauern und anzupassen – und dass es einen klaren Prozess gibt, über den Informationen zu Cybersicherheitsrisiken an den Vorstand und die oberste Führungsebene weitergeleitet werden, damit diese sie prüfen und Entscheidungen treffen können. Dies entspricht der ESG-Berichts- und Prüfungsfunktion im Bereich der Cyberrisiken.
Das Risikomanagement in der Lieferkette im Bereich Cybersicherheit erfordert, dass Cybersicherheitsrisiken in der Lieferkette identifiziert, bewertet und gesteuert werden – wobei den Lieferanten und Dritten klare Erwartungen mitgeteilt werden müssen. Für ESG-Experten, die sich mit der Sorgfaltspflicht in der Lieferkette und verantwortungsbewusster Beschaffung befassen, ist dies eine natürliche Erweiterung der bestehenden Praxis.
Die „Govern“-Funktion ist kein neues Konzept, das nur mit Begriffen aus der Cybersicherheit verpackt wurde. Es handelt sich vielmehr um eine Beschreibung guter Risikosteuerung – derselben Disziplin, die ESG-Experten in den Bereichen Klima, Menschenrechte und Arbeitsbedingungen anwenden –, die auf den Cyberbereich übertragen wurde.
Verbindung von Govern mit ESG-Governance-Rahmenwerken
Die Parallelen zwischen der „Govern“-Funktion des NIST CSF 2.0 und gängigen ESG-Governance-Rahmenwerken sind auffällig und von praktischem Nutzen. Die Standards GRI 205 (Korruptionsbekämpfung) und GRI 418 (Kundendatenschutz) der Global Reporting Initiative verlangen beide die Offenlegung von Governance-Prozessen für bestimmte Risikokategorien. Die European Sustainability Reporting Standards (ESRS) verlangen die Offenlegung von Governance-Strukturen und -Prozessen für den Umgang mit wesentlichen Nachhaltigkeitsrisiken und -chancen. Das Rahmenwerk der Task Force on Climate-related Financial Disclosures (TCFD) und dessen Nachfolger, die ISSB-Standards, verlangen die Offenlegung von Governance-Prozessen für Klimarisiken.
In jedem dieser Rahmenwerke ähneln die Offenlegungspflichten strukturell den Anforderungen, die die „Govern“-Funktion des NIST CSF 2.0 an Organisationen stellt: klare Verantwortlichkeiten auf Vorstandsebene und in der Geschäftsleitung, dokumentierte Risikomanagementprozesse, eine definierte Risikobereitschaft sowie Nachweise darüber, wie Risikoinformationen an die Entscheidungsträger weitergeleitet werden. Eine Organisation, die die „Govern“-Funktion des CSF 2.0 umgesetzt hat, ist gut aufgestellt, um für Cybersicherheitsrisiken in allen diesen Rahmenwerken Governance-Informationen in der für die Offenlegung erforderlichen Qualität zu erstellen.
Was Vorstände wissen und tun müssen
Die „Govern“-Funktion von CSF 2.0 macht deutlich, dass die Überwachung von Cybersicherheitsrisiken auf Vorstandsebene eine Anforderung der Unternehmensführung ist und keine optionale Ergänzung. Dies steht im Einklang mit einem allgemeinen regulatorischen Trend. Die Offenlegungsvorschriften der US-Börsenaufsichtsbehörde SEC, die NIS2-Richtlinie der EU und die Leitlinien des britischen NCSC legen die Verantwortung für die Cybersicherheits-Governance durchweg auf die oberste Führungsebene des Unternehmens.
Für ESG-Experten, die Governance-Berichte für den Vorstand erstellen oder bei der Gestaltung von Governance-Praktiken im Vorstand beraten, hat dies praktische Auswirkungen. Vorstände müssen nachweisen können, dass sie über Prozesse zur Entgegennahme und Prüfung von Informationen zu Cybersicherheitsrisiken verfügen, dass sie ihre Risikobereitschaft in Bezug auf Cybervorfälle definiert haben und dass sie die Verantwortung für das Cybersicherheitsrisikomanagement klar bestimmten Führungspositionen zugewiesen haben. Genau diese Art von Governance-Strukturen helfen ESG-Experten bei der Konzeption und Dokumentation für andere Risikokategorien.
Die Möglichkeit zur Integration
Einer der wertvollsten Beiträge, den ESG-Experten zur Cybersicherheits-Governance ihres Unternehmens leisten können, besteht darin, sich für eine Integration statt einer Trennung einzusetzen. Cybersicherheitsrisiken sind ebenso wie Klimarisiken und soziale Risiken unternehmensübergreifende Risiken, die sich auf Strategie, Betriebsabläufe, Stakeholder-Beziehungen und Wertschöpfung auswirken. Sie sollten innerhalb derselben Governance-Infrastruktur gesteuert werden, die auch für andere wesentliche Risiken zuständig ist – mit derselben Sorgfalt, denselben Rechenschaftsstrukturen und denselben Offenlegungsvorschriften.
Die „Govern“-Funktion des NIST CSF 2.0 bietet die Struktur, um diese Integration konkret umzusetzen. Sie gibt ESG-Experten einen Rahmen an die Hand, um die richtigen Fragen zur Cybersicherheits-Governance zu stellen, einen sinnvollen Beitrag zu den Antworten zu leisten und sicherzustellen, dass der Ansatz der Organisation im Umgang mit Cyberrisiken denselben Qualitätsstandards entspricht, die auch für ihren Umgang mit ökologischen und sozialen Risiken erwartet werden.
Die Aufnahme der „Govern“-Funktion in CSF 2.0 ist nicht nur eine technische Aktualisierung. Sie ist eine Aufforderung an ESG-Experten, ihr Fachwissen im Bereich Governance auf eine der folgenreichsten Risikokategorien unserer Zeit anzuwenden.
Das Wichtigste auf einen Blick: Die „Govern“-Funktion von CSF 2.0 umfasst den organisatorischen Kontext, die Risikostrategie, Rollen und Verantwortlichkeiten, Richtlinien, die Aufsicht sowie Risiken in der Lieferkette – alles Bereiche, in denen ESG-Experten bereits über Fachwissen verfügen und aktiv eingebunden sein sollten.