Was ist das NIST-Cybersicherheits-Framework – und warum sollte es für ESG-Experten von Interesse sein?
Ein Framework mit einem verwirrenden Namen
Wenn Sie in den Bereichen ESG, Nachhaltigkeit oder Unternehmensverantwortung tätig sind, ist Ihnen der Begriff „NIST Cybersecurity Framework“ – oder kurz „NIST CSF“ – wahrscheinlich schon einmal begegnet, sei es in einer Sitzung des Risikokomitees, in einem Fragebogen zur Offenlegung oder im Gespräch mit Ihren Kollegen aus der IT-Sicherheit. Vielleicht haben Sie nur kurz genickt und das Thema beiseitegeschoben, in der Annahme, dass dies eine Angelegenheit sei, um die sich das Technologieteam kümmert.
Diese Annahme sollte noch einmal überdacht werden. Der NIST CSF ist eines der weltweit am häufigsten eingesetzten Rahmenwerke für das Risikomanagement, und seine neueste Version – CSF 2.0, die im Februar 2024 vom US-amerikanischen National Institute of Standards and Technology veröffentlicht wurde – macht deutlich, was Fachleute schon seit Jahren wissen: Cybersicherheit ist kein technologisches Problem. Es ist ein Problem der Unternehmensführung und des Risikomanagements. Und damit fällt es eindeutig in den Zuständigkeitsbereich von ESG-Experten.
Dieser Artikel bietet eine leicht verständliche Einführung in das NIST CSF: Was es ist, welche Funktion es erfüllt und warum es für Sie als Fachkraft an der Schnittstelle von Nachhaltigkeit, Governance und Risiko von Bedeutung ist.
Was das NIST eigentlich ist
Das NIST – das National Institute of Standards and Technology – ist eine US-Bundesbehörde, die Standards, Richtlinien und Rahmenwerke entwickelt, die von Organisationen weltweit zur Bewältigung technologiebezogener Risiken genutzt werden. Trotz seiner amerikanischen Herkunft wird das NIST CSF weltweit von privaten Unternehmen, Organisationen des öffentlichen Sektors und Aufsichtsbehörden in Europa, Asien und darüber hinaus angewendet. In den meisten Rechtsordnungen ist es zwar keine gesetzliche Vorschrift, hat sich jedoch zu einem De-facto-Standard dafür entwickelt, wie Organisationen ihren Ansatz zum Cybersicherheits-Risikomanagement strukturieren.
Der CSF wurde erstmals 2014 veröffentlicht und richtete sich in erster Linie an Betreiber kritischer Infrastrukturen – Energienetze, Wasserversorgungssysteme und Finanznetzwerke. 2018 folgte die Version 1.1, die den Anwendungsbereich erweiterte. Version 2.0, die 2024 veröffentlicht wurde, ist das bislang bedeutendste Update. Sie erweitert das Rahmenwerk ausdrücklich auf Organisationen aller Größen und Branchen, verstärkt den Fokus auf Governance und die Rechenschaftspflicht der Führungsebene und führt das Risikomanagement in der Lieferkette als zentrales Anliegen ein. Diese Änderungen machen den CSF 2.0 für ESG-Fachleute auf eine Weise direkt und praktisch relevant, wie es frühere Versionen nicht waren.
Die sechs Funktionen – ein einfaches mentales Modell
Der NIST CSF gliedert das Risikomanagement im Bereich Cybersicherheit in sechs Kernfunktionen. In CSF 2.0 sind dies: Steuerung, Erkennung, Schutz, Erfassung, Reaktion und Wiederherstellung. Betrachten Sie diese eher als einen kontinuierlichen Aktionszyklus denn als eine einmalige Checkliste.
„Govern“ ist die neue Funktion, die in CSF 2.0 hinzugefügt wurde und für ESG-Fachleute von größter Bedeutung ist. Sie umfasst die organisatorischen Richtlinien, Prozesse und Rechenschaftsstrukturen, die bestimmen, wie Cybersicherheitsrisiken im gesamten Unternehmen verstanden, priorisiert und gesteuert werden. Es geht um Führung, Strategie und Kultur – alles Bereiche, in denen ESG-Fachleute täglich tätig sind.
„Identifizieren“ umfasst das Verständnis der Vermögenswerte, Systeme und Daten der Organisation sowie der damit verbundenen Risiken – einschließlich der Risiken in der Lieferkette. „Schützen“ umfasst die Sicherheitsvorkehrungen und Kontrollen, die eingerichtet wurden, um die Wahrscheinlichkeit eines Cybersicherheitsvorfalls zu verringern. „Erkennen“ umfasst die Prozesse zur Feststellung, wann ein Vorfall eingetreten ist. „Reagieren“ umfasst die Reaktion der Organisation. „Wiederherstellen“ umfasst die Wiederherstellung des normalen Betriebs und das Lernen aus den Geschehnissen.
Zusammen beschreiben diese sechs Funktionen nicht nur ein technisches Sicherheitsprogramm, sondern einen Risikomanagement-Lebenszyklus, der sich direkt auf die Art des unternehmensweiten Risikodenkens bezieht, das ESG-Experten tagtäglich auf ökologische und soziale Risiken anwenden.
Warum Cyberrisiken ein ESG-Thema sind
Der Zusammenhang zwischen Cybersicherheit und ESG ist kein reiner Marketing-Gag. Er spiegelt wider, wie bedeutend Cyberrisiken für Unternehmen aller Branchen geworden sind.
Im Bereich der Unternehmensführung ist Cybersicherheit mittlerweile in den meisten großen Rechtsordnungen eine Frage der Rechenschaftspflicht auf Vorstandsebene. Die US-Börsenaufsichtsbehörde (SEC) verpflichtet börsennotierte Unternehmen, wesentliche Cybersicherheitsrisiken sowie die Aufsicht des Vorstands über diese Risiken offenzulegen. Die NIS2-Richtlinie der EU sieht eine persönliche Haftung für Führungskräfte bei Cybersicherheitsversagen in Organisationen vor, die als Betreiber wesentlicher oder wichtiger Dienste gelten. Der britische Corporate Governance Code und vergleichbare Rahmenwerke weltweit betrachten Cyberresilienz zunehmend als Bestandteil einer soliden Unternehmensführung. Für ESG-Experten, die für Governance-Offenlegungen verantwortlich sind – sei es nach GRI, SASB, ESRS oder vergleichbaren Standards –, ist Cybersicherheits-Governance eine Offenlegungspflicht und nicht nur ein IT-Anliegen.
In sozialer Hinsicht fügen Datenpannen und Cybervorfälle echten Menschen echten Schaden zu. Kunden verlieren die Kontrolle über ihre personenbezogenen Daten. Die Daten von Mitarbeitern werden offengelegt. Gemeinschaften, die auf grundlegende Dienstleistungen angewiesen sind, leiden, wenn diese Dienstleistungen unterbrochen werden. Die menschlichen Kosten unzureichender Cybersicherheit sind ein Thema mit gesellschaftlichen Auswirkungen, das neben Arbeitspraktiken, Gesundheit und Sicherheit sowie Auswirkungen auf die Gemeinschaft in die ESG-Risikobewertung eines Unternehmens einfließen muss.
Im Umweltbereich bedeutet die zunehmende Bedeutung der Technologie für die Umweltüberwachung, -berichterstattung und -steuerung, dass die Integrität von Umweltdaten mittlerweile auch ein Thema der Cybersicherheit ist. Eine Organisation, die sich bei der Emissionsüberwachung auf Sensornetzwerke, bei der Berichterstattung zur Einhaltung von Umweltvorschriften auf digitale Systeme oder beim Ressourcenmanagement auf vernetzte Infrastruktur stützt, ist Cybersicherheitsrisiken ausgesetzt, die sich unmittelbar auf die Genauigkeit und Zuverlässigkeit ihrer Umweltangaben auswirken könnten.
CSF 2.0 als gemeinsame Sprache
Eine der praktischen Herausforderungen für ESG-Experten, die sich mit Cybersicherheitsrisiken befassen, ist die Sprachbarriere. Fachleute im Bereich Cybersicherheit verwenden technische Fachbegriffe, die das Thema für Laien oft unzugänglich erscheinen lassen. Der NIST CSF wurde bewusst entwickelt, um diese Lücke zu schließen. Er beschreibt das Cybersicherheits-Risikomanagement anhand von Ergebnissen und Aktivitäten statt anhand technischer Kontrollmaßnahmen und macht es so für Risikomanager, Governance-Experten, Auditoren und Führungskräfte zugänglich, die keine Cybersicherheitsspezialisten sind.
Dies macht es zu einer nützlichen gemeinsamen Sprache für ESG-Experten, die teamübergreifend arbeiten. Wenn Sie die Cybersicherheitsrisiken Ihres Unternehmens im Rahmen einer Wesentlichkeitsprüfung bewerten müssen, bieten Ihnen die sechs Funktionen des CSF 2.0 einen strukturierten Ansatz, um die richtigen Fragen zu stellen, ohne dass Sie über technischen Hintergrund verfügen müssen. Wenn Sie im Rahmen einer ESG-Offenlegung über die Cybersicherheits-Governance berichten müssen, bietet die „Govern“-Funktion des Frameworks die Struktur, um die erforderlichen Angaben zu organisieren.
Wo soll ich anfangen?
Wenn Sie sich noch nicht mit dem NIST CSF auskennen, ist das CSF 2.0 Core-Dokument der beste Ausgangspunkt; es ist kostenlos auf der NIST-Website verfügbar. Es ist übersichtlich gestaltet, leicht verständlich und orientiert sich eher an praktischen Ergebnissen als an technischen Spezifikationen. Darüber hinaus bieten die CSF 2.0 Quick Start Guides leicht zugängliche Einstiegsmöglichkeiten für verschiedene Zielgruppen, darunter kleine Organisationen und diejenigen, die sich noch nicht mit dem Rahmenwerk auskennen.
Der wichtigste Ausgangspunkt ist jedoch ein Umdenken: Cybersicherheit ist Teil Ihres ESG-Auftrags und steht nicht außerhalb davon. Der NIST CSF 2.0 ist eines der nützlichsten Instrumente, um diesem Bereich Ihrer Arbeit Struktur und Systematik zu verleihen. Die folgenden Artikel dieser Reihe beleuchten bestimmte Aspekte des CSF 2.0 eingehender – jeder einzelne soll ESG-Fachleuten dabei helfen, sich mit einem Rahmenwerk vertraut zu machen, das für ihre Arbeit von Jahr zu Jahr an Bedeutung gewinnt.
Das Wichtigste auf einen Blick: NIST CSF 2.0 ist ein Rahmenwerk für das Risikomanagement und kein technisches Handbuch. Seine sechs Funktionen – Steuerung, Erkennung, Schutz, Erfassung, Reaktion und Wiederherstellung – beschreiben einen Risikolebenszyklus, mit dem sich ESG-Experten direkt auseinandersetzen können und sollten.