Cyberbezpieczeństwo fundamentalnym elementem ryzyka obszaru Governance w ESG

4,5 miliona złotych – tyle średnio kosztowało polskie przedsiębiorstwa jedno naruszenie danych w 2023 roku, pokazuje raport IBM Cost of Data Breach Report. Ta liczba przekonała zarządy, że cyberbezpieczeństwo to strategiczne ryzyko biznesowe. Ochrona danych stała się filarem ładu korporacyjnego w ESG.

Z artykułu dowiesz się:

• Dlaczego cyberbezpieczeństwo stało się nieodłącznym elementem ładu korporacyjnego w kontekście ESG?
• Jakie są najważniejsze wymiary ryzyka governance IT i jak wpływają na reputację firmy?
• W jaki sposób skutecznie zarządzać cyberzagrożeniami w ramach strategii zrównoważonego rozwoju?

Ryzyko governance IT w kontekście ESG

Ryzyko governance IT obejmuje znacznie więcej niż tylko zagrożenia techniczne. Chodzi o systemowe podejście do zarządzania bezpieczeństwem informacji na najwyższym szczeblu organizacji. W ramach ładu korporacyjnego (G) cyberbezpieczeństwo stało się elementem nadzoru zarządu, odpowiedzialności rad nadzorczych i transparentności wobec interesariuszy. Firmy, które nie integrują strategii cyberbezpieczeństwa z polityką ESG, narażają się na poważne konsekwencje finansowe i wizerunkowe. Według danych Europejskiej Agencji ds. Cyberbezpieczeństwa (ENISA) liczba poważnych incydentów cybernetycznych w Europie wzrosła o 38 proc. w ciągu ostatnich dwóch lat.

Problem pogłębia się wraz z rosnącymi wymogami regulacyjnymi. Dyrektywa CSRD wymaga od firm raportowania nie tylko danych środowiskowych i społecznych, ale również informacji o systemach zarządzania ryzykiem – w tym ryzykiem cybernetycznym. Organizacje muszą ujawniać, w jaki sposób identyfikują, monitorują i minimalizują zagrożenia dla swoich systemów IT oraz danych klientów. Ryzyko governance IT przestaje być więc wewnętrzną sprawą przedsiębiorstwa, a staje się elementem publicznej sprawozdawczości i oceny ESG.

Ochrona danych ESG jako fundament odpowiedzialnego zarządzania

Ochrona danych ESG nabiera szczególnego znaczenia w kontekście coraz większej digitalizacji procesów raportowania. Przedsiębiorstwa gromadzą ogromne ilości wrażliwych informacji – od emisji dwutlenku węgla, przez dane pracownicze, po szczegóły łańcucha dostaw. Wszystkie te informacje muszą być nie tylko dokładne, ale również zabezpieczone przed nieuprawnionym dostępem, manipulacją czy wyciekiem. Naruszenie bezpieczeństwa danych ESG może prowadzić do fałszywych raportów, oskarżeń o greenwashing i utraty zaufania inwestorów.

Warto zauważyć, że ochrona danych ESG wiąże się z wieloma wymiarami:

1. Po pierwsze, dotyczy integralności danych – zapewnienia, że informacje przekazywane interesariuszom są prawdziwe i kompletne.
2. Po drugie, odnosi się do poufności – ochrony informacji konkurencyjnych i wrażliwych danych biznesowych.
3. Po trzecie, dotyczy dostępności – zagwarantowania, że systemy raportowania działają nieprzerwanie.

Jak pokazują badania Deloitte Cyber Risk Survey, 68 proc. firm uważa bezpieczeństwo danych ESG za istotny element strategii zrównoważonego rozwoju, jednak tylko 41 proc. wdrożyło dedykowane procedury ich ochrony.

Cyberzagrożenia mogą również bezpośrednio wpływać na realizację celów środowiskowych i społecznych. Atak na systemy sterowania produkcją może prowadzić do niekontrolowanych emisji, wycieków substancji niebezpiecznych czy awarii infrastruktury krytycznej. W 2021 r. cyberatak na rurociąg Colonial Pipeline w Stanach Zjednoczonych spowodował nie tylko zakłócenia w dostawach paliwa, ale również wzrost emisji dwutlenku węgla związany z przestawieniem transportu na ciężarówki.

Zarządzanie cyberzagrożeniami w strukturze governance

Zarządzanie cyberzagrożeniami w ramach ładu korporacyjnego wymaga kompleksowego podejścia obejmującego:

• identyfikację ryzyk,
• wdrożenie mechanizmów kontrolnych,
• ciągłe monitorowanie zagrożeń.

Najskuteczniejsze organizacje traktują cyberbezpieczeństwo jako element strategii biznesowej, a nie jedynie funkcję wspierającą. Oznacza to, że zarządy regularnie otrzymują raporty o stanie bezpieczeństwa, uczestniczą w ćwiczeniach symulujących ataki cybernetyczne i aktywnie angażują się w tworzenie polityk bezpieczeństwa.

Skuteczne zarządzanie cyberzagrożeniami opiera się na kilku fundamentach:

• Zarząd i rada nadzorcza muszą posiadać kompetencje w zakresie cyberbezpieczeństwa – oznacza to szkolenia, zatrudnianie ekspertów lub powoływanie specjalistycznych komitetów.
• Kultura bezpieczeństwa powinna być wbudowana w całą organizację – od szeregowych pracowników po najwyższe kierownictwo, każdy musi rozumieć swoją rolę w ochronie przed zagrożeniami.
• Systemy wczesnego ostrzegania i reagowania na incydenty muszą działać 24/7 – szybkość reakcji często decyduje o skali strat.
• Transparentność wobec interesariuszy jest niezbędna – firmy powinny komunikować zarówno działania prewencyjne, jak i sposób radzenia sobie z incydentami.

Cyberbezpieczeństwo w firmie coraz częściej łączy się z zarządzaniem łańcuchem dostaw. Ataki na dostawców mogą skutkować przerwaniem produkcji, utratą danych czy nawet infiltracją systemów przedsiębiorstwa. Dlatego nowoczesne podejście do zarządzania cyberzagrożeniami obejmuje również audyty bezpieczeństwa partnerów biznesowych, wymogi techniczne w umowach oraz wspólne ćwiczenia reagowania na incydenty.

Regulacje i standardy w obszarze cyberbezpieczeństwa

Krajobraz regulacyjny dotyczący cyberbezpieczeństwa szybko się zmienia. Unijna dyrektywa NIS2 (Network and Information Security), która weszła w życie w 2023 r., nakłada na przedsiębiorstwa z sektorów krytycznych szereg obowiązków związanych z zarządzaniem ryzykiem cybernetycznym. Firmy muszą wdrożyć środki techniczne i organizacyjne, zgłaszać poważne incydenty w ciągu 24 godzin oraz przeprowadzać regularne audyty bezpieczeństwa. Niezgodność może skutkować karami sięgającymi nawet 10 mln euro lub 2 proc. globalnego obrotu. Podobnie dyrektywa DORA (Digital Operational Resilience Act) nakłada na sektor finansowy szczególnie rygorystyczne wymogi w zakresie odporności cyfrowej. Instytucje finansowe muszą nie tylko chronić swoje systemy, ale również zapewniać ciągłość działania w warunkach kryzysu cybernetycznego. Jak wskazują badania Europejskiego Urzędu Nadzoru Bankowego, 78 proc. banków uznaje cyberbezpieczeństwo za najpoważniejsze ryzyko operacyjne w najbliższych latach.

Standardy ESRS również odnoszą się do kwestii cyberbezpieczeństwa, szczególnie w kontekście zarządzania ryzykiem i odpowiedzialności zarządu. Przedsiębiorstwa raportujące zgodnie z ESRS muszą ujawniać informacje o politykach bezpieczeństwa, incydentach cybernetycznych oraz działaniach naprawczych. Ochrona danych ESG staje się więc nie tylko kwestią zgodności z RODO, ale również wymogiem transparentności wobec inwestorów i pozostałych interesariuszy.

Cyberbezpieczeństwo a reputacja i wartość przedsiębiorstwa

Wpływ incydentów cybernetycznych na reputację firmy bywa trwały i trudny do naprawienia. Badania Ponemon Institute pokazują, że po poważnym naruszeniu danych zaufanie klientów spada średnio o 31 proc., a odbudowa wizerunku zajmuje od 18 do 36 miesięcy. W kontekście ESG utrata zaufania może oznaczać nie tylko odpływ klientów, ale również wycofanie się inwestorów, spadek ratingu ESG oraz trudności w pozyskiwaniu kapitału. Przedsiębiorstwa notowane na giełdzie odnotowują średnio 7,5 proc. spadku wartości akcji w ciągu miesiąca po ujawnieniu poważnego ataku cybernetycznego.

Ryzyko governance IT bezpośrednio wpływa na ocenę ładu korporacyjnego przez agencje ratingowe i inwestorów ESG. Firmy, które nie potrafią udowodnić skutecznego zarządzania cyberbezpieczeństwem, otrzymują niższe oceny w komponencie G i mogą zostać wykluczone z portfeli zrównoważonych inwestycji. Z drugiej strony organizacje, które przejrzyście komunikują swoje działania w zakresie cyberbezpieczeństwa i wykazują dojrzałość procesów, zyskują przewagę konkurencyjną.

Warto również zauważyć rosnącą rolę ubezpieczeń cybernetycznych jako elementu zarządzania ryzykiem. Polisy ubezpieczeniowe pokrywające straty związane z atakami cybernetycznymi stają się standardem w wielu branżach. Jednak dostęp do takich ubezpieczeń wymaga spełnienia określonych standardów bezpieczeństwa – firmy muszą udowodnić, że wdrożyły odpowiednie mechanizmy ochrony. Zarządzanie cyberzagrożeniami przestaje być więc tylko kwestią IT, stając się warunkiem funkcjonowania na rynku.

NAJWAŻNIEJSZE WNIOSKI

1. Cyberbezpieczeństwo w firmie jest dziś integralnym elementem ładu korporacyjnego i nie może być traktowane wyłącznie jako zagadnienie techniczne – wymaga zaangażowania zarządu, przejrzystych procedur i systematycznego zarządzania ryzykiem na najwyższym szczeblu organizacji.
2. Ryzyko governance IT oraz ochrona danych ESG bezpośrednio wpływają na reputację przedsiębiorstwa, jego wartość rynkową i zdolność do pozyskiwania kapitału – incydenty cybernetyczne mogą prowadzić do trwałej utraty zaufania interesariuszy i wykluczenia z portfeli zrównoważonych inwestycji.
3. Skuteczne zarządzanie cyberzagrożeniami wymaga kompleksowego podejścia łączącego regulacje, standardy, kulturę organizacyjną i transparentną komunikację – przedsiębiorstwa muszą nie tylko chronić swoje systemy, ale również wykazywać odporność na zagrożenia i zdolność do szybkiego reagowania na incydenty.

Aleksandra Mrozek-Nowak

Akademia ESG to największa w Polsce baza wiedzy o ESG. Inspirujemy do wdrażania zrównoważonych praktyk, stając się miejscem pierwszego wyboru dla każdego, szukającego najlepiej przygotowanych informacji na temat ESG. E-mail: a.mrozek@akademiaesg.pl

Napisz do nas