-
» Herausragend «
Cybersicherheit hat sich in den letzten Jahren von einem technischen Thema zu einem zentralen Governance-Aspekt entwickelt. Sie ist heute ein fester Bestandteil unternehmerischer Verantwortung und prägt zunehmend ESG-Strategien. Mit neuen EU-Regelungen – insbesondere der NIS2-Richtlinie, der DORA-Verordnung und dem Cyber Resilience Act (CRA) – entstehen umfassende Pflichten für Unternehmen, die weit über klassische IT-Schutzmaßnahmen hinausgehen. Der Beitrag stellt die wichtigsten Inhalte dieser neuen Rechtsakte dar, beleuchtet ihre Verknüpfung mit ESG-Strategien und gibt praxisorientierte Empfehlungen.
Die NIS2-Richtlinie (Directive (EU) 2022/2555) bildet den Kern der europäischen Cybersecurity-Strategie. Sie verpflichtet Betreiber wesentlicher und wichtiger Einrichtungen, darunter öffentliche Verwaltung, Energieversorger, Wasserwirtschaft, Verkehr, Finanzwesen und Gesundheit. Auch zahlreiche mittelgroße und große Unternehmen fallen damit in den Anwendungsbereich.
Die Richtlinie verlangt ein gestuftes Meldesystem: Innerhalb von 24 Stunden ist eine erste Meldung bei der zuständigen Behörde erforderlich, binnen 72 Stunden müssen detaillierte Informationen folgen, nach einem Monat ein Abschlussbericht. Ergänzend schreibt NIS2 Maßnahmen zur Sicherung der Lieferketten vor. Unternehmen sind verpflichtet, Sicherheitsanforderungen entlang der gesamten Zulieferkette vertraglich abzusichern.
Ein zentrales Novum ist die persönliche Verantwortlichkeit des Managements. Leitungsorgane müssen Cybersicherheitsmaßnahmen nicht nur überwachen, sondern aktiv mittragen. Bei Pflichtverletzungen können sie persönlich haftbar gemacht werden.
Die Digital Operational Resilience Act (DORA) gilt seit Januar 2023 unmittelbar in allen Mitgliedstaaten. Sie verschärft die Anforderungen für Banken, Versicherungen, Zahlungsdienstleister und weitere Finanzmarktakteure. Ziel ist es, die operative Widerstandsfähigkeit des Finanzsektors gegenüber IT-Risiken zu stärken.
Kernpunkte sind ein einheitliches IKT-Risikomanagement, Resilienztests, Meldepflichten für Vorfälle sowie klare Verantwortlichkeiten. Finanzunternehmen müssen Notfallpläne vorhalten, regelmäßige Penetrationstests durchführen und kritische IT-Drittanbieter besonders streng überwachen. Damit zwingt DORA Banken und Versicherer, ihre IT-Sicherheitsarchitektur grundlegend neu auszurichten.
Mit dem Cyber Resilience Act (CRA) hat die EU erstmals verbindliche Cybersicherheitsstandards für digitale Produkte geschaffen. Erfasst sind nahezu alle Hard- und Softwareprodukte, die direkt oder indirekt mit einem Netzwerk verbunden sind – vom Smartphone bis zur industriellen Steuerung.
Der CRA verlangt, dass Produkte „security by design“ konzipiert werden, über ihren gesamten Lebenszyklus hinweg Sicherheitsupdates erhalten und Sicherheitsvorfälle unverzüglich gemeldet werden. Besonders kritische Produkte müssen eine verschärfte Konformitätsbewertung durchlaufen. Verstöße können zu hohen Bußgeldern und Schadensersatzpflichten führen. Damit wird Cybersicherheit zu einem verbindlichen Qualitätsmerkmal von Produkten auf dem EU-Binnenmarkt.
Die neuen Vorgaben haben erhebliche Implikationen für ESG-Strategien, insbesondere im Bereich Governance. Unternehmen müssen robuste Cybersicherheitsarchitekturen etablieren, diese dokumentieren und regelmäßig nachweisen. Ratings und Investorenberichte werden Cybersicherheit künftig als zentrales Kriterium bewerten.
Bereits heute integrieren führende Ratingagenturen Cyberrisiken in ihre ESG-Modelle. So hat ISS ESG 2024 einen eigenen „Cyber Risk Score“ eingeführt, der die Widerstandsfähigkeit von Unternehmen gegenüber Angriffen bewertet. Vernachlässigung kann dagegen als Governance-Schwäche gewertet werden und die Reputation erheblich beeinträchtigen.
Die Corporate Sustainability Reporting Directive (CSRD) verpflichtet Unternehmen ab 2025, detailliert über wesentliche Risiken und interne Kontrollen zu berichten. Cyberrisiken zählen ausdrücklich zu diesen Berichtspflichten. Erste Entwürfe der European Sustainability Reporting Standards (ESRS) sehen vor, dass Unternehmen ihre Risikomanagementprozesse offenlegen, einschließlich Notfallplänen, Audits und Schulungen.
In der Praxis bedeutet dies, dass große Unternehmen Cybersicherheit künftig als festen Bestandteil ihrer Nachhaltigkeitsberichte behandeln müssen. Für Investoren, Geschäftspartner und Kunden wird die Transparenz über Cyberrisiken zum entscheidenden Vertrauensfaktor.
Vor diesem Hintergrund sollten Unternehmen frühzeitig strategisch handeln. Der Beitrag entwickelt mehrere praxisnahe Empfehlungen:
• Rechtlichen Anwendungsbereich prüfen: Jedes Unternehmen muss klären, ob es als „wesentliche“ oder „wichtige“ Einrichtung im Sinne von NIS2 gilt.
• Compliance-Gap-Analyse: Eine systematische Überprüfung bestehender Sicherheitsmaßnahmen hilft, Lücken zu identifizieren und einen Maßnahmenplan zu entwickeln.
• Incident-Response-Pläne etablieren: Notfallpläne müssen schriftlich fixiert, regelmäßig geübt und mit klaren Zuständigkeiten versehen sein.
• Lieferketten absichern: Verträge mit Zulieferern und Dienstleistern sollten Mindeststandards enthalten, die Cybersicherheitsrisiken adressieren.
• Integration in Nachhaltigkeitsberichte: Unternehmen sollten Cybersicherheit systematisch in ihre Berichterstattung aufnehmen und so gegenüber Investoren und Aufsichtsbehörden Transparenz schaffen.
Diese Schritte ermöglichen es, Cybersicherheit als festen Bestandteil von ESG-Strategien zu verankern und regulatorische wie reputationsbezogene Risiken zu minimieren.