Cybersicherheit hat sich in den vergangenen Jahren von einer reinen IT-Frage zu einem Kernelement guter Unternehmensführung entwickelt. Heute ist sie fester Bestandteil unternehmerischer Verantwortung und wird zunehmend in ESG-Strategien integriert. Mit neuen EU-Regelungen – insbesondere der NIS-2-Richtlinie, der DORA-Verordnung und dem Cyber Resilience Act (CRA) – entstehen umfassende Pflichten, die weit über klassische IT-Abwehrmaßnahmen hinausreichen. Der Beitrag gibt einen Überblick über die zentralen Inhalte, ihre Verbindung zu ESG-Aspekten und praxisnahe Handlungsempfehlungen.
Die NIS-2-Richtlinie (Directive (EU) 2022/2555) bildet das Fundament der europäischen Cyberstrategie. Sie verpflichtet Betreiber wesentlicher und wichtiger Einrichtungen, darunter öffentliche Verwaltung, Energie- und Wasserversorgung, Verkehr, Finanzdienstleister sowie Gesundheitseinrichtungen. Damit sind auch zahlreiche mittelgroße und große Unternehmen erfasst.
Die Richtlinie sieht ein mehrstufiges Meldesystem vor: Innerhalb von 24 Stunden muss eine erste Benachrichtigung erfolgen, binnen 72 Stunden ein ausführlicher Bericht, und nach einem Monat ein Abschlussbericht. Zudem verpflichtet NIS-2 Unternehmen, Sicherheitsanforderungen entlang ihrer Lieferketten vertraglich abzusichern.
Neu ist die direkte Einbindung des Managements: Leitungsorgane müssen Cybersicherheitsmaßnahmen nicht nur überwachen, sondern aktiv unterstützen. Bei Pflichtverstößen können Vorstände und Geschäftsführer persönlich in Haftung genommen werden.
Die Digital Operational Resilience Act (DORA) gilt seit Januar 2023 unmittelbar in allen Mitgliedstaaten und richtet sich speziell an Finanzmarktakteure wie Banken, Versicherungen, Zahlungsdienstleister und Fondsverwalter. Ihr Ziel ist die Stärkung der operativen Widerstandsfähigkeit gegen IT-Risiken.
Zentrale Inhalte sind ein einheitliches Risikomanagement für Informations- und Kommunikationstechnologien, verpflichtende Resilienztests, klare Meldepflichten sowie detaillierte Vorgaben für den Umgang mit kritischen IT-Drittanbietern. Finanzunternehmen müssen Notfallpläne aufstellen, regelmäßig Penetrationstests durchführen und externe Dienstleister strenger kontrollieren. Damit zwingt DORA die Branche zu einer grundlegenden Neuausrichtung ihrer IT-Sicherheitsstrukturen.
Mit dem Cyber Resilience Act hat die EU erstmals europaweite Standards für die Sicherheit digitaler Produkte geschaffen. Erfasst werden nahezu alle Hardware- und Softwareprodukte mit Netzwerkverbindung – vom Smartphone bis hin zu industriellen Steuerungen.
Der CRA verpflichtet Hersteller, Produkte nach dem Prinzip „Security by Design“ zu entwickeln, während der gesamten Lebensdauer Sicherheitsupdates bereitzustellen und Vorfälle umgehend zu melden. Besonders risikobehaftete Produkte müssen ein verschärftes Konformitätsverfahren durchlaufen. Verstöße können hohe Bußgelder und zivilrechtliche Ansprüche nach sich ziehen. Damit wird Cybersicherheit zum verbindlichen Qualitätskriterium für Produkte auf dem Binnenmarkt.
Die neuen Regelwerke haben direkte Auswirkungen auf die Governance-Komponente von ESG. Unternehmen sind verpflichtet, ihre Cybersicherheitsarchitektur robust auszugestalten, zu dokumentieren und regelmäßig nachzuweisen. Ratingagenturen und Investorenbewertungen berücksichtigen Cyberrisiken zunehmend als Schlüsselindikator.
So hat ISS ESG 2024 einen eigenen „Cyber Risk Score“ eingeführt, der die Widerstandsfähigkeit von Unternehmen bewertet. Vernachlässigte IT-Sicherheit kann hingegen als Governance-Schwäche gewertet werden und die Reputation spürbar schädigen.
Die Corporate Sustainability Reporting Directive (CSRD) verpflichtet Unternehmen ab 2025, umfassend über wesentliche Risiken und interne Kontrollmechanismen zu berichten. Cyberrisiken sind ausdrücklich Teil dieser Berichtspflichten. In den Entwürfen der European Sustainability Reporting Standards (ESRS) ist vorgesehen, dass Unternehmen ihre Prozesse zum Risikomanagement, einschließlich Notfallplänen, Audits und Mitarbeiterschulungen, detailliert offenlegen.
In der Praxis bedeutet dies: Große Unternehmen müssen Cybersicherheit als festen Bestandteil in ihre Nachhaltigkeitsberichte integrieren. Transparenz über den Umgang mit Cyberrisiken wird damit zu einem entscheidenden Faktor für Investoren, Geschäftspartner und Kunden.
Vor diesem Hintergrund sollten Unternehmen frühzeitig Maßnahmen ergreifen. Sinnvolle Schritte sind unter anderem:
• Prüfung des Rechtsrahmens: Klären, ob das Unternehmen als „wesentliche“ oder „wichtige“ Einrichtung nach NIS-2 eingestuft ist.
• Compliance-Analyse: Systematische Überprüfung der bestehenden Sicherheitsarchitektur, um Lücken zu identifizieren.
• Etablierung von Incident-Response-Plänen: Notfallpläne schriftlich festlegen, regelmäßig testen und Verantwortlichkeiten eindeutig zuordnen.
• Absicherung der Lieferketten: Vertragsgestaltung mit Zulieferern und IT-Dienstleistern um Mindeststandards erweitern.
• Integration in die Berichterstattung: Cybersicherheit systematisch in Nachhaltigkeitsberichte aufnehmen, um Transparenz zu schaffen.
Diese Maßnahmen helfen, Cybersicherheit als festen Bestandteil von ESG-Strategien zu verankern und zugleich regulatorische wie reputationsbezogene Risiken zu reduzieren.