Cyberbeveiliging wel of niet opnemen in CSRD

Cyberbeveiliging wel of niet opnemen in CSRD

CSRD en cyberbeveiliging zijn tegenwoordig allebei hot topics. Over het algemeen richt cyberbeveiliging zich op het beschermen van belanghebbenden tegen potentiële risico’s, terwijl CSRD meer gaat over het rapporteren over deze risico’s. Erwin Wiersma, medeoprichter van het in CSRD software gespecialiseerd bedrijf Solidflow zet alles op een rijtje.

Hoewel cyberbeveiliging en MVO niet direct hetzelfde zijn, kan hun raakvlak zeer relevant zijn voor bepaalde bedrijven. Dit geldt met name voor bedrijven die onder CSRD vallen en dagelijks te maken hebben met cyberbeveiliging, zoals softwarebedrijven.

Hoewel cyberbeveiliging niet expliciet wordt genoemd in het CSRD-raamwerk, kan het toch waardevol zijn om het op te nemen in jouw rapportage, omdat het aansluit bij het kerndoel van CSRD. Rapportage over cyberbeveiliging kan aantonen dat je jezelf inzet voor de bescherming van gegevens en de algehele veerkracht van jouw bedrijf.

CSRD begint met de dubbele materialiteitsbeoordeling (DMA). In de DMA evalueer je zowel de werkelijke en potentiële impact van je bedrijf op mensen en de planeet, als de risico’s en kansen die voortvloeien uit deze factoren. Dit is waar cyberbeveiliging om de hoek komt kijken. Denk bijvoorbeeld aan een socialemedia platform. Een datalek als gevolg van een cyberaanval kan een aanzienlijke negatieve impact hebben op hun gebruikers doordat hun persoonlijke gegevens worden blootgelegd. Bovendien kan dit financiële risico’s voor het bedrijf met zich meebrengen, zoals boetes wegens het niet beschermen van gebruikersgegevens.

Idealiter zouden bedrijven moeten rapporteren over hun beleid, acties en doelstellingen om dergelijke schendingen te voorkomen en gerelateerde risico’s te beperken. Door dit te doen laten ze zien dat ze zich duidelijk inzetten voor de sociale aspecten van het CSRD-kader, met name onder CSRD ERS S4, die zich richt op consumenten en eindgebruikers.

Hoe rapporteer je over cyberbeveiliging onder CSRD?

Als cyberbeveiliging een belangrijk onderwerp is voor je bedrijf, kun je het opnemen als een extra duurzaamheidskwestie, bovenop de bestaande. Dit staat bekend als een entiteitspecifieke kwestie.

Zodra deze kwestie is geïdentificeerd, kan ze worden gekoppeld aan een ESRS. De meest gebruikelijke keuze is ESRS S4, aangezien cyberbeveiliging vaak betrekking heeft op de bescherming van de privacy van eindgebruikers. Als jouw bedrijf echter een aanzienlijke hoeveelheid vertrouwelijke gegevens over het eigen personeel verwerkt, kan het onderwerp worden gekoppeld aan ESRS S1, dat zich richt op het personeel.

Na het koppelen van het onderwerp aan een ESRS, heb je twee opties. Je kunt cyberbeveiliging aan de orde stellen binnen het bestaande beleid, de bestaande acties en de bestaande doelen met betrekking tot die ESRS, of je kunt aanvullende openbaarmakingsvereisten opstellen. In dit geval rapporteer je vrijwillig over cyberbeveiliging. Zorg er in dit geval voor dat de informatie aansluit bij de bredere vereisten van de betreffende ESRS.

Cyberveiligheid in de dubbele materialiteitsbeoordeling. Het uitvoeren van de DMA is een cruciaal onderdeel van het CSRD-proces.

1. Effecten, risico’s en kansen vinden

Een goed startpunt voor de DMA is het schetsen van de activiteiten van je bedrijf. Identificeer voor elke activiteit de middelen die worden gebruikt. Zodra je deze lijst hebt, kun je beginnen met het identificeren van de gevolgen, risico’s en kansen die verband houden met deze activiteiten en middelen.

Als je bedrijf bijvoorbeeld software ontwikkelt voor consumenten, kan een mogelijke impact een datalek zijn, waarbij persoonlijke informatie toegankelijk wordt voor hackers. Deze negatieve impact moet worden gedocumenteerd en gerapporteerd.

Aan de andere kant zijn er ook kansen. Als je bedrijf bijvoorbeeld software verkoopt aan bedrijven, kunnen sterke cyberbeveiligingsmaatregelen vertrouwen opbouwen bij potentiële klanten, wat leidt tot meer inkomsten.

2. Effecten, risico’s en kansen koppelen aan thema’s

In dit stadium moet je kritisch denken en creativiteit gebruiken om te beslissen hoe je de cyberbeveiligingsgerelateerde gevolgen, risico’s en kansen kunt categoriseren. Het doel is om deze bevindingen te koppelen aan een duurzaamheidsthema, ook wel een duurzaamheidskwestie genoemd. Je hebt hier twee opties:

  • Toevoegen aan bestaande duurzaamheidszaken: Je kunt de gevolgen voor cyberbeveiliging afstemmen op bestaande zaken die in het ESRS worden beschreven, zoals privacy onder ESRS S1, S2, S3 of S4.
  • Een entiteitspecifieke kwestie maken: Als cyberbeveiliging niet netjes in bestaande categorieën past, kun je het definiëren als een entiteitspecifieke kwestie onder de relevante norm.


3. Scoor de gevolgen, risico’s en kansen

Zodra je de invloeden, risico’s en kansen hebt geïdentificeerd en gecategoriseerd, is de volgende stap om ze een score te geven op basis van de criteria die worden gebruikt in het DMA-proces. Deze score helpt bij het prioriteren van de kwesties die het meest relevant en belangrijk zijn voor je bedrijf.

Door de scores te evalueren, kun je bepalen welke duurzaamheidskwesties het belangrijkst zijn voor jouw bedrijf. Als cyberveiligheidskwesties hoog scoren, geeft dit aan dat dit een kritisch gebied is om over te rapporteren volgens het CSRD-raamwerk.

10 februari 2025

Lees ook

DNB roept pensioenfondsen op tot betere ...
Aan de slag met CSRD: Zorg voor een stev...
ESG verhoogt ook zelf de digitale voetaf...
ESG due diligence wint terrein
Ondanks Wereldspanningen blijven CFO’s i...
Alle artikelen

ESG Network

Erwin Wiersma
Co-Founder Solidflow
Erwin Wiersma
© 2024 - 2025
ESG Executive
-
website door
Lubach