Logo Solidflow

Inloggen

Demo aanvragen
Demo aanvragen

CSRD en cyberbeveiliging

  • 4 Minuten
  • 7 februari 2025
Dame werkt aan cyberveiligheid
Delen
Afbeelding van Erwin Wiersma

Erwin Wiersma

Solidflow
In dit artikel lees je hoe je moet rapporteren over cyberbeveiliging volgens het CSRD-raamwerk. We bespreken hoe cyberbeveiliging aan bod komt in de dubbele materialiteitsbeoordeling en schetsen de belangrijkste stappen die nodig zijn om te zorgen voor nauwkeurige en conforme rapportage.

Een inleiding tot CSRD en cyberbeveiliging

CSRD en cyberbeveiliging zijn tegenwoordig allebei hot topics. Over het algemeen richt cyberbeveiliging zich op het beschermen van belanghebbenden tegen potentiële risico's, terwijl CSRD meer gaat over het rapporteren over deze risico's.

Er zijn rapportagenormen die zich specifiek richten op cyberbeveiliging, zoals het NIST Cybersecurity Framework, ISO/IEC 27001 en SOC 2. Aan de andere kant is CSRD een breder raamwerk dat een breed scala aan ESG-onderwerpen omvat.

Hoewel cyberbeveiliging en MVO niet direct hetzelfde zijn, kan hun raakvlak zeer relevant zijn voor bepaalde bedrijven. Dit geldt met name voor bedrijven die onder CSRD vallen en dagelijks te maken hebben met cyberbeveiliging, zoals softwarebedrijven.

Hoewel cyberbeveiliging niet expliciet wordt genoemd in het CSRD-raamwerk, kan het toch waardevol zijn om het op te nemen in jouw rapportage, omdat het aansluit bij het kerndoel van CSRD. Aangezien CSRD gaat over het informeren van belanghebbenden over milieu-, sociale en bestuurskwesties (ESG), kan rapportage over cyberbeveiliging aantonen dat je jezelf inzet voor de bescherming van gegevens en de algehele veerkracht van jouw bedrijf.

Korte samenvatting van de basisprincipes CSRD

CSRD is een rapportagekader dat zich richt op onderwerpen op het gebied van milieu, maatschappij en goed bestuur (ESG). Het is van toepassing op bedrijven met meer dan €50 miljoen omzet, €25 miljoen aan activa of meer dan 250 werknemers.

Het belangrijkste doel van CSRD is om belanghebbenden te informeren met behulp van een gestandaardiseerd raamwerk, zodat ze de duurzaamheidsinspanningen van bedrijven kunnen vergelijken. Dit vergroot de transparantie en stimuleert indirect tot meer verantwoorde investeringen.

CSRD begint met een dubbele materialiteitsbeoordeling (DMA). In dit proces identificeer je welke duurzaamheidsonderwerpen het meest relevant zijn voor jouw bedrijf in termen van impact, risico's en kansen. Om de impact te beoordelen, kijk je naar hoe jouw bedrijf mensen en de planeet beïnvloedt. Voor risico's en kansen onderzoek je hoe mensen en de planeet risico's of kansen kunnen vormen voor jouw bedrijf.

Als je DMA is afgerond, ga je verder met rapporteren volgens de CSRD European Sustainability Reporting Standards (ESRS). De specifieke ESRS waarover je moet rapporteren, wordt bepaald door de uitkomsten van jouw DMA. Als bijvoorbeeld vast werk in je DMA als relevant wordt aangemerkt, moet je rapporteren onder CSRD ESRS S1.

Hoe rapporteer je over cyberbeveiliging onder CSRD?

Zoals eerder vermeld, wordt cyberbeveiliging niet expliciet behandeld in het CSRD-kader. Dit betekent dat er geen directe rapportageverplichtingen aan dit onderwerp zijn verbonden. Het negeren van cyberbeveiliging is echter niet de beste aanpak, vooral niet voor bedrijven die er dagelijks mee te maken hebben.

Concluderend: hoewel er geen formele eis is om te rapporteren over cyberbeveiliging onder CSRD, is het een onderwerp dat niet over het hoofd mag worden gezien. Laten we eens kijken waarom cyberbeveiliging aandacht verdient in de context van CSRD.

Waarom rapporteren over cyberbeveiliging in het kader van het CSRD?

CSRD gaat over het informeren van belanghebbenden over je ESG-prestaties en dit proces begint met de dubbele materialiteitsbeoordeling (DMA). In de DMA evalueer je zowel de werkelijke en potentiële impact van je bedrijf op mensen en de planeet, als de risico's en kansen die voortvloeien uit deze factoren.

Dit is waar cyberbeveiliging om de hoek komt kijken. Denk bijvoorbeeld aan een socialemediaplatform. Een datalek als gevolg van een cyberaanval kan een aanzienlijke negatieve impact hebben op hun gebruikers doordat hun persoonlijke gegevens worden blootgelegd. Bovendien kan dit financiële risico's voor het bedrijf met zich meebrengen, zoals boetes wegens het niet beschermen van gebruikersgegevens.

Idealiter zouden bedrijven moeten rapporteren over hun beleid, acties en doelstellingen om dergelijke schendingen te voorkomen en gerelateerde risico's te beperken. Door dit te doen laten ze zien dat ze zich duidelijk inzetten voor de sociale aspecten van het CSRD-kader, met name onder CSRD ESRS S4, die zich richt op consumenten en eindgebruikers.

Voorbeeld van eindgebruikers voor CSRD voor cyberbeveiliging

Hoe rapporteer je over cyberbeveiliging onder CSRD?

Er zijn verschillende manieren om te rapporteren over cyberbeveiliging, en de volgende hoofdstukken zullen hier dieper op ingaan. Laten we nu even generaliseren: als cyberbeveiliging een belangrijk onderwerp is voor je bedrijf, kun je het opnemen als een extra duurzaamheidskwestie, bovenop de bestaande. Dit staat bekend als een entiteitspecifieke kwestie.

Zodra deze kwestie is geïdentificeerd, kan ze worden gekoppeld aan een ESRS. De meest gebruikelijke keuze is ESRS S4, aangezien cyberbeveiliging vaak betrekking heeft op de bescherming van de privacy van eindgebruikers. Als jouw bedrijf echter een aanzienlijke hoeveelheid vertrouwelijke gegevens over het eigen personeel verwerkt, kan het onderwerp worden gekoppeld aan ESRS S1, dat zich richt op het personeel.

Na het koppelen van het onderwerp aan een ESRS, heb je twee opties. Je kunt cyberbeveiliging aan de orde stellen binnen het bestaande beleid, de bestaande acties en de bestaande doelen met betrekking tot die ESRS, of je kunt aanvullende openbaarmakingsvereisten opstellen. In dit geval rapporteer je vrijwillig over cyberbeveiliging. Zorg er in dit geval voor dat de informatie aansluit bij de bredere vereisten van de betreffende ESRS.

Cyberveiligheid in de dubbele materialiteitsbeoordeling

Het uitvoeren van de DMA is een cruciaal onderdeel van het CSRD-proces. De resultaten van deze beoordeling bepalen welke gegevens het bedrijf moet verzamelen en rapporteren in het kader van het CSRD ESRS. Dit hoofdstuk schetst een holistische benadering van de DMA, met de nadruk op hoe cyberbeveiliging in het proces kan worden geïntegreerd.

1. Effecten, risico's en kansen vinden

Een goed startpunt voor de DMA is het schetsen van de activiteiten van je bedrijf. Identificeer voor elke activiteit de middelen die worden gebruikt. Zodra je deze lijst hebt, kun je beginnen met het identificeren van de gevolgen, risico's en kansen die verband houden met deze activiteiten en middelen.

Als je bedrijf bijvoorbeeld software ontwikkelt voor consumenten, kan een mogelijke impact een datalek zijn, waarbij persoonlijke informatie toegankelijk wordt voor hackers. Deze negatieve impact moet worden gedocumenteerd en gerapporteerd.

Aan de andere kant zijn er ook kansen. Als je bedrijf bijvoorbeeld software verkoopt aan bedrijven, kunnen sterke cyberbeveiligingsmaatregelen vertrouwen opbouwen bij potentiële klanten, wat leidt tot meer inkomsten.

In dit stadium moet je kritisch denken en creativiteit gebruiken om te beslissen hoe je de cyberbeveiligingsgerelateerde gevolgen, risico's en kansen kunt categoriseren. Het doel is om deze bevindingen te koppelen aan een duurzaamheidsthema, ook wel een duurzaamheidskwestie genoemd. Je hebt hier twee opties:

  • Toevoegen aan bestaande duurzaamheidszaken: Je kunt de gevolgen voor cyberbeveiliging afstemmen op bestaande zaken die in het ESRS worden beschreven, zoals privacy onder ESRS S1, S2, S3 of S4.
  • Een entiteitspecifieke kwestie maken: Als cyberbeveiliging niet netjes in bestaande categorieën past, kun je het definiëren als een entiteitspecifieke kwestie onder de relevante norm.

3. Scoor de gevolgen, risico's en kansen

Zodra je de invloeden, risico's en kansen hebt geïdentificeerd en gecategoriseerd, is de volgende stap om ze een score te geven op basis van de criteria die worden gebruikt in het DMA-proces. Deze score helpt bij het prioriteren van de kwesties die het meest relevant en belangrijk zijn voor je bedrijf.

Door de scores te evalueren, kun je bepalen welke duurzaamheidskwesties het belangrijkst zijn voor jouw bedrijf. Als cyberveiligheidskwesties hoog scoren, geeft dit aan dat dit een kritisch gebied is om over te rapporteren volgens het CSRD-raamwerk.

Cyberveiligheid volgens de rapporteringsstandaarden

Zodra de DMA is voltooid, kun je verdergaan met de fase van gegevensverzameling. Als cyberbeveiliging is geïdentificeerd als een materieel onderwerp en onder een specifieke sociale norm valt, moet je (gedeeltelijk) rapporteren over de vereisten met betrekking tot die norm.

Cyberbeveiliging gekoppeld aan privacy volgens sociale normen

In het eerste scenario kun je besluiten om cyberbeveiliging onder te brengen bij het onderwerp privacy. In dat geval moet je rapporteren over de gegevenspunten met betrekking tot privacy zoals beschreven in de ESRS-normen. Als privacy bijvoorbeeld een belangrijk punt van zorg is voor jouw bedrijf en je eindgebruikers, moet je privacygerelateerde gegevenspunten rapporteren onder ESRS S4.

Veel van deze privacygerelateerde gegevenspunten richten zich op het bedrijfsbeleid. Dit geeft je de kans om jouw bestaande cyberbeveiligingsbeleid te benadrukken. Netcompany richt zich bijvoorbeeld op hun privacybeleid in hun Netcompany jaarverslag op pagina 134, waar ze maatregelen beschrijven met betrekking tot de bescherming van eindgebruikersgegevens.

Cyberbeveiliging onder entiteitspecifieke datapunten

In andere gevallen kun je ervoor kiezen om jouw eigen entiteitspecifieke gegevenspunten met betrekking tot cyberbeveiliging te introduceren. Hierbij kun je denken aan informatie over de financiële middelen die worden toegewezen aan initiatieven op het gebied van cyberbeveiliging of de manier waarop medewerkers worden getraind om veilig te werken en cyberaanvallen te voorkomen.

Door dergelijke gegevenspunten op te nemen, laat je zien dat je bedrijf zich inzet voor cyberbeveiliging. Ongeacht de aanpak is het raadzaam om samen te werken met deskundigen op het gebied van cyberbeveiliging of speciale rapportagesoftware te gebruiken. Dit helpt fouten te minimaliseren en zorgt ervoor dat de informatie wordt gepresenteerd op een manier die voldoet aan de auditvereisten en de juiste zekerheid kan krijgen.

Maak je CSRD rapportage makkelijk en snel
Inhoudsopgave

Gerelateerde berichten
Persoon die CSRD-dashboard bouwt
  • 11 februari 2025
  • 4 Minuten
Een CSRD dashboard bouwen
Thumbnail CSRD en ESEF
  • 8 januari 2025
  • 4 Minuten
ESEF gebruiken voor naleving van CSRD
CDP- en CSRD-informatie
  • 9 december 2024
  • 3 minuten
Vergelijking CSRD en CDP

Onze Solidflow website maakt gebruik van cookies om je ervaring te verbeteren en een goede werking te garanderen. Door onze cookies te accepteren, ga je akkoord met het gebruik ervan. Lees voor meer informatie onze privacybeleid.

Cookies accepteren
Sluit dit