ESG (Environmental, Social, and Governance) möjliggör för organisationer att visa att de tar sitt sociala och miljömässiga ansvar på allvar.
Årsredovisningar detaljerar vidtagna åtgärder och erkänner de risker som människor och miljön utsätts för, vilket tillåter parter som försäkringsgivare och investerare att bedöma riskerna därefter.
Cybersäkerhet i sig är inte en del av dessa insatser. Detta verkar förvånande när man tänker på att det är direkt ansvarigt för att skydda människors data, säkerställa att system förblir operativa och att företaget kan uppfylla sitt uppdrag till sina aktieägare och den bredare ekonomin.
För investeringsgemenskapen har detta varit anledning till oro. Förra året undersökte investeringschefer på Lombard Odier cybersäkerhetsriskerna inom portföljföretag och fastställde att en femtedel använde föråldrad programvara. Tillgångsförvaltare kräver nu att ESG-processer tillämpas mycket mer omfattande för att skydda sina fonder och trycka på dessa företag att förbättra sin cyberhygien genom regelbunden patchning. Det avslöjade hur frånvarande cybersäkerhet har varit från bedömningen av företag och att investerare och andra tredje parter både vill och behöver att denna riskaspekt bedöms och avslöjas. Nu verkar det som att reglerarna håller på att komma ikapp.
Ändringar i ESG-regleringar
I USA antog Securities and Exchange Commission (SEC) en regel i juli som kräver att organisationer årligen avslöjar information om sin cybersäkerhetsriskhantering, strategi och styrning. Utöver rapportering av avslöjanden, som ska ske inom fyra arbetsdagar efter en incident, kommer företag nu att behöva detaljera sina processer för att mildra incidenten samt eventuella risker på grund av överträdelsen och tidigare incidenter, inklusive styrelsens tillsyn över risker och hantering av högre ledning.
Det är en liknande historia i Europa, där organisationer som verkar inom Europeiska unionen (EU) eller gör affärer med organisationer baserade där kommer att krävas att lämna in en standardiserad ESG-rapport enligt direktivet om företags hållbarhetsrapportering. Det obligatoriska direktivet omfattar nästan 50 000 företag, inklusive små och medelstora företag (SME), som kommer att behöva rapportera för räkenskapsåret som slutar 2025, medan icke-EU-företag med filialer eller dotterbolag inom EU med en nettoomsättning över 150 miljoner euro måste följa från januari 2029. (Deloitte ger en utmärkt sammanfattning av konsekvenserna av CSRD för amerikanska företag).
Fredrik Jubran, regional manager, Logpoint
Kraven på avslöjande är antingen obligatoriska eller väsentliga, där det senare följer principen om ”dubbel materialitet”. Detta är företagets inverkan på miljön, ekonomin och samhället och vice versa, nämligen hur makrotrender påverkar dess egna operationer. Ur ett cybersäkerhetsperspektiv spelar cyber till alla sociala standarder i European Sustainability Reporting Standard (ESRS), inklusive ESRS 2 som täcker allmän avslöjande, ESRS S1-S4 (egen arbetskraft, arbetare i värdekedjan, berörda samhällen, konsumenter och slutanvändare) och styrningsstandard ESRS G1 om affärsuppförande. Den avsedda publiken för rapporterna sträcker sig utöver finansmarknaderna till andra intressenter, och återigen har direktörer skyldigheter enligtCSRD, inklusive etablering och övervakning av due diligence-processer.
Etiska beslutsprocesser
Dessa välkomna utvecklingar kommer att ge mycket eftertraktad transparens och hjälpa till att anpassa ESG med andra etiska ramverk, såsom FN:s mål för hållbar utveckling (SDGs). Dess principer inkluderar mål för att ta itu med fattigdom, ojämlikhet, klimatförändringar, miljöförstöring, fred och rättvisa. Dessa är också tillämpliga i ett cybersäkerhetssammanhang. Till exempel kan bygga resilient infrastruktur enligt SDG 9 tolkas som behovet av att skydda kritisk nationell infrastruktur. Att bygga effektiva, ansvarstagande och inkluderande institutioner med offentlig tillgång till information enligt SDG 16 kan tolkas som effektiv implementering av dataskyddsregleringar. Följaktligen ser etiska investerare nu på organisationer och till och med cybersäkerhetsleverantörer som strävar efter att implementera dessa principer.
Så, varför inkluderas cybersäkerhet nu äntligen i ESG? För det första finns det en medvetenhet om att en cyberattack kan vara mycket skadlig för företaget, men lika viktigt är hur den risken hanteras. Cyberförsäkringsleverantörer och investerare vill ha försäkran om att dessa processer finns på plats, och ESG-betygsättningsbyråer överväger nu cybersäkerhet när de riskbedömer företag av denna anledning. Om detektering av hot och svar på incidenter finns på plats och incidenten hanteras väl, kan detta begränsa effekten och möjliggöra för företaget att återhämta sig snabbt, skydda aktiekursen.
Förvärrade geopolitiska spänningar har också ökat antalet attacker sponsrade av stater och organiserade brottsliga gäng (OCG), medan tekniska framsteg har minskat kostnaderna för att orkestrera attacker. Samtidigt hotar en växande kompetensbrist att underminera företagens säkerhetsinsatser, så det finns ett verkligt behov av att regleringar träder in och höjer riskbedömningen. Det är ingen överdrift att säga att motståndskraft inte längre bara ligger i företagets eller dess kunders intresse utan också i de nationer/som det verkar inom.
Slutligen växer efterfrågan från det bredare samhället att organisationer ska stiga upp och skydda data, tillgångar och system och vara ansvariga om de misslyckas med att göra så. Konsekvenserna av ett brott är inte lokaliserade. Det kan påverka det bredare ekosystemet och till och med hela leveranskedjor. Kostnaden är inte enbart finansiell, med omfattande konsekvenser för samhället och de individer som påverkas. Så det är rimligt att cybersäkerhetsprocesser nu måste dokumenteras. Frågan är hur man gör detta på ett sätt som inte äventyrar försvar.
Framåt kommer organisationer att behöva se över hur de kan möta kraven i de jurisdiktioner de verkar inom, tilldela ansvar och se till att deras årsrapportering är både retrospektiv och skisserar planer för framtiden. Förenkling av befintliga cybersäkerhetsförsvarssystem kommer att vara nödvändigt för att minska komplexiteten och ge en tydlig överblick över hotdetektering, respons och rapporteringsfunktioner. Det kommer att kräva en enorm förändring i tankesättet men kan också hjälpa organisationer att bli smidigare i sin incidentrespons och ses som mer proaktiva, som visas i deras årsredovisningar.
Av Fredrik Jubran, regional manager, Logpoint
