Kybernetická bezpečnost jako ESG téma: Jak chránit data stakeholderů a řídit rizika v dodavatelském řetězci

Proč se kybernetická bezpečnost stává nedílnou součástí ESG

Ještě před pár lety figurovala kybernetická bezpečnost výhradně na radarech CIO a IT oddělení. S příchodem CSRD, evropské směrnice NIS2 a nebývalého počtu ransomwarových útoků se však ochrana dat, systémů a dodavatelských řetězců stává i strategickou otázkou udržitelnosti. Environmental a Social pilíř se opírají o kvalitní data; Governance naopak vyžaduje transparentní řízení rizik a odpovědnou správu. Bez robustní kybernetické hygieny nemůže firma věrohodně reportovat, plnit audity ani budovat důvěru investorů.

Z praxe víme, že prolomený ERP nebo únik osobních údajů zaměstnanců dokáže v jediném dni vymazat roky reputační práce. V konzultačním projektu pro jednu z největších českých energetik jsme po ransomwaru sledovali tři fáze dopadů: okamžitou nedostupnost SCADA systémů (E), ohrožení bezpečnosti zaměstnanců v terénu (S) a kritiku médií za nedostatečné kontroly (G). Jedno selhání tak vystřelilo riziko napříč všemi třemi pilíři ESG.

Co všechno ESG pohled na kyberbezpečnost obnáší

Regulační rámec

• NIS2 (2022/2555/EU) – povinné řízení kybernetických rizik pro vybrané odvětví a firmy nad 50 zaměstnanců či 10 mil. € obratu.
• DORA – evropské nařízení pro finanční sektor; vyžaduje testy odolnosti IT a třetích stran.
• GDPR & ePrivacy – ochrana osobních dat stakeholderů, incident reporting do 72 h.
• CSRD & ESRS G1 – governance část nefinančního reportu musí popsat kybernetické kontroly a incidenty.

Kromě nich se zvyšují očekávání investorů, kteří do dotazníků Sustainalytics nebo CDP zařazují otázky na Information Security Management Systems (ISMS).

Klíčové oblasti, které musí mít firma pod kontrolou)

1. Integrity dat ESG reportingu
Vaše uhlíková stopa i sociální KPI stojí na datech z více systémů. Třetí strana, která poskytne reasonable assurance, musí ověřit, že nedošlo k manipulaci. To vyžaduje:

• řízení přístupových práv (princip "need to know"),
• šifrování databází a záloh,
• evidenci a audit trail změn ve zdrojových systémech.

2. Ochranu osobních údajů stakeholderů
Zaměstnanci, zákazníci a komunita – tři skupiny, jejichž data se v ESG často zpracovávají (diverzita, práva spotřebitelů, participativní rozpočty). Každý reportovaný set musí mít:

1. právní základ dle GDPR,
2. minimalizaci rozsahu (data minimisation),
3. dokumentované období retence a bezpečný disposal.

3. Bezpečnost dodavatelského řetězce
Podle studií ENISA pochází 60 % incidentů z kompromitovaných dodavatelů. Udržitelná firma musí umět mapovat tier-1 i tier-2 partnery a vyžadovat alespoň základní úroveň ISMS (ISO/IEC 27001). Nástroje:

• dotazníky Supplier Cyber Security Assessment,
• osvědčení SOC 2 Type II,
• kontinuální threat intelligence.

4. Governance a odpovědnost
Představenstvo musí deklarovat dohledu nad kybernetickými riziky. Best practice je zřídit podvýbor Risk & Sustainability, který:

• schvaluje politiku kybernetické bezpečnosti,
• monitoruje key risk indicators (KRI),
• vyhodnocuje penetrační testy a red-team cvičení.

5. Kultura a školení
Dle našeho benchmarku 80 % phishing incidentů spustí administrativní pracovník. Povinné e-learningy nestačí; zavedli jsme „BE SECURE DAY“ – gamifikovaný hackaton, po kterém klesl click-rate o 47 %.

Osvědčený postup implementace krok za krokem

1. Kick-off a Quick Scan (Týden 1–3)

Začněte 30minutovým dotazníkem inspirovaným ISO 27001 Annex A. Výstup:

• Heat-mapa rizik (pravděpodobnost × dopad),
• seznam systémů kritických pro ESG data,
• prioritní akční body a odhad rozpočtu.

Náklady: interně 20–30 h; externě 40 000–60 000 Kč, pokud využijete konzultanta.

2. Analýza dvojí materiality pro kyberbezpečnost (Týden 4–8)

Kombinujte workshopy s vedením (dopad na EBIT, reputaci) a technické review IT. Výsledných pět – sedm materiálních témat zahrňte do matice ESRS G1. Příklad: „integrita uhlíkových dat“ – vysoký dopad na investiční rating, střední pravděpodobnost ztráty.

3. Politiky a cíle (Měsíc 3–4)

Sepsat a schválit Information Security Policy a Data Privacy Policy. Pro každý cíl definujte KPI a cílovou hodnotu (např. Mean Time to Detect ≤ 24 h do roku 2025).

• Vlastník: CISO,
• Schvalovatel: představenstvo,
• Rozpočet: 1–3 % IT CAPEX.

4. Implementace technických a procesních kontrol (Měsíc 4–12)

Technická opatření

• Zero-trust architektura a segmentace sítě,
• šifrování disků, databází a záloh (AES 256),
• EDR/XDR platforma s AI detekcí anomálií.

Procesní opatření

• vyřazení neudržovaných aplikací (end-of-life review),
• on-boarding a off-boarding matice přístupů,
• roční penetrační test s externím partnerem.

5. Supply-chain management (Měsíc 6–14)

Zařaďte kyber požadavky do RFI a kontraktů:

1. dodavatel musí předložit ISO 27001 nebo rovnocenný audit,
2. maximální oznamovací lhůta incidentu 24 h,
3. právo na on-site audit.

Pro kontinuální monitoring využijte SaaS nástroje typu Security Rating Services. Cena od 150 000 Kč ročně pro 50 dodavatelů.

6. Reporting a audit (Měsíc 12–16)

Po prvním cyklu sběru dat připravte kapitolu Technological & Information Security v sekci ESRS G. Obsah:

• popis governance a rizikových procesů,
• tabulka KPI (počet incidentů, MTTR, % dodavatelů s certifikací),
• plán zlepšování a investic.

Auditorská firma provede limited assurance; cena 120–250 tis. Kč pro SMB. Po roce 2028 se očekává reasonable assurance, rozpočet +40 %.

7. Neustálé zlepšování (Měsíc 17+)

Každý incident považujte za příležitost k učení. Doporučujeme After Action Review do 48 h od uzavření incidentu a čtvrtletní table-top test krizového plánu.

Checklist: Jste připraveni na audit kybernetické části ESG?

• ✓ Politika kybernetické bezpečnosti schválena vedením
• ✓ Mapa ICT systémů a datových toků završena
• ✓ Role CISO a Incident Response Team definovány
• ✓ Dodavatelé klasifikováni podle kritičnosti a vyhodnoceni
• ✓ Penetrační test a záložní obnovy provedeny max. před 12 měsíci
• ✓ KPI a KRI měříte a archivujete v centrální platformě
• ✓ Incidenty reportujete v souladu s GDPR a NIS2

Příklady úspěšných implementací

Automotive SME (280 zaměstnanců)

Výchozí stav: zastaralý fileserver, chybějící 2FA. Po migraci na cloud s MFA a zavedení SOC as-a-Service snížili mean time to contain z 48 h na 4 h. Investice 1,8 mil. Kč, úspora pojistného 320 tis. Kč/rok.

FinTech scale-up

Nasadil SBOM (Software Bill of Materials) a otevřenou politiku zranitelností. Výsledek: nulové úniky dat od spuštění, ESG rating „AA“ díky transparentní governance.

Energetika (TOP 10 ČR)

Integrovala ESG datovou architekturu do SIEM. Automatizovaný export XBRL zkrátil přípravu reportu o 6 týdnů.

Náklady a časová osa shrnuty

Fáze	Čas	Interní MD	Externí náklady (Kč)
Quick Scan + Materialita	2 měsíce	30	60 000
Politiky a cíle	1 měsíc	20	40 000
Implementace kontrol	8 měsíců	220	1 200 000
Supply-chain	4 měsíce	60	150 000
Reporting a audit	4 měsíce	80	200 000

Pozn. Čísla vycházejí z projektů realizovaných v letech 2021-2024 ve výrobním, finančním a IT sektoru.

Časté chyby a jak jim předejít

• Podcenění lidkého faktoru – investice do firewallu bez kontinuálního školení se nevrátí.
• Nepokrytý Shadow IT – aplikace mimo ERP a oficiální cloud unikají kontrolám.
• Nejasná odpovědnost – CISO bez pravomocí nedokáže prosadit opatření.
• Jednorázový audit bez follow-up – ESG je cyklus PDCA, nikoliv „odfajfkovaný“ report.

Závěr: Kyberbezpečnost jako linie obrany i ESG příležitost

Firmy, které integrují kybernetickou bezpečnost do governance, získají dvojí benefit: ochranu kritických dat a konkurenční výhodu při získávání kapitálu. Požadavky CSRD a NIS2 sice zvyšují nároky, zároveň však nabízejí jasné guidelines, jak procesy nastavit. Pokud začnete s Quick Scanem, vybudujete kulturu bezpečnosti a provážete IT s ESG reportingem, budete připraveni na audity i důvěru investorů.

Přečtěte si také

• ESG datová architektura: jak propojit systémy, zajistit integritu a auditovatelnost udržitelných dat
• Jak vybrat správný software nebo nástroje pro ESG: Praktický návod pro firmy