Cyber Risk e ESG: guida per integrare la sicurezza nei report di sostenibilità

Con l’entrata in vigore della Corporate Sustainability Reporting Directive (CSRD) e l’obbligo di adottare gli European Sustainability Reporting Standards (ESRS), il rischio cyber non è più un tema tecnico: è un fattore di sostenibilità strategico.

Includere la cybersecurity nei report ESG permette a CISO, IT Manager e Chief Sustainability Officer di:

• Qualificare il rischio cyber come rischio ESG rilevante
• Dimostrare resilienza e governance digitale nel bilancio non finanziario

Questa guida offre una roadmap completa: dalle metriche ai riferimenti normativi, dai template pronti all’uso agli esempi pratici.

Perché il rischio cyber è anche un rischio ESG

Environmental (E)

• Downtime dei datacenter provoca consumo elettrico inefficace e aumento emissioni
• Attacchi a sistemi smart grid minacciano infrastrutture ambientali
• Dismissione accelerata di hardware compromesso

Social (S)

• Loss of privacy per cittadini e clienti
• Disservizi su servizi essenziali: sanità, PA, scuola
• Perdita reputazione → churn dei clienti

Governance (G)

• Governance debole sui rischi digitali
• Carenza di supervisione board su cybersecurity
• Gestione frammentata dei fornitori critici

Gli asset digitali sono ora vere “infrastrutture critiche” da raccontare nei report ESG.un attacco ransomware che blocca l’erogazione di servizi sanitari a migliaia di utenti vulnerabili è classificabile come impatto ESG severo (S + G).

Come integrare il rischio cyber nel report ESG

Valutazione della materialità

Identifica se il rischio cyber:

• Può impattare la continuità dei servizi critici
• Coinvolge dati personali o asset sensibili
• Influenza stakeholder ESG-sensibili (es. settore pubblico, pazienti, scuole)
• Ha già causato eventi significativi negli ultimi 2–3 anni

Se almeno uno di questi è vero → considera il rischio cyber materiale ai fini CSRD.

Definizione di KPI ESG-cyber

Esempi di indicatori misurabili:

• Numero incidenti cyber significativi (>€100.000 di impatto)
• % asset critici protetti da MFA, EDR o XDR
• MTTR (Mean Time to Recovery)
• % dipendenti formati su rischio cyber
• % fornitori coperti da TPRM (vendor risk)
• Esistenza di cyber insurance e livello di copertura

Utilizza dashboard GRC o piattaforme ESG per integrare questi dati in tempo reale.

Collegamento con policy e governance

Nel report ESG vanno documentati:

• Policy di sicurezza in linea con ISO/NIS2
• Procedure di RA (Risk Assessment) integrate
• Struttura di governance cyber: CISO, comitati, escalation path
• Incident register (audit trail, comunicazione alle autorità)

→ Allegati utili: report audit ISO 27001, simulazioni FAIR, estratto Risk Register.

Integrazione nel bilancio di sostenibilità

Dove collocare il rischio cyber nel report:

• Sezione “Risk Factors” → mappa rischio + resilienza
• Capitolo Governance & Digital Responsibility
• Appendice con KPI, dashboard e incident log
• Dichiarazione due diligence digitale e link certificazioni (es. ISO 27001, SOC2)

Quadro normativo: obblighi e linee guida

CSRD & ESRS

Dal 2024, le imprese UE sono chiamate a integrare ESG nel reporting ufficiale. Rilevanti sezioni:

• ESRS 2 → disclosure GRC e risk governance
• ESRS G1 → cyber policy, incidenti, difese attive
• ESRS S1 → formazione e sicurezza del personale
• ESRS RMG → resilienza, incidenti materiali

Altri riferimenti normativi

• NIS2 Art. 21 → misure proporzionate al rischio
• ISO/IEC 27001:2022 A.5.2, A.5.4, A.6.3 → governance e risk management
• GDPR Art. 33 → notifica breach in 72h
• DORA Art. 19 → resilienza informatica nel settore finanziario

Misure concrete per CISO e Sustainability

• Coinvolgimento ESG team durante Red Team e Risk Assessment
• Sintesi annuale Cyber Risk ESG Summary: KPI, incidenti, controlli, remediation
• Linguaggio chiaro, non tecnico: focalizzato su impatto
• Collaborazione sul supply chain risk (TPRM) ed esercizi tabletop

Integrazione nel bilancio ESG

Sezioni consigliate:

• Governance & Risk: struttura cyber + incidenti + esiti
• Due Diligence Digitale: audit, certificazioni, RA FAIR
• Risk Factors: impatti quantitativi
• Appendici: framework CSRD/ESRS, KPI, esempi, runbook

Esempi settoriali

Finanza

Molte banche europee integrano la resilienza cyber (DORA) e KPI auditabili nei file ESG, con asset MFA, incidenti e readiness dc-level.

Sanità

Strutture pubbliche e ospedali riportano downtime, incidenti su dati PHI, % formazione IR sulle linee guida GDPR e HIPAA.

Manifattura

Target ICS/OT: KPI % sensori monitorati, risultati penetration test, resilienza supply chain. Implementano audit NIS2 e simulazioni tabletop.

Mini checklist operativa ESG-Cyber

• Materialità cyber validata?
• KPI definiti e misurabili?
• Governanza e policy allineati a ISO/NIS2?
• Incident register aggiornato?
• Report draft già mappati nel template?
• Coordinamento tra ESG e IT operativo?

❓FAQ

• Quali sezioni del report ESG includono il cyber risk?
• Deve essere presente nella parte “Governance & Risk” (ESRS 2/G1), e se impatta persone, anche “Social” (ESRS S1).
• È obbligatorio misurare KPI cyber?
• Sì, CSRD richiede KPI misurabili. Credibilità e comparabilità dipendono da dati e metriche.
• Cosa fare se non ci sono incidenti?
• Reportare l’assenza di incidenti e dimostrare readiness con audit, formazione e controlli preventivi.

Errori da evitare

• Escludere i fornitori critici → supply chain non protetta
• Ignorare il rischio cyber → report ESG incompleto e non fedele
• Solo policy senza metriche → non dimostra maturità
• No incident register → rende poco credibile la dichiarazione
• Assenza di sinergia con team ESG e Legal

Glossario tecnico

• Risk Assessment: processo strutturato di analisi del rischio cyber
• Double Materiality: impatto sul business e sui vari stakeholder
• (MTTR) Mean Time To Recovery: tempo medio di ripristino dagli incidenti
• (TPRM) Third-Party Risk Management: valutazione del rischio fornitore
• Disconnected Risk: rischi non rappresentati in report ESG
• Incident Register: documento ufficiale di tutti gli incidenti rilevanti

📥 Scarica il Template “Cyber Risk & ESG”

Guida PDF + Word con sezioni precompilate, KPI, mapping ESRS, consigli operativi.
👉🏻 Download gratuito – nessuna registrazione