W cyfrowej rzeczywistości firmy z sektora MŚP stoją przed wyzwaniem łączenia celów zrównoważonego rozwoju z ochroną wrażliwych danych. Środowiskowe raporty, dane pracowników i operacyjne stają się cennymi zasobami – ich utrata czy nieprawidłowe zarządzanie grozi szkodami finansowymi, wizerunkowymi i utratą zaufania klientów. Wraz z nowymi regulacjami i rosnącą świadomością interesariuszy cyberbezpieczeństwo w kontekście ESG nabiera kluczowego znaczenia: obejmuje zabezpieczanie informacji środowiskowych, społecznych i korporacyjnych. 5 czerwca 2025 r. odbył się webinar „Zrównoważony rozwój i dane wrażliwe – jak chronić firmę i interesariuszy w cyfrowym świecie?”, w którym Jolanta Okońska-Kubica z Krajowej Izby Gospodarczej i Renata Kania z T-Mobile przedstawiły praktyczne aspekty ESG oraz cyberbezpieczeństwa.
MŚP – zrównoważony rozwój w praktyce
Dla małych i średnich firm wyzwania ESG idą w parze z cyberbezpieczeństwem i odpowiedzialnością prawną. Po pierwsze – gromadzenie i raportowanie danych. Firmy ujawniają w raportach nie tylko wyniki finansowe, lecz także szczegóły wpływu na środowisko i muszą realizować obowiązki informacyjne wynikające z RODO czy dyrektywy NIS2. To powoduje, że dane środowiskowe, operacyjne czy społeczne nabierają statusu danych wrażliwych. W praktyce oznacza to konieczność klasyfikowania ich jako poufne, wprowadzania zabezpieczeń (szyfrowanie, backup, monitoring), a także przygotowania procedur reakcji na incydenty (tzw. playbooki). Brak takich działań może prowadzić do utrudnienia działalności, kar finansowych i utraty zaufania klientów – atak na dane wrażliwe to ryzyko zarówno prawne, jak i wizerunkowe.
Dlaczego dane ESG są wrażliwe?
Dane środowiskowe, takie jak pomiary emisji CO₂ czy ilość wytwarzanych odpadów, mogą wpaść w niepowołane ręce i posłużyć do manipulacji wynikami raportów zrównoważonego rozwoju. Równocześnie informacje społeczne o pracownikach (np. płace, przynależność związkowa, stan BHP) są objęte przepisami RODO i wymagają szczególnej ochrony prywatności. Dodatkowo strategia korporacyjna (cele ESG, polityki, kwestie dotyczące ryzyka i compliance) to dane, które w rękach konkurencji bądź cyberprzestępców mogą stać się bezcennym źródłem przewagi rynkowej.
Cyberbezpieczeństwo i dane ESG to nierozłączne elementy zrównoważonego rozwoju firm. Zwraca na to uwagę Renata Kania, Liderka Zespołu Produktów Security, Główna Specjalistka ds. Security Awareness w T-Mobile:
„W kontekście ESG cyberbezpieczeństwo nie jest tylko dodatkowym elementem — jest fundamentem zaufania. Musimy zapewnić, że wszystkie dane środowiskowe i społeczne są chronione przez cały cykl życia, od pomiarów po udostępnianie. Tylko wtedy interesariusze będą pewni, że raporty i decyzje są wiarygodne.”
Wdrożenie ESG to również szansa dla MŚP w uzyskaniu konkurencyjnej przewagi. Przedsiębiorstwo transparentnie dbające o klimat, aspekty społeczne, ład korporacyjny, w tym bezpieczeństwo danych, buduje przewagę konkurencyjną i zaufanie interesariuszy. Przykładowo, kwestie środowiskowe (ślad węglowy, efektywność energetyczna) już są istotne w łańcuchach dostaw – jak pokazała ankieta przeprowadzona podczas webinaru, 76% partnerów biznesowych dopytuje uczestników ankiety o ślad węglowy. Dlatego warto postawić ESG w centrum strategii przedsiębiorstwa: opracować politykę bezpieczeństwa, obejmującą dane środowiskowe jako poufne, i zadbać o techniczne zabezpieczenia (np. szyfrowanie danych ESG, segmentację sieci, regularne testy odporności).
Jak słusznie zauważa Jolanta Okońska-Kubica, Przewodnicząca Komitetu ds. ESG KIG, Dyrektor Zarządzająca w ENVIPOL:
„ESG to przede wszystkim holistyczne podejście do biznesu, które łączy cele środowiskowe, społeczne i korporacyjne z konkretnymi działaniami operacyjnymi. Odpowiedzialność za środowisko i społeczność nie może być tylko w sferze deklaracji – musi przełożyć się na procedury i narzędzia, które realnie chronią interesy wszystkich interesariuszy. Tylko wtedy firmy zyskają prawdziwe zaufanie rynku i będą zdolne do długofalowego, zrównoważonego rozwoju.”
Rys. 1. Według badania przeprowadzonego wśród Uczestników webinaru aż 76% ankietowanych wskazało, że kontrahenci pytają ich o ślad węglowy (źródło: dane z ankiety przeprowadzonej podczas webinaru)
Jak słusznie zauważa Jolanta Okońska-Kubica, Przewodnicząca Komitetu ds. ESG KIG, Dyrektor Zarządzająca w ENVIPOL:
„ESG to przede wszystkim holistyczne podejście do biznesu, które łączy cele środowiskowe, społeczne i korporacyjne z konkretnymi działaniami operacyjnymi. Odpowiedzialność za środowisko i społeczność nie może być tylko w sferze deklaracji – musi przełożyć się na procedury i narzędzia, które realnie chronią interesy wszystkich interesariuszy. Tylko wtedy firmy zyskają prawdziwe zaufanie rynku i będą zdolne do długofalowego, zrównoważonego rozwoju.”
Regulacje prawne i dobre praktyki – jakie wnioski?
Podczas webinaru „Zrównoważony rozwój i dane wrażliwe – jak chronić firmę
i interesariuszy w cyfrowym świecie?” ekspertki omówiły zagadnienia od ogólnej polityki do konkretów technicznych. Spotkanie podzielono na trzy wzajemnie powiązane obszary: regulacje prawne, dobre praktyki zarządzania cyklem życia danych ESG oraz mierzalne techniczne zabezpieczenia.
Firmy powinny uwzględnić w swoich procedurach cztery podstawowe etapy związane z przepisami:
- Pozyskiwanie danych: wymaga uzyskania odpowiednich zgód oraz zapewnienia wiarygodnych metod pomiaru (np. właściwie skalibrowanych czujników środowiskowych).
- Przechowywanie danych: dane mogą być trzymane lokalnie lub w chmurze, jednak każde rozwiązanie musi zapewnić szyfrowanie i backup w regularnych odstępach czasu, aby zapobiegać utracie informacji w przypadku awarii sprzętu czy ataku ransomware.
- Używanie i analiza: procesy analityczne (np. sporządzanie raportów ESG) wymagają kontroli dostępu oraz monitoringu zdarzeń, by weryfikować, kto i kiedy miał wgląd do wrażliwych zestawów danych.
- Udostępnianie i archiwizacja: przekazywanie raportów partnerom handlowym wymaga stosowania bezpiecznych połączeń (VPN) oraz polityk współdzielenia dokumentów. Archiwizacja w zewnętrznych repozytoriach musi być realizowana z zachowaniem bezpiecznych nośników i zasady retencji, a usuwanie danych odbywa się wyłącznie po użyciu narzędzi zapewniających trwałe skasowanie.
W kontekście prawnych regulacji, które są skorelowane ze zrównoważonym rozwojem i danymi wrażliwymi, ekspertki omówiły przepisy prawne wynikające z unijnych aktów prawnych:
- RODO – dane osobowe pracowników (w tym szczególne kategorie, np. zdrowotne, zagrożenia BHP czy przynależność związkowa) wymagają podstawy prawnej i szczególnej ochrony,
- NIS2 – rozszerzenie katalogu podmiotów oraz nałożenie na nie obowiązków zarządzania ryzykiem, zgłaszania incydentów i odpowiedzialności zarządów. MŚP dostarczające usługi lub produkty podmiotom krytycznym mogą zostać objęte dyrektywą, co dodatkowo zobowiązuje do audytowania zabezpieczeń w łańcuchu dostaw,
- CSRD – konieczność wnikliwego raportowania niefinansowego, w tym informacji o wpływie na środowisko i społeczeństwo, objętych późniejszym audytem.
Mierzalne, techniczne zabezpieczenia danych ESG
Jakie można wdrożyć konkretne środki organizacyjne i techniczne, które mogą wdrożyć MŚP, aby skutecznie chronić dane ESG? Warto zwrócić uwagę na następujące elementy:
- Szyfrowanie end-to-end oraz segmentację sieci, co pozwala odseparować zasoby środowiskowe i raporty ESG od reszty infrastruktury,
- Regularne testy odporności, by weryfikować podatność na ataki zanim staną się realnym zagrożeniem,
- Monitorowanie zdarzeń w czasie rzeczywistym – integracja logów systemowych, telemetrycznych oraz raportów ESG w jednym repozytorium umożliwia szybką detekcję nieprawidłowości, takich jak próby manipulacji danymi o emisjach CO₂,
- Opracowanie playbooków incydentów, które określają kroki reagowania na wyciek danych ESG: od izolacji zagrożenia, poprzez zgłoszenie do CERT, aż po długoterminowe raportowanie zdarzeń do zarządu w maksymalnie 72 godziny.
Jak T-Mobile wspiera ochronę danych wrażliwych?
Łączenie ESG z bezpieczeństwem danych to konieczność, a T-Mobile ma w swoim portfolio usługi, które ułatwiają firmom wdrożenie dobrych praktyk, np.:
- Security Operations Center (SOC) – całodobowe monitorowanie incydentów oraz analiza zagrożeń, wspierające filar „G” (Governance) poprzez odpowiedzialne zarządzanie ryzykiem i zachowanie ciągłości działania,
- Cyber Guard® – ochrona urządzeń mobilnych i stacjonarnych przed phishingiem, malware i ransomware, co pomaga zabezpieczyć dane osobowe i środowiskowe wrażliwe na manipulacje,
- Cyber Know – platforma edukacyjna do symulacji ataków phishingowych i smishingowych, budująca świadomość pracowników i kluczowo wspierająca filar „S” (Social) poprzez tworzenie kultury cyberodporności.
ESG i cyberbezpieczeństwo: klucz do odpornych struktur MŚP
Połączenie działań ESG i cyberbezpieczeństwa to nie tylko wymóg zgodności z regulacjami, lecz także element strategii budującej odporność przedsiębiorstwa. Małe i średnie firmy, które zignorują aspekt ochrony danych środowiskowych czy korporacyjnych, narażają się na kary finansowe, utratę zaufania klientów i ryzyko wejścia na niekorzystne warunki w łańcuchu dostaw. Wdrażając weryfikację dostawców, szyfrowanie, segmentację sieci oraz systematyczne testy odporności, przedsiębiorstwa nie tylko spełniają wymagania RODO, NIS2 czy CSRD, lecz także uzyskują przewagę konkurencyjną.
ESG i dane wrażliwe to dziś dwa splecione obszary, których każdy przedsiębiorca MŚP powinien być świadomy. Stosując mierzalne metryki (np. ślad węglowy) i dbając o cyberhigienę pracowników, firma buduje reputację odpowiedzialnego i odpornego partnera.
Nagranie z webinaru „Zrównoważony rozwój i dane wrażliwe – jak chronić firmę i interesariuszy w cyfrowym świecie?” można obejrzeć tutaj:
