ESG i dane wrażliwe – jak chronić firmę i interesariuszy w cyfrowym świecie?

W cyfrowej rzeczywistości firmy z sektora MŚP stoją przed wyzwaniem łączenia celów zrównoważonego rozwoju z ochroną wrażliwych danych. Środowiskowe raporty, dane pracowników i operacyjne stają się cennymi zasobami – ich utrata czy nieprawidłowe zarządzanie grozi szkodami finansowymi, wizerunkowymi i utratą zaufania klientów. Wraz z nowymi regulacjami i rosnącą świadomością interesariuszy cyberbezpieczeństwo w kontekście ESG nabiera kluczowego znaczenia: obejmuje zabezpieczanie informacji środowiskowych, społecznych i korporacyjnych. 5 czerwca 2025 r. odbył się webinar „Zrównoważony rozwój i dane wrażliwe – jak chronić firmę i interesariuszy w cyfrowym świecie?”, w którym Jolanta Okońska-Kubica z Krajowej Izby Gospodarczej i Renata Kania z T-Mobile przedstawiły praktyczne aspekty ESG oraz cyberbezpieczeństwa.

MŚP – zrównoważony rozwój w praktyce

Dla małych i średnich firm wyzwania ESG idą w parze z cyberbezpieczeństwem i odpowiedzialnością prawną. Po pierwsze – gromadzenie i raportowanie danych. Firmy ujawniają w raportach nie tylko wyniki finansowe, lecz także szczegóły wpływu na środowisko i muszą realizować obowiązki informacyjne wynikające z RODO czy dyrektywy NIS2. To powoduje, że dane środowiskowe, operacyjne czy społeczne nabierają statusu danych wrażliwych. W praktyce oznacza to konieczność klasyfikowania ich jako poufne, wprowadzania zabezpieczeń (szyfrowanie, backup, monitoring), a także przygotowania procedur reakcji na incydenty (tzw. playbooki). Brak takich działań może prowadzić do utrudnienia działalności, kar finansowych i utraty zaufania klientów – atak na dane wrażliwe to ryzyko zarówno prawne, jak i wizerunkowe.

Dlaczego dane ESG są wrażliwe?

Dane środowiskowe, takie jak pomiary emisji CO₂ czy ilość wytwarzanych odpadów, mogą wpaść w niepowołane ręce i posłużyć do manipulacji wynikami raportów zrównoważonego rozwoju. Równocześnie informacje społeczne o pracownikach (np. płace, przynależność związkowa, stan BHP) są objęte przepisami RODO i wymagają szczególnej ochrony prywatności. Dodatkowo strategia korporacyjna (cele ESG, polityki, kwestie dotyczące ryzyka i compliance) to dane, które w rękach konkurencji bądź cyberprzestępców mogą stać się bezcennym źródłem przewagi rynkowej.

Cyberbezpieczeństwo i dane ESG to nierozłączne elementy zrównoważonego rozwoju firm. Zwraca na to uwagę Renata Kania, Liderka Zespołu Produktów Security, Główna Specjalistka ds. Security Awareness w T-Mobile:
„W kontekście ESG cyberbezpieczeństwo nie jest tylko dodatkowym elementem — jest fundamentem zaufania. Musimy zapewnić, że wszystkie dane środowiskowe i społeczne są chronione przez cały cykl życia, od pomiarów po udostępnianie. Tylko wtedy interesariusze będą pewni, że raporty i decyzje są wiarygodne.”

Wdrożenie ESG to również szansa dla MŚP w uzyskaniu konkurencyjnej przewagi. Przedsiębiorstwo transparentnie dbające o klimat, aspekty społeczne, ład korporacyjny, w tym bezpieczeństwo danych, buduje przewagę konkurencyjną i zaufanie interesariuszy. Przykładowo, kwestie środowiskowe (ślad węglowy, efektywność energetyczna) już są istotne w łańcuchach dostaw – jak pokazała ankieta przeprowadzona podczas webinaru, 76% partnerów biznesowych dopytuje uczestników ankiety o ślad węglowy. Dlatego warto postawić ESG w centrum strategii przedsiębiorstwa: opracować politykę bezpieczeństwa, obejmującą dane środowiskowe jako poufne, i zadbać o techniczne zabezpieczenia (np. szyfrowanie danych ESG, segmentację sieci, regularne testy odporności).

Jak słusznie zauważa Jolanta Okońska-Kubica, Przewodnicząca Komitetu ds. ESG KIG, Dyrektor Zarządzająca w ENVIPOL:
„ESG to przede wszystkim holistyczne podejście do biznesu, które łączy cele środowiskowe, społeczne i korporacyjne z konkretnymi działaniami operacyjnymi. Odpowiedzialność za środowisko i społeczność nie może być tylko w sferze deklaracji – musi przełożyć się na procedury i narzędzia, które realnie chronią interesy wszystkich interesariuszy. Tylko wtedy firmy zyskają prawdziwe zaufanie rynku i będą zdolne do długofalowego, zrównoważonego rozwoju.”

Rys. 1. Według badania przeprowadzonego wśród Uczestników webinaru aż 76% ankietowanych wskazało, że kontrahenci pytają ich o ślad węglowy (źródło: dane z ankiety przeprowadzonej podczas webinaru)

Jak słusznie zauważa Jolanta Okońska-Kubica, Przewodnicząca Komitetu ds. ESG KIG, Dyrektor Zarządzająca w ENVIPOL:
„ESG to przede wszystkim holistyczne podejście do biznesu, które łączy cele środowiskowe, społeczne i korporacyjne z konkretnymi działaniami operacyjnymi. Odpowiedzialność za środowisko i społeczność nie może być tylko w sferze deklaracji – musi przełożyć się na procedury i narzędzia, które realnie chronią interesy wszystkich interesariuszy. Tylko wtedy firmy zyskają prawdziwe zaufanie rynku i będą zdolne do długofalowego, zrównoważonego rozwoju.”

Regulacje prawne i dobre praktyki – jakie wnioski?

Podczas webinaru „Zrównoważony rozwój i dane wrażliwe – jak chronić firmę
i interesariuszy w cyfrowym świecie?” ekspertki  omówiły zagadnienia od ogólnej polityki do konkretów technicznych. Spotkanie podzielono na trzy wzajemnie powiązane obszary: regulacje prawne, dobre praktyki zarządzania cyklem życia danych ESG oraz mierzalne techniczne zabezpieczenia.

Firmy powinny uwzględnić w swoich procedurach cztery podstawowe etapy związane z przepisami:

1. Pozyskiwanie danych: wymaga uzyskania odpowiednich zgód oraz zapewnienia wiarygodnych metod pomiaru (np. właściwie skalibrowanych czujników środowiskowych).
2. Przechowywanie danych: dane mogą być trzymane lokalnie lub w chmurze, jednak każde rozwiązanie musi zapewnić szyfrowanie i backup w regularnych odstępach czasu, aby zapobiegać utracie informacji w przypadku awarii sprzętu czy ataku ransomware.
3. Używanie i analiza: procesy analityczne (np. sporządzanie raportów ESG) wymagają kontroli dostępu oraz monitoringu zdarzeń, by weryfikować, kto i kiedy miał wgląd do wrażliwych zestawów danych.
4. Udostępnianie i archiwizacja: przekazywanie raportów partnerom handlowym wymaga stosowania bezpiecznych połączeń (VPN) oraz polityk współdzielenia dokumentów. Archiwizacja w zewnętrznych repozytoriach musi być realizowana z zachowaniem bezpiecznych nośników i zasady retencji, a usuwanie danych odbywa się wyłącznie po użyciu narzędzi zapewniających trwałe skasowanie.

W kontekście prawnych regulacji, które są skorelowane ze zrównoważonym rozwojem i danymi wrażliwymi, ekspertki omówiły przepisy prawne wynikające z unijnych aktów prawnych:

• RODO – dane osobowe pracowników (w tym szczególne kategorie, np. zdrowotne, zagrożenia BHP czy przynależność związkowa) wymagają podstawy prawnej i szczególnej ochrony,
• NIS2 – rozszerzenie katalogu podmiotów oraz nałożenie na nie obowiązków zarządzania ryzykiem, zgłaszania incydentów i odpowiedzialności zarządów. MŚP dostarczające usługi lub produkty podmiotom krytycznym mogą zostać objęte dyrektywą, co dodatkowo zobowiązuje do audytowania zabezpieczeń w łańcuchu dostaw,
• CSRD – konieczność wnikliwego raportowania niefinansowego, w tym informacji o wpływie na środowisko i społeczeństwo, objętych późniejszym audytem.

Mierzalne, techniczne zabezpieczenia danych ESG

Jakie można wdrożyć konkretne środki organizacyjne i techniczne, które mogą wdrożyć MŚP, aby skutecznie chronić dane ESG? Warto zwrócić uwagę na następujące elementy:

• Szyfrowanie end-to-end oraz segmentację sieci, co pozwala odseparować zasoby środowiskowe i raporty ESG od reszty infrastruktury,
• Regularne testy odporności, by weryfikować podatność na ataki zanim staną się realnym zagrożeniem,
• Monitorowanie zdarzeń w czasie rzeczywistym – integracja logów systemowych, telemetrycznych oraz raportów ESG w jednym repozytorium umożliwia szybką detekcję nieprawidłowości, takich jak próby manipulacji danymi o emisjach CO₂,
• Opracowanie playbooków incydentów, które określają kroki reagowania na wyciek danych ESG: od izolacji zagrożenia, poprzez zgłoszenie do CERT, aż po długoterminowe raportowanie zdarzeń do zarządu w maksymalnie 72 godziny.

Jak T-Mobile wspiera ochronę danych wrażliwych?

Łączenie ESG z bezpieczeństwem danych to konieczność, a T-Mobile ma w swoim portfolio usługi, które ułatwiają firmom wdrożenie dobrych praktyk, np.:

• Security Operations Center (SOC) – całodobowe monitorowanie incydentów oraz analiza zagrożeń, wspierające filar „G” (Governance) poprzez odpowiedzialne zarządzanie ryzykiem i zachowanie ciągłości działania,
• Cyber Guard® – ochrona urządzeń mobilnych i stacjonarnych przed phishingiem, malware i ransomware, co pomaga zabezpieczyć dane osobowe i środowiskowe wrażliwe na manipulacje,
• Cyber Know – platforma edukacyjna do symulacji ataków phishingowych i smishingowych, budująca świadomość pracowników i kluczowo wspierająca filar „S” (Social) poprzez tworzenie kultury cyberodporności.

ESG i cyberbezpieczeństwo: klucz do odpornych struktur MŚP

Połączenie działań ESG i cyberbezpieczeństwa to nie tylko wymóg zgodności z regulacjami, lecz także element strategii budującej odporność przedsiębiorstwa. Małe i średnie firmy, które zignorują aspekt ochrony danych środowiskowych czy korporacyjnych, narażają się na kary finansowe, utratę zaufania klientów i ryzyko wejścia na niekorzystne warunki w łańcuchu dostaw. Wdrażając weryfikację dostawców, szyfrowanie, segmentację sieci oraz systematyczne testy odporności, przedsiębiorstwa nie tylko spełniają wymagania RODO, NIS2 czy CSRD, lecz także uzyskują przewagę konkurencyjną.

ESG i dane wrażliwe to dziś dwa splecione obszary, których każdy przedsiębiorca MŚP powinien być świadomy. Stosując mierzalne metryki (np. ślad węglowy) i dbając o cyberhigienę pracowników, firma buduje reputację odpowiedzialnego i odpornego partnera.

Nagranie z webinaru „Zrównoważony rozwój i dane wrażliwe – jak chronić firmę i interesariuszy w cyfrowym świecie?” można obejrzeć tutaj: