Secure by Default: Warum Regulierung sichere Werkseinstellungen erzwingt
Vernetzte Systeme müssen ab Werk sicher sein – DSGVO, NIS-2 und der Cyber Resilience Act fordern Secure by Default. Was das für Ihre IT-Architektur bedeutet.
ESG-Governance: Vertrauen als Schlüssel für nachhaltige IT, Compliance und Informationssicherheit
Tobis Sicht Folge 10: Auf diese Art und Weise kommt es an
Hallo zusammen!
Heute erwartet Euch eine besondere Ausgabe von Tobis Sicht – gleich aus zwei Gründen. Zum einen legen wir mit dieser Folge eine kleine Pause der Serie ein, nachdem wir alle zentralen Bereiche unserer ESG-Nachhaltigkeitsstrategie beleuchtet haben. Zum anderen habe ich diesmal einen Gast an meiner Seite, mit dem ich gemeinsam auf das Thema Governance – also das „G“ in ESG – blicke: Marcus Wailersbacher, Chief of Sales & Marketing bei NCP und zugleich als Corporate Influencer aktiv.
Marcus hat kürzlich auf LinkedIn über die Bedeutung von Zertifizierungen und Vertrauen in der IT-Branche geschrieben. Da genau diese Aspekte auch im Governance-Kontext eine wichtige Rolle spielen, haben wir die Gelegenheit genutzt und ein kurzes Interview geführt.
Was bedeutet Governance im ESG-Kontext?
Frage: Hallo Marcus, wenn wir über ESG sprechen, stehen oft Umwelt- oder Sozialthemen im Mittelpunkt. Welche Rolle spielt Governance in diesem Kontext?
Antwort: Da sprichst Du einen wichtigen Punkt an. Bildlich gesprochen, bildet die Governance das organisatorische Rückgrat von ESG. Während „Environment“ und „Social“ die Ziele definieren, gibt die Governance die Strukturen, Verantwortlichkeiten und, neudeutsch, „Controls“ vor, um diese Ziele messbar zu erreichen und rechtssicher zu verwalten. Sie integriert die nicht-finanziellen Leistungskennziffern und Nachhaltigkeitsziele in die Geschäftsstrategie. Erst dadurch werden die erforderlichen Ressourcen für ökologische und soziale Initiativen allokiert und klare Zuständigkeiten geschaffen sowie Nachhaltigkeit aus der Nische geholt.
Vertrauen als zentraler Bestandteil beim Thema Governance
Frage: Du hast kürzlich über Vertrauen in der IT-Branche geschrieben. Warum spielt Vertrauen gerade eine so wichtige Rolle?
Antwort: Besonders im IT-Sektor sind wir in der Situation, dass die „Qualität“ von Produkten und Dienstleistungen in der Verkaufsphase oft abstrakt ist. Hier dient ESG als messbares Signal für Zuverlässigkeit und zukunftsfähiges Handeln und hat sich von einem "Nice-to-have" zu einem Kernbestandteil der IT-Strategie entwickelt. Insbesondere, da auch Faktoren wie Daten- und Cybersicherheit zunehmend als wesentlicher Teil der Governance verstanden werden. In diesem Sinne fungiert ESG in der IT-Beschaffung heute oft als Filter: Wer die Mindeststandards nicht erfüllt, wird bereits vor der Preisverhandlung aussortiert.
ISO 27001-Zertifizierung für NCP: Mehr Informationssicherheit, Compliance und Vertrauen
Frage: NCP wurde vor Kurzem nach ISO 27001 zertifiziert. Welche Bedeutung hat diese Zertifizierung für das Unternehmen – und was sagt sie über den Umgang mit Informationssicherheit aus?
Antwort: Aus meiner Sicht ist die ISO 27001 das „Gütesiegel“ dafür, dass ein Unternehmen sein Informationssicherheitsmanagement, Datenschutz und Sicherheit sowie den Schutz von IT-bezogenen Werten im Unternehmen nicht dem Zufall überlässt, sondern einen systematischen Prozess zum Schutz dieser Assets etabliert hat. Diese Betrachtung geht natürlich weit über die IT-Abteilung hinaus, sie fordert das gesamte Unternehmen in den drei Säulen Vertraulichkeit, Integrität und Verfügbarkeit, nicht nur einmal, sondern ständig. Da die ISO 27001 einen sogenannten PDCA-Zyklus (Plan-Do-Check-Act) verlangt, bedeutet das: Das Unternehmen prüft ständig, ob seine Sicherheitsmaßnahmen noch wirksam sind, und passt sie an neue Bedrohungen an.
Nachhaltigkeit messbar machen: Die EcoVadis-Zertifizierung
Frage: Neben der Informationssicherheit spielt auch Nachhaltigkeit eine wichtige Rolle. NCP wurde im ESG-Kontext durch EcoVadis bewertet. Was beinhaltet diese Bewertung und welche Aspekte werden dabei betrachtet?
Antwort: Weltweit gibt es ja eine ganze Reihe von ESG-Ratings, die EcoVadis-Bewertung ist dabei aus unserer Sicht das ESG-Rating mit der breitesten Anerkennung. EcoVadis misst die Qualität des Nachhaltigkeitsmanagementsystems eines Unternehmens. Im Gegensatz z.B. zur ISO 27001, die sich auf Informationssicherheit fokussiert, bewertet EcoVadis die gesamte unternehmerische Verantwortung. Zu diesem Zweck werden über 20 Nachhaltigkeitsindikatoren aus den vier zentralen Themenfeldern Umwelt, Arbeits- und Menschrechte, Ethik sowie nachhaltige Beschaffung erfasst und ausgewertet. EcoVadis beleuchtet dabei nicht nur, was ein Unternehmen im Punkt Nachhaltigkeit erreicht, sondern auch, wie es gesteuert wird. Die Ergebnisse werden in einer einsehbaren Scorecard dokumentiert, die man mit anderen Unternehmen vergleichen und an Geschäftspartner weiterleiten kann. Zudem gibt es konkrete Verbesserungsvorschläge und Inspiration zur eigenen Weiterentwicklung.
Die Bedeutung von Zertifizierungen in der IT-Branche
Frage: Sowohl für die interne Organisation als auch für die Zusammenarbeit mit Kunden und Partner sind Zertifizierungen von großer Bedeutung – Bitter erläutere uns kurz, warum das so ist?
Antwort: Zunächst einmal dokumentieren Beide, dass bei NCP systematisch und kontinuierlich an den Themen Informationssicherheit sowie ESG gearbeitet wird – und dass beide Themen, ebenso wie das Thema Qualität im Rahmen der ISO 9001 – höchsten Stellenwert in der Unternehmensführung einnehmen. Darauf können sich Kunden, Interessenten, Mitarbeiter und Bewerber, aber auch alle anderen Stakeholder von NCP verlassen und darauf vertrauen.
Und ja, wir sind auch stolz auf das, was bei NCP in diesen Bereichen getan wird. Ein weiterer Aspekt, der mit den Zertifizierungen verbunden ist, ist ein pragmatischer prozessualer Punkt. In nahezu jedem Einkaufsprozess oder der Lieferantenanlage wird heute eine Auditierung im Sinne der Lieferkettensorgfalt gefordert. Hier erfüllen wir nachweislich die gestellten Anforderungen und können das auch entsprechend belegen, von unabhängigen Dritten überprüft.
Das ist in Zeiten, in denen Nachhaltigkeit und Informationssicherheit zu einem Muss-Kriterium geworden sind, unerlässlich. Zusätzlich erleichtern die Zertifikate bzw. das EcoVadis Rating den Nachweis. Kein langes Ausfüllen von Fragebögen, sondern einfach Teilen der Scorecard auf Knopfdruck oder Upload der Zertifikatsurkunde – fertig. Dass wir dann auch danach streben, jedes Jahr besser zu werden, liefert einen Ansporn an das Team, sich bei der Planung, Umsetzung und Dokumentation von ESG und ISO noch mehr ins Zeug zu legen.
Mein Fazit: Governance ist das Fundament unseres Vertrauens
Mit diesem Gespräch geht eine intensive Reise durch unsere ESG-Themen vorerst zu Ende – und ich hätte mir keinen besseren Abschluss als den Austausch mit Marcus wünschen können.
Für mich persönlich war besonders aufschlussreich, wie Marcus das „G“ in ESG veranschaulicht hat: Governance ist kein trockenes Regelwerk, sondern das organisatorische Rückgrat, das unsere ökologischen und sozialen Ambitionen erst messbar und verbindlich macht. Besonders hängen geblieben ist bei mir der Begriff „Vertrauen“. In einer Branche, in der Qualität oft abstrakt ist, sind Zertifizierungen wie die ISO 27001 oder das EcoVadis-Rating die „harten Währungen“, die beweisen: Wir überlassen Sicherheit und Verantwortung nicht dem Zufall.
In diesem Sinne: Danke fürs Mitlesen bei „Tobis Sicht“ – wir machen jetzt eine kleine Pause, bleiben aber im Thema Nachhaltigkeit konsequent am Ball.
Das könnte Sie auch interessieren:
Gemeinsam lachen, Zeit verbringen – und erfolgreich sein? Ein Blick hinter die Kulissen bei NCP
In unserem letzten Beitrag haben wir über unseren Onboarding-Prozess und die ersten Schritte neuer Teammitglieder bei uns gesprochen. Doch ein strukturierter Einstieg ist nur das Fundament. Entscheidend für langfristigen Erfolg ist vor allem die Zusammenarbeit im Team und das ...
NIS-2 ist in Kraft: Wie sieht die Umsetzung in der Praxis aus?
Seit Dezember 2025 ist das NIS2-Umsetzungsgesetz in Deutschland offiziell in Kraft und stellt rund 30.000 Unternehmen vor neue Herausforderungen in der IT-Sicherheit. Doch obwohl die NIS-2 Richtlinie klare Anforderungen formuliert, zeigt sich in der Praxis: Viele Unternehmen ...