ESRS G-Unternehmens­spezifisch Cybersecurity [G-Unternehmensspezifisch]

Auswirkungen, Risiken und Chancen [SBM-3] Wesentliche Auswirkungen, Risiken und Chancen und ihr Zusammenspiel mit Strategie und Geschäftsmodell

Auswirkungen, Risiken und Chancen

Im Rahmen der Wesentlichkeitsanalyse hat Fresenius eine wesentliche Auswirkung und wesentliche Risiken im Zusammenhang mit Cybersecurity identifiziert:

Ansatz [MDR-P] Konzepte zum Umgang mit wesentlichen Nachhaltigkeitsaspekten

Konzernansatz zur Cybersicherheit

Fresenius hat den Anspruch, Cyberrisiken frühzeitig zu erkennen, ihren Eintritt möglichst zu verhindern und die Einhaltung regulatorischer Vorgaben sicherzustellen. Das Cybersicherheitsrahmenwerk (Cybersecurity Policy Framework) von Fresenius besteht aus einer Reihe von Richtlinien, Anforderungen und Verfahrensbeschreibungen. Mit diesen adressiert das Unternehmen die Auswirkungen und Risiken, die mit der digitalen Transformation einhergehen. Im Mittelpunkt stehen die Schutzprinzipien Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, Technologien und Systemen.

Im Berichtsjahr hat der Vorstand eine überarbeitete Cybersecurity Richtlinie verabschiedet, um die Cyber-Resilienz des Konzerns im Einklang mit der neuen Organisationsstruktur zu stärken. Die Richtlinie schafft eine einheitliche Grundlage für die Cybersicherheit in allen Operating Companies und Konzernfunktionen und unterstützt einen konsistenten und robusten Ansatz. Dies soll sicherstellen, dass das Cybersicherheitsrahmenwerk stets an aktuellen Branchenstandards sowie regulatorischen Anforderungen ausgerichtet ist.

Die Cybersicherheitsstrategie von Fresenius definiert die Ziele für den Konzern sowie für die Operating Companies. Folgende Aspekte stehen dabei im Fokus: Risiken zu reduzieren, die Resilienz gegenüber Cyberangriffen zu erhöhen, die Organisation zu vereinheitlichen und Prozesse sowie Technologien zu verbessern. Dadurch soll konzernweit der Reifegrad in Bezug auf Cybersicherheit erhöht und potenziellen negativen Auswirkungen auf die Patientenversorgung, Unterbrechungen im eigenen Geschäft sowie in medizinischen Lieferketten und den damit verbundenen finanziellen Risiken für Fresenius entgegengewirkt werden.

Derzeit wird die bisherige Cybersicherheitsstrategie überarbeitet, um sie an der strategischen Entwicklung des Unternehmens im Kontext der Transformation #FutureFresenius auszurichten. Die überarbeitete Strategie soll ab 2026 angewendet werden.

Um Risiken vorzubeugen und die Effizienz der Prozesse zu steigern, werden konzernweit vier Cybersicherheitsprogramme umgesetzt, die verschiedene Initiativen bündeln. Die Aktivitäten werden auf der Grundlage von Reifegradbewertungen und Cyberrisikoanalysen gesteuert. Diese helfen dabei, Schritte zur Risikominderung zu priorisieren und sowohl den Fortschritt als auch die Wirksamkeit der umgesetzten Maßnahmen sorgfältig zu überwachen.

Der strategische Ansatz bezieht sich auf die gesamte Gruppe, einschließlich aller geografischen Gebiete, in denen der Konzern Produktionsstandorte oder Gesundheitseinrichtungen betreibt. Sofern Fresenius vertraglich oder gesetzlich verpflichtet ist, umfassen die Aktivitäten auch die vor- oder nachgelagerte Wertschöpfungskette, z. B. den Kundenservice nach dem Erwerb eines medizintechnischen Geräts. Damit soll nicht nur Cyberangriffen im eigenen Geschäftsbereich vorgebeugt werden, sondern auch solchen, die medizinische Lieferketten betreffen.

Die Stakeholder-Gruppen werden im Standard ESRS 2 Allgemeine Angaben, Abschnitt SBM-2 Stakeholder und Partnerschaften, erläutert.

Umgang mit Cyberrisiken

Die weiterentwickelte Cybersicherheitsorganisation soll dazu beitragen, neue Anforderungen schneller zu erkennen, Aktivitäten konzernweit zu koordinieren und die einheitliche Umsetzung von Sicherheitsmaßnahmen zu fördern.

In den letzten Jahren wurden Effektivitäts-, Fortschritts- und Leistungskennzahlen zur Cybersicherheit etabliert. Mit diesen und weiteren Kennzahlen überprüft Fresenius, ob Sicherheitskontrollen wie vorgesehen funktionieren und steuert darüber hinaus die übergreifenden Cybersicherheitsmaßnahmen. Dies hilft dem Unternehmen dabei, potenzielle Cybersicherheitsrisiken zu erkennen und Klarheit darüber zu gewinnen, wie gut es auf Cyberangriffe oder deren Abwehr vorbereitet ist. Die Kennzahlen werden regelmäßig an die Mitglieder des Cybersecurity Boards und, bei Bedarf, an das Cybersecurity Steering Committee gemeldet. Darüber hinaus werden sie in einer Scorecard visualisiert, die das Cybersicherheitsmanagement bei der Steuerung der konzernweiten Cybersicherheitsinitiativen unterstützt. Ausgewählte Metriken vergleicht Fresenius auch mit denen relevanter Interessengruppen, z. B. anderen DAX-Konzernen, und kommuniziert diese an den Vorstand und den Aufsichtsrat.

Fresenius bewertet regelmäßig die strategischen Cybersicherheitsrisiken entlang der Wertschöpfungskette. Im Rahmen dieser halbjährlichen Bewertungen analysiert der Konzern die Entwicklung der Cyberbedrohungslage, um aufkommende Risiken zu identifizieren und geeignete Vorkehrungen zur Minderung von Cybersicherheitsrisiken abzuleiten.

Um Cyberrisiken vorzubeugen, hat Fresenius in die Früherkennung von Cyberbedrohungen investiert: Wiederkehrende Analyse- und Abwehrprozesse werden automatisiert, damit Fresenius noch effizienter auf Vorfälle reagieren und potenzielle Schäden für das Unternehmen begrenzen kann. Jeder Vorfall wird sorgfältig untersucht, um zusätzliche Initiativen zur Verbesserung der allgemeinen Sicherheit abzuleiten.

Das Informationssicherheitsmanagementsystem (ISMS) auf Ebene des Konzerns und der Operating Companies ist zertifiziert, u. a. nach ISO / IEC 27001. Die internationale Norm dient dazu, ein ISMS zu implementieren, aufrechtzuerhalten und kontinuierlich zu verbessern, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen durch einen systematischen Ansatz zu fördern. Diese und weitere Zertifizierungen tragen dazu bei, das Management von Cybersicherheit bei Fresenius zu vereinheitlichen.

Audits und Monitoring

Die Konzernfunktion Corporate Audit führt unabhängige und risikoorientierte Revisionsaufträge durch, um die Effektivität von Risikomanagement-, Kontroll- und Governance-Prozessen auf Ebene des Konzerns sowie in den Operating Companies stetig zu verbessern – zuletzt im Jahr 2025. Hierbei wurden auch Prozesse im Bereich Cybersecurity berücksichtigt, etwa Richtlinien und Verfahren sowie deren Implementierung. Insgesamt wurden im Berichtsjahr acht Prüfungen (2024: sechs) mit dem Prüfbezug Information Security durchgeführt.

Werden dabei Schwachstellen identifiziert, überwacht die Interne Revision die Umsetzung der vom Management festgelegten Abhilfemaßnahmen. Dies geschieht im Rahmen von systematischen Nachschaubetrachtungen.

Meldewege

Vermuten Fresenius-Beschäftigte Cyberbedrohungen, können sie sich an CERT@fresenius.com oder CyberAware@fresenius.com sowie an alle Mitarbeiterinnen und Mitarbeiter im Aufgabenbereich Cybersecurity wenden. Verdächtige Mails können unkompliziert über den sogenannten Phish Alert Button gemeldet werden. Dieser startet eine automatische Analyse und schaltet bei Bedarf das Cyber Emergency Response Team (CERT) ein. Das CERT untersucht mögliche Bedrohungen und Vorfälle in der IT, der Produktion sowie den Umgebungen der Gesundheitseinrichtungen von Fresenius und geht vermuteten Verstößen nach. Bei erkannten bösartigen Phishing-Versuchen blockiert das Team die Absender und passt die Sicherheitsprotokolle entsprechend an.

Sofern innerhalb der Wertschöpfungskette – jedoch außerhalb der Belegschaft – Kenntnis von einer möglichen Cyberbedrohung besteht, können Dritte zusätzlich die öffentlich verfügbaren Meldekanäle oder Hinweisgebersysteme von Fresenius nutzen.

Schulungen

Fresenius strebt danach, ein menschenzentriertes Risikomodell zu etablieren. Um aktuelle Informationen zeitnah in der Belegschaft zu teilen, setzt das Unternehmen verschiedene Cybersicherheitsaktivitäten um und vermittelt den Mitarbeiterinnen und Mitarbeitern hilfreiche Tipps zur sicheren Nutzung von Geräten im Büro oder zu Hause. Fresenius informiert sie regelmäßig über unterschiedliche Kanäle, u. a. über Intranetartikel oder Plakate in Produktionsanlagen und Kliniken, um sie für Cyberrisiken und neuartige Cyberbedrohungen zu sensibilisieren.

Zentraler Baustein der Sensibilisierung ist das Cybersecurity Training & Awareness Program (CTAP), das fortlaufend durchgeführt wird. Neben verpflichtenden Grundlagen-Schulungen bietet es Kurse, Videos und andere Lerninhalte an, z. B. über die digitalen CTAP-Lernplattformen und Intranets.

Im Rahmen des CTAP simuliert der Konzern regelmäßig Phishing-Angriffe, um die richtigen Verhaltensweisen bei einem Verdacht auf Phishing zu verankern. Für alle in diesen Schulungen eingeschriebenen Beschäftigten ermittelt Fresenius eine persönliche Risikokennzahl, die sich aus dem Verhalten bei den Phishing-Tests und der Anzahl absolvierter Cybersicherheitstrainings zusammensetzt. Den Erfolg der CTAP-Aktivitäten misst der Konzern anhand vordefinierter Erfolgskriterien, z. B. der Klick- und Melderate bei gezielten Phishing-Simulationen und der Anzahl der durchgeführten Trainings je Arbeitskraft.

Alle Angebote des CTAP sind auf die spezifischen Risiken von Fresenius zugeschnitten und werden in mehreren Sprachen angeboten. Die Angebote stehen allen Mitarbeiterinnen und Mitarbeitern weltweit zur Verfügung.

Im Jahr 2025 stellte Fresenius neue Trainingsmodule für die Mehrheit der Beschäftigten bereit. Die Schulungen zielten darauf ab, das Bewusstsein für Social Engineering, Phishing, KI-gestützte Täuschung, Authentifizierungsbetrug sowie die Acceptable Use Policy zu schärfen und grundlegende Kenntnisse zur Cybersicherheit zu stärken. Ergänzend fanden spezialisierte Sitzungen mit Expertinnen und Experten aus dem Bereich Cyberpsychologie statt, unter anderem zu Themen wie Cyber-Mindfulness und Cybersicherheit. Darüber hinaus wurden simulierte Phishing-Angriffe per E-Mail durchgeführt, die von der überwiegenden Mehrheit der Beschäftigten erfolgreich erkannt wurden.

Darüber hinaus findet jährlich ein Cyber Awareness Month statt, um zusätzlich den Austausch unter Arbeitskräften zu Cybersicherheitsthemen zu stärken. Dabei nutzt Fresenius das Wissen aus der täglichen Analyse z. B. von Phishing-Versuchen, die das CERT durchführt und auswertet. Mit ihrer Hilfe kann das Unternehmen maßgeschneiderte Schulungsinhalte entwerfen und Trainingskampagnen ausrollen.

Kontinuierliches Training zu Cybersecurity ist auch Bestandteil der variablen Vergütung aller Beschäftigten, die am Erfolgsbeteiligungsprogramm SHARE von Fresenius teilnehmen. Das Programm wird im Themenstandard S1 Arbeitskräfte des Unternehmens, Abschnitt S1-1 Ansatz, Mitarbeiterbindung erläutert.

Die Schulungen sind Teil eines langfristigen Cybersecurity-Programms. Die verschiedenen eigenständigen Projekte zielen darauf ab, die Cybersicherheitsstruktur des Konzerns zu verbessern. Durch kontinuierliches Training stellt das Unternehmen sicher, dass die Arbeitskräfte souverän mit Phishing-Versuchen umgehen und in der Folge Cyberrisiken reduziert werden.

Konzernweite Governance und Verantwortlichkeiten

Cybersecurity Organisationsstruktur

Die Chief Financial Officer (CFO) im Vorstand beaufsichtigt die Cybersicherheits-Governance und erhält direkten Bericht – zweiwöchentlich und nach Bedarf – vom Group Head of Cybersecurity. Dieser fungiert als konzernweiter Chief Information Security Officer (CISO), trägt die Gesamtverantwortung für die Governance der Cybersicherheit innerhalb des Konzerns und leitet das Group Cybersecurity Office (GCSO) und die CISOs der Operating Companies. In dieser Funktion legt er die konzernweite Cybersicherheitsstrategie fest und koordiniert deren Umsetzung mit dem Führungsteam für Cybersicherheit, um ein einheitliches Vorgehen in allen Operating Companies zu gewährleisten.

Der Group Head of Cybersecurity erstattet vierteljährlich dem Vorstand und mindestens einmal jährlich dem Aufsichtsrat Bericht. Ausführungen zu Verantwortlichkeiten und Vorgaben im Vorstand sowie im Aufsichtsrat sind jeweils im Standard ESRS 2, Abschnitt GOV-1 Nachhaltigkeitsorganisation erläutert.

Das GCSO stellt konzernweit Kompetenzen, Strategien und funktionale Führung bereit, um einheitliche Ansätze und Prozesse innerhalb der gesamten Gruppe sicherzustellen. Die Konzernfunktionen erleichtern die Zusammenarbeit und den Austausch zwischen bereichsspezifischen Cybersicherheitsanforderungen und gewährleisten die Umsetzung gruppenweiter Standards für die jeweilige Funktion.

Innerhalb des Konzerns ergänzen übergreifende Gremien die bestehende Organisationsstruktur. Das Cybersecurity Board, bestehend aus dem Group CISO, dem CISO von Corporate / Sonstige sowie den CISOs der Operating Companies, steuert und harmonisiert die konzernweite Cybersicherheitsstrategie, Initiativen und Investitionen. Es stellt einen koordinierten, risikobasierten Ansatz sicher, indem es Prioritäten setzt, Fortschritte überwacht und die Zusammenarbeit über alle Operating Companies hinweg fördert. Das Cybersecurity Board tagt monatlich.

Die CFO im Konzernvorstand und die jeweiligen CFOs der Operating Companies kommen quartalsweise im Cybersecurity Steering Committee zusammen. Das Steering Committee fungiert als strategisches Entscheidungs- und Eskalationsgremium für Cybersicherheit auf Konzernebene. Es überwacht die Risikolage, Investitionsentscheidungen und den Reifegrad der Fähigkeiten, um die Abstimmung, Finanzierung und Umsetzung der Strategie über alle Operating Companies hinweg sicherzustellen.

Das Cybersecurity Steering Committee wird quartalsweise über die Cybersicherheitsprogramme mit zentralen Projekten aus dem gesamten Unternehmen informiert.

Maßnahmen [MDR-A] Maßnahmen und Mittel in Bezug auf wesentliche Nachhaltigkeitsaspekte

Der bestehende Konzernansatz im Bereich Cybersicherheit weist bereits einen hohen Reifegrad auf. Dies zeigt sich insbesondere in der systematischen, jährlich durchgeführten Erfassung und Auswertung von Cybersicherheitsvorfällen, die eine fortlaufende Überwachung des Risikoprofils ermöglichen. Im Berichtsjahr 2025 ergaben sich keine Ereignisse, die eine konzernweite oder segmentspezifische Anpassung der bestehenden Managementsysteme erfordert hätten.

Unabhängig davon hat Fresenius im Berichtsjahr die gruppenweite Cyber-Risikoposition systematisch überprüft und den Versicherungsmarkt sondiert. Ziel war es, zu bewerten, ob und in welchem Umfang ein Risikotransfer über eine Cyberversicherung zur Stärkung der Resilienz beitragen kann. Auf Basis der Analyse wurde empfohlen, ein konzernweites Versicherungskonzept einzuführen. Nach einer aktuellen Markterkundung und anschließenden Dialogen mit internationalen Versicherungsanbietern wurde eine gruppenweite Cyberversicherung durch den Vorstand beschlossen. Die Versicherung tritt ab 2026 in Kraft.

Die damit verbundenen jährlichen Versicherungsprämien sind ausschließlich OpEx und werden in der Gewinn- und Verlustrechnung, wie andere Versicherungsprämien auch, unter der Position Betriebshaftpflichtversicherung verbucht.

Ziele und Ambitionen [MDR-T] Nachverfolgung der Wirksamkeit von Konzepten und Maßnahmen durch Zielvorgaben

Es ist die Ambition von Fresenius, dass sich sowohl Patientinnen und Patienten als auch Kunden auf die Cybersicherheit der Produkte und Dienstleistungen des Unternehmens verlassen können. Der Fresenius-Konzern strebt permanent danach, ihre Erwartungen zu erfüllen, indem er seine Resilienz gegenüber Cyberangriffen stärkt, die eigenen Cyberrisiken reduziert und so Schaden von Patientinnen und Patienten, Kunden oder dem Unternehmen abwendet. Darüber hinaus gibt es kein übergeordnetes Konzernziel im Zusammenhang mit Cybersicherheit.

Fresenius misst die Wirksamkeit der eigenen Cybersicherheitsstrategie durch Auswertung von Resilienzkennzahlen, wie im folgenden Abschnitt dargestellt.

Kennzahlen [MDR-M] Kennzahlen in Bezug auf wesentliche Nachhaltigkeitsaspekte

Cybersicherheitsvorfälle

Fresenius überwacht die Cybersicherheitsleistung anhand zentraler Dimensionen wie Risikolage, Reifegrad, Fortschritt von Initiativen, Zielerreichung, Ressourcenzuweisung, externen Bewertungen sowie der Wirksamkeit von Kontrollen. Dies ermöglicht eine umfassende Sicht auf das Cybersicherheitsmanagement und unterstützt datenbasierte Erkenntnisse zur Entscheidungsfindung. Im Berichtsjahr wurde kein schwerwiegender Cybersicherheitsvorfall gemeldet, der mit dem Verlust von Patientendaten einherging oder der den Ruf oder die Finanzlage des Konzerns wesentlich beeinträchtigt hat.

Ein Cybersicherheitsvorfall liegt grundsätzlich vor, wenn eine Sicherheitsmeldung als kritisch eingestuft wird – etwa, wenn dadurch potenziell Daten verloren gehen können oder die Leistungserbringung des Fresenius-Konzerns beeinträchtigt werden könnte. Bei der Bewertung der Kritikalität wird dabei das Vier-Augen-Prinzip angewendet. Daraufhin werden alle Vorfälle einer weiteren Bewertung unterzogen, in der geprüft wird, ob eine Verletzung mindestens eines der Cybersecurity-Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit vorliegt. Sollte dies der Fall sein, wird der entsprechende Vorfall als schwerwiegend ausgewiesen.

Die Meldung von Vorfällen erfolgt an die Konzernfunktion Cybersecurity, der Meldeweg sowie die Prozessstruktur werden in diesem Standard im Abschnitt Ansatz, Meldewege erläutert.