Mit Richtlinien zur Nachhaltigkeitsberichterstattung und zur Cybersicherheit will die EU neue Maßstäbe setzen. Diese Regelungen wirken sich auch auf Geschäftsreisen aus. Um die Vorgaben zu erfüllen, müssen Unternehmen beispielsweise ihre CO2-Emissionen korrekt erfassen und Schutzmaßnahmen für mobiles Arbeiten oder den Fernzugriff auf Unternehmensserver ergreifen. Die Umsetzung der Richtlinien stellt Unternehmen vor einige Herausforderungen.
Die „Corporate Sustainability Reporting Directive“ (CSRD) ist eine von der EU bereits im Jahr 2022 verabschiedete Richtlinie zur Verbesserung der Nachhaltigkeitsberichterstattung. Sie verpflichtet Unternehmen, standardisierte Informationen über ihre Aktivitäten in den Bereichen Umwelt, Soziales und Unternehmensführung offenzulegen. Außerdem müssen sie über die Auswirkungen ihrer Geschäftstätigkeit auf Umwelt, Wirtschaft und Gesellschaft berichten. Andernfalls drohen Sanktionen, etwa Bußgelder. Die Umsetzung der CSRD erfolgt stufenweise, beginnend mit Unternehmen ab 500 Mitarbeitern seit dem 1. Januar 2024. Ab dem 1. Januar 2025 wird die Regelung auf alle bisher nicht erfassten Großunternehmen ausgeweitet und ab dem 1. Januar 2026 müssen auch alle börsennotierten Mittelständler die Anforderungen erfüllen.
Ein wesentlicher Bestandteil der Berichterstattung nach CSRD sind die sogenannten Scope 3-Emissionen, zu denen auch die Emissionen aus Geschäftsreisen oder durch das Pendeln zur Arbeit mit dem Dienstwagen zählen. Viele Unternehmen stehen vor der Herausforderung, Transparenz darüber zu schaffen und die tatsächlich zu verantwortenden Emissionen korrekt zu berechnen. Zwar geben viele Verkehrsunternehmen wie etwa Fluggesellschaften bei der Buchung an, welche Emissionen pro Passagier entstehen. Eine manuelle Übertragung der CO2-Emissionen stellt für berichtspflichtige Großunternehmen aufgrund des hohen Aufwands und der Fehleranfälligkeit aber keine praktikable Lösung dar.
Die EU-Richtlinie NIS-2 zielt darauf ab, kritische Infrastrukturen innerhalb der EU durch ein einheitliches Schutzniveau vor Cyberbedrohungen zu schützen. Bis zum 17. Oktober 2024 müssen die EU-Staaten die NIS-2-Richtlinie in nationales Recht umsetzen. Schätzungen zufolge sind in Deutschland zwischen 25.000 und 40.000 Unternehmen von NIS-2 betroffen. Dazu gehören Firmen mit mehr als 50 Beschäftigten und einem Jahresumsatz von mehr als 10 Millionen Euro. Unabhängig davon sind Unternehmen betroffen, wenn im Falle eines Ausfalls systemische Risiken bestehen. Neben der Ausweitung der betroffenen Einrichtungen führt die NIS-2-Richtlinie auch zu höheren Anforderungen an die Unternehmen. Dazu gehören mehr Schutzmaßnahmen, die unter anderem Risikoanalysen, Sicherheit in der Lieferkette oder Multi-Faktor-Authentifizierung umfassen. Hinzu kommen verschärfte Meldepflichten und eine intensivere Überwachung, voraussichtlich durch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Auch eine Schulungspflicht für das Management ist vorgesehen.
Ist die Richtlinie in Kraft getreten, müssen Unternehmen darüber hinaus mit indirekten Auswirkungen auf Geschäftsreisen rechnen und gegebenenfalls ihre Reiserichtlinien überarbeiten. Das kann notwendig werden, damit auch mobile Geräte und der Fernzugriff auf Unternehmensnetzwerke den Richtlinien entsprechen. Dazu gehören Maßnahmen wie die Verschlüsselung von Daten auf mobilen Geräten und die Nutzung von Virtual Private Networks (VPN) für den Zugriff auf Unternehmensserver. Aber nicht nur bei der Technik, sondern auch beim Verhalten der Geschäftsreisenden gibt es Verbesserungspotenzial. Hier helfen Sicherheitsschulungen dabei, für den sicheren Umgang mit Unternehmensdaten zu sensibilisieren.
Quelle: Deutscher Reiseverband
