Neue EU-Richtlinien für Unternehmen zur Nachhaltigkeitsberichterstattung (CSRD) und Cybersicherheit (NIS-2)
Die Europäische Union plant, durch neue Richtlinien in der Nachhaltigkeitsberichterstattung und Cybersicherheit neue Maßstäbe zu setzen.
Diese Vorschriften haben auch erhebliche Auswirkungen auf Geschäftsreisen. Unternehmen sind verpflichtet, die Vorgaben zu erfüllen, indem sie beispielsweise genaue Aufzeichnungen über ihre CO2-Emissionen führen und Sicherheitsvorkehrungen für mobiles Arbeiten oder den Fernzugriff auf Unternehmensserver treffen. Die Umsetzung dieser Richtlinien bringt einerseits Herausforderungen mit sich, bietet aber andererseits auch bedeutende Vorteile wie eine gesteigerte Nachhaltigkeitsreputation sowie Kosten- und Risikoreduktion im Bereich Cyberangriffe.
Nachhaltigkeitsberichterstattung von Unternehmen
Die „Corporate Sustainability Reporting Directive“ (CSRD) wurde von der EU im Jahr 2022 verabschiedet, um die Qualität und Transparenz der Berichterstattung über Nachhaltigkeit zu steigern. Sie legt fest, dass Unternehmen verpflichtet sind, detaillierte Informationen über ihre Umwelt-, Sozial- und Governance-Aktivitäten offenzulegen. Zudem müssen sie über die Auswirkungen ihrer Geschäftstätigkeiten auf Umwelt, Wirtschaft und Gesellschaft Bericht erstatten. Verstöße gegen diese Richtlinie können zu Sanktionen wie Bußgeldern führen.
Die Umsetzung der CSRD erfolgt in mehreren Phasen: Seit dem 1. Januar 2024 sind Unternehmen mit mehr als 500 Mitarbeitenden dazu verpflichtet. Ab dem 1. Januar 2025 wird die Regelung auf alle bisher nicht erfassten Großunternehmen ausgeweitet, und ab dem 1. Januar 2026 müssen auch alle börsennotierten mittelständischen Unternehmen den Richtlinien entsprechen.
Scope 3-Emissionen beziehen sich auch auf Geschäftsreisen
Ein zentraler Aspekt der Berichterstattung gemäß des CSRD sind die Scope 3-Emissionen, zu denen auch Emissionen aus Geschäftsreisen oder dem Pendeln zur Arbeit mit Firmenfahrzeugen zählen. Viele Unternehmen müssen noch einiges tun, um die Transparenz darüber zu erhöhen und die tatsächlich verantwortlichen Emissionen korrekt zu ermitteln. Obwohl viele Verkehrsunternehmen, wie beispielsweise Fluggesellschaften, bei der Buchung Angaben zu den Emissionen pro Passagier machen, stehen die Großunternehmen bei der manuellen Übertragung der CO2-Emissionen für vor einem großen Aufwand.
„Die Erfassung aller relevanten Daten einer Geschäftsreise ist eine Herausforderung für Unternehmen“, kommentiert Alexander Albert, Vorsitzender des Ausschusses Business Travel im Deutschen Reiseverband (DRV) zu der neuen EU-Richtlinie. „Geschäftsreisebüros können Firmen bei der Erfüllung ihrer CSRD-Berichtspflichten unterstützen, indem sie intelligente digitale Tools zur Verfügung stellen. Diese ermöglichen es, Buchungsdaten in die Systeme des Unternehmens zu übertragen.“
NIS-2-Richtlinie für Cybersicherheit gilt ab Oktober 2024
Die EU-Richtlinie NIS-2 hat das Ziel, die Widerstandsfähigkeit kritischer Infrastrukturen innerhalb der EU gegenüber Cyberbedrohungen durch die Etablierung eines einheitlichen Sicherheitsstandards zu stärken. Bis zum 17. Oktober 2024 müssen die Mitgliedsstaaten die NIS-2-Richtlinie in nationales Recht überführen.
Es wird geschätzt, dass in Deutschland zwischen 25.000 und 40.000 Unternehmen von den Bestimmungen der NIS-2-Richtlinie betroffen sind. Dies umfasst Unternehmen mit mehr als fünfzig Mitarbeitenden und einem Jahresumsatz von über 10 Millionen Euro sowie solche, bei denen im Falle eines Ausfalls systemische Risiken bestehen.
Die Umsetzung der NIS-2-Richtlinie setzt die Standards für Unternehmen höher, für Cybersicherheit zu sorgen. Dazu gehören erweiterte Schutzmaßnahmen wie umfassende Risikoanalysen, Sicherheitsüberprüfungen entlang der Lieferkette und die Einführung von Multi-Faktor-Authentifizierungssystemen. Des Weiteren werden die Meldepflichten verschärft, und eine intensivierte Überwachung wird voraussichtlich durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgen. Darüber hinaus ist eine obligatorische Schulung des Managements vorgesehen.
Sobald die Richtlinie in Kraft getreten ist, müssen Unternehmen auch mit indirekten Auswirkungen auf Geschäftsreisen rechnen und gegebenenfalls ihre Reiserichtlinien überdenken. Dies könnte erforderlich sein, um sicherzustellen, dass mobile Geräte und der Fernzugriff auf Unternehmensnetzwerke den Richtlinien entsprechen. Zu den Maßnahmen gehören die Verschlüsselung von Daten auf mobilen Geräten und die Nutzung von Virtual Private Networks (VPN) für den Zugriff auf Unternehmensserver. Es besteht auch Verbesserungspotenzial im Verhalten der Geschäftsreisenden, was durch Sicherheitsschulungen gefördert werden kann, um das Bewusstsein für den sicheren Umgang mit Unternehmensdaten zu stärken.