Um künftig die Vorgaben zu erfüllen, müssen die Unternehmen beispielsweise ihre CO2-Emissionen korrekt erfassen und Schutzmaßnahmen für mobiles Arbeiten oder den Fernzugriff auf Unternehmensserver ergreifen. Dies dürfte die Unternehmen vor einige Herausforderungen stellen, bietet aber auch Vorteile - wie etwa eine bessere Reputation im Bereich Nachhaltigkeit und geringere Kosten und Risiken durch Cyberangriffe.

Die „Corporate Sustainability Reporting Directive“ (CSRD) ist eine von der EU bereits im Jahr 2022 verabschiedete Richtlinie zur Verbesserung der Nachhaltigkeitsberichterstattung. Sie verpflichtet die Unternehmen, standardisierte Informationen über ihre Aktivitäten in den Bereichen Umwelt, Soziales und Unternehmensführung offenzulegen. Außerdem müssen sie über die Auswirkungen ihrer Geschäftstätigkeit auf Umwelt, Wirtschaft und Gesellschaft berichten.

Andernfalls drohen Sanktionen, zu denen auch Bußgelder gehören können. Die Umsetzung der CSRD erfolgt stufenweise - beginnend mit Unternehmen ab 500 Mitarbeitenden seit dem 1. Jänner 2024. Ab dem 1. Jänner 2025 wird die Regelung auf alle bisher nicht erfassten Großunternehmen ausgeweitet und ab dem 1. Jänner 2026 müssen auch alle börsennotierten Mittelständler die Anforderungen erfüllen.

Die Emissionen der Geschäftsreisen

Ein wesentlicher Bestandteil der Berichterstattung nach CSRD sind die sogenannten Scope 3-Emissionen, zu denen auch die Emissionen aus Geschäftsreisen oder durch das Pendeln zur Arbeit mit dem Dienstwagen zählen. Viele Unternehmen stehen nun vor der Herausforderung, Transparenz darüber zu schaffen und die tatsächlich zu verantwortenden Emissionen korrekt zu berechnen.

Zwar geben viele Verkehrsunternehmen - wie etwa Fluggesellschaften - bei der Buchung an, welche Emissionen pro Passagier entstehen. Eine manuelle Übertragung der CO2-Emissionen stellt für berichtspflichtige Großunternehmen aufgrund des hohen Aufwands und der Fehleranfälligkeit aber keine praktikable Lösung dar.

„Die Erfassung aller relevanten Daten einer Geschäftsreise ist eine Herausforderung für die Unternehmen“, betont Alexander Albert, Vorsitzender des Ausschusses Business Travel im DRV: „Geschäftsreisebüros können Firmen bei der Erfüllung ihrer CSRD-Berichtspflichten unterstützen, indem sie intelligente digitale Tools zur Verfügung stellen. Diese ermöglichen es, Buchungsdaten in die Systeme des Unternehmens zu übertragen.“

NIS-2-Richtlinie gilt ab Oktober 2024

Die EU-Richtlinie NIS-2 zielt darauf ab, kritische Infrastrukturen innerhalb der EU durch ein einheitliches Schutzniveau vor Cyberbedrohungen zu schützen. Bis zum 17. Oktober 2024 müssen die EU-Staaten die NIS-2-Richtlinie in nationales Recht umsetzen. Schätzungen zufolge sind allein in Deutschland zwischen 25.000 und 40.000 Unternehmen von NIS-2 betroffen.

Dabei geht es um Firmen mit mehr als 50 Beschäftigten und einem Jahresumsatz von mehr als 10 Millionen Euro. Unabhängig davon sind aber alle Unternehmen betroffen, wenn im Falle eines Ausfalls systemische Risiken bestehen. Neben der Ausweitung der betroffenen Einrichtungen führt die NIS-2-Richtlinie auch zu höheren Anforderungen an die Unternehmen.

Dazu gehören mehr Schutzmaßnahmen, die unter anderem Risikoanalysen, die Sicherheit in der Lieferkette oder eine Multi-Faktor-Authentifizierung umfassen. Hinzu kommen verschärfte Meldepflichten und eine intensivere Überwachung durch die zuständigen Behörden des jeweiligen Landes. Auch eine Schulungspflicht für das Management ist vorgesehen.

Mehr Cybersicherheit auf Reisen

Ist die Richtlinie in Kraft getreten, müssen die Unternehmen darüber hinaus mit indirekten Auswirkungen auf ihre Geschäftsreisen rechnen und gegebenenfalls ihre Reiserichtlinien überarbeiten. Das kann notwendig werden, damit auch mobile Geräte und der Fernzugriff auf Unternehmensnetzwerke den Richtlinien entsprechen.

Dazu gehören Maßnahmen wie die Verschlüsselung von Daten auf mobilen Geräten und die Nutzung von Virtual Private Networks (VPN) für den Zugriff auf Unternehmensserver. Aber nicht nur bei der Technik, sondern auch beim Verhalten der Geschäftsreisenden gibt es Verbesserungspotenzial. Hier helfen Sicherheitsschulungen dabei, für den sicheren Umgang mit Unternehmensdaten zu sensibilisieren.

„Geschäftsreisebüros können Unternehmen dabei unterstützen, die Cybersicherheit auf ihren Geschäftsreisen zu verbessern“, sagt Albert: „Etwa indem sie dafür sorgen, dass im Unternehmen entsprechende Prozesse in Gang gesetzt werden. Außerdem können sie die Reisenden darüber informieren, was sie unterwegs in Sachen Datensicherheit beachten sollten.“ (red)