CSRD und NIS-2: EU-Richtlinien stellen Firmen beim Reisemanagement vor Herausforderungen

(Berlin) - Mit Richtlinien zur Nachhaltigkeitsberichterstattung und zur Cybersicherheit will die EU neue Maßstäbe setzen. Diese Regelungen wirken sich auch auf Geschäftsreisen aus. Um die Vorgaben zu erfüllen, müssen Unternehmen beispielsweise ihre CO2-Emissionen korrekt erfassen und Schutzmaßnahmen für mobiles Arbeiten oder den Fernzugriff auf Unternehmensserver ergreifen. Die Umsetzung der Richtlinien stellt Unternehmen vor einige Herausforderungen, bietet aber auch Vorteile. Dazu gehören die Verbesserung der Reputation im Bereich Nachhaltigkeit sowie die Reduzierung von Kosten und Risiken durch Cyberangriffe.

Die "Corporate Sustainability Reporting Directive" (CSRD) ist eine von der EU bereits im Jahr 2022 verabschiedete Richtlinie zur Verbesserung der Nachhaltigkeitsberichterstattung. Sie verpflichtet Unternehmen, standardisierte Informationen über ihre Aktivitäten in den Bereichen Umwelt, Soziales und Unternehmensführung offenzulegen. Außerdem müssen sie über die Auswirkungen ihrer Geschäftstätigkeit auf Umwelt, Wirtschaft und Gesellschaft berichten. Andernfalls drohen Sanktionen, etwa Bußgelder. Die Umsetzung der CSRD erfolgt stufenweise, beginnend mit Unternehmen ab 500 Mitarbeitenden seit dem 1. Januar 2024. Ab dem 1. Januar 2025 wird die Regelung auf alle bisher nicht erfassten Großunternehmen ausgeweitet und ab dem 1. Januar 2026 müssen auch alle börsennotierten Mittelständler die Anforderungen erfüllen.

Ein wesentlicher Bestandteil der Berichterstattung nach CSRD sind die sogenannten Scope 3-Emissionen, zu denen auch die Emissionen aus Geschäftsreisen oder durch das Pendeln zur Arbeit mit dem Dienstwagen zählen. Viele Unternehmen stehen vor der Herausforderung, Transparenz darüber zu schaffen und die tatsächlich zu verantwortenden Emissionen korrekt zu berechnen. Zwar geben viele Verkehrsunternehmen wie etwa Fluggesellschaften bei der Buchung an, welche Emissionen pro Passagier entstehen. Eine manuelle Übertragung der CO2-Emissionen stellt für berichtspflichtige Großunternehmen aufgrund des hohen Aufwands und der Fehleranfälligkeit aber keine praktikable Lösung dar.

"Die Erfassung aller relevanten Daten einer Geschäftsreise ist eine Herausforderung für Unternehmen", sagt Alexander Albert, Vorsitzender des Ausschusses Business Travel im Deutschen Reiseverband (DRV).
"Geschäftsreisebüros können Firmen bei der Erfüllung ihrer CSRD-Berichtspflichten unterstützen, indem sie intelligente digitale Tools zur Verfügung stellen. Diese ermöglichen es, Buchungsdaten in die Systeme des Unternehmens zu übertragen."

NIS-2-Richtlinie gilt ab Oktober 2024

Die EU-Richtlinie NIS-2 zielt darauf ab, kritische Infrastrukturen innerhalb der EU durch ein einheitliches Schutzniveau vor Cyberbedrohungen zu schützen. Bis zum 17. Oktober 2024 müssen die EU-Staaten die NIS-2-Richtlinie in nationales Recht umsetzen. Schätzungen zufolge sind in Deutschland zwischen 25.000 und 40.000 Unternehmen von NIS-2 betroffen. Dazu gehören Firmen mit mehr als 50 Beschäftigten und einem Jahresumsatz von mehr als 10 Millionen Euro. Unabhängig davon sind Unternehmen betroffen, wenn im Falle eines Ausfalls systemische Risiken bestehen. Neben der Ausweitung der betroffenen Einrichtungen führt die NIS-2-Richtlinie auch zu höheren Anforderungen an die Unternehmen. Dazu gehören mehr Schutzmaßnahmen, die unter anderem Risikoanalysen, Sicherheit in der Lieferkette oder Multi-Faktor-Authentifizierung umfassen. Hinzu kommen verschärfte Meldepflichten und eine intensivere Überwachung, voraussichtlich durch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Auch eine Schulungspflicht für das Management ist vorgesehen.

Ist die Richtlinie in Kraft getreten, müssen Unternehmen darüber hinaus mit indirekten Auswirkungen auf Geschäftsreisen rechnen und gegebenenfalls ihre Reiserichtlinien überarbeiten. Das kann notwendig werden, damit auch mobile Geräte und der Fernzugriff auf Unternehmensnetzwerke den Richtlinien entsprechen. Dazu gehören Maßnahmen wie die Verschlüsselung von Daten auf mobilen Geräten und die Nutzung von Virtual Private Networks (VPN) für den Zugriff auf Unternehmensserver. Aber nicht nur bei der Technik, sondern auch beim Verhalten der Geschäftsreisenden gibt es Verbesserungspotenzial. Hier helfen Sicherheitsschulungen dabei, für den sicheren Umgang mit Unternehmensdaten zu sensibilisieren.

"Geschäftsreisebüros können Unternehmen dabei unterstützen, die Cybersicherheit auf Geschäftsreisen zu verbessern", sagt Albert. "Etwa indem sie dafür sorgen, dass im Unternehmen entsprechende Prozesse in Gang gesetzt werden. Außerdem können sie Reisende darüber informieren, was sie unterwegs in Sachen Datensicherheit beachten sollten."

Über die Kampagne "Chefsache Business Travel"
Chefsache Business Travel ist eine Initiative von Travel Management Companies im Deutschen Reiseverband (DRV). Sie will Geschäftsreisen als strategisches Managementthema verankern und den Nutzen eines professionellen Geschäftsreisemanagements in Zusammenarbeit mit den Geschäftsreisebüros auf Entscheiderebene besser bekannt machen. Die DRV-Initiative Chefsache Business Travel wird von den Travel Management Companies ADAC Reisevertrieb, BCD Travel, DERPART Travel Service und Lufthansa City Center getragen.

Quelle und Kontaktadresse:
Deutscher Reiseverband e.V. (DRV) Pressestelle Lietzenburger Str. 99, 10707 Berlin Telefon: (030) 28406-0, Fax: (030) 28406-30

(jg)