Neue EU-Richtlinien für Unternehmen zur Nachhaltigkeitsberichterstattung sollen neue Maßstäbe setzen

Mit neuen Richtlinien zur Nachhaltigkeitsberichterstattung und zur Cybersicherheit will die Europäische Union neue Maßstäbe setzen.

Diese Vorschriften werden sich auch in erheblichem Maße auf Geschäftsreisen auswirken. So müssen Unternehmen beispielsweise ihren CO2-Ausstoß genau erfassen und Sicherheitsmaßnahmen für mobiles Arbeiten oder den Fernzugriff auf Unternehmensserver einführen. Die Umsetzung dieser Richtlinien stellt zwar eine Herausforderung dar, bringt aber auch erhebliche Vorteile mit sich, wie beispielsweise eine verbesserte Nachhaltigkeitsreputation sowie die Möglichkeit, Kosten zu senken und das Risiko von Cyberangriffen zu reduzieren.

Berichterstattung von Unternehmen zur Nachhaltigkeit

Die „Corporate Sustainability Reporting Directive“ (CSRD) wurde 2022 von der EU verabschiedet, um die Qualität und Transparenz der Nachhaltigkeitsberichterstattung zu verbessern. Sie legt fest, dass Unternehmen verpflichtet sind, detaillierte Informationen über ihre Aktivitäten in den Bereichen Umwelt, Soziales und Unternehmensführung offen zu legen. Außerdem müssen sie über die Auswirkungen ihrer Geschäftstätigkeit auf Umwelt, Wirtschaft und Gesellschaft berichten. Verstöße gegen die Richtlinie können Sanktionen wie Bußgelder nach sich ziehen.

Die Umsetzung der CSR-Richtlinie erfolgt in mehreren Stufen: Seit dem 1. Januar 2024 sind Unternehmen mit mehr als 500 Mitarbeitenden dazu verpflichtet. Ab dem 1. Januar 2025 wird die Regelung auf alle großen Unternehmen ausgeweitet, die bisher noch nicht unter die Richtlinie fallen, und ab dem 1. Januar 2026 müssen sich auch alle börsennotierten mittelständischen Unternehmen an die Vorgaben halten.

Auch Geschäftsreisen zählen zu den Scope-3-Emissionen

Ein zentraler Aspekt der Berichterstattung nach CSRD sind die Scope 3-Emissionen, zu denen auch Emissionen aus Geschäftsreisen oder dem Pendeln zur Arbeit mit Firmenfahrzeugen zählen. Hier besteht für viele Unternehmen noch Handlungsbedarf, um die Transparenz zu erhöhen und die tatsächlich verursachten Emissionen korrekt zu ermitteln. Obwohl viele Transportunternehmen, wie zum Beispiel Fluggesellschaften, die Emissionen pro Passagier bei der Buchung angeben, ist die manuelle Übertragung der CO2-Emissionen für große Unternehmen mit einem hohen Aufwand verbunden.

„Die Erfassung aller relevanten Daten einer Geschäftsreise ist eine Herausforderung für Unternehmen“, kommentiert Alexander Albert, Vorsitzender des Ausschusses Business Travel im Deutschen ReiseVerband (DRV), die neue EU-Richtlinie. „Geschäftsreisebüros können Firmen bei der Erfüllung ihrer CSRD-Berichtspflichten unterstützen, indem sie intelligente digitale Tools zur Verfügung stellen. Diese ermöglichen es, Buchungsdaten in die Systeme des Unternehmens zu übertragen.“

Richtlinie NIS-2 zur Cybersicherheit tritt ab Oktober 2024 in Kraft

Die EU-Richtlinie NIS-2 soll die Widerstandsfähigkeit kritischer Infrastrukturen in der EU gegenüber Cyberbedrohungen durch einen einheitlichen Sicherheitsstandard stärken. Bis zum 17. Oktober 2024 müssen die Mitgliedsstaaten die NIS-2-Richtlinie in nationales Recht umsetzen.

In Deutschland sind schätzungsweise 25.000 bis 40.000 Unternehmen von den Regelungen der NIS-2-Richtlinie betroffen. Dies sind Unternehmen mit mehr als 50 Beschäftigten und einem Jahresumsatz von mehr als 10 Millionen Euro sowie Unternehmen, bei denen im Falle eines Ausfalls systemische Risiken bestehen.

Mit der Umsetzung der NIS 2-Richtlinie werden die Anforderungen an die Cybersicherheit von Unternehmen erhöht. Dazu gehören erweiterte Schutzmaßnahmen wie umfassende Risikoanalysen, Sicherheitsüberprüfungen entlang der Lieferkette und die Einführung von Multi-Faktor-Authentifizierungssystemen. Darüber hinaus werden die Meldepflichten verschärft und eine intensivere Überwachung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erwartet. Darüber hinaus ist eine verpflichtende Schulung des Managements vorgesehen.

Mit Inkrafttreten der Richtlinie werden Unternehmen auch mit indirekten Auswirkungen auf Geschäftsreisen rechnen müssen und gegebenenfalls ihre Reiserichtlinien überdenken. Dies könnte erforderlich sein, um sicherzustellen, dass mobile Geräte und der Fernzugriff auf Unternehmensnetzwerke den Richtlinien entsprechen. Zu den zu ergreifenden Maßnahmen gehören die Verschlüsselung von Daten auf mobilen Geräten und der Einsatz von Virtual Private Networks (VPN) für den Zugriff auf die Server des Unternehmens. Auch beim Verhalten der Geschäftsreisenden gibt es Verbesserungspotenzial, das durch Sicherheitsschulungen gefördert werden kann, um das Bewusstsein für den sicheren Umgang mit Unternehmensdaten zu stärken.