Ein wesentlicher Bestandteil der Berichterstattung nach CSRD sind die sogenannten Scope-3-Emissionen, zu denen auch die Emissionen aus Geschäftsreisen oder durch das Pendeln zur Arbeit mit dem Dienstwagen zählen. Viele Unternehmen stehen vor der Herausforderung, Transparenz darüber zu schaffen und die tatsächlich zu verantwortenden Emissionen korrekt zu berechnen. Zwar geben viele Verkehrsunternehmen wie etwa Fluggesellschaften bei der Buchung an, welche Emissionen pro Passagier entstehen. Eine manuelle Übertragung der CO2-Emissionen stellt für berichtspflichtige Großunternehmen aufgrund des hohen Aufwands und der Fehleranfälligkeit aber keine praktikable Lösung dar.
„Die Erfassung aller relevanten Daten einer Geschäftsreise ist eine Herausforderung für Unternehmen“, sagt Alexander Albert, Vorsitzender des Ausschusses Business Travel im Deutschen Reiseverband (DRV). „Geschäftsreisebüros können Firmen bei der Erfüllung ihrer CSRD-Berichtspflichten unterstützen, indem sie intelligente digitale Tools zur Verfügung stellen. Diese ermöglichen es, Buchungsdaten in die Systeme des Unternehmens zu übertragen.“
NIS-2-Richtlinie gilt ab Oktober 2024
Die EU-Richtlinie NIS-2 zielt darauf ab, kritische Infrastrukturen innerhalb der EU durch ein einheitliches Schutzniveau vor Cyberbedrohungen zu schützen. Bis zum 17. Oktober 2024 müssen die EU-Staaten die NIS-2-Richtlinie in nationales Recht umsetzen. Schätzungen zufolge sind in Deutschland zwischen 25.000 und 40.000 Unternehmen von NIS-2 betroffen. Dazu gehören Firmen mit mehr als 50 Beschäftigten und einem Jahresumsatz von mehr als 10 Millionen Euro. Unabhängig davon sind Unternehmen betroffen, wenn im Falle eines Ausfalls systemische Risiken bestehen. Neben der Ausweitung der betroffenen Einrichtungen führt die NIS-2-Richtlinie auch zu höheren Anforderungen an die Unternehmen. Dazu gehören mehr Schutzmaßnahmen, die unter anderem Risikoanalysen, Sicherheit in der Lieferkette oder Multi-Faktor-Authentifizierung umfassen. Hinzu kommen verschärfte Meldepflichten und eine intensivere Überwachung, voraussichtlich durch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Auch eine Schulungspflicht für das Management ist vorgesehen.
Ist die Richtlinie in Kraft getreten, müssen Unternehmen darüber hinaus mit indirekten Auswirkungen auf Geschäftsreisen rechnen und gegebenenfalls ihre Reiserichtlinien überarbeiten. Das kann notwendig werden, damit auch mobile Geräte und der Fernzugriff auf Unternehmensnetzwerke den Richtlinien entsprechen. Dazu gehören Maßnahmen wie die Verschlüsselung von Daten auf mobilen Geräten und die Nutzung von Virtual Private Networks (VPN) für den Zugriff auf Unternehmensserver. Aber nicht nur bei der Technik, sondern auch beim Verhalten der Geschäftsreisenden gibt es Verbesserungspotenzial. Hier helfen Sicherheitsschulungen dabei, für den sicheren Umgang mit Unternehmensdaten zu sensibilisieren.
„Geschäftsreisebüros können Unternehmen dabei unterstützen, die Cybersicherheit auf Geschäftsreisen zu verbessern“, sagt Albert vom DRV. „Etwa indem sie dafür sorgen, dass im Unternehmen entsprechende Prozesse in Gang gesetzt werden. Außerdem können sie Reisende darüber informieren, was sie unterwegs in Sachen Datensicherheit beachten sollten.“ (sas)
