Das
NIS2-Umsetzungsgesetz:
Ein neuer Rahmen für Cybersicherheit in Deutschland
Mit dem Inkrafttreten des NIS2‑Umsetzungsgesetzes hat Deutschland einen zentralen Schritt in der Regulierung der Cybersicherheit vollzogen. Das Gesetz, das die europäische NIS2‑Richtlinie in nationales Recht überführt, wurde nach der Zustimmung des Bundesrats am 5. Dezember 2025 im Bundesgesetzblatt verkündet und trat am 6. Dezember 2025 in Kraft. Es markiert einen Paradigmenwechsel: Weg von punktuellen Einzelvorgaben hin zu einem einheitlichen, durchsetzbaren Sicherheitsrahmen.
Inhaltsverzeichnis
Bedeutung für deutsche Unternehmen
Die NIS2‑Richtlinie ist der EU‑Rahmen für die Sicherheit von Netz- und Informationssystemen. Sie erweitert den Kreis der betroffenen Unternehmen und öffentlichen Stellen deutlich, insbesondere in kritischen und wichtigen Sektoren wie Energie, Gesundheit, Verkehr, Finanzwesen, Verwaltung sowie bei digitalen Diensten. Kernidee ist, dass Informationssicherheit nicht mehr als einmaliges IT‑Projekt verstanden wird, sondern als kontinuierliche, strategische Managementaufgabe.
Neue Anforderungen
Das neue Gesetz beseitigt bisherige Zersplitterungen im IT‑Sicherheitsrecht und verschärft die Anforderungen. Betroffene Organisationen müssen ein wirksames, risikobasiertes Sicherheitsniveau nachweisen, etwa durch klare Verantwortlichkeiten auf Leitungsebene, ein strukturiertes Informationssicherheits‑Management (inklusive Maßnahmen wie Zugriffssteuerung, Patch‑ und Schwachstellenmanagement, Verschlüsselung, Notfall‑ und Wiederanlaufpläne sowie Sicherheit in der Lieferkette) und ein verbindliches Meldewesen für IT‑Sicherheitsvorfälle. Für erhebliche Vorfälle sind abgestufte Fristen vorgesehen: eine frühe Warnung binnen 24 Stunden, ein ausführlicher Zwischenbericht in der Regel binnen 72 Stunden und ein Abschlussbericht innerhalb eines Monats. Verstöße können mit spürbaren Aufsichtsmaßnahmen und Bußgeldern geahndet werden; die Verantwortung der Leitungsebene ist ausdrücklich mit adressiert.
Erweiterte Anforderungen für Unternehmen und Behörden
Das Gesetz schafft einen kohärenten, durchsetzbaren Rechtsrahmen mit klaren Sanktionen. Es hebt das Schutzniveau an, indem es Informationssicherheit als dauerhafte, strategische Kernaufgabe verankert. Die deutschen Vorschriften gehen dabei in Teilen über die EU‑Mindestvorgaben hinaus.
Der Anwendungsbereich ist breit
Er umfasst neben Betreibern kritischer Infrastrukturen auch zahlreiche weitere „wesentliche“ und „wichtige“ Einrichtungen – darunter, je nach Risiko und Bedeutung, auch kleine und mittlere Unternehmen.
Maßgeblich ist das Proportionalitätsprinzip
Umfang und Tiefe der Maßnahmen richten sich nach Größe der Organisation, Art der Tätigkeit und Risikolage. Die flexible Ausgestaltung soll es ermöglichen, auf neue Bedrohungen und technologische Entwicklungen schnell zu reagieren.
Zentral ist die Rolle der Geschäftsführung
Sie muss Sicherheitsstrategien nicht nur beschließen, sondern deren Umsetzung aktiv steuern und überwachen, bei Bedarf nachschärfen und mit ausreichenden finanziellen wie personellen Mitteln hinterlegen. Dazu gehören klare Verantwortlichkeiten, verlässliche Berichtswege, regelmäßige Lage‑ und Reifegradprüfungen sowie die laufende Fortbildung der Leitungsebene zu Cyberrisiken. Kurz: Informationssicherheit wird zur messbaren Managementaufgabe – mit Nachweispflichten gegenüber Aufsichtsbehörden.
Viele Unternehmen hatten auf eine möglichst zurückhaltende nationale Umsetzung gehofft. Diese Erwartung hat sich nicht erfüllt.
Der Gesetzgeber nutzt den Spielraum der Richtlinie konsequent
Er konkretisiert Anforderungen detailliert, erweitert Aufsichts- und Eingriffsbefugnisse der Behörden und legt den Geltungsbereich weit aus.
Während die NIS2‑Richtlinie auf EU‑Ebene eine Mindestharmonisierung darstellt (sie setzt Baselines, die Mitgliedstaaten übertreffen dürfen), versteht das deutsche Gesetz Cybersicherheit als gesamtgesellschaftliche Infrastrukturaufgabe. Das macht den Rahmen anspruchsvoller, gibt ihm aber eine klare Richtung: weniger Freiwilligkeit, mehr verbindliche Pflichten und stärkere staatliche Steuerung. Für betroffene Organisationen bedeutet das, Sicherheitsmanagement, Meldewege, Notfallvorsorge und Lieferkettenkontrollen frühzeitig strukturiert aufzubauen oder zu erweitern.
Breiter Anwendungsbereich und dynamische Kriterien
Der erweiterte Anwendungsbereich ist eine der sichtbarsten Folgen des Gesetzes. Zwar übernimmt Deutschland die EU‑Kategorien „besonders wichtige Einrichtungen“ (Essential) und „wichtige Einrichtungen“ (Important), füllt sie national aber breit aus. Die definierten Sektoren und Schwellenwerte führen dazu, dass viele Unternehmen – darunter zahlreiche Mittelständler – erstmals spezifischen Cybersicherheitsvorgaben unterliegen. Für sie gilt nun ein Regelungsniveau, das bisher vor allem kritischen Infrastrukturen vorbehalten war.
Zur Einordnung
In den von NIS2 erfassten Sektoren gelten typischerweise mittlere und große Unternehmen als verpflichtet (Faustregel: mindestens 50 Beschäftigte und 10 Mio. Euro Jahresumsatz oder Bilanzsumme). Unabhängig von dieser Größenlogik können aber auch kleinere Unternehmen erfasst werden, wenn sie für die Versorgungssicherheit besonders relevant sind – etwa als Alleinanbieter, als wichtiger Teil einer kritischen Lieferkette oder als Betreiber risikoreicher digitaler Dienste (z. B. Cloud-, Managed‑ oder Sicherheitsdienste).
Gleichzeitig ist der Rechtsrahmen bewusst dynamisch angelegt
Die Einstufung ist nicht abschließend und orientiert sich an Bedeutung des Dienstes, Abhängigkeiten und den potenziellen Auswirkungen eines Ausfalls auf Wirtschaft, Gesellschaft oder öffentliche Sicherheit. Behörden können Unternehmen aufgrund ihrer Systemrelevanz einstufen oder neu einstufen, wenn sich Bedrohungslage, Technologien oder Marktstrukturen verändern. Das erhöht die Reaktionsfähigkeit des Systems – schafft aber auch Rechtsunsicherheit, weil in Grenzfällen oft erst das Registrierungs- bzw. Einstufungsverfahren endgültige Klarheit bringt.
Praktische Konsequenz
Unternehmen sollten frühzeitig prüfen, ob ihre Tätigkeiten in erfasste Sektoren fallen, die Größenkriterien erfüllen oder aufgrund besonderer Kritikalität betroffen sein könnten. Eine sorgfältige Selbstbewertung und die rechtzeitige Registrierung helfen, Unsicherheiten zu reduzieren und die Anforderungen proportional umzusetzen.
Konkrete Pflichten für Unternehmen und Behörden
Regelungsadressat
Zentrale Pflicht
Gesetzliche Grundlage
Erläuterung
Unternehmen (besonders wichtige oder wichtige Einrichtungen)
Einführung und Betrieb eines systematischen Informationssicherheits- und Risikomanagementsystems (ISMS), einschließlich dokumentierter Abläufe, klarer Verantwortlichkeiten und regelmäßiger Überwachung
§ 38 Abs. 1 BSIG-E (Entwurf für das neue BSI-Gesetz)
Ziel ist es, Cybersicherheitsrisiken ganzheitlich und fortlaufend zu steuern und zu dokumentieren. Die Leitungsebene trägt die Verantwortung.
Unternehmen
Sensibilisierung und regelmäßige Schulung der Geschäftsleitung sowie die Übernahme der Gesamtverantwortung für die Einhaltung aller Sicherheitsvorgaben (Governance-Pflichten)
§ 38 Abs. 3 BSIG-E
Geschäftsführende müssen aktiv über den Stand der IT- und Informationssicherheit informiert sein und Managemententscheidungen entsprechend ausrichten.
Unternehmen
Management der IT-Sicherheit in der Lieferkette, inklusive Bewertung sowie Absicherung von Dienstleistern und Zulieferern hinsichtlich Cyberrisiken
Umsetzung nach Art. 21 NIS2, umgesetzt im BSIG-E
Unternehmen müssen sicherstellen, dass auch externe Partner angemessene Sicherheitsstandards erfüllen.
Unternehmen
Technische und organisatorische Maßnahmen zur Absicherung von Netz- und Informationssystemen (u. a. Zugriffskontrollen, Verschlüsselung, Backup- und Notfallpläne)
Art. 21 Abs. 2 NIS2-Richtlinie, umgesetzt im BSIG-E
Es sind Schutzmaßnahmen umzusetzen, die an den Stand der Technik angepasst sind
Behörden (Bundesverwaltung)
Aufbau und Beteiligung an einem zentral koordinierten Informationssicherheitsmanagement innerhalb der gesamten Bundesverwaltung (z. B. durch den CISO-Bund)
§ 43 BSIG-E
Die Zusammenarbeit innerhalb der Verwaltung soll die einheitliche Sicherung sensibler Behörden-IT gewährleisten.
Behörden
Registrierung, Nachweis- und Dokumentationspflichten gegenüber der zuständigen Aufsichtsbehörde (z. B. dem Bundesamt für Sicherheit in der Informationstechnik – BSI) für alle meldepflichtigen Einrichtungen
Verschiedene Paragrafen im BSIG-E, insbesondere Melde- und Nachweispflichten
Aufsicht und Kontrolle werden durch verbindliche Meldungen und Nachweise unterstützt
Geschäftsleitungen sind jetzt in der Verantwortung
Das Gesetz rückt die Verantwortung der Geschäftsleitung in den Mittelpunkt. Anders als frühere IT‑Sicherheitsvorgaben setzt das NIS2‑Umsetzungsgesetz nicht nur auf Technik, sondern verankert Compliance als Führungsaufgabe. Die Unternehmensleitung soll Sicherheitsstrategien nicht bloß genehmigen, sondern deren Umsetzung aktiv steuern, regelmäßig auf Wirksamkeit prüfen und bei Bedarf nachjustieren. Sie muss zudem sicherstellen, dass ein angemessenes Informationssicherheitsmanagementsystem (ISMS) betrieben wird und dafür ausreichende personelle, technische und finanzielle Ressourcen bereitstehen. Ein ISMS ist der organisatorische Rahmen, mit dem Sicherheitsziele festgelegt, Risiken bewertet und Maßnahmen geplant, umgesetzt und überwacht werden.
Die Anforderungen ähneln der Rechenschaftspflicht aus dem Datenschutzrecht, wie sie durch die DSGVO und die Rechtsprechung der Obergerichte geprägt wurden. Wie im Datenschutz kann auch hier persönliche Verantwortung der Geschäftsleitung entstehen, wenn grundlegende Pflichten vernachlässigt oder erforderliche Sicherheitsmaßnahmen nicht eingeführt werden. Unternehmen müssen künftig nachvollziehbar dokumentieren, dass ihre Entscheidungen auf einer fundierten Risikoanalyse beruhen und dass die Sicherheitsorganisation funktionsfähig ist. Damit verschiebt sich der Schwerpunkt von rein technischen Einzelmaßnahmen hin zu Governance (Steuerung und Kontrolle auf Leitungsebene) und einem kontinuierlichen, risikobasierten Management der Informationssicherheit.
Technische Anforderungen und Betriebskontinuität
Das Gesetz stellt umfassende technische Anforderungen und erfasst nahezu alle Bereiche moderner IT-Infrastrukturen. Zentral ist die Pflicht zur Angriffserkennung. Unternehmen müssen über klassische Schutzmaßnahmen wie Firewalls hinausgehen und Lösungen einsetzen, die auffälliges Verhalten und Muster erkennen sowie Systeme in Echtzeit überwachen. Dazu zählen etwa EDR/NDR- und SIEM‑Lösungen (Endpoint/Network Detection & Response; Security Information and Event Management) mit Anomalie- und Verhaltensanalyse.
Diese Systeme müssen nicht unfehlbar sein, aber sie müssen Angriffe zeitnah erkennbar machen und belastbare Indikatoren liefern, auf deren Basis Vorfälle bewertet und Maßnahmen eingeleitet werden können.
Ebenso wesentlich sind Vorgaben zur Betriebskontinuität. Ein Notfallplan ist verpflichtend. Erwartet wird ein schlüssiges Gesamtkonzept für Business Continuity und Disaster Recovery: klar definierte Wiederanlaufprozesse (wer macht was, in welcher Reihenfolge), regelmäßige und überprüfbare Backups inklusive Wiederherstellungstests, technische und organisatorische Redundanzen (z. B. zweite Rechenzentrumszone, alternative Kommunikationswege) sowie abgestimmte Kommunikations- und Krisenpläne. Diese Elemente sind regelmäßig zu prüfen, zu testen und anhand von Übungen zu verbessern.
Ein weiterer Schwerpunkt ist die Sicherheit in der Lieferkette. Unternehmen müssen Dienstleister und Partner systematisch bewerten (Risikoprüfung vor Beauftragung und laufendes Monitoring) und vertraglich absichern. Dazu gehören Mindeststandards zu technischen und organisatorischen Maßnahmen, Meldepflichten bei Sicherheitsvorfällen, Audit- und Kontrollrechte, Qualifikations- und Zertifikatsnachweise (z. B. ISO 27001), Regelungen zu Patch- und Schwachstellenmanagement, Datenstandorten sowie Exit‑Szenarien. Besonders relevant ist dies für Cloud‑Anbieter, Wartungsdienstleister, Softwarelieferanten und Betreiber kritischer Komponenten.
Die Verantwortung bleibt beim Unternehmen: Sicherheitsaufgaben können ausgelagert werden, die Haftung für Auswahl-, Prüf- und Überwachungspflichten jedoch nicht. Verursacht ein externer Dienstleister Sicherheitslücken, haftet das Unternehmen, wenn es seine Sorgfaltspflichten nicht erfüllt hat.
Herausforderungen bei der Umsetzung: Meldepflichten
Eine der größten praktischen Hürden ist das dreistufige Meldeverfahren. Nach Kenntnis eines erheblichen Sicherheitsvorfalls müssen Unternehmen sehr schnell berichten: innerhalb von 24 Stunden ein erster Bericht, nach 72 Stunden ein Zwischenbericht und nach einem Monat ein Abschlussbericht. Diese engen Fristen setzen eine rasche Erkennung, Analyse und Dokumentation voraus – oft unter erheblichem Zeitdruck.
Zur Einordnung:
- 24-Stunden-Meldung (Frühwarnung): Erste Lageeinschätzung mit grundlegenden Fakten (Art des Vorfalls, betroffene Dienste/Standorte, erste Eindämmungsmaßnahmen).
- 72-Stunden-Zwischenbericht: Aktualisierte Informationen zu Ursache, Ausmaß und voraussichtlichen Auswirkungen sowie zu laufenden Maßnahmen.
- Abschlussbericht nach einem Monat: Konsolidierte Ursachenanalyse, endgültige Bewertung der Auswirkungen, Lessons Learned und geplante Verbesserungen.
„Kenntnisnahme“ meint den Zeitpunkt, ab dem ausreichend Anhaltspunkte für einen erheblichen Vorfall vorliegen. „Erheblich“ sind Vorfälle, die die Erbringung wesentlicher Dienste spürbar beeinträchtigen oder beeinträchtigen könnten. In der Praxis erfordert dies klare Meldewege, vorbereitete Vorlagen und eingespielte Incident-Response-Prozesse.
Regelungsadressat
Pflicht gegenüber der Aufsicht
Gesetzesparagraf
Unternehmen unter dem Gesetz
Meldung eines erheblichen Sicherheitsvorfalls innerhalb von 24 Stunden nach Kenntnisnahme
§ 32 Abs. 2 BSIG-E
Unternehmen unter dem Gesetz
Zwischenbericht nach 72 Stunden mit ergänzenden Informationen
§ 32 Abs. 3 BSIG-E
Unternehmen unter dem Gesetz
Abschlussbericht spätestens einen Monat nach Vorfall mit vollständiger Analyse
§ 32 Abs. 4 BSIG-E
Unternehmen unter dem Gesetz
Registrierung bei der zuständigen Behörde (z.B. BSI) als wesentliche oder wichtige Einrichtung, Nachweisführung über technische/organisatorische Maßnahmen
Paragrafen im BSIG-E (z. B. § 8 c, 8 f entfallen, neue Regelungen eingeführt)
Behörden (Bund)
Meldung und Koordination von Behördensicherheitsvorfällen analog zu privatem Sektor samt Beteiligung des CISO-Bund und Melde-/Nachweispflichten
§ 43 BSIG-E (Bundesverwaltung)
In der Praxis stellt sich die Lage oft anders dar: Forensische Auswertungen und Log-Analysen dauern nicht selten Tage oder Wochen. Selbst spezialisierte Incident-Response-Teams (Expertinnen und Experten für die Bewältigung von IT-Sicherheitsvorfällen) benötigen Zeit, um Ursache, Umfang und Auswirkungen verlässlich zu beurteilen.
Das Gesetz macht daher den Aufbau neuer Abläufe und Zuständigkeiten erforderlich. Dazu zählen klare Meldeketten, definierte Rollen wie eine zentrale Incident-Lead-Funktion, gegebenenfalls 24/7-Bereitschaften sowie vorbereitete Playbooks und Checklisten.
Zur Schlüsselkompetenz wird die Sofortanalyse (Triage): In kurzer Zeit belastbare Erstinformationen zusammentragen, bewerten und darauf basierend vorläufige Gegenmaßnahmen einleiten.
Vorteile für Unternehmen mit etablierten Sicherheitsstandards
Unternehmen mit einem reifen Sicherheitsniveau – etwa mit einer ISO-27001-Zertifizierung (internationaler Standard für Informationssicherheitsmanagement) oder vergleichbaren internen Vorgaben – starten mit einem Vorsprung. Viele neue Pflichten lassen sich auf bestehende Frameworks abbilden. Dennoch sind Anpassungen erforderlich, weil das Gesetz stärker auf drei Punkte abzielt: schnelle und belastbare Meldefähigkeit bei Vorfällen, systematische Überwachung der Lieferkette und klare Governance-Strukturen (Steuerung und Verantwortung auf Leitungsebene).
Für Organisationen ohne ausgebautes Informationssicherheitsmanagement bedeutet das Gesetz einen grundlegenden Umbau. Erforderlich sind:
- Rollen und Verantwortlichkeiten definieren (z. B. zentrale Sicherheitsverantwortung, Incident-Lead)
- Teams aufbauen und qualifizieren
- Prozesse entwerfen und dokumentieren (u. a. Risiko-, Incident-, Change-, Notfall- und Continuity-Management)
- geeignete Technologien beschaffen (z. B. Protokollierung/Monitoring, Backup/Recovery, Schwachstellen- und Patchmanagement)
- Verträge mit Dienstleistern anpassen (Sicherheitsanforderungen, Meldepflichten, Audit- und Kontrollrechte)
- eine gelebte Sicherheitskultur etablieren (Schulungen, Sensibilisierung, klare Berichtslinien)
Auch der Staat ist Teil dieses Wandels. Die Bundesverwaltung wird erstmals flächendeckend in ein verbindliches Informationssicherheitsregime eingebunden. Das betrifft Ressorts, Behörden und nachgeordnete Einrichtungen gleichermaßen. Bisher waren Strukturen oft heterogen; Standards wurden empfohlen, aber nicht einheitlich kontrolliert oder umgesetzt. Das neue Gesetz setzt hier an: Es sieht ein zentrales Informationssicherheitsmanagement für die Bundesverwaltung vor, das die Zusammenarbeit der Organisationseinheiten strafft.
Besonders wichtig ist die Rolle des CISO-Bund (Chief Information Security Officer der Bundesverwaltung) mit koordinierenden Aufgaben. Ziel ist es, die föderale Struktur durch gemeinsame Leitlinien, abgestimmte Maßnahmen und einheitliche Prioritäten zu stärken – und damit aus einer bisherigen Schwäche eine organisatorische Stärke zu machen.
Die Rolle des BSI und politische Diskussionen
Mit dem neuen Gesetz erhält das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine deutlich stärkere Aufsichtsfunktion. War es bislang vor allem beratend tätig, kann es nun Nachweise anfordern, Audits durchführen, technische Anforderungen konkretisieren und im Einzelfall verbindliche Maßnahmen anordnen. Damit wird das BSI zum zentralen Aufseher der nationalen Cyberregulierung.
Die politische Debatte rund um das Gesetz zeigte
Die Erwartungen sind hoch, die Umsetzung wird anspruchsvoll. Häufig kritisiert wurde das sogenannte Gold Plating – also die über das EU-Mindestniveau hinausgehende Ausgestaltung nationaler Regeln. Einige Stimmen forderten eine engere Anlehnung an die europäischen Mindestanforderungen, um den Übergang zu erleichtern. Andere warnten, dass insbesondere kleinere Unternehmen unter den hohen Vorgaben leiden könnten, weil ihnen Personal, Technik und Budget fehlen, um kurzfristig ein vollwertiges Informationssicherheits-management aufzubauen.
Wiederkehrend war auch die Frage nach dem Regelungsspielraum des Innenministeriums bei „kritischen Komponenten“: Wie weit darf Regulierung gehen, ohne Innovationsfähigkeit und wirtschaftliche Planungssicherheit zu beeinträchtigen? Hier wird es auf eine ausgewogene Ausgestaltung ankommen – mit transparenten Kriterien, verhältnismäßigen Anforderungen und klaren Zuständigkeiten.
Umsetzung ist mehr als nur Technik
Für unmittelbar betroffene Unternehmen beginnt eine Aufbauphase: Sie müssen Strukturen schaffen, Zuständigkeiten klären und belastbare Prozesse etablieren. Ein Informationssicherheitsmanagement (ISMS) ist nicht nur ein Technikprojekt, sondern ein strukturiertes Managementsystem. Dazu gehören benannte Verantwortliche (z. B. zentrale Sicherheitsfunktion/CISO), klare Entscheidungspfade und Eskalationen, definierte Kommunikationswege sowie verankerte Kontrollmechanismen.
Kontrollmechanismen heißen in der Praxis
dokumentierte Richtlinien, regelmäßige Reviews und Audits, Messgrößen zur Wirksamkeit (KPIs), Schulungen und ein geübtes Notfallmanagement.
Auch Unternehmen, die nicht direkt unter das Gesetz fallen, sollten aktiv werden. Die neue Regulierung wirkt in Märkte und Lieferketten hinein. Große Auftraggeber werden vertraglich verlangen, dass Dienstleister und Partner Sicherheitsstandards erfüllen, die sich an den gesetzlichen Vorgaben orientieren – einschließlich Nachweisen (z. B. Auditrechte, Zertifizierungen) und Meldepflichten bei Vorfällen. Wer diese Anforderungen nicht erfüllen kann, riskiert mittelfristig, aus Lieferketten ausgeschlossen zu werden.
Ein frühzeitiger Aufbau grundlegender Sicherheitsprozesse und -nachweise ist daher auch für nicht unmittelbar betroffene Unternehmen ein Wettbewerbsfaktor.
Fazit
Das Gesetz stellt einen Meilenstein in der Cybersicherheitsregulierung dar und definiert neue Standards für Unternehmen und Behörden. Es verbindet technische Vorgaben und organisatorische Maßnahmen mit klaren Verantwortlichkeiten und wirksamen Sanktionsmechanismen. Entscheidend für den Erfolg ist jedoch nicht allein die Einhaltung der gesetzlichen Anforderungen, sondern vor allem deren wirksame und nachhaltige Umsetzung in der Praxis.
Eines steht fest: Die Herausforderungen im Bereich Cybersicherheit werden weiter wachsen und setzen einen kontinuierlichen Anpassungswillen voraus. Das Gesetz ist dabei ein wichtiger Fortschritt, aber keineswegs das Ende der Entwicklung. Aktuelle Informationen, praktische Hilfestellungen und Antworten auf häufige Fragen stellt das BSI unter dem Hashtag #nis2know auf seiner Website bereit und unterstützt Unternehmen und Behörden bei der erfolgreichen Umsetzung der neuen Anforderungen.
Noch Fragen?