Skip to content
NIS-2 und BSIG-E: Neue Sicherheitspflichten für Unternehmen

Die wichtigsten Pflichten und Cyber-Sicherheitsanforderungen für Unternehmen nach der NIS-2-Richtlinie und dem BSIG-E

In früheren Zeiten waren größere Ausfälle wichtiger Infrastruktur eher theoretischer Natur oder dienten, wie bspw. in „Stirb Langsam 4.0“, als Plot für unterhaltsame Actionfilme. Der große Stromausfall, zu welchem es am 28. April 2025 auf der Iberischen Halbinsel kam, hat gezeigt, dass die dunklen Fantasien von Drehbuchautoren und die Realität heute im Ernstfall nicht weit auseinanderliegen. 

Nachdem an jenem Tag kurz nach Mittag innerhalb kürzester Zeit das Stromnetz Spaniens und Portugals weitgehend kollabiert war, kamen auf der gesamten Halbinsel Züge und Metros zum Stillstand, Verkehrsampeln und -leitsysteme fielen aus, Internet, Telefon und Mobilfunk stellten die Arbeit ebenso ein wie die Kühlung und Bezahl-Systeme in Supermärkten. Auch Abheben von Bargeld an den Geldautomaten der Banken war nicht mehr möglich. Aufgrund des Stromausfalls funktionierten in den Haushalten weder Licht noch elektrische Geräte für Raumklima, Fernsehen oder Radio. Von Strom angetriebene Wasser- und Abwasseranlagen waren ebenso beeinträchtigt wie Krankenhäuser, welche nur durch ggf. vorhandene Notstromaggregate ihre Funktion in beschränktem Umfang und für kurze Zeit weiter aufrechterhalten konnten. 

Am Ende waren 60 Millionen Menschen direkt oder indirekt von diesem, mehrere Stunden andauernden Vorfall betroffen. Es handelte sich nach offiziellen Angaben nicht um die Folgen eines Cyberangriffs, bei welchem Netz- oder Informationssysteme attackiert werden. 

Allerdings tragen auch solche ein erhebliches Schadenspotential in sich, wie aktuellere Vorfälle belegen. So musste der Landkreis Anhalt-Bitterfeld bspw. im Jahr 2021 den Katastrophenfall ausrufen, weil die IT-Infrastruktur des Landkreises durch einen mit Ransomware durchgeführten Hackerangriff nahezu vollständig lahmgelegt worden war. Der Landkreis konnte hierdurch seine gesetzlichen Aufgaben nicht erfüllen, bspw. also keine Sozial- und Unterhaltszahlungen leisten. Dutzende Gigabyte an wichtigen, teils sensiblen personenbezogenen Daten flossen während des Angriffs ab und Mengen an wichtigen Daten gingen unrettbar verloren. Die Wiederherstellung der Systeme, soweit überhaupt möglich, dauerte Monate und kostete Millionen.

Verwaltungen, öffentliche und private Unternehmen oder Einrichtungen, wie diese im Jargon von NIS-2 heißen, werden immer häufiger Ziel solcher Cyberattacken, welche die Informations- und Netztechnik der jeweiligen Einrichtung zum Ziel haben. Diese können erhebliche Folgen für die Einrichtungen selbst, aber auch für von den Einrichtungen Abhängige haben. Selbst ein Todesfall wird einem Hackerangriff mittlerweile nachgesagt. Nachdem Ransomware die IT der Düsseldorfer Uniklinik nahezu vollständig lahmgelegt hatte, konnte auch die Notaufnahme nicht mehr betrieben werden. Deshalb musste eine Patientin im kritischen Zustand in ein weiter entfernt gelegenes Krankenhaus transportiert werden, wo sie – so die Annahme – wegen des verspäteten Behandlungsbeginns verstarb.

Aktuelle Rechtslage

Vor diesem Hintergrund und mit diesen Aussichten hat die EU dem Problembereich „Cybersecurity“, zu Deutsch „Cybersicherheit“, eine ganze Normenfamilie gewidmet. Jeweils mit unterschiedlichem Fokus verfolgen diese Rechtsakte das Ziel, die Resilienz wesentlicher Infrastruktur gegenüber bestehenden Risiken zu erhöhen und die Folgen eingetretener Vorfälle zu verringern.

NIS-2-Richtlinie

Die bekannteste Richtlinie dürfte dabei die Richtlinie 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, besser bekannt als NIS-2, sein.

Ihre große Beachtung dürfte daher rühren, dass sie, anders als bspw. die lediglich den Finanzsektor betreffende Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act oder kurz DORA), allein in Deutschland ca. 30.000 Einrichtungen in fast 20 für das Funktionieren unserer modernen Gesellschaften wichtigen Sektoren betrifft. Damit ist NIS-2 wesentlich breiter angelegt als die Vorgängerrichtlinie NIS-1.

Während in deren Anwendungsbereich Einrichtungen fielen, die in den sieben Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserlieferung und -versorgung und Digitale Infrastruktur Dienste bereitstellten, welche für die Aufrechterhaltung kritischer gesellschaftlicher und/oder wirtschaftlicher Tätigkeiten unerlässlich sind, nimmt die NIS-2-Richtlinie nunmehr eine Vielzahl von Einrichtungen aus den Sektoren

  • Energie,
  • Verkehr,
  • Bankwesen,
  • Finanzmarktinfrastrukturen,
  • Gesundheitswesen,
  • Trinkwasser,
  • Abwasser,
  • Digitale Infrastruktur,
  • Verwaltung von IKT-Diensten,
  • öffentliche Verwaltung,
  • Weltraum,
  • Post- und Kurierdienste,
  • Abfallbewirtschaftung,
  • Produktion,
  • Herstellung und Handel mit chemischen Stoffen,
  • Produktion,
  • Verarbeitung und Vertrieb von Lebensmitteln,
  • Verarbeitendes Gewerbe/Herstellung von Waren,
  • Anbieter digitaler Dienste, Forschung)

in die Pflicht. Unabhängig von ihrer Größe unterliegen dabei zumindest

  • Anbieter von öffentlichen elektronischen Kommunikationsnetzen,
  • Anbieter von öffentlich zugänglichen elektronischen Kommunikationsdiensten,
  • Anbieter von Vertrauensdiensten,
  • Namenregister der Domäne oberster Stufe,
  • Anbieter von Domänennamensystem-Diensten, sowie
  • Anbieter von Domänennamenregistrierungsdiensten

den Verpflichtungen der NIS-2 Richtlinie. Dies leuchtet insofern ein, als diese Dienste das Rückgrat unserer modernen Gesellschaften bilden, in welchen ohne Informationsverarbeitung (Server, Computer, Smartphones, Apps, E-Mails) und -übermittlung von Informationen durch Netze (insbesondere natürlich über das Internet) nichts mehr läuft. 

In diesen Bereichen haben damit ggf. auch Kleinstunternehmen durch NIS-2 aufgegebene Pflichten zu erfüllen. Im Übrigen sieht die NIS-2-Richtlinie jedoch einen sogenannten Size-Cap vor, durch welchen Unternehmen mit weniger als 50 Beschäftigten und einem Jahresumsatz bzw. einer Jahresbilanz, welche 10 Mio. EUR nicht übersteigen, aus dem Anwendungsbereich der Richtlinie ausgenommen werden.

BSIG-E im NIS2UmsuCG

Als Richtlinie bedarf NIS-2 einer Umsetzung durch die nationalen Gesetzgeber. Diese war von den Mitgliedsstaaten bis spätestens zum 17. Oktober 2024 gefordert. Deutschland ist (Stand Ende Oktober 2025) mit der Umsetzung in Verzug. Denn der zur Umsetzung der Richtlinie in das Gesetzgebungsverfahren eingebrachte Entwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (kurz einfach nur NIS2UmsuCG) ist auch in seiner letzten Iteration vom 25.7.2025 bisher nicht förmlich als Gesetz verabschiedet worden. 

Bei dem Entwurf handelt es sich um ein sogenanntes Artikelgesetz, mit welchem der Gesetzgeber das deutsche Recht durch eine Änderung von über 20 Gesetzen in Einklang mit den Anforderungen von NIS-2 bringen möchte. Ob dies glücken wird, wird die Zukunft zeigen. In einzelnen Punkten weicht der deutsche Gesetzgeber jedenfalls von den durch NIS-2 gemachten Vorgaben ab, so dass eine zumindest partielle Europarechtswidrigkeit im Raum steht. Dies betrifft leider insbesondere die konkrete Umsetzung des Size-Caps. Hierdurch könnte Einrichtungen in bestimmten Konstellationen die wichtige Beurteilung schwerfallen, ob sie den Verpflichtungen von NIS-2 unterworfen sind oder nicht.

Den weitaus größten Teil des Entwurfs des Umsetzungsgesetzes nimmt die vorgeschlagene Neufassung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (kurz BSI-Gesetz bzw. BSIG) ein (BSIG-E).

Wesentliche Pflichten in NIS-2 und BSIG-E

Im zukünftigen BSIG werden die wesentlichen Pflichten geregelt sein, welche die NIS-2-Richtlinie den in ihren Anwendungsbereich fallenden Einrichtungen auferlegt. Diese sind

  • Risikomanagement,
  • Melde- bzw. Berichtspflichten sowie
  • die in der NIS-2-Richtlinie mit Governance umschriebenen Umsetzungs-, Überwachungs- und Schulungspflichten für Geschäftsleitungen.

Daneben kann eine Einrichtung auch zu ihrer Registrierung bei zuständigen Behörden, zum Nachweis ergriffener Maßnahmen, zur Unterrichtung der Empfänger ihrer Leistungen über eingetretene Sicherheitsvorfälle u.A. verpflichtet sein.

Risikomanagement

Im Rahmen des Risikomanagements wird von wesentlichen und wichtigen Einrichtungen das Ergreifen von geeigneten technischen, operativen und organisatorischen Maßnahmen verlangt, um die Sicherheit der für ihre Dienste genutzten Netz- und Informationssysteme beherrschen und die Auswirkungen von Sicherheitsvorfällen verhindern oder, falls solche trotz der Maßnahmen dennoch eintreten, gering halten zu können. Die Einrichtung muss dabei nicht jede denkbare oder zur Verfügung stehende Maßnahme ergreifen, also notfalls mit Kanonen auf Spatzen schießen. Sie kann sich auf verhältnismäßige Maßnahmen beschränken. Von Verhältnismäßigkeit einer Maßnahme kann die Einrichtung dann ausgehen, wenn diese in Anbetracht der Risikoexposition und Größe der Einrichtung, der Eintrittswahrscheinlichkeit des Eintretens von Sicherheitsvorfällen und deren Schwere, insbesondere ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen nach dem Stand der Technik und/oder vorhandenen Standards und Normen nahe liegt und die Kosten ihrer Ergreifung nicht unangemessen hoch erscheinen.

Insbesondere bisher nicht mit dem Thema Cybersicherheit befasste Einrichtungen müssen bei der Suche nach in Frage kommenden Maßnahmen nicht bei Null anfangen. Das zukünftige BSIG und die NIS-2-Richtlinie führen selbst eine ganze Reihe von Maßnahmen und Gesichtspunkten an, welche Einrichtungen zu berücksichtigen haben. Und zwar

  • Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme,
  • Bewältigung von Sicherheitsvorfällen,
  • Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
  • Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen,
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit,
  • grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit,
  • Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung,
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen, und schließlich
  • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Zudem gibt es mit der Durchführungsverordnung (EU) 2024/2690 zumindest für folgende Einrichtungen weitere explizit genannte Maßnahmen, welche diese umzusetzen haben:

  • DNS-Diensteanbieter,
  • TLD-Namenregister,
  • Cloud-Computing-Dienstleister,
  • Anbieter von Rechenzentrumsdiensten,
  • Betreiber von Inhaltszustellnetzen,
  • Anbieter von verwalteten Diensten,
  • Anbieter von verwalteten Sicherheitsdiensten,
  • Anbieter von Online-Marktplätzen,
  • Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke, sowie
  • Vertrauensdiensteanbieter.

Betreiber kritischer Anlagen sind zudem verpflichtet, Systeme zur Angriffserkennung zur Anwendung zu bringen.

Die Ergreifung mancher der genannten Maßnahmen drängt sich förmlich auf. So sollte bspw. jede Einrichtung allein schon deshalb, weil es für die Abschätzung der Verhältnismäßigkeit einer Maßnahme notwendig ist, über die Fähigkeit und Mittel verfügen, bestehende Risiken zu erkennen und zu analysieren. Ebenso sollte sich die Einrichtung Gedanken darüber gemacht haben, wie sie Sicherheitsvorfälle bewältigen kann und mit dem Ziel Pläne und Konzepte erstellt haben, den Betrieb auch in der Krise jederzeit aufrecht erhalten oder zumindest schnellstmöglich wieder aufnehmen zu können. Da ein Ransomware-Vorfall ganz schnell das Ende eines Unternehmens bedeuten kann, dürften heutzutage Konzepte und Pläne für Backup- und Recovery-Manangement ohnehin schon fester Bestandteil der Unternehmenskultur sein.

Wer sich fragt, warum die Sicherheit der Lieferkette und Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationsnetzen wichtig ist, sollte sich noch einmal in Erinnerung rufen, welche Folgen die Nutzung unachtsam eingekaufter Pager haben kann und was es mit Stuxnet auf sich hatte. Spätestens nachdem Microsoft dem Chefankläger des Internationalen Strafgerichtshofs (IStGH) das E-Mail-Postfach ohne jeglichen Grund gesperrt hat, sollte sich jede Behörde und jedes Unternehmen zudem fragen, ob es seinen Betrieb im Zweifel auch ohne (von Microsoft administrierten) E-Mails aufrecht erhalten kann und ggf. wie lange.

So, wie es mit dem Händewaschen eine einfache Hygienemaßnahmen gibt, die uns gesund hält, gibt es Cyberhygienemaßnahmen, welche IT und Netzwerk frei von Gefahren halten oder zumindest „Ansteckungsgefahren“ verringern können. Dazu gehören beispielsweise 

 

  • Software- und Hardware-Updates
  • Passwortänderungen
  • die Verwaltung neuer Installationen
  • die Einschränkung von Zugriffskonten auf Administratorenebene und 
  • die Sicherung von Daten.

Die Risiken, welche – meist beruhend auf Unwissen – von den eigenen Mitarbeitern ausgehen, sollten durch Schulungen minimiert werden. Mit diesen lässt sich deren Bewusstsein für Cyberbedrohungen und -sicherheit, Phishing oder Social-Engineering-Techniken schärfen.

In der Praxis wird häufig auf die in bewährten Standards wie bspw. ISO 27001/27002 oder BSI-Grundschutz aufgeführten Anforderungen und die jeweiligen Umsetzungshinweise zurückgegriffen.

Berichts- bzw. Meldepflichten

Besonders wichtig ist nicht nur das Ergreifen von Risikomanagementmaßnahmen, sondern auch das richtige Verhalten im Falle eines trotz aller Vorsicht eingetretenen Sicherheitsvorfalls.

Wenn es zu einem Ereignis kommt, welches die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die von der Einrichtung über Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigt und es dadurch für andere (natürliche oder juristische) Personen zu erheblichen materiellen oder immateriellen Schäden kommen kann, muss die Einrichtung sofort handeln. Denn 

  • spätestens 24 Stunden nach Kenntniserlangung muss (nach BSIG-E an eine vom Bundesamt und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete gemeinsame Meldestelle) eine frühe Erstmeldung gemacht werden, in der anzugeben ist, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte;
  • innerhalb von 72 Stunden nach Kenntniserlangung hat die Einrichtung eine die Erstmeldung bestätigende oder aktualisierende Meldung zu machen, in der die in der Erstmeldung genannten Informationen bestätigt oder aktualisiert werden und eine erste Bewertung des Vorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren angegeben werden müssen;
  • einen Monat nach Übermittlung der Bestätigungs- bzw. Aktualisierungsmeldung hat die Einrichtung eine Abschlussmeldung zu machen, die Folgendes enthält:
    • eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen,
    • Angaben zur Art der Bedrohung beziehungsweise ihrer zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat,
    • Angaben zu den getroffenen und laufenden Abhilfemaßnahmen und schließlich
    • gegebenenfalls die grenzüberschreitenden Auswirkungen des Sicherheitsvorfalls.

Ähnlich wie im Rahmen der DSGVO, bei der unter bestimmten Umständen neben der Aufsichtsbehörde auch Betroffene von einem Sicherheitsvorfall zu informieren sind, kann eine Einrichtung unter Umständen nicht nur verpflichtet sein, der Meldestelle von dem Sicherheitsvorfall zu berichten, sondern zudem auch dazu, Empfänger ihrer Dienste unverzüglich über den Sicherheitsvorfall zu unterrichten. Dies setzt nach dem BSIG-E jedoch eine dahingehende Anordnung des BSI voraus. Hat sich der Vorfall bei einer Einrichtung aus den Sektoren Finanzwesen, Sozialversicherungsträger sowie Grundsicherung für Arbeitssuchende, digitale Infrastruktur, Verwaltung von IKT-Diensten und Digitale Dienste ereignet, kann diese zudem dazu verpflichtet sein, den potenziell von dem Vorfall betroffenen Empfängern ihrer Dienste und dem BSI unverzüglich u.a. alle Maßnahmen oder Abhilfemaßnahmen mitzuteilen, die diese Empfänger als Reaktion auf diese Bedrohung ergreifen können.

Governance

Damit Cybersecurity in den Einrichtungen nicht vom Zufall abhängt, erlegen NIS-2-Richtlinie und zukünftiges BSIG (soweit der aktuelle Entwurf als Gesetz verabschiedet wird) den Leitungsorganen der Einrichtungen Pflichten auf, welche zum Ziel haben, Cybersecurity zu einem von der Einrichtung gelebten, Ernst genommenen und vor Allem, verstandenen Thema zu machen.

Der Weg, welcher dafür gewählt wurde, besteht darin, den Leitungsorganen unmittelbar Verantwortung für das Thema zu übertragen. Diese müssen zukünftig die von der Einrichtung – gemeint dürften hier vielmehr die Fachverantwortlichen innerhalb der Einrichtung sein – ergriffenen Maßnahmen im Bereich der Cybersicherheit billigen und anschließend deren Umsetzung überwachen. Um diesen Pflichten Nachdruck zu verleihen, verlangt die NIS-2-Richtlinie, dass die Leitungsorgane für aus Verfehlungen entstandene Schäden unmittelbar in Anspruch genommen werden können. Die Zukunft wird zeigen, ob dabei lediglich die Gesellschaft bei den Leitungsorgangen Regress nehmen kann, oder ob sich auch Außenstehende an den Leitungsorganen schadlos halten dürfen. Der diesbezügliche Wortlaut der NIS-2-Richtlinie würde beide Ansichten tragen, der BSIG-E scheint der ersten Variante zugeneigt.

Damit Leitungsorgane über die für die Erfüllung dieser Aufgaben notwendige Expertise verfügen, müssen sie regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können.

Die in der NIS-2-Richtlinie vorgesehene Verpflichtung für die Einrichtungen, auch den Mitarbeitern die Möglichkeit der Teilnahme an entsprechenden Schulungen zu verschaffen, ist im BSIG-E leider nicht enthalten. Das BSIG-E sieht in Mitarbeiterschulungen vielmehr eine schlichte Risikomanagementmaßnahme und stellt diese damit in das Ermessen der jeweiligen Einrichtungen. Inwieweit dies zielführend und ein Unterlassen von Mitarbeiterschulungen rechtmäßig ist, werden die Häufigkeit zukünftiger Cybersicherheitsvorfälle und deren Gründe ebenso zeigen wie die Praxis der Aufsichtsbehörde.

Bußgelder

Für zahlreiche Fälle, in welchen eine Einrichtung ihren Pflichten nicht nachkommt, sieht der aktuelle BSIG-Entwurf zum Teil erhebliche Bußgelder vor. Diese können bei besonders wichtigen Einrichtungen eine Höhe von bis zu 10 Millionen Euro, bei wichtigen Einrichtungen 7 Millionen Euro erreichen. Bei Einrichtungen mit jährlichen Umsätzen von über 500 Millionen Euro soll der Bußgeldrahmen, so wie man es schon länger von der DSGVO kennt, anhand eines prozentualen Anteils am erzielten Umsatz bestimmt werden. Und zwar maximal 2 Prozent bei besonders wichtigen und 1,4 Prozent bei wichtigen Einrichtungen.

Die höchsten Bußgelder gibt es dabei für Einrichtungen, welche es unterlassen, die zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, und die zur Verringerung der Auswirkungen von Sicherheitsvorfällen notwendigen Maßnahmen zu ergreifen. Dies macht durchaus Sinn, da mit diesen Verstößen immerhin die höchsten Risiken für alle Seiten einher gehen.

Ebenfalls bußgeldbewehrt ist es, wenn eine Einrichtung die von ihr ergriffenen Risikomanagementmaßnahmen nicht dokumentiert oder der zuständigen Behörde nicht in der geforderten Art und Weise mit Erstmeldung, Aktualisierungs- und Abschlussmeldung über eingetretene Sicherheitsvorfälle Bericht erstattet.

Daneben gibt es viele weitere Bußgeldtatbestände, welche an die Verletzung einer der weiteren zahlreichen Pflichten anknüpfen, welche die NIS-2-Richtlinie und der BSIG-E Einrichtungen auferlegt.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft