NIS-2-Richtlinie: Alles, was Sie jetzt wissen müssen
22.11.2023
Um der in den letzten Jahren wachsende Anzahl von Cyberbedrohungen etwas entgegenzusetzen, hat die Europäische Union eine Reihe von Gesetzesinitiativen gestartet. Im Zuge dessen wurde die NIS-Richtlinie aus 2016 deutlich überarbeitet und verschärft. Die neue NIS-2-Richtlinie, die seit Januar in Kraft ist, hat weitreichende Auswirkungen und betrifft nun einen Großteil der mittleren und großen Unternehmen in Deutschland und der EU. Erfahren Sie in diesem Beitrag, ob Sie zu den betroffenen Unternehmen zählen und was Sie nun beachten müssen.
Was sind die NIS-Richtlinien?
NIS steht für Netzwerk- und Informationssicherheit. Dabei handelt es sich um zwei EU-Richtlinien, die in ihrer ersten Fassung im August 2016 und in der zweiten Fassung im Januar 2023 in Kraft getreten sind. Die NIS-2-Richtlinie ersetzt dadurch die erste NIS-Richtlinie.
Beide Richtlinien befassen sich mit der Cybersicherheit von Netzwerk- und Informationssystemen der Unternehmen und Organisationen, die innerhalb der EU tätig sind.
Bei einer EU-Richtlinie gilt, dass jeder Mitgliedstaat diese Richtlinie in eigenes nationales Recht umsetzen muss. Das Umsetzungsgesetz für die erste NIS-Richtlinie wurde im Juni 2017 in Deutschland verkündet. Die NIS-2-Richtlinie muss bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. Dabei gibt die NIS-2-Richtlinie nur die Mindeststandards vor. Die einzelnen Mitgliedstaaten können die nationalen Gesetze verschärfen.
Die erste NIS-Richtlinie
Die NIS-Richtlinie ist der erste Cybersicherheitsrechtsakt der EU. Ihr Ziel war es, EU-weit Kapazitäten für Cybersicherheit und Cyberresilienz zu schaffen, die Bedrohungen für Netzwerk- Informationssysteme zu vermindern und die Zusammenarbeit in Bezug auf die Cybersicherheit zu fördern. Die Richtlinie umfasst Mindestsicherheitsanforderungen und Maßnahmen für Unternehmen und Organisationen aus bestimmten kritischen Sektoren (u.a. KRITIS). Dadurch soll innerhalb der Europäischen Union ein hohes Sicherheitsniveau von Netzwerk- und Informationssystemen sichergestellt werden.
Die Grundlage bilden 3 Hauptpunkte:
- Nationale Sicherheitsstrategien für Netzwerk- und Informationssysteme
- Einrichtung von
- nationalen Computer Security Incident Response Teams (CSIRTs) für den Umgang mit Störungen und Bedrohungen,
- einer nationalen zuständigen Cybersicherheitsbehörde,
- einer nationalen zentralen Anlaufstelle für interne Behörden, den zuständigen Behörden anderer Mitgliedstaaten und die ENISA (European Network und Informationen Security Agency, dt. Agentur der Europäischen Union für Cybersicherheit)
- eine länderübergreifende NIS-Kooperationsgruppe, um die Zusammenarbeit zu fördern.
- Cybersicherheitsmaßnahmen in sieben Sektoren, die bedeutende Dienste erbringen und von digitalen Lösungen abhängig sind, dazu zählen u.a. die Sektoren Energie, Verkehr, Finanzen, Trinkwasser und Gesundheit
Die Richtlinie und ihre nationalen Umsetzungsgesetze haben die Cyberresilienz in Europa gestärkt und zu einem Umdenken in Bezug auf Cybersicherheit geführt. Allerdings haben die einzelnen Mitgliedstaaten die Richtlinie sehr unterschiedlich umgesetzt, was den grenzüberschreitenden Handel und den Binnenmarkt erschwerten.
Warum war NIS-2 notwendig?
Die Coronapandemie führte zu einem rasanten Anstieg der Nutzung von digitalen Lösungen und Technologien und einer immer stärkeren Abhängigkeit von ebendiesen. Mitarbeiter wurden ohne Vorbereitung und mit mangelhaften Sicherheitskonzepten ins Homeoffice geschickt und mussten sich teilweise mit ihren privaten Geräten in die Netzwerke der Arbeitgeber einwählen. Dadurch wuchs auch die Bedrohungslandschaft in Bezug auf die Cybersicherheit.
Bei einer Überprüfung der NIS-Richtlinie stellte die EU-Kommission verschiedene Mängel und Probleme fest:
- Unternehmen, die in der EU tätig sind, haben eine unzureichende Cyberresilienz.
- Die Widerstandsfähigkeit zwischen Mitgliedstaaten und Sektoren ist inkonsistent.
- Das Verständnis der wichtigsten Bedrohungen und Herausforderungen zwischen den Mitgliedstaaten unterscheidet sich zu stark.
- Es fehlt eine gemeinsame Krisenreaktion.
Mit der Überarbeitung der NIS-Richtlinie sollen die großen Unterschiede zwischen den Mitgliedstaaten beseitigt werden. Dazu wird der Anwendungsbereich erweitert, weitere Unternehmen und Sektoren sind betroffen. Die Zusammenarbeit zwischen den Mitgliedstaaten soll in Bezug auf Cybersicherheit weiter gestärkt und die Maßnahmen vereinheitlicht werden.
Die NIS-2-Richtlinie
Die NIS-2-Richtlinie wurde im Dezember 2022 von der EU veröffentlicht und trat im Januar 2023 in Kraft. Die Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die Richtlinie in nationales Recht umzusetzen. In Deutschland gibt es bisher noch kein verabschiedetes Gesetz, sondern lediglich Referentenentwürfe für das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG).
Die Richtlinie bildet einen wichtigen Bestandteil der europäischen Cybersicherheitsstrategie. Sie definiert neue Mindeststandards für die Sicherheit der Netzwerk- und Informationssysteme kritischer Infrastrukturen. Der Kreis der von der ersten NIS-Richtlinie betroffenen Sektoren und Unternehmen wird mit der neuen Richtlinie von sieben auf 18 Sektoren erweitert. Sie werden in wesentliche und wichtige Einrichtungen unterteilt.
Die betroffenen Unternehmen müssen Cybersicherheitsstrategien ausarbeiten, die im späteren Gesetz festgelegten Risikomanagementmaßnahmen einführen und Meldepflichten beachten, andernfalls drohen Kontrollen, Strafen und Sanktionen.
Die mit der ersten NIS-Richtlinie eingerichteten Behörden und CSIRTs erhalten zusätzliche Befugnisse und Aufgaben, um die Zusammenarbeit untereinander zu stärken und zu verbessern. Zusätzlich muss jeder Mitgliedstaat eine nationale Cybersicherheitsstrategie verabschieden.
Wer ist von der NIS-2-Richtlinie betroffen?
Der Anwendungsbereich der überarbeiteten Richtlinie wurde vergrößert. In den Anhängen I und II sind die 18 betroffenen Sektoren und die wesentlichen (Anhang I) und wichtigen (Anhang II) Einrichtungen genau definiert.
Zu den wesentlichen Einrichtungen zählen private und öffentliche Organisationen aus Anhang I, die mindestens 250 Mitarbeiter beschäftigen, einen Jahresumsatz von mindestens 50 Millionen Euro haben und ihre Dienste in der EU anbieten. Zu den wichtigen Einrichtungen zählen zum einen öffentliche und private Organisationen aus Anhang I oder II, die zwischen 50-249 Mitarbeiter beschäftigen, einen Jahresumsatz von 10-50 Millionen Euro haben und ihre Dienste in der EU anbieten. Zum anderen gehören zu den wichtigen Einrichtungen große Organisationen aus Anhang II, die mindestens 250 Mitarbeiter beschäftigen oder mindestens 50 Millionen Euro Umsatz im Jahr generieren.
Dazu zählen die folgenden Sektoren:
Wesentliche Einrichtungen (Anhang I)
| Teilsektor | Art der Einrichtung |
|---|---|
| Elektrizität |
|
| Fernwärme und -kälte |
|
| Erdöl |
|
| Erdgas |
|
| Wasserstoff |
|
| Teilsektor | Art der Einrichtung |
|---|---|
| Luftverkehr |
|
| Schienenverkehr |
|
| Schifffahrt |
|
| Straßenverkehr |
|
| Teilsektor | Art der Einrichtung |
|---|---|
| - |
|
| Teilsektor | Art der Einrichtung |
|---|---|
| - |
|
| Teilsektor | Art der Einrichtung |
|---|---|
| - |
|
| Teilsektor | Art der Einrichtung |
|---|---|
| - |
|
| Teilsektor | Art der Einrichtung |
|---|---|
| - |
|
| Teilsektor | Art der Einrichtung |
|---|---|
| - |
|
| Teilsektor | Art der Einrichtung |
|---|---|
| - |
|
| Teilsektor | Art der Einrichtung |
|---|---|
| - |
|
| Teilsektor | Art der Einrichtung |
|---|---|
| - |
|
Wichtige Einrichtungen (Anhang II)
| Teilsektor | Art der Einrichtung |
|---|---|
| - |
|
| Teilsektor | Art der Einrichtung |
|---|---|
| - |
|
| Teilsektor | Art der Einrichtung |
|---|---|
| - |
|
| Teilsektor | Art der Einrichtung |
|---|---|
| - |
|
| Teilsektor | Art der Einrichtung |
|---|---|
| Herstellung von Medizinprodukten und In-vitro-Diagnostika |
|
| Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen |
|
| Herstellung von elektronischen Ausrüstungen |
|
| Maschinenbau |
|
| Herstellung von Kraftwagen und Kraftwagenteilen |
|
| sonstiger Fahrzeugbau |
|
| Teilsektor | Art der Einrichtung |
|---|---|
| - |
|
| Teilsektor | Art der Einrichtung |
|---|---|
| - |
|
Größenunabhängige Sonderfälle
Unabhängig von ihrer Größe gelten Organisationen, die folgende Dienste anbieten, ebenfalls als wesentliche Einrichtung:
- Anbieter von öffentlichen elektronischen Kommunikationsnetzen
- Anbieter von öffentlich zugänglichen elektronischen Kommunikationsdiensten
- Vertrauensdiensteanbieter (z.B. öffentliche CAs)
- Top-Level-Domänen (TLD)- und DNS-Anbieter (ausgenommen Betreiber von Root-Namenservern)
- Alleinige Anbieter von Diensten, die unerlässlich für Wirtschaft und Gesellschaft sind
- Anbieter von Diensten, deren Störung sich wesentlich auf die öffentliche Ordnung, Sicherheit und Gesundheit auswirken
- Anbieter von Diensten, deren Störung zu einem wesentlichen Systemrisiko führen und grenzübergreifende Folgen haben kann
- Einrichtungen, die aufgrund ihrer nationalen bzw. regionalen Bedeutung kritisch sind
- Einrichtungen der öffentlichen Verwaltung der Zentralregierung oder regionale öffentliche Verwaltungen, die kritisch für Gesellschaft und Wirtschaft sind
- Einrichtungen, die aufgrund der CER-Richtlinie (Critical Entities Resilience) als kritisch eingestuft sind
Was müssen die betroffenen Organisationen beachten?
Unternehmen und Organisationen müssen selbst prüfen, ob sie unter die oben genannten Sektoren und Einrichtungen fallen. Sind sie betroffen, müssen sie Risikomanagementmaßnahmen für die digitale und auch physische Sicherheit der Netz- und Informationssysteme einführen. Die Maßnahmen sollen angemessen und risikobasiert sein und den aktuellen Stand der Technik berücksichtigen. Die Verhältnismäßigkeit sollen die Einrichtungen anhand des Ausmaßes der Risikoexposition, der Größe der Einrichtung und der Wahrscheinlichkeit für das Eintreten von Sicherheitsvorfällen und deren Schwere bewerten.
Neben den Risikomanagementmaßnahmen müssen die betroffenen Organisationen auch Meldepflichten und -fristen einhalten, wenn sie z.B. von einem Sicherheitsvorfall betroffen sind.
Registrierung
Da die NIS-2-Richtlinie in Artikel 3 vorschreibt, dass die Mitgliedstaaten eine Liste aller wesentlichen und wichtigen Einrichtungen pflegen, müssen die betroffenen Unternehmen den nationalen Behörden folgende Angaben zu ihrem Unternehmen übermitteln:
- Name der Einrichtung
- Anschrift der aktuellen Kontaktdaten, inkl. E-Mail-Adressen, IP-Adressbereiche und Telefonnummern
- Ggf. den relevanten Sektor und Teilsektor gemäß der Anhänge I und II
- Ggf. eine Liste aller Mitgliedstaaten, in denen sie Dienste erbringen
Handelt es sich bei den Unternehmen um DNS-Dienstleister, TLD-Namenregister, Domänennamen-Registrierungsanbieter, Cloud-Computing-Anbieter, Anbieter von Rechenzentrumsdiensten, Betreiber von Content-Delivery-Netzwerken (CDN), Anbieter von Managed (Security) Services, Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Social Media werden diese Daten in einem Register der ENISA gepflegt.
Risikomanagementmaßnahmen
Die Risikomanagementmaßnahmen werden in Artikel 21 der NIS-2-Richtlinie erläutert. Die Maßnahmen müssen nicht nur die digitale Sicherheit der Netz- und Informationssysteme schützen, sondern auch die physische Umgebung der Hardware, auf denen die Systeme laufen, absichern.
Die Risikomanagementmaßnahmen sollen 10 Kernelemente abdecken, die die Prävention und Bewältigung von Sicherheitsvorfällen stärken:
- Die Einrichtungen müssen Konzepte für die Risikoanalyse und Sicherheit der Netz- und Informationssysteme erstellen.
- Es müssen Verfahren für die Bewältigung von Sicherheitsvorfällen eingeführt werden.
- Die Aufrechterhaltung des Betriebs muss mithilfe von Backup-Management, Notfall-Wiederherstellung und Krisenmanagement sichergestellt werden.
- Die Einrichtungen müssen für die Sicherheit in ihrer Lieferkette sorgen, d.h. sie müssen die IT-Sicherheit ihrer direkten Lieferanten und Dienstleister in ihrer Gesamtqualität und auf Schwachstellen prüfen.
- Die Einrichtungen müssen Sicherheitsmaßnahmen beim Einkauf, der Entwicklung und der Wartung von IT-Systemen einführen.
- Die Einrichtungen müssen Konzepte für die Bewertung der Wirksamkeit der Risikomanagementmaßnahmen erstellen.
- Die Einrichtungen müssen grundlegende Verfahren zur Cyberhygiene und für Schulungen über Cybersicherheit einführen, damit die Mitarbeiter sensibilisiert werden.
- Die Einrichtungen müssen Konzepte und Verfahren für den Einsatz von Kryptografie und ggf. Verschlüsselung erstellen.
- Die Einrichtungen müssen die Sicherheit ihres Personals gewährleisten und Konzepte für die Zugriffskontrolle und dem Management von Anlagen erstellen.
- Die Einrichtungen müssen Multi-Faktor-Authentifizierungslösungen oder Lösungen zur kontinuierlichen Authentifizierung sowie gesicherte Kommunikationslösungen (Sprache, Video, Text) und ggf. gesicherte Notfallkommunikationslösungen einführen.
Viele dieser technischen und organisatorischen Maßnahmen lassen sich durch ein solides Informationssicherheitsmanagementsystem (ISMS), das durch Normen wie ISO/IEC 27001 geregelt wird, abdecken.
Die wesentlichen Einrichtungen sind nach dem NIS2UmsuCG-Entwurf verpflichtet, spätestens nach drei Jahren dem BSI nachzuweisen, dass sie die Risikomanagementmaßnahmen umgesetzt haben. Danach ist ein Nachweis alle zwei Jahre erforderlich.
Die NIS-2-Richtlinie sieht vor, dass Geschäftsführer und Leitungsorgane der wesentlichen und wichtigen Einrichtungen die Verantwortung für die Einführung der Risikomanagementmaßnahmen und die Meldepflichten übernehmen und haftbar gemacht werden können. Sie müssen sich in Cybersicherheit schulen lassen.
Meldepflichten
Für die betroffenen Unternehmen gibt es verschiedene Melde- und Berichtspflichten.
Änderungen der Registrierungsdaten (Artikel 3):
Ändern sich Daten, die bei der Registrierung bei den nationalen zuständigen Behörden hinterlegt sind, müssen diese Änderungen innerhalb von zwei Wochen übermittelt werden.
Erheblicher Sicherheitsvorfall (Artikel 23):
Als erheblicher Sicherheitsvorfall gilt ein Vorfall, wenn er schwerwiegende Betriebsstörungen der Dienste, finanzielle Verluste für die Einrichtung verursacht bzw. verursachen kann oder andere Personen (natürlich & juristisch) durch erhebliche materielle oder immaterielle Schäden beeinträchtigt.
Fällt ein Sicherheitsvorfall in diese Kategorie, schreibt die NIS-2-Richtlinie vor, dass er den nationalen Behörden und ggf. den Kunden bzw. Nutzern der eigenen Dienste gemeldet wird:
- Innerhalb von 24 Stunden nach Kenntnisnahme eine Frühwarnung, mit Informationen, ob der Verdacht auf einen kriminellen Hintergrund besteht oder er grenzüberschreitende Auswirkungen hat bzw. haben könnte.
- Innerhalb von 72 Stunden nach Kenntnisnahme ein ausführlicher Bericht mit aktualisierten Informationen, einer ersten Bewertung des Vorfalls inklusive der Schwere, seiner Auswirkungen und ggf. Kompromittierungsindikatoren.
- Innerhalb eines Monats nach Übermittlung der ersten Meldung einen Abschlussbericht mit einer ausführlichen Beschreibung des Vorfalls, inkl. Schweregrad und Auswirkungen, der Art der Bedrohung bzw. seiner Ursache, den getroffenen Abhilfemaßnahmen und ggf. grenzüberschreitenden Auswirkungen. Sollte der Vorfall zu diesem Zeitpunkt noch anhalten, ist ein Fortschrittsbericht zu übermitteln.
Freiwillige Meldungen (Artikel 30):
Zusätzlich zu den Meldepflichten gibt es auch die Möglichkeit, dass Unternehmen und Organisationen freiwillig Vorfälle melden können, unabhängig davon, ob sie von der NIS-2-Richtlinie betroffen sind:
- bei Sicherheitsvorfällen, die nicht erheblich sind, Cyberbedrohungen und Beinahe-Vorfällen
- nicht von der Richtlinie betroffene Organisationen bei erheblichen Sicherheitsvorfällen, Cyberbedrohungen und Beinahe-Vorfällen
- Schwachstellen können von Personen oder Organisationen – bei Wunsch auch anonym – bei der zuständigen nationalen Behörde gemeldet werden
Kontrollen, Strafen und Sanktionen
Die zuständigen Behörden eines jeden Mitgliedstaats haben verschiedene Aufsichts- und Durchsetzungsbefugnisse in Bezug auf die betroffenen Unternehmen und Organisationen (Artikel 31-34).
Gelten die Risikomanagementmaßnahmen für alle betroffenen Unternehmen und Organisationen gleichermaßen, wird bei den Kontrollen, Strafen und Sanktionen zwischen den wesentlichen und wichtigen Einrichtungen unterschieden.
Aufsichts- und Durchsetzungsmaßnahmen der Behörden:
| Wesentliche Einrichtungen | Wichtige Einrichtungen |
|---|---|
| Proaktive Aufsicht | Reaktive Aufsicht bei Verdacht auf Verstößen |
| Regelmäßige und gezielte Sicherheitsprüfungen von unabhängiger Stelle | Gezielte Sicherheitsprüfungen von unabhängiger Stelle |
| Vor-Ort-Kontrollen und externe Aufsichtsmaßnahmen, inkl. Stichprobenkontrollen | Vor-Ort-Kontrollen und externe nachträgliche Aufsichtsmaßnahmen |
| Ad-hoc-Prüfungen | - |
| Sicherheitsscans | Sicherheitsscans |
| Informationsanforderungen, um die eingeführten Risikomanagementmaßnahmen der betroffenen Einrichtungen zu bewerten | Informationsanforderungen, um die eingeführten Risikomanagementmaßnahmen der betroffenen Einrichtungen zu bewerten |
| Zugang zu Daten, Dokumenten und Informationen anfordern, die im Zuge der Aufsicht erfoderlich sind | Zugang zu Daten, Dokumenten und Informationen anfordern, die im Zuge der Aufsicht erforderlich sind |
| Nachweise über die Umsetzung der Cybersicherheitskonzepte anfordern | Nachweise über die Umsetzung der Cybersicherheitskonzepte anfordern |
| Verbindliche Anweisungen erlassen, inkl. Fristen für die Durchführung und Berichterstattung | Verbindliche Anweisungen erlasen, inkl. Fristen |
| Überwachungsbeauftragten einsetzen, der die Einhaltung der Risikomanagementmaßnahmen und Meldepflichten für einen bestimmten Zeitraum überwacht | - |
Strafen
| Wesentliche Einrichtungen | Wichtige Einrichtungen |
|---|---|
| Vorübergehende Aussetzung von Zertifizierungen und Genehmigungen | - |
| Geschäftsführende und Leitende Personen zeitweise von ihren Führungsaufgaben entbinden | - |
| Geldbußen: Höchtsbetrag mind. 10 Mio. Euro oder mind. 2% des gesamten weltweiten Umsatzes des Vorjahrs, je nachdem, welcher Betrag höher ist | Geldbußen: Höchtsbetrag mind. 7 Mio. Euro oder mind. 1,4% des gesamten weltweiten Umsatzes des Vorjahrs, je nachdem, welcher Betrag höher ist |
| Zwangsgelder bei Verstößen | Zwangsgelder bei Verstößen |
Sanktionen:
Die NIS-2-Richtlinie sieht vor, dass Mitgliedstaaten bei der Umsetzung in nationales Recht zusätzliche Sanktionen erlassen, die wirksam, verhältnismäßig und abschreckend sind.
Im aktuellen Referentenentwurf für das deutsche NIS-2-Umsetzungsgesetz sollen Geschäftsführer und Leitungsorgane mit ihrem Privatvermögen haften, wenn ihre Einrichtungen die Risikomanagementmaßnahmen und Meldepflichten nicht einhalten.
Ausblick
Durch die Ausweitung der NIS-2-Richtlinie wird ein Großteil der Unternehmen in Deutschland davon in irgendeiner Weise betroffen sein, sei es nun als direkter Adressat der Richtlinie oder als Lieferant für eine wesentliche oder wichtige Einrichtung. Die Richtlinie verschärft zum einen die Meldepflichten und Sanktionen und zum anderen führt sie wichtige Risikomanagementmaßnahmen ein, um das Cybersicherheitsniveau in der ganzen EU zu steigern. Da die Richtlinie nur Mindeststandards für die Cybersicherheit vorgibt, können die Mitgliedstaaten schärfere Maßnahmen, Vorgaben und Strafen festlegen.
Wie bereits mehrfach geschildert, wird die NIS-2-Richtlinie zurzeit in nationales Gesetz umgesetzt. Es ist aktuell geplant, dass NIS-2-Umsetzungsgesetz (NIS2UmsuCG) im März 2024 zu verabschieden, damit es am 17. Oktober 2024 in Kraft treten kann.
Für Unternehmen gilt also, sich frühzeitig um die Umsetzung der Risikomanagementmaßnahmen zu kümmern. Wichtig ist nun, die eigene Betroffenheit zu klären, die Verantwortlichkeiten festzulegen und fehlende Maßnahmen zu ermitteln und umzusetzen.
ECOS kann Sie bei der Umsetzung unterstützen:
| Risikomanagementmaßnahmen nach Art. 21 | Wie kann ECOS Sie unterstützen? |
|---|---|
| Konzepte und Verfahren für den Einsatz von Kryptografie und ggf. Verschlüsselung | PKI- und Key-Management-Lösung ECOS TrustManagementAppliance® |
| Konzepte für die Zugriffskontrolle und dem Management von Anlagen | PKI- und Key-Management-Lösung ECOS TrustManagementAppliance® |
| gesicherte Kommunikationslösungen (Sprache, Video, Text) | Videokonferenzlösung ECOS SecureConferenceCenter |
Gerne helfen wir Ihnen bei der Umsetzung der NIS-2-Richtlinie. Wir sind nur einen Anruf entfernt.
Haben Sie Fragen zur NIS-2-Richtlinie oder benötigen Hilfe bei der Umsetzung der Maßnahmen? Wir freuen uns auf Ihre Anfrage!
