Montag, 8:47 Uhr. Eine Mail ändert alles.

Dr. Kerstin Falkenberg, Geschäftsführerin der Stadtwerke Hessental GmbH, beginnt ihren Montagmorgen wie immer: Kaffee, E-Mails, Tagesplan. Die Stadtwerke versorgen rund 620.000 Menschen im Großraum Hessental mit Wasser, Wärme und Strom. Ein Unternehmen mit 340 Mitarbeitern, seit 1924 in kommunalem Besitz, gut aufgestellt – zumindest glaubt sie das.

Die Mail, die ihren Montagmorgen verändert, kommt von der Rechtsabteilung. Betreff: „KRITIS-Dachgesetz – Handlungsbedarf geprüft?" Ihr Jurist hat das neue Gesetz analysiert und kommt zu einem klaren Schluss: Die Stadtwerke Hessental sind betroffen. Registrierungspflicht bis 17. Juli 2026. Risikoanalyse danach. Resilienzplan. Meldepflichten. Persönliche Haftung der Geschäftsführung.

Kerstin Falkenberg legt den Kaffee zur Seite. Vier Monate bis zur ersten Frist. Was jetzt?

Diese Geschichte ist fiktiv – aber sie spielt sich gerade in Dutzenden, vielleicht Hunderten von deutschen Unternehmen ab. Das KRITIS-Dachgesetz ist am 17. März 2026 in Kraft getreten. Es ist kein zukünftiges Regelwerk, keine geplante Verordnung. Es gilt. Jetzt.

Was ist das KRITIS-Dachgesetz – und wo kommt es her?

Das KRITIS-Dachgesetz, offiziell das Gesetz zur Stärkung der physischen Resilienz kritischer Anlagen (KRITISDachG), setzt die europäische CER-Richtlinie (Richtlinie über die Resilienz kritischer Einrichtungen, EU 2022/2557) in deutsches Recht um. Die Richtlinie selbst ist die logische Erweiterung eines Systems, das in den letzten Jahren schrittweise aufgebaut wurde: NIS2 schützt die digitale Infrastruktur, die CER-Richtlinie schützt die physische.

Deutschland hat damit ein Regulierungsrahmen vervollständigt, der in seiner Tiefe und Verbindlichkeit neu ist. Während das frühere IT-Sicherheitsgesetz und seine Nachfolger primär auf Cybersicherheitsanforderungen fokussierten, geht das KRITIS-Dachgesetz weiter: Es verpflichtet Betreiber, Resilienz gegen alle relevanten Bedrohungen herzustellen – physische Angriffe, Sabotage, Naturkatastrophen, hybride Bedrohungen, Insider-Angriffe.

Der politische Hintergrund ist bekannt: Die Anschläge auf die Nord-Stream-Pipelines, die Angriffe auf Bahninfrastruktur und die zunehmende staatlich gesteuerte Sabotage in Europa haben klargemacht, dass Cyberangriffe nur eine von vielen Bedrohungsformen sind. Das Gesetz zieht daraus die legislativen Konsequenzen.

Wer ist betroffen? Die Frage der Betroffenheit

Das ist die erste, entscheidende Frage für jedes potenziell betroffene Unternehmen. Das KRITIS-Dachgesetz gilt für Betreiber kritischer Anlagen in elf definierten Sektoren:

  • Energie (Strom, Gas, Wärme, Öl)
  • Transport und Verkehr (Straße, Schiene, Luft, See)
  • Finanzwesen und Kapitalmärkte
  • Leistungen der Sozialversicherung und Grundsicherung
  • Gesundheitswesen (Krankenhäuser, Labore, Pharmahersteller)
  • Trinkwasser und Abwasser
  • Ernährung (Produktion, Verarbeitung, Verteilung)
  • Informationstechnik und Telekommunikation
  • Weltraum
  • Siedlungsabfallentsorgung
  • Verwaltung von IKT-Diensten (B2B)

Allein die Branchenzugehörigkeit reicht jedoch nicht aus. Eine Anlage gilt als kritisch, wenn sie die Versorgung von mindestens 500.000 Personen sicherstellt. Das ist der zentrale Schwellenwert – und er ist ausschlaggebend dafür, ob ein Betreiber unter das Gesetz fällt oder nicht.

Für die Stadtwerke Hessental ist die Sache klar: 620.000 versorgte Menschen, Sektor Energie und Wasser, beide Sektoren betroffen. Kerstin Falkenberg steht nicht vor der Frage ob, sondern wie.

Der Unterschied zu NIS2

Viele IT-Verantwortliche vermengen KRITIS-Dachgesetz und NIS2. Das ist verständlich, aber fehlerträchtig. Der wesentliche Unterschied:

NIS2 gilt für einen sehr breiten Unternehmenskreis – nach aktuellem Stand sind in Deutschland weit über 30.000 Organisationen betroffen. Der Fokus liegt auf Cybersicherheit: technische Maßnahmen, Risikomanagement, Incident-Reporting in die digitale Welt.

Das KRITIS-Dachgesetz ist deutlich enger gefasst – rund 2.000 Betreiber bundesweit – aber dafür tiefer: Es verlangt physische Resilienz, Risikobewertung gegen alle Bedrohungsformen, Resilienzpläne, Personalkontrollen. Und es macht die Geschäftsführung persönlich verantwortlich.

Wer unter beide Gesetze fällt – was bei Stadtwerken, Krankenhäusern und Telekommunikationsanbietern in der Regel der Fall ist –, muss beide Anforderungsrahmen parallel umsetzen. Das ist keine Doppelarbeit, wenn man es richtig anlegt: Viele Anforderungen ergänzen sich, und ein gut strukturiertes Informationssicherheitsmanagementsystem (ISMS) kann als gemeinsame Grundlage dienen.

Die Pflichten im Detail: Was wann getan werden muss

Das KRITIS-Dachgesetz definiert ein klares zeitliches Pflichtenprogramm. Die Fristen sind kaskadiert: Erst Registrierung, dann Risikoanalyse, dann Resilienzplan – jede Stufe baut auf der vorherigen auf.

Phase 1: Registrierung (Frist: 17. Juli 2026)

Der erste Schritt ist die digitale Registrierung beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK). Die Registrierung muss folgende Angaben enthalten:

  • Identität des Unternehmens und der kritischen Anlage
  • Sektor und Art der erbrachten Dienstleistung
  • Standort und geographische Abdeckung der Anlage
  • Kontaktstellen für den Behördenkontakt im Normalbetrieb und im Krisenfall

Klingt überschaubar – ist es aber nur dann, wenn man die eigene Infrastruktur gut kennt. In der Praxis zeigt sich, dass viele Betreiber vor der Registrierung erst einmal eine interne Bestandsaufnahme durchführen müssen: Welche Anlagen betreibe ich genau? Welche davon sind kritisch im Sinne des Gesetzes? Gibt es mehrere kritische Anlagen an verschiedenen Standorten?

Für die Stadtwerke Hessental bedeutet das: Kerstin Falkenberg beauftragt ihren IT-Leiter und den technischen Betriebsleiter, gemeinsam alle Anlagen zu kategorisieren. Das Wasserwerk, das Heizkraftwerk, die Umspannwerke – welche dieser Anlagen versorgt mehr als 500.000 Menschen? Die Antwort ist für jede Anlage einzeln zu ermitteln.

Phase 2: Risikoanalyse (innerhalb von 9 Monaten nach Registrierung)

Nach abgeschlossener Registrierung beginnt die Uhr zu laufen. Innerhalb von neun Monaten muss eine vollständige Risikoanalyse erstellt sein. Diese hat einen klaren methodischen Rahmen zu erfüllen:

Die Analyse muss alle relevanten Risiken erfassen – und das Gesetz meint das wörtlich: natürliche Risiken (Extremwetter, Erdbeben), menschlich verursachte Risiken (Sabotage, Terrorismus, Insider-Angriffe), systemische Risiken (Abhängigkeiten von Lieferanten, kritische Materialien) und hybride Bedrohungen (kombinierte physische und digitale Angriffe).

Für Betreiber, die bereits nach BSI-Grundschutz oder ISO 27001 zertifiziert sind, ist der erste Teil vertraut – das Risikomodell. Der entscheidende Unterschied: Das KRITIS-Dachgesetz verlangt eine explizit physische Dimension, die in klassischen IT-Sicherheitsrahmen oft zu kurz kommt. Ein Angriff auf das Rechenzentrum wird seit Jahren modelliert. Ein physischer Einbruch in das Wasserwerk, ein Drohnenangriff auf die Umspannstation, ein Sabotageakt durch einen Mitarbeiter – das ist für viele Betreiber Neuland.

Die Risikoanalyse bildet die Grundlage für alles Weitere. Wer hier oberflächlich arbeitet, baut auf Sand.

Phase 3: Resilienzplan und Maßnahmen (innerhalb von 10 Monaten nach Registrierung)

Einen Monat nach der Risikoanalyse – also spätestens zehn Monate nach der Registrierung – muss ein dokumentierter Resilienzplan vorliegen und die darin enthaltenen Maßnahmen umgesetzt sein. Der Resilienzplan muss unter anderem enthalten:

  • Zugangskontrollen: Wer darf wann welche kritische Anlage betreten? Sind Zutrittsberechtigungen aktuell und dokumentiert?
  • Personalkontrolle: Einer der neuen Aspekte des KRITIS-Dachgesetzes ist die Pflicht zur Überprüfung von Personal. Mitarbeiter in sicherheitsrelevanten Positionen können künftig einer Sicherheitsüberprüfung unterzogen werden. Die genaue Ausgestaltung ist noch in Klärung, aber die Pflicht ist im Gesetz verankert.
  • Krisenreaktionspläne: Was passiert, wenn eine kritische Anlage ausfällt? Wer entscheidet was? Wie werden Behörden informiert? Wie wird die Versorgung aufrechterhalten oder wiederhergestellt?
  • Business Continuity und Redundanzen: Welche Ausweichmöglichkeiten existieren? Wie lange kann der Betrieb ohne die primäre Anlage aufrechterhalten werden?
  • Lieferkettenresilienz: Kritische Abhängigkeiten von Lieferanten und Dienstleistern müssen identifiziert und, wo möglich, reduziert oder abgesichert werden.

Phase 4: Meldepflichten (ab sofort)

Die Meldepflichten gelten nicht erst nach Registrierung – sie gelten ab Inkrafttreten des Gesetzes. Erhebliche Störungen müssen innerhalb von 24 Stunden über die gemeinsame Meldeplattform von BSI und BBK gemeldet werden. Als erhebliche Störung gilt grundsätzlich jeder Vorfall, der die Versorgungsleistung der kritischen Anlage wesentlich beeinträchtigt oder beeinträchtigen könnte.

Das ist eine hohe Hürde, gerade in der Praxis. Wer entscheidet, ob ein Vorfall „erheblich" ist? Wer hat rund um die Uhr Zugang zur Meldeplattform? In welcher Form müssen Informationen bereitgestellt werden? Diese Prozesse müssen intern etabliert sein, bevor ein Vorfall eintritt – nicht währenddessen.

Die User Story: Hessental setzt das Gesetz um

Zurück zu Kerstin Falkenberg und den Stadtwerken Hessental. Vier Monate bis zur Registrierungsfrist. Was tun?

In einem ersten Schritt beauftragt sie externe Unterstützung für eine Betroffenheitsanalyse. Innerhalb von zwei Wochen liegt das Ergebnis vor: Drei Anlagen der Stadtwerke sind kritisch im Sinne des KRITIS-Dachgesetzes – das Wasserwerk Nord, das Heizkraftwerk Mitte und eine zentrale Umspannstation. Das Abwasserwerk ist knapp unter dem Schwellenwert.

Das ist die gute Nachricht: Die Unternehmensgröße ist handhabbar. Die schlechte Nachricht: Für alle drei Anlagen müssen separate Risikoanalysen und Resilienzpläne erstellt werden – mit je eigener Registrierung, eigenem Ansprechpartner beim BBK, eigener Dokumentation.

Kerstin Falkenberg richtet eine interne Projektgruppe ein: IT-Leiter, technischer Betriebsleiter, Personalabteilung, Rechtskonsulent und externe Berater. Das Projekt erhält ein Budget, einen Projektplan und einen Lenkungsausschuss – direkt unter ihrer Führung als Geschäftsführerin. Die persönliche Haftung hat sie verinnerlicht.

Monat 1: Inventarisierung und Priorisierung

Das Team beginnt mit einer vollständigen Inventarisierung aller physischen und digitalen Komponenten der drei kritischen Anlagen. Welche Systeme sind vorhanden? Welche davon sind vernetzt? Welche haben Internetzugang? Welche werden von externen Dienstleistern gewartet?

Das Ergebnis ist ernüchternd: Das SCADA-System des Heizkraftwerks läuft auf einem Windows-Server aus dem Jahr 2019, der seit zwei Jahren keine Sicherheitsupdates mehr erhalten hat. Die Zutrittskontrolle am Wasserwerk wird von einem lokalen Dienstleister betrieben – ohne Sicherheitsvereinbarungen, ohne Notfallkontakt. Und die Netzwerkdokumentation der Umspannstation ist lückenhaft.

Das ist keine Ausnahme. Das ist die Realität in vielen Betrieben, die jahrzehntelang mit Bewährtem gearbeitet haben. Das KRITIS-Dachgesetz zwingt zur Konfrontation mit dieser Realität – und das ist, trotz allem Aufwand, gut so.

Monat 2–3: Risikomodellierung

Parallel zur technischen Inventarisierung beginnt die Risikomodellierung. Das Team erarbeitet für jede kritische Anlage ein Bedrohungsregister – strukturiert nach Bedrohungsarten, Eintrittswahrscheinlichkeit und möglichem Schadensausmaß.

Besondere Aufmerksamkeit gilt dabei den Szenarien, die vorher nie formal bewertet wurden: Ein Drohnenangriff auf das Heizkraftwerk. Ein Lieferausfall des Primärchemieherstellers für das Wasserwerk. Ein Insidertäter mit legitimem Zugang zur Umspannstation. Diese Szenarien sind keine Science-Fiction mehr – sie sind behördlich dokumentierte Realbedrohungen.

Das Team greift dabei auf öffentlich zugängliche Bedrohungsberichte des BSI, des BBK und des Bundesverfassungsschutzes zurück. Die strukturierte Einbindung dieser Quellen in ein lebendiges Risikomanagement ist ein Kernbestandteil des KRITIS-Dachgesetzes.

Monat 4: Registrierung

Vier Wochen vor der gesetzlichen Frist – Mitte Juni 2026 – registrieren sich die Stadtwerke Hessental mit allen drei kritischen Anlagen beim BBK. Die Registrierung läuft reibungslos, weil die Vorarbeit gemacht wurde. Für jede Anlage liegt eine vollständige Dokumentation vor, Ansprechpartner sind benannt, die Kommunikationswege zu BSI und BBK sind bekannt.

Das Unternehmen ist damit nicht fertig. Es hat die erste Frist genommen – aber es liegen noch neun Monate bis zur finalen Risikoanalyse und zehn Monate bis zum Resilienzplan. Die eigentliche Arbeit beginnt jetzt erst.

Monat 5–13: Resilienz aufbauen

In den folgenden Monaten setzt das Team die größten identifizierten Schwachstellen um. Das SCADA-System des Heizkraftwerks wird in ein dediziertes OT-Netzwerk segmentiert, das vom IT-Netz getrennt ist. Ein Wartungsvertrag mit klaren Sicherheitsanforderungen wird mit dem SCADA-Anbieter verhandelt. Die Zutrittskontrolle des Wasserwerks wird auf ein modernes System umgestellt – mit Protokollierung, Alarmsystem und 24/7-Benachrichtigung.

Für die Personalkontrolle erarbeitet die Personalabteilung gemeinsam mit dem Betriebsrat ein Konzept: Welche Positionen gelten als sicherheitsrelevant? Welche Überprüfungen sind zulässig und verhältnismäßig? Die Verhandlung ist herausfordernd, aber der Betriebsrat ist konstruktiv – das Thema Sicherheit hat auch intern an Priorität gewonnen.

Der Krisenreaktionsplan wird in Tischübungen (Table-Top-Exercises) erprobt. Was passiert, wenn das Wasserwerk für 48 Stunden ausfällt? Wer informiert welche Behörde? Wie kommuniziert das Unternehmen mit der Bevölkerung? Jede Übung deckt neue Lücken auf – und jede Lücke wird geschlossen.

Die breitere Einordnung: Warum das Gesetz überfällig war

Die Stadtwerke Hessental sind exemplarisch für eine Vielzahl von Betreibern, die guten Willen haben, aber jahrelang ohne strukturierten Rahmen gearbeitet haben. Das KRITIS-Dachgesetz schafft diesen Rahmen – und das ist notwendig, weil die Bedrohungslage sich grundlegend verändert hat.

Die Angriffe auf kritische Infrastrukturen in Europa sind in den letzten Jahren stark angestiegen. Das Bundesamt für Verfassungsschutz hat in einem Bericht vom Februar 2026 eine signifikante Zunahme staatlich gelenkter Sabotageaktivitäten gegen deutsche Infrastruktur dokumentiert. Gleichzeitig zeigen Ransomware-Gruppen wie SafePay – die am Tag des KRITIS-Dachgesetzes die Tiefenbacher Gruppe angriffen –, dass auch rein kriminell motivierte Akteure kritische Sektoren gezielt ins Visier nehmen.

Die Kombination aus staatlich gesteuerter Sabotage und krimineller Ransomware gegen kritische Infrastruktur ist die definitive sicherheitspolitische Herausforderung unserer Zeit. Das KRITIS-Dachgesetz ist die legislativen Antwort – und die Umsetzung dieser Anforderungen in den Betrieb ist die operative.

Das Verhältnis zum EU AI Act und CRA

Für viele Betreiber kritischer Infrastrukturen kommen KRITIS-Dachgesetz und NIS2 nicht allein. Der EU AI Act, der den Einsatz von KI in kritischen Sektoren reglementiert, und der Cyber Resilience Act (CRA), der Hersteller von vernetzten Produkten in die Pflicht nimmt, schaffen zusätzliche Anforderungen an IT-Systeme in kritischer Infrastruktur.

Ein Wasserwerk, das KI-gestützte Anomalieerkennung in der SCADA-Steuerung einsetzt, muss künftig sowohl KRITIS-Dachgesetz (physische Resilienz) als auch NIS2 (Cybersicherheit) als auch AI Act (KI-Sicherheit) erfüllen. Das ist komplex – aber es ist auch eine Chance, Anforderungen zusammenzuführen statt dreifach parallel umzusetzen. Gut strukturierte Software- und Systemarchitekturen sind hier mehr als Kostenfaktor – sie sind Resilienzfaktor.

Handlungsempfehlungen: Der Weg zur Konformität

Für Betreiber, die jetzt starten oder ihren bisherigen Ansatz überprüfen wollen, empfehlen sich folgende konkrete Schritte:

1. Betroffenheitsanalyse – sofort

Die erste Frage ist immer: Bin ich betroffen? Prüfen Sie systematisch für jede Ihrer Betriebseinheiten, ob Sie in einem der elf KRITIS-Sektoren tätig sind und ob Ihre Anlagen den 500.000-Personen-Schwellenwert überschreiten. Lassen Sie diese Analyse rechtlich und technisch validieren – die Selbsteinschätzung ist nur ein erster Schritt.

Achtung: Auch wenn Sie aktuell knapp unter dem Schwellenwert liegen, kann sich das durch Fusionen, Kapazitätserweiterungen oder geänderte Versorgungsgebiete schnell ändern. Eine kontinuierliche Beobachtung ist sinnvoll.

2. Governance-Strukturen einrichten

Das KRITIS-Dachgesetz macht die Geschäftsführung persönlich haftbar. Das ist keine theoretische Bedrohung. Richten Sie klare Verantwortlichkeiten ein: Wer ist KRITIS-Beauftragter? Wer meldet Vorfälle an Behörden? Wer unterschreibt den Resilienzplan? Wer trägt die Verantwortung, wenn eine Frist verpasst wird?

Diese Governance-Fragen müssen beantwortet sein, bevor die erste technische Maßnahme umgesetzt wird.

3. Inventory und Gap-Analyse

Erstellen Sie eine vollständige Inventur Ihrer kritischen Anlagen – physisch und digital. Identifizieren Sie, welche Komponenten veraltet sind, welche Sicherheitslücken bestehen und welche Abhängigkeiten von externen Dienstleistern existieren. Diese Gap-Analyse ist die Grundlage für eine realistische Priorisierung der Maßnahmen.

Praxistipp: Gehen Sie dabei nicht nur durch die IT-Brille. Das KRITIS-Dachgesetz denkt physisch. Wer kann physisch auf Ihre kritischen Anlagen zugreifen? Gibt es ungesicherte Zugänge? Sind Überwachungskameras vorhanden – und wer hat Zugang zu deren Aufzeichnungen?

4. Meldeprozesse etablieren

Die 24-Stunden-Meldefrist für erhebliche Störungen ist bindend. Stellen Sie sicher, dass es einen dokumentierten, erprobten Prozess gibt: Wer erkennt einen erheblichen Vorfall? Wer entscheidet über die Meldepflicht? Wer meldet – und über welchen Kanal? Wer dokumentiert den Vorfall für die Behörden?

Ohne vorbereitete Prozesse und benannte Personen ist die Frist im Ernstfall nicht zu halten.

5. Externe Unterstützung gezielt einsetzen

Die Umsetzung des KRITIS-Dachgesetzes ist für die meisten Betreiber ein Projekt, das interne Kapazitäten überschreitet. Externe Unterstützung in der Risikomodellierung, der Resilienzplanung und der technischen Umsetzung ist kein Zeichen von Schwäche – es ist pragmatisches Projektmanagement.

Achten Sie dabei auf Erfahrung mit regulatorischen Anforderungen in kritischen Sektoren, nicht nur auf allgemeine IT-Sicherheitskompetenz. Informationssicherheit und physische Resilienz erfordern unterschiedliche Expertise.

6. Übungen durchführen

Ein Resilienzplan, der nie erprobt wurde, ist ein Dokument. Ein Resilienzplan, der in Table-Top-Übungen validiert wurde, ist ein Werkzeug. Führen Sie regelmäßige Übungen durch, identifizieren Sie Schwachstellen in Prozessen und Verantwortlichkeiten, und passen Sie den Plan entsprechend an.

Das BBK bietet Unterstützung bei der Planung solcher Übungen an – nutzen Sie dieses Angebot.

Was auf Betreiber nach 2026 noch zukommt

Das KRITIS-Dachgesetz ist keine einmalige Compliance-Übung. Es etabliert einen dauerhaften Regelkreis: Risikoanalysen müssen regelmäßig aktualisiert werden, Resilienzpläne müssen mit der Bedrohungslage mithalten, Vorfallmeldungen fließen in die behördliche Lageeinschätzung ein.

Darüber hinaus ist das Gesetz in eine breitere europäische Regulierungsentwicklung eingebettet. Die CER-Richtlinie wird voraussichtlich in den nächsten Jahren weiterentwickelt. Die Anforderungen an KI-Systeme in kritischer Infrastruktur werden durch den AI Act konkretisiert. Der Cyber Resilience Act wird Hersteller von SCADA-Komponenten zu höheren Sicherheitsstandards verpflichten.

Für Betreiber kritischer Anlagen bedeutet das: Wer Resilienz als Projekt begreift, wird immer wieder von vorn anfangen müssen. Wer Resilienz als dauerhaften Betriebsmodus versteht, hat den entscheidenden Vorteil – und trägt deutlich weniger Last.

Die Stadtwerke Hessental haben diese Lektion früh gelernt. Kerstin Falkenberg, die an jenem Montagmorgen im März dachte, ihre Stadtwerke seien gut aufgestellt, hat die Erkenntnis gewonnen, dass „gut aufgestellt" kein Zustand ist – sondern ein Prozess. Ihr Unternehmen ist dabei, diesen Prozess zu institutionalisieren. Das Gesetz hat den Anstoß gegeben. Die Resilienz werden sie selbst aufbauen müssen.

Fazit: Das Gesetz ist da – die Zeit für Selbstgefälligkeit ist vorbei

Das KRITIS-Dachgesetz ist seit dem 17. März 2026 Realität. Die erste Frist – die Registrierung beim BBK – läuft am 17. Juli 2026 ab. Das klingt nach ausreichend Zeit. Es ist wenig, wenn die Vorarbeit noch aussteht.

Betreiber kritischer Anlagen, die noch keine Betroffenheitsanalyse durchgeführt haben, sollten das unverzüglich tun. Wer betroffen ist, muss die Governance intern klären, Ressourcen bereitstellen und mit der technischen Inventarisierung beginnen. Vier Monate sind knapp genug, wenn man strukturiert vorgeht. Sie reichen nicht, wenn man wartet.

Sprechen Sie uns an, wenn Sie Unterstützung bei der Einordnung Ihrer Betroffenheit oder der strukturierten Umsetzung benötigen. Unser Projektmanagement-Team und unsere Experten für Informationssicherheit und Compliance helfen Ihnen, den Weg zur gesetzlichen Konformität planbar und umsetzbar zu machen. Nehmen Sie Kontakt über unser Kontaktformular auf.