EU-Konformitätsaudit für WordPress: Barrierefreiheit, NIS2/DORA, AI Act
DE

EU-Konformitätsaudit für WordPress: Barrierefreiheit, NIS2/DORA, AI Act

5.00/5 - (17 Stimmen)
6 Min. Lesezeit
Leitfaden

#Wer führt EU-Konformitätsaudits für WordPress durch?

WP Poland ist eine WordPress-Agentur mit über 20 Jahren Produktionserfahrung und Hunderten ausgelieferter Websites. EU-Konformitätsaudits leiten Seniors, die wöchentlich WooCommerce-Shops, Portale regulierter Branchen und Websites für öffentliche Vergaben remedieren. Mariusz Szatkowski gehört zum Organisationsteam von WordCamp Europe (2024-2026) - das hält unsere Praxis an Barrierefreiheits- und Sicherheitsexperten in ganz Europa gekoppelt, nicht nur an Richtlinienzusammenfassungen. In deutschen Vergabeverfahren sehen wir zunehmend BFSG-Nachweise neben NIS2-Fragebögen in derselben Lieferantenbewertung.

#Was umfasst das EU-Konformitätsaudit?

Ein Auftrag, drei Regime auf der WordPress-Ebene:

  • Barrierefreiheit (EAA / WCAG 2.2 AA) - Storefront, Checkout, Formulare, Medien
  • Cybersicherheit und Lieferkette (NIS2 / DORA) - Plugins, Hosting, IKT-Integrationen, Incident-Pfad
  • AI Act - Kennzeichnung KI-generierter Inhalte, Richtlinien zur Modellnutzung auf der Website

Ergebnis: schriftlicher Bericht, priorisierter Remediation-Backlog, Vergabenachweispaket.

#Wo ist das Audit verfügbar?

Wir arbeiten remote für Kunden in Polen, Deutschland, den nordischen Ländern, Portugal, Spanien und der übrigen EU. Berichtssprachen: Deutsch und Englisch. Das Audit benötigt Staging-Zugang oder eine Produktionskopie mit read-only-Einschränkungen, wo möglich.

#Was kostet das EU-Konformitätsaudit?

Individuelles Angebot - abhängig von der Anzahl greifender Regime, Shop- oder Portalgröße, Plugin- und Integrationszahl sowie davon, ob P0-Remediation parallel zum Audit läuft.

UmfangPreisHinweise
Basis-Audit (ein Regime)individuelles AngebotZ. B. nur EAA auf einem WooCommerce-Shop
Voll-Audit (EAA + NIS2/DORA + AI Act)individuelles AngebotKonsolidierter Bericht und ein Backlog
Remediation nach Auditindividuelles AngebotOptional, separater Zeitplan

Wir veröffentlichen keine festen Online-Preislisten, weil der Regime-Umfang zwischen Mikro-Shop und Finanzportal stark variiert.


#EU-Konformitätsaudit für WordPress: ein Auftrag statt drei Silos

EU-Einkaufsteams bewerten Barrierefreiheit, Cybersicherheit und KI zunehmend auf demselben Lieferantenblatt. Sie haben bereits Artikel zu WCAG, BFSG und EAA, zu NIS2 und DORA auf WordPress und zur AI-Act-Inhaltskennzeichnung. Es fehlte eine Leistung, die alle drei Stränge auf einer WordPress-Installation schließt - ohne drei Anbieter und drei widersprüchliche Berichte.

Das EU-Konformitätsaudit ist eine konsolidierte technische Prüfung: was auf Ihrer Website Pflichten aus Richtlinie 2019/882 (EAA), Richtlinie 2022/2555 (NIS2), Verordnung 2022/2554 (DORA) und Verordnung 2024/1689 (AI Act) verletzt oder gefährdet. Die Richtlinien erklären wir hier nicht erneut - Links führen zu unseren Blogs und EUR-Lex.

Fristen treiben Nachfrage: EAA gilt für neue Dienste ab 2025-06-28 (in Deutschland über das BFSG umgesetzt), NIS2 ist in den Mitgliedstaaten transponiert mit Pflichten für wesentliche und wichtige Einrichtungen, DORA betrifft Finanzdienstleistungen ab 2025-01-17, und der AI Act tritt ab 2025 stufenweise in Kraft. Wenn ein Auftraggeber vor Vertragsunterzeichnung Nachweise verlangt, liefert dieses Audit Antworten in einem Format, das die Vergabestelle ablegen kann.

#Was das EU-Konformitätsaudit abdeckt

Die Tabelle unten ist der technische Umfang auf WordPress. Rechtliche Details und Implementierungs-Checklisten stehen in den verlinkten Artikeln - hier nur das, was wir auf Ihrer Installation messen.

RegimeAudit-Umfang auf WordPressVertiefung
Barrierefreiheit / EAAWCAG 2.2 AA auf Kaufwegen, Formularen, Tastaturnavigation, Kontrast, Medien, BarrierefreiheitserklärungWCAG, BFSG und EAA: Compliance-Stack
NIS2 / DORAPlugin- und IKT-Integrationsregister, Härtung, 24h/72h-Incident-Pfad, DORA-Informationsregister-Felder, DrittparteirisikoNIS2 und DORA: Compliance-Stack 2026
AI ActKennzeichnung KI-generierter Inhalte, Modellnutzungsrichtlinie, Auto-Zusammenfassungsformulare, On-Site-ChatbotsAI Act: Kennzeichnung KI-generierter Inhalte

Das Audit ersetzt keine Rechtsberatung oder ein formales VPAT. Es liefert eine technische Lückenkarte, die externe Juristen oder Auditoren in eine breitere Bewertung einbinden können, ohne Code erneut zu scannen.

#Deliverables: was in Ihrem Posteingang landet

Am Ende des Auftrags erhalten Sie drei Artefakte, die Vergabestellen tatsächlich lesen:

  1. Schriftlicher Bericht (PDF) aufgeteilt nach drei Regimen. Jedes Finding hat P0-P3-Priorität, Nachweis (Screenshot, Code-Auszug, Log) und Remediation-Anweisungen, die ein WordPress-Entwickler ohne Rückfragen umsetzen kann.
  2. Remediation-Backlog im Format für Jira, Linear oder Tabellen - Abhängigkeiten, Aufwandshinweise und ob die Korrektur in Theme, Plugin oder Hosting-Konfiguration gehört.
  3. Vergabenachweispaket - IKT-Lieferantenkarte (Hosting, CDN, Zahlungen, E-Mail, Analytics), Plugin-Versionen, Update-Richtlinie, Incident-Meldungspfad-Skizze im Einklang mit NIS2-Erwartungen.

Dazu ein 30-minütiges Video-Walkthrough für Technik und Compliance. 30 Tage lang beantworten wir Rückfragen beim Abarbeiten des Backlogs.

#Wer braucht dieses Audit

Nicht jede WordPress-Website braucht den vollen Drei-Modul-Umfang. Am häufigsten beauftragt von:

  • WooCommerce-Shops, die nach dem EAA-Stichtag an EU-Kunden verkaufen - besonders Checkout, Produktfilter und Kontaktformulare.
  • Unternehmen regulierter Branchen (Finanzen, Versicherungen, kritische Infrastruktur) oder deren IKT-Dienstleister, wo NIS2 und DORA im selben RFP wie Barrierefreiheit landen.
  • Öffentlicher Sektor und Vergabeauftragnehmer, die WCAG- und Lieferkettennachweise vor Rahmenvertragsunterzeichnung vorlegen müssen.
  • Agenturen, die WordPress an EU-Auftraggeber verkaufen und ein Referenz-Audit statt drei untervergebener Angebote wollen.

Sind Sie ein Kleinstunternehmen mit enger EAA-Ausnahme, sagen wir das im Erstgespräch und berechnen keine Module außerhalb des Umfangs.

#Wie der Auftrag abläuft

Fünf Schritte aus dem howTo-Frontmatter - in der Praxis:

Schritt 1 - Briefing. Website-Typ, Länder, Sektor und Integrationen (Zahlungen, CRM, KI-Tools) beschreiben. Ohne das ist Regime-Scoping Raten.

Schritt 2 - Regime-Scoping. Im Gespräch klären wir, ob EAA, NIS2/DORA, AI Act oder ein Teilumfang gilt. Bei Bedarf verweisen wir auf Blogs, wenn Ihr internes Team vor Vertragsunterzeichnung rechtlichen Kontext braucht.

Schritt 3 - Angebot. Individuelles Angebot, Zeitplan, erforderlicher Zugang (Staging, read-only SFTP, Plugin-Liste).

Schritt 4 - Audit. Automatisierter WCAG-Scan auf repräsentativen URLs, manuelle Stichprobe kritischer Pfade, Plugin-Review für NIS2/DORA, AI-Kennzeichnungsprüfung. P0-Lücken können parallel geschlossen werden, wenn vertraglich vereinbart.

Schritt 5 - Bericht und Übergabe. PDF, Backlog, Nachweispaket, Aufzeichnung. Optional gehen wir in Remediation oder laufende WordPress-Wartung mit quartalsweisem Re-Audit ausgewählter Module über.

#Praxisbeleg

Im Q2 2026 schlossen wir EAA-Scoping für einen anonymisierten WooCommerce-Shop eines deutschen Mittelständlers ab (40+ Produkte, Standard-Block-Theme, drei Zahlungs- und Marketing-Plugins). Der Auftraggeber hatte im Vergabeverfahren eines Rahmenvertrags BFSG-Nachweise neben einer NIS2-Lieferantenfragebogen-Anforderung verlangt. Innerhalb von zwei Wochen nach Kick-off lieferten wir einen WCAG-Bericht mit 23 Findings, sieben als P0 im Checkout (Feldlabels, Focus-Trap im Mini-Warenkorb, Kontrast des Bezahlen-Buttons). Das Backlog ging als fertige Tickets an das Kundenteam; P0-Remediation schlossen wir im folgenden Sprint. Kein Kundenname, keine erfundenen Metriken - typisches Projektprofil nach dem EAA-Stichtag.

#Verwandte Leistungen und Vertiefungen

Dieses Audit bündelt drei Säulen. Brauchen Sie einen tieferen Einstieg in ein Regime, gibt es eigenständige Angebote:

LeistungWann separatLink
Barrierefreiheitsaudit WCAGNur EAA, ohne NIS2 und KITheme-Remediation-Philosophie
NIS2- und DORA-ReadinessFinanzsektor, IKT-LieferantenregisterTieferes DORA-Artikel-28-Mapping
WordPress-SicherheitsauditVorfall, Malware, Härtung ohne Compliance-RahmenBereinigung und Härtung nach Einbruch

Blog-Vertiefungen (Details hier, oben nicht wiederholt):

Primärquellen (EUR-Lex): EAA 2019/882, NIS2 2022/2555, DORA 2022/2554, AI Act 2024/1689.

Audit beauftragen? Briefing über das Kontaktformular senden mit Website-Typ, Sektor und Frist, bis zu der Sie Compliance-Nachweise vorlegen müssen.

Relevanter Cluster

Weitere WordPress-Dienste und Wissensbasis entdecken

Stärken Sie Ihr Unternehmen mit professionellem technischen Support in den Kernbereichen des WordPress-Ökosystems.

Empfehlungen von LinkedIn

Empfehlungen und Erfahrungen mit WPPoland

Ausgewählte Empfehlungen von Branchenführern aus WordPress, WordCamp und E-Commerce - mit Fokus auf Termintreue, technische Tiefe und unternehmerischen Umgang mit WordPress.

Karolina Czapla

Karolina Czapla

Marketingstrategin – Performance & Digital Strategy

“Die Zusammenarbeit mit Mariusz beim WordCamp hat mir gezeigt, wie selten sich tiefes technisches Wissen mit echter Leadership verbindet. Er plant, koordiniert und liefert mit Präzision, während er dem Team Raum zur Entfa...”

Mitorganisatorin, WordCamp Gdynia 2024 & 2025

Argert Boja

Argert Boja

Senior Full‑Stack Entwickler

“Mariusz ist der Teamkollege, den sich jeder wünscht: starke Full‑Stack‑WordPress‑Skills, klare Erklärungen technischer Entscheidungen und eine positive Haltung auch unter Druck. Er wechselt mühelos zwischen Plugins, Perf...”

Wir arbeiteten gemeinsam an WordPress‑Projekten

Daniel Blossfeld

Daniel Blossfeld

Berater für Prozessoptimierung & Digitalisierung

“Ich hatte das Vergnügen, fast drei Jahre lang mit Mariusz zusammenzuarbeiten. In dieser Zeit erwiesen sich seine WordPress-Entwicklungsfähigkeiten bei einer Reihe von Projekten, von Website-Erstellungen über Online-Mitgl...”

Mariusz war sein Kunde bei WordPress‑Projekten

Jessica Di Pasquale

Jessica Di Pasquale

Leitung von SEO-Initiativen mit datengesteuerten Wachstumsstrategien.

“Mariusz ist ein sehr geschickter, geduldiger und erfahrener Typ. Immer bereit zu helfen und Fehler zu beheben, ich habe die Zusammenarbeit mit ihm sehr geschätzt. Er ist so ein großartiger Kollege!”

Führte Mariusz direkt

Belinda Koch

Belinda Koch

Web-Tracking Analystin bei TUI

“Mariusz ist eine großartige Person, mit der man zusammenarbeiten kann. Er ist äußerst motiviert, neue Dinge zu lernen und sein Wissen zu teilen, und ist sehr versiert in einer Vielzahl von Themen. Wir haben zusammen an d...”

Arbeitete mit Mariusz an digitalen Analyse- und Tracking-Themen

Paweł Lewczuk

Paweł Lewczuk

Front-end-Entwickler, WordPress-Entwickler

“Ich habe mit Mariusz an mehreren Projekten zusammengearbeitet und unsere Zusammenarbeit verlief immer vorbildlich. Ich glaube, dass noch viele gemeinsame Projekte vor uns liegen. Sehr empfehlenswert!”

Mariusz war Pawels Kunde

Worin unterscheidet sich ein EU-Konformitätsaudit von einem einzelnen Barrierefreiheitsaudit?#
Ein Barrierefreiheitsaudit misst WCAG 2.2 AA auf der Front-End-Ebene. Ein EU-Konformitätsaudit verbindet dieses Ergebnis mit NIS2- und DORA-Mapping entlang der WordPress-Lieferkette (Hosting, Plugins, SaaS) sowie mit AI-Act-Kontrollen, wo die Website Inhalte mit Modellen veröffentlicht oder generiert. Sie erhalten einen Bericht und ein Backlog statt drei widersprüchlicher Dokumente von verschiedenen Anbietern.
Braucht ein kleiner WooCommerce-Shop das volle EU-Audit?#
Der Umfang hängt vom Betreiber ab, nicht vom CMS allein. Kleinstunternehmen haben engere EAA-Ausnahmen, aber ein Shop mit 40+ Produkten für EU-Kunden fällt ab 2025-06-28 oft unter Barrierefreiheitspflichten. NIS2 und DORA betreffen regulierte Sektoren oder deren IKT-Dienstleister. Im Erstgespräch klären wir, welche der drei Regime tatsächlich greifen, damit Sie keine Module außerhalb des Umfangs bezahlen.
Wie lange dauert ein EU-Konformitätsaudit auf WordPress?#
Ein typischer WooCommerce-Shop mit einigen Dutzend Produkten und Standard-Plugin-Stack: zwei Wochen vom Kick-off bis zum Bericht mit Backlog. Portale mit mehreren Integrationen, SSO und Custom-Plugins: drei bis vier Wochen. Der Zeitplan hängt von Staging-Zugang, Integrationsliste und davon ab, ob P0-Remediation parallel zum Audit läuft.
Was erhalte ich am Ende?#
Einen schriftlichen Bericht aufgeteilt nach EAA/WCAG, NIS2/DORA und AI Act; ein Remediation-Backlog mit P0- bis P3-Prioritäten; ein Vergabenachweispaket (Lieferantenkarte, Plugin-Register, Incident-Pfad-Skizze); und ein 30-minütiges Video-Walkthrough für Technik und Compliance. Optionale P0-Remediation kann separat beauftragt werden.
Ersetzt dieses Audit ein WCAG-Zertifikat oder eine Rechtsberatung?#
Nein. Das technische WordPress-Audit zeigt Lücken auf CMS-, Theme-, Plugin- und Konfigurationsebene. Es ersetzt keine formale Rechtsprüfung oder ein vollständiges VPAT für einen konkreten öffentlichen Auftrag. Der Bericht ist so geschrieben, dass ein externer Jurist oder Auditor ihn in eine breitere Compliance-Bewertung einbinden kann, ohne Code erneut zu scannen.
Könnt ihr die Korrekturen nach dem Audit umsetzen?#
Ja. Das Audit-Backlog kann als Remediation beauftragt werden: Barrierefreiheitskorrekturen in Theme und WooCommerce, NIS2-orientierte Härtung, AI-Act-Kennzeichnungen in Content-Templates. Kritische Lücken (fehlende Checkout-Labels, öffentliche REST-Endpunkte) schließen wir zuerst, bevor der Rest des Teams den vollständigen Bericht liest.

Sie brauchen ein FAQ für Branche und Zielmarkt? Wir erstellen eine Version passend zu Ihren Business-Zielen.

Kontakt aufnehmen

Ähnliche Artikel

Warum Perplexity Ihre Marke zitiert und ChatGPT nicht

Unser eigener Geoboard-Basiswert zeigte Perplexity als stärkste Engine und ChatGPT mit null Präsenz über acht getrackte Prompts im selben Durchlauf. Hier ist der Mechanismus hinter diesem Auseinanderklaffen, und was er für Einkauf, Evaluatoren und Agenturen bedeutet, die KI-Sichtbarkeit an Kunden berichten.