Wer führt EU-Konformitätsaudits für WordPress durch?
WP Poland ist eine WordPress-Agentur mit über 20 Jahren Produktionserfahrung und Hunderten ausgelieferter Websites. EU-Konformitätsaudits leiten Seniors, die wöchentlich WooCommerce-Shops, Portale regulierter Branchen und Websites für öffentliche Vergaben remedieren. Mariusz Szatkowski gehört zum Organisationsteam von WordCamp Europe (2024-2026) - das hält unsere Praxis an Barrierefreiheits- und Sicherheitsexperten in ganz Europa gekoppelt, nicht nur an Richtlinienzusammenfassungen. In deutschen Vergabeverfahren sehen wir zunehmend BFSG-Nachweise neben NIS2-Fragebögen in derselben Lieferantenbewertung.
Was umfasst das EU-Konformitätsaudit?
Ein Auftrag, drei Regime auf der WordPress-Ebene:
- Barrierefreiheit (EAA / WCAG 2.2 AA) - Storefront, Checkout, Formulare, Medien
- Cybersicherheit und Lieferkette (NIS2 / DORA) - Plugins, Hosting, IKT-Integrationen, Incident-Pfad
- AI Act - Kennzeichnung KI-generierter Inhalte, Richtlinien zur Modellnutzung auf der Website
Ergebnis: schriftlicher Bericht, priorisierter Remediation-Backlog, Vergabenachweispaket.
Wo ist das Audit verfügbar?
Wir arbeiten remote für Kunden in Polen, Deutschland, den nordischen Ländern, Portugal, Spanien und der übrigen EU. Berichtssprachen: Deutsch und Englisch. Das Audit benötigt Staging-Zugang oder eine Produktionskopie mit read-only-Einschränkungen, wo möglich.
Was kostet das EU-Konformitätsaudit?
Individuelles Angebot - abhängig von der Anzahl greifender Regime, Shop- oder Portalgröße, Plugin- und Integrationszahl sowie davon, ob P0-Remediation parallel zum Audit läuft.
| Umfang | Preis | Hinweise |
|---|---|---|
| Basis-Audit (ein Regime) | individuelles Angebot | Z. B. nur EAA auf einem WooCommerce-Shop |
| Voll-Audit (EAA + NIS2/DORA + AI Act) | individuelles Angebot | Konsolidierter Bericht und ein Backlog |
| Remediation nach Audit | individuelles Angebot | Optional, separater Zeitplan |
Wir veröffentlichen keine festen Online-Preislisten, weil der Regime-Umfang zwischen Mikro-Shop und Finanzportal stark variiert.
EU-Konformitätsaudit für WordPress: ein Auftrag statt drei Silos
EU-Einkaufsteams bewerten Barrierefreiheit, Cybersicherheit und KI zunehmend auf demselben Lieferantenblatt. Sie haben bereits Artikel zu WCAG, BFSG und EAA, zu NIS2 und DORA auf WordPress und zur AI-Act-Inhaltskennzeichnung. Es fehlte eine Leistung, die alle drei Stränge auf einer WordPress-Installation schließt - ohne drei Anbieter und drei widersprüchliche Berichte.
Das EU-Konformitätsaudit ist eine konsolidierte technische Prüfung: was auf Ihrer Website Pflichten aus Richtlinie 2019/882 (EAA), Richtlinie 2022/2555 (NIS2), Verordnung 2022/2554 (DORA) und Verordnung 2024/1689 (AI Act) verletzt oder gefährdet. Die Richtlinien erklären wir hier nicht erneut - Links führen zu unseren Blogs und EUR-Lex.
Fristen treiben Nachfrage: EAA gilt für neue Dienste ab 2025-06-28 (in Deutschland über das BFSG umgesetzt), NIS2 ist in den Mitgliedstaaten transponiert mit Pflichten für wesentliche und wichtige Einrichtungen, DORA betrifft Finanzdienstleistungen ab 2025-01-17, und der AI Act tritt ab 2025 stufenweise in Kraft. Wenn ein Auftraggeber vor Vertragsunterzeichnung Nachweise verlangt, liefert dieses Audit Antworten in einem Format, das die Vergabestelle ablegen kann.
Was das EU-Konformitätsaudit abdeckt
Die Tabelle unten ist der technische Umfang auf WordPress. Rechtliche Details und Implementierungs-Checklisten stehen in den verlinkten Artikeln - hier nur das, was wir auf Ihrer Installation messen.
| Regime | Audit-Umfang auf WordPress | Vertiefung |
|---|---|---|
| Barrierefreiheit / EAA | WCAG 2.2 AA auf Kaufwegen, Formularen, Tastaturnavigation, Kontrast, Medien, Barrierefreiheitserklärung | WCAG, BFSG und EAA: Compliance-Stack |
| NIS2 / DORA | Plugin- und IKT-Integrationsregister, Härtung, 24h/72h-Incident-Pfad, DORA-Informationsregister-Felder, Drittparteirisiko | NIS2 und DORA: Compliance-Stack 2026 |
| AI Act | Kennzeichnung KI-generierter Inhalte, Modellnutzungsrichtlinie, Auto-Zusammenfassungsformulare, On-Site-Chatbots | AI Act: Kennzeichnung KI-generierter Inhalte |
Das Audit ersetzt keine Rechtsberatung oder ein formales VPAT. Es liefert eine technische Lückenkarte, die externe Juristen oder Auditoren in eine breitere Bewertung einbinden können, ohne Code erneut zu scannen.
Deliverables: was in Ihrem Posteingang landet
Am Ende des Auftrags erhalten Sie drei Artefakte, die Vergabestellen tatsächlich lesen:
- Schriftlicher Bericht (PDF) aufgeteilt nach drei Regimen. Jedes Finding hat P0-P3-Priorität, Nachweis (Screenshot, Code-Auszug, Log) und Remediation-Anweisungen, die ein WordPress-Entwickler ohne Rückfragen umsetzen kann.
- Remediation-Backlog im Format für Jira, Linear oder Tabellen - Abhängigkeiten, Aufwandshinweise und ob die Korrektur in Theme, Plugin oder Hosting-Konfiguration gehört.
- Vergabenachweispaket - IKT-Lieferantenkarte (Hosting, CDN, Zahlungen, E-Mail, Analytics), Plugin-Versionen, Update-Richtlinie, Incident-Meldungspfad-Skizze im Einklang mit NIS2-Erwartungen.
Dazu ein 30-minütiges Video-Walkthrough für Technik und Compliance. 30 Tage lang beantworten wir Rückfragen beim Abarbeiten des Backlogs.
Wer braucht dieses Audit
Nicht jede WordPress-Website braucht den vollen Drei-Modul-Umfang. Am häufigsten beauftragt von:
- WooCommerce-Shops, die nach dem EAA-Stichtag an EU-Kunden verkaufen - besonders Checkout, Produktfilter und Kontaktformulare.
- Unternehmen regulierter Branchen (Finanzen, Versicherungen, kritische Infrastruktur) oder deren IKT-Dienstleister, wo NIS2 und DORA im selben RFP wie Barrierefreiheit landen.
- Öffentlicher Sektor und Vergabeauftragnehmer, die WCAG- und Lieferkettennachweise vor Rahmenvertragsunterzeichnung vorlegen müssen.
- Agenturen, die WordPress an EU-Auftraggeber verkaufen und ein Referenz-Audit statt drei untervergebener Angebote wollen.
Sind Sie ein Kleinstunternehmen mit enger EAA-Ausnahme, sagen wir das im Erstgespräch und berechnen keine Module außerhalb des Umfangs.
Wie der Auftrag abläuft
Fünf Schritte aus dem howTo-Frontmatter - in der Praxis:
Schritt 1 - Briefing. Website-Typ, Länder, Sektor und Integrationen (Zahlungen, CRM, KI-Tools) beschreiben. Ohne das ist Regime-Scoping Raten.
Schritt 2 - Regime-Scoping. Im Gespräch klären wir, ob EAA, NIS2/DORA, AI Act oder ein Teilumfang gilt. Bei Bedarf verweisen wir auf Blogs, wenn Ihr internes Team vor Vertragsunterzeichnung rechtlichen Kontext braucht.
Schritt 3 - Angebot. Individuelles Angebot, Zeitplan, erforderlicher Zugang (Staging, read-only SFTP, Plugin-Liste).
Schritt 4 - Audit. Automatisierter WCAG-Scan auf repräsentativen URLs, manuelle Stichprobe kritischer Pfade, Plugin-Review für NIS2/DORA, AI-Kennzeichnungsprüfung. P0-Lücken können parallel geschlossen werden, wenn vertraglich vereinbart.
Schritt 5 - Bericht und Übergabe. PDF, Backlog, Nachweispaket, Aufzeichnung. Optional gehen wir in Remediation oder laufende WordPress-Wartung mit quartalsweisem Re-Audit ausgewählter Module über.
Praxisbeleg
Im Q2 2026 schlossen wir EAA-Scoping für einen anonymisierten WooCommerce-Shop eines deutschen Mittelständlers ab (40+ Produkte, Standard-Block-Theme, drei Zahlungs- und Marketing-Plugins). Der Auftraggeber hatte im Vergabeverfahren eines Rahmenvertrags BFSG-Nachweise neben einer NIS2-Lieferantenfragebogen-Anforderung verlangt. Innerhalb von zwei Wochen nach Kick-off lieferten wir einen WCAG-Bericht mit 23 Findings, sieben als P0 im Checkout (Feldlabels, Focus-Trap im Mini-Warenkorb, Kontrast des Bezahlen-Buttons). Das Backlog ging als fertige Tickets an das Kundenteam; P0-Remediation schlossen wir im folgenden Sprint. Kein Kundenname, keine erfundenen Metriken - typisches Projektprofil nach dem EAA-Stichtag.
Verwandte Leistungen und Vertiefungen
Dieses Audit bündelt drei Säulen. Brauchen Sie einen tieferen Einstieg in ein Regime, gibt es eigenständige Angebote:
| Leistung | Wann separat | Link |
|---|---|---|
| Barrierefreiheitsaudit WCAG | Nur EAA, ohne NIS2 und KI | Theme-Remediation-Philosophie |
| NIS2- und DORA-Readiness | Finanzsektor, IKT-Lieferantenregister | Tieferes DORA-Artikel-28-Mapping |
| WordPress-Sicherheitsaudit | Vorfall, Malware, Härtung ohne Compliance-Rahmen | Bereinigung und Härtung nach Einbruch |
Blog-Vertiefungen (Details hier, oben nicht wiederholt):
- WCAG 2.2, BFSG und EAA: Compliance-Stack 2026
- NIS2 und DORA auf WordPress: Compliance-Stack 2026
- AI Act: Kennzeichnung KI-generierter Inhalte
Primärquellen (EUR-Lex): EAA 2019/882, NIS2 2022/2555, DORA 2022/2554, AI Act 2024/1689.
Audit beauftragen? Briefing über das Kontaktformular senden mit Website-Typ, Sektor und Frist, bis zu der Sie Compliance-Nachweise vorlegen müssen.







