Service-Säule

NIS2- und DORA-Readiness

Premium B2B Compliance, EU-Jurisdiktion, Umfang pro Projekt.

Preisgestaltung individuell. Ich antworte innerhalb eines Werktages.

Readiness-Bewertung anfragen Barrierefreiheit-Audit →

Was ich liefere

Einen schriftlichen Readiness-Bericht. Ein gefülltes Lieferantenregister, das den DORA-Artikel-28-Feldern oder der NIS2-Anhang-II-Nachweispfad-Struktur folgt. Eine Bewertung der Kontrolllücken, gemappt auf die von der Richtlinie geforderten Kontrollen. Ein Vorfallmeldungs-Runbook mit den 24-Stunden-, 72-Stunden- und Ein-Monats-Fristen, vorab auf Ihren spezifischen Stack abgebildet. Eine 60-minütige Begehung mit Ihrem operativen Team.

Warum WordPress-Bestände das anders brauchen

Die meiste Readiness-Arbeit zielt auf Individualsoftware oder SaaS. WordPress und WooCommerce bringen spezifische Compliance-Flächen mit: Plugins mit Administrator-Rechten, Themes, die die Datenbank berühren, Zahlungs-Gateways, die zu Drittparteien fächern, und eine redaktionelle Schicht, die häufig außerhalb formalen Change-Managements läuft. Diese als erstklassige Objekte im Lieferantenregister zu führen ist der Unterschied zwischen einem belastbaren Bericht und einer Checkbox-Übung.

Für wen das ist

  • Mittlere und große Einheiten in wesentlichen und wichtigen NIS2-Sektoren (Anhang I, Anhang II)
  • Regulierte Finanzeinheiten unter DORA
  • Kritische IKT-Drittparteien-Anbieter, die DORA-pflichtige Kunden bedienen
  • Beschaffungen der öffentlichen Hand, die vor einem WordPress-Vergabeabschluss eine Readiness-Erklärung Dritter verlangen

Zertifizierung vs. operative Realität

ISO-, DSGVO- und NIS2-Papier garantiert nicht, dass eine Abteilung tatsächlich eine verschlüsselte E-Mail versenden kann. Klassischer Praxisfall: Behörde oder Mittelstand hat Auditor, Richtlinien und Zertifikat, aber die älteren Ricoh- und Nashuatec-Multifunktionsdrucker können kein TLS zum Mailserver aushandeln und scheitern still beim Scan-to-E-Mail. Das gescannte PDF landet auf einem USB-Stick, die Beweiskette bricht, und es gibt kein Log darüber, wer die Datei in der Hand hatte. Diese Geräteklasse hat selten eine Ausnahme im ISO-Anwendbarkeitsbericht, im DSGVO-Verzeichnis von Verarbeitungstätigkeiten oder im polnischen KSC-Register. Unser Audit deckt deshalb sowohl Dokumente als auch das ab, was tatsächlich am Schreibtisch passiert, und mappt jedes solche Gerät in die Asset- und Lieferantenliste.

Deutsche NIS2-Umsetzung: NIS2UmsuCG und das BSI

Die deutsche NIS2-Umsetzung erfolgt über das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) als zentraler Aufsichts- und Meldebehörde. Artikel 20 der NIS2-Richtlinie verankert direkt persönliche Verantwortung der Leitungsorgane: das Management muss Risikomanagement-Maßnahmen genehmigen, deren Umsetzung überwachen und an entsprechenden Schulungen teilnehmen. In der Praxis trifft die Haftung nicht nur den Vorstand, sondern auch die operative Führungsebene, die in den Geltungsbereich fallende Bereiche verantwortet: IT-Direktor, CISO, Compliance-Leiter, Datenschutzbeauftragter und Operations-Direktor. Wir liefern Risikoregister, Incident-Runbook und Lieferantenverzeichnis in einer Form, die einer Prüfung durch das BSI standhält.

Polnische Umsetzungsnotiz (relevant für Kunden mit PL-Operationen)

Polens NIS2-Umsetzung startet das Register Krajowy System Cyberbezpieczeństwa (KSC) über eine Online-Anwendung der Regierung ab 7. Mai 2026, mit Selbsteintragungsfrist 3. Oktober 2026. Behörden, Telekomanbieter und digitale Diensteanbieter werden am 6. Mai automatisch eingetragen. Sanktionen bis 100 Mio. PLN; Geschäftsleitung haftet bis zum dreifachen Monatsgehalt, und die Novelle vom April 2026 erweitert diese persönliche Haftung über Vorstandsmitglieder hinaus auf die operative Führungsebene, die KSC-relevante Bereiche verantwortet. Quelle: polnische Fachpresse via Ministerium für Digitalisierung, Mai 2026. Internationale Gruppen mit polnischen Tochtergesellschaften sollten damit rechnen, dass diese in den Geltungsbereich fallen; wir decken das im Lieferantenregister und Nachweispfad ab.

Engagement-Modell

Senior-B2B-Verträge unter EU-Jurisdiktion. Vier-Wochen-Fenster vom Kickoff bis zum Bericht. Quartals-Review-Retainer verfügbar. Preisgestaltung individuell.

NIS2 ist eine breite Richtlinie, in nationales Recht umgesetzt. DORA ist eine enge Verordnung mit direkter Anwendung. Sie überschneiden sich bei Finanzunternehmen, die auch als wesentlich nach NIS2 eingestuft sind. NIS2 (Richtlinie 2022/2555). DORA (Verordnung 2022/2554). NIS2 (Richtlinie 2022/2555) 18 Sektoren, wesentliche + wichtige Einrichtungen Nationale Umsetzungsfrist 17.10.2024 Incident-Meldung 24h / 72h / 30 Tage DORA (Verordnung 2022/2554) Finanzsektor + kritische ICT-Drittanbieter (CTPP) Direkte Anwendung ab 17.01.2025 TLPT alle 3 Jahre für ausgewählte Einrichtungen
NIS2 ist eine breite Richtlinie, in nationales Recht umgesetzt. DORA ist eine enge Verordnung mit direkter Anwendung. Sie überschneiden sich bei Finanzunternehmen, die auch als wesentlich nach NIS2 eingestuft sind.

Häufig gestellte Fragen

Gilt NIS2 für meine WordPress-Site?

Sie gilt für mittlere und große Einheiten in wesentlichen und wichtigen Sektoren gemäß Anhang I und Anhang II. Wenn Sie ein digitaler Diensteanbieter, Online-Marktplatz, Gesundheitsdienstleister, eine öffentliche Verwaltung oder ein Lieferant kritischer Infrastruktur oberhalb der Größenschwelle sind, sind Sie im Geltungsbereich. Die Richtlinie ist inzwischen in jedem Mitgliedstaat in nationales Recht umgesetzt; die Aufsichtsbehörde ist länderspezifisch.

Und DORA?

DORA gilt für regulierte Finanzeinheiten und ihre kritischen IKT-Drittparteien-Anbieter und ist seit dem 17. Januar 2025 anwendbar. Wenn Ihr WordPress-Bestand kundenseitige Finanzdienstleistungen trägt oder Sie als IKT-Lieferant für eine solche Einheit tätig sind, verlangt Artikel 28 ein Informationsregister sowie vertragliche Regelungen zu Unterauftragsvergabe, Ausstiegsstrategie und Vorfallmeldung.

Was ist das Ergebnis?

Ein schriftlicher Readiness-Bericht, ein gefülltes Lieferantenregister nach den DORA-Artikel-28-Feldern oder der NIS2-Anhang-II-Struktur, eine Bewertung der Kontrolllücken mit Aufwandsschätzungen für die Behebung sowie ein Vorfallmeldungs-Runbook mit den 24-Stunden-, 72-Stunden- und Ein-Monats-Fristen, vorab auf Ihren Stack abgebildet.

Können Sie die Lücken auch beheben?

Ja, als separates Engagement. Der Readiness-Bericht bleibt von der Umsetzung entkoppelt, damit er belastbar bleibt. Wenn Sie mich mit der Behebung beauftragen, wird die Umsetzung aus der Lückenliste skopiert; Preisgestaltung individuell. Behebung kombiniert in der Regel Härtungsarbeiten aus dem Sicherheitsaudit-Pfeiler mit Lieferanten-Vertragsänderungen, die Ihr Rechtsteam verantwortet.

Wie funktioniert das für WordPress im Vergleich zu Individualsoftware?

Die meisten NIS2- und DORA-Readiness-Firmen verstehen Individualsoftware und SaaS. WordPress und WooCommerce bringen spezifische Fehlermuster mit: Plugins mit Admin-Rechten, Themes mit Datenbankzugriff, Zahlungs-Gateways, die zu Drittparteien fächern, und eine redaktionelle Schicht, die häufig außerhalb des Change-Managements läuft. Ich behandle diese als Compliance-Objekte erster Klasse, nicht als Nachgedanken.

Relevanter Cluster

Weitere WordPress-Dienste und Wissensbasis entdecken

Stärken Sie Ihr Unternehmen mit professionellem technischen Support in den Kernbereichen des WordPress-Ökosystems.

NIS2- und DORA-Readiness

NIS2- und DORA-Scoping, Lieferantenregister, Incident-Runbook.

Zum Service
Sicherheitsaudit

Audit, Hardening und weniger Sicherheitsrisiko.

Zum Service
Barrierefreiheit-Audit (BFSG)

WCAG 2.2, BFSG, EAA — verteidigungsfähiger Konformitätsbericht.

Zum Service
Wartung & Support

Stabilität, Updates und Support nach dem Launch.

Zum Service
WordPress Entwickler

Individuelle WordPress-Entwicklung und Architektur.

Zum Service
Headless-CMS-Entwickler

Headless WordPress, Sanity, Strapi und Contentful mit Astro oder Next.js.

Zum Service

Verwandte Kategorien

sicherheit wordpress eu-recht Konformität

Unterstützende Artikel

53 Prozent WordPress-Seiten mit ungepatchten CVEs: GuardingWP-Audit 2026
53 Prozent WordPress-Seiten mit ungepatchten CVEs: GuardingWP-Audit 2026

Der erste "State of WordPress Security 2026"-Bericht von GuardingWP hat 424 bestätigte WordPress-Installationen aus mehr als 40 Branchen gescannt. Das Kernergebnis: über die Hälfte liefert mindestens ein Plugin mit bekannter ungepatchter CVE aus. Patchstack-Gründer Oliver Sild erklärte, WordPress 7.0 werde "einen absoluten Ansturm von Hackern auf API-Schlüssel" auslösen. Polemik: 53 Prozent sind kein Anwenderfehler, sondern strukturelles Ergebnis der Plugin-Ökonomie. Die Lösung steht in NIS2 Artikel 21 und DORA Artikel 28, sie verlangt jedoch ein Kontrollrahmenwerk und nicht den Kauf der nächsten Firewall.

NIS2 und DORA auf WordPress: was eine Website 2026 erfüllen muss
NIS2 und DORA auf WordPress: was eine Website 2026 erfüllen muss

Die NIS2-Richtlinie (2022/2555) sollte bis zum 2024-10-17 in nationales Recht umgesetzt werden. Die DORA-Verordnung (2022/2554) gilt unmittelbar ab dem 2025-01-17. Für Betreiber einer WordPress-Website bedeutet das konkrete Pflichten, sofern die Seite einen regulierten Akteur betrifft. Wir erklären es ohne Panik, mit Verweisen auf die Originaltexte.

Vier Plugin-Backdoors in einem Monat: WordPress-Supply-Chain im Jahr 2026
Vier Plugin-Backdoors in einem Monat: WordPress-Supply-Chain im Jahr 2026

Austin Ginder hat in 30 Tagen vier Backdoors in WordPress.org-Plugins offengelegt, dazu kommt ein Autor, der fünf Jahre lang einen verdeckten Update-Server betrieb. Was das für NIS2- und DORA-Abhängigkeitskarten bedeutet.

Vertiefende Lektüre

Geltungsbereich und Stack

Nachweise und operative Artefakte

Vorfallreaktion

Verwandte Leistungen

Machen Sie die Arbeit Ihres Auditors langweilig

Nennen Sie mir die Klassifizierung der Einheit (NIS2-Sektor oder DORA-Geltungsbereich) und den WordPress-Bestand im Umfang. Ich antworte innerhalb eines Werktages.

Kontakt aufnehmen