Umsetzungsfahrplan für NIS2 und DORA auf einer WordPress-Website im Jahr 2026 mit Verweisen auf die offiziellen Texte der Richtlinien und Verordnungen.
DE

NIS2 und DORA auf WordPress: was eine Website 2026 erfüllen muss

4.60 /5 - (11 Stimmen )
Zuletzt überprüft: 1. Mai 2026
7Min. Lesezeit
Meinung
500+ WP-Projekte
NIS2 ist eine breite Richtlinie, in nationales Recht umgesetzt. DORA ist eine enge Verordnung mit direkter Anwendung. Sie überschneiden sich bei Finanzunternehmen, die auch als wesentlich nach NIS2 eingestuft sind. NIS2 (Richtlinie 2022/2555). DORA (Verordnung 2022/2554). NIS2 (Richtlinie 2022/2555) 18 Sektoren, wesentliche + wichtige Einrichtungen Nationale Umsetzungsfrist 17.10.2024 Incident-Meldung 24h / 72h / 30 Tage DORA (Verordnung 2022/2554) Finanzsektor + kritische ICT-Drittanbieter (CTPP) Direkte Anwendung ab 17.01.2025 TLPT alle 3 Jahre für ausgewählte Einrichtungen
NIS2 ist eine breite Richtlinie, in nationales Recht umgesetzt. DORA ist eine enge Verordnung mit direkter Anwendung. Sie überschneiden sich bei Finanzunternehmen, die auch als wesentlich nach NIS2 eingestuft sind.

#NIS2 und DORA auf WordPress: was eine Website 2026 erfüllen muss

Zwei EU-Rechtsakte definieren 2026, was aus Sicht der Cybersicherheit von einer WordPress-Website verlangt wird, die in der Union einer regulierten Tätigkeit nachgeht: die NIS2-Richtlinie (2022/2555) und die DORA-Verordnung (2022/2554). Sie sind nicht austauschbar. NIS2 ist eine Richtlinie mit breitem sektoralen Anwendungsbereich, die in nationales Recht umzusetzen ist. DORA ist eine sektorale Verordnung (Finanzwesen), die unmittelbar gilt. Beide gelten für WordPress nur dann, wenn der Betreiber der Website in den Anwendungsbereich fällt.

Der Artikel verbindet sich mit dem Pillar zu Headless-WordPress-Leistungen, wo die technische Schicht beschrieben ist, und mit dem Pillar zu WCAG, BFSG und EAA, denn Barrierefreiheits- und Cybersicherheits-Compliance landen zunehmend in derselben Beschaffungsanfrage.

#TL;DR

  • NIS2-Umsetzungsfrist: 2024-10-17. DORA gilt seit 2025-01-17.
  • NIS2: 18 Sektoren, Aufteilung in wesentliche und wichtige Einrichtungen.
  • DORA: Finanzsektor plus kritische IKT-Dienstleister.
  • Anforderungen: dokumentiertes Risikomanagement, Vorfallsmeldungen (24/72/30), Audits.
  • WordPress selbst fällt nicht in den Anwendungsbereich; in den Anwendungsbereich fällt der Betreiber der Website, sofern er reguliert ist.

#Drei Punkte, die sofort zu wissen sind

Erstens, NIS2 und DORA gelten für den Akteur, nicht für die Technologie. WordPress ist als CMS weder “compliant” noch “non-compliant”. Compliant oder nicht ist die Einrichtung, die die Website betreibt. Wenn ein Krankenhaus, eine Bank, ein Cloud-Anbieter oder ein E-Commerce-Betreiber oberhalb des Schwellenwerts in den Anwendungsbereich fällt, dann fällt auch die WordPress-Website als Teil der Infrastruktur dieser Einrichtung darunter.

Zweitens, die nationale Umsetzung von NIS2 ist in vielen Mitgliedstaaten verzögert. Die Frist 2024-10-17 ist abgelaufen, aber mehrere Länder befanden sich auch danach noch in unterschiedlichen Phasen des Gesetzgebungsverfahrens. Der Umsetzungsstand variiert zwischen den Mitgliedstaaten; vor dem finalen Audit ist die jeweilige nationale Rechtsdatenbank zu prüfen. Der deutsche Stand zum NIS2-Umsetzungsgesetz ist gesondert unter gesetze-im-internet.de zu verifizieren. Für den polnischen Mitgliedstaaten-Stand ist der Entwurf zur Änderung des Gesetzes über das nationale Cybersicherheitssystem öffentlich zugänglich und sein aktueller Stand ist im ISAP zu verifizieren. Der Stand zum 2026-04 erfordert eine eigene rechtliche Prüfung; dieser Artikel ersetzt keine Rechtsberatung.

Drittens, DORA gilt unmittelbar. Die Verordnung verlangt keine Umsetzung. Wenn eine Finanzeinrichtung oder ein kritischer IKT-Dienstleister eine WordPress-Website betreibt, gelten die DORA-Pflichten ab 2025-01-17 unabhängig von einem nationalen Gesetzgebungsstand.

#NIS2: Anwendungsbereich

Die NIS2-Richtlinie nennt 18 Sektoren. Die häufigsten Fälle, in denen WordPress in den Anwendungsbereich fällt:

Wesentliche Einrichtungen (essential entities):

  • Energie (Strom, Gas, Öl, Wärme, Wasserstoff).
  • Verkehr (Luft, Schiene, Wasser, Straße).
  • Bankwesen.
  • Finanzmarktinfrastrukturen.
  • Gesundheitssektor (Krankenhäuser, Referenzlabore, Arzneimittelhersteller, Medizinprodukte).
  • Trinkwasser und Abwasser.
  • Digitale Infrastruktur (DNS-Anbieter, Domain-Registrierungsstellen, Cloud-Computing-Anbieter, Rechenzentrumsdienstleister, Content Delivery Networks, Vertrauensdiensteanbieter, Anbieter öffentlicher elektronischer Kommunikationsnetze).
  • Verwaltung von IKT-Diensten (B2B).
  • Öffentliche Verwaltung (Bedingungen gemäß Artikel 2).
  • Weltraum.

Wichtige Einrichtungen (important entities):

  • Post- und Kurierdienste.
  • Abfallwirtschaft.
  • Herstellung, Verarbeitung und Vertrieb von Chemikalien.
  • Herstellung, Verarbeitung und Vertrieb von Lebensmitteln.
  • Herstellung in den Sektoren: Medizin, Computer und Elektronik, Maschinenbau, Automobil.
  • Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, soziale Plattformen).
  • Forschungseinrichtungen.

Grundschwelle: mittleres Unternehmen (50+ Beschäftigte oder Jahresumsatz oder Bilanzsumme über 10 Mio. EUR). Kleinst- und Kleinunternehmen sind in der Regel nicht im Anwendungsbereich, mit Ausnahmen (z. B. Vertrauensdiensteanbieter, TLD-Registrierungsstellen, bestimmte DNS-Anbieter).

Eine wesentliche Einrichtung hat strengere Pflichten. Eine wichtige Einrichtung hat dieselben technischen Anforderungen, aber mit weniger intensiver Aufsicht.

#DORA: Anwendungsbereich

DORA gilt für rund 20 Arten von Finanzeinrichtungen:

  • Kreditinstitute.
  • Zahlungsinstitute.
  • E-Geld-Institute.
  • Wertpapierfirmen.
  • Anbieter von Krypto-Dienstleistungen.
  • Zentralverwahrer.
  • Zentrale Gegenparteien.
  • Handelsplätze (Börsen).
  • Transaktionsregister.
  • Versicherungs- und Rückversicherungsunternehmen.
  • Versicherungs- und Rückversicherungsvermittler.
  • Einrichtungen der betrieblichen Altersversorgung.
  • Ratingagenturen.
  • Prüfer von Jahresabschlüssen der unter DORA fallenden Einrichtungen.
  • Administratoren kritischer Referenzwerte.
  • Investmentfonds (OGAW, AIFM).
  • Crowdfunding-Dienstleister.
  • Verbriefungsregister.

Hinzu kommen kritische IKT-Drittanbieter (Critical ICT Third-Party Providers, CTPP), die von der europäischen Aufsicht benannt werden. Das ist der Mechanismus, über den DORA Geschäftspartner in seinen Anwendungsbereich zieht, ohne dass diese sich selbst als Finanzeinrichtung registrieren müssten.

Eine WordPress-Website, die von einer Bank, einem Versicherer oder einem Investmentfonds betrieben wird, fällt als Teil der IKT-Systeme der Einrichtung in den Anwendungsbereich von DORA.

#Was konkret zu tun ist: der gemeinsame Kern

NIS2 und DORA haben einen konvergenten Kern technischer und organisatorischer Anforderungen. Umsetzung auf WordPress:

Cyber-Risikomanagement. Dokumentiertes Risikoregister, Verfahren zur Risikobewertung und -akzeptanz, vom Vorstand genehmigte Sicherheitsrichtlinien. Das sind Dokumente, nicht nur Serverkonfiguration.

Zugriffskontrolle und Authentifizierung. Multi-Faktor-Authentifizierung (MFA) für WordPress-Administratoren erforderlich. Starke Passwörter erforderlich. Sitzungsbeendigung erforderlich. Alle Administrator-Konten müssen personenbezogen sein, nicht geteilt.

Vorfallsmanagement. Verfahren zur Erkennung, Klassifizierung und Meldung von Vorfällen. Ein wesentlicher Vorfall im Sinne von NIS2 ist ein Vorfall mit erheblichen Auswirkungen auf die Diensterbringung. Meldung an das CSIRT oder die zuständige Behörde innerhalb von 24 Stunden nach Feststellung (Frühwarnung), in 72 Stunden mit erster Bewertung, in einem Monat mit Abschlussbericht.

Sicherheit der Lieferkette. Ein WordPress-Plugin, Hosting, CDN, Anbieter für transaktionale E-Mails, SMS-Anbieter, KI-Anbieter. Jeder davon ist Teil der Kette. Es braucht ein Register, Risikobewertungen und Vertragsklauseln.

Geschäftskontinuität und Notfallwiederherstellung. Backup, Kontinuitätsplan, Notfallwiederherstellung, regelmäßig getestet, nicht nur durchgeführt.

Personalschulungen. Erforderlich auf Vorstandsebene und in der breiteren Organisation. Eine “interne Präsentation” reicht nicht; ein dokumentierter Schulungsplan ist erforderlich.

Sicherheit im Entwicklungs- und Wartungsprozess. Richtlinien für Softwareentwicklung, Tests und Schwachstellenmanagement. WordPress-Core wird aktualisiert; Plugins müssen es ebenfalls werden, mit Tests auf Staging vor der Produktion.

Kryptografie. Eine Kryptografierichtlinie, einschließlich TLS, Verschlüsselung von Daten im Ruhezustand, digitale Signaturen. WordPress verschlüsselt die Datenbank standardmäßig nicht; die Lösung ist Verschlüsselung auf Dateisystem- oder Datenbankebene.

#DORA-spezifisch: Management von IKT-Drittanbietern

DORA enthält einen Abschnitt in Kapitel V, der dem Management von IKT-Drittanbietern gewidmet ist. Erforderlich sind:

  • Ein Register aller Verträge mit IKT-Anbietern.
  • Klassifizierung der Verträge (kritisch, nicht kritisch).
  • Verbindliche Vertragsklauseln in Verträgen mit Anbietern kritischer Funktionen.
  • Beendigungsverfahren mit Migrationsplan.
  • Bedrohungsorientierte Penetrationstests (TLPT) mindestens alle 3 Jahre für ausgewählte Einrichtungen.

Für einen WordPress-Betreiber bedeutet dies, dass der Hosting-Anbieter und kritische Plugins (Security-Plugin, Backup-Plugin, Payment-Gateway-Plugin) in das IKT-Register aufgenommen werden.

#NIS2-spezifisch: Sanktionen und Aufsicht

Die NIS2-Richtlinie sieht administrative Sanktionen vor, die die nationalen Umsetzungen in konkrete Beträge übersetzen. Die Obergrenzen in der Richtlinie selbst:

  • Wesentliche Einrichtung: bis zu 10 Mio. EUR oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Wert höher ist.
  • Wichtige Einrichtung: bis zu 7 Mio. EUR oder 1,4 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Wert höher ist.

Nationale Umsetzungen können eigene Obergrenzen einführen; in der jeweils aktuellen Fassung des Gesetzes der zuständigen Jurisdiktion zu prüfen.

Ergänzende Sanktionen: vorübergehende Aussetzung der Zertifizierung, vorübergehende Verbote der Wahrnehmung von Leitungsfunktionen für die verantwortliche Person. Letzteres ist die auffälligste Änderung in NIS2: die Geschäftsleitung trägt persönliche Verantwortung für das Cyber-Risikomanagement.

#Praktische Umsetzungslandkarte für WordPress

Vier Arbeitsbereiche, ein Audit:

Schicht 1, Infrastruktur. Konformes Hosting. Off-Site-Backup. TLS 1.3. WAF. 24/7-Monitoring oder SOC-Vertrag. Update-Richtlinie für Core, Themes, Plugins.

Schicht 2, Anwendung. MFA für Administratoren. Starke Passwörter. Protokollierung aller administrativen Aktionen in einen separaten Stream. Anti-CSRF. Anti-XSS auf Template-Ebene. Eingabevalidierung. Begrenzung der Anmeldeversuche.

Schicht 3, Organisation. Sicherheitsrichtlinien. Risikoregister. IR-Plan. BCDR-Plan. IKT-Anbieter-Register. Verfahren zur Meldung von Vorfällen an CSIRT/Aufsicht. Schulungen.

Schicht 4, Dokumentation und Audit. Prozessdokumentation. Audit-Logs. Periodisches externes oder internes Audit. DSGVO-konforme Aufbewahrung.

WordPress als CMS deckt etwa 30 Prozent der technischen Anforderungen “out of the box” ab, nach Hardening und Plugins etwa 60 Prozent. Die verbleibenden 40 Prozent sind Organisation, Dokumentation und Verfahren.

#Wie es weitergeht

Praktische Konsequenzen für die Wahl des WordPress-Teams: eine Agentur, die die Website für eine unter NIS2 oder DORA fallende Einrichtung betreibt, tritt selbst in die Lieferkette ein. Unsere Karriereseite nennt EU-Jurisdiktion und Compliance als Standard, weil dies 2026 ein Beschaffungsfilter ist.

#Vertiefende Artikel in diesem Cluster

Fünf praxisorientierte Vertiefungen liegen unter diesem Pillar; jede behandelt eine operative Delta, die ein reguliertes WordPress-Mandat tatsächlich liefern muss:

#Wo dieser Artikel hingehört

Der Artikel verbindet sich mit dem Pillar zu Headless-WordPress-Leistungen (technische Schicht), dem Pillar zu WCAG/BFSG/EAA (Barrierefreiheits-Compliance auf demselben Beschaffungs-Scoreboard), der Karriereseite von WPPoland (Signal EU-Jurisdiktion) und dem Artikel zu Nearshore Polen (EU-Jurisdiktion als Wert für den westlichen Käufer).

Nächster Schritt

Machen Sie aus dem Artikel eine echte Umsetzung

Dieser Block stärkt die interne Verlinkung und führt Nutzer gezielt zum nächsten sinnvollen Schritt im Service- und Content-System.

Die sinnvollsten nächsten Schritte

WordPress Sicherheitsaudit

Hardening, Risikoreduktion und saubere Login-Sicherheit.

WordPress Wartung

Updates, Monitoring und stabile Weiterentwicklung.

WordPress Entwickler

Umsetzung, Architektur und individuelle Entwicklung.

Soll das Thema auf Ihrer Website umgesetzt werden?

Ich kann daraus ein konkretes Audit, Hardening-Maßnahmen und einen priorisierten Fix-Plan ableiten.

Zum Projekt schreiben Zum Blog
Relevanter Cluster

Weitere WordPress-Dienste und Wissensbasis entdecken

Stärken Sie Ihr Unternehmen mit professionellem technischen Support in den Kernbereichen des WordPress-Ökosystems.

Sicherheitsaudit

Audit, Hardening und weniger Sicherheitsrisiko.

Zum Service
Wartung & Support

Stabilität, Updates und Support nach dem Launch.

Zum Service
WordPress Entwickler

Individuelle WordPress-Entwicklung und Architektur.

Zum Service
Speed Optimierung

Core Web Vitals, Caching und schnellere Auslieferung.

Zum Service
Next.js / Astro Migration

Migration zu Astro, Next.js und Headless WordPress.

Zum Service
GEO / LLMO Optimierung

Sichtbarkeit in Google und KI-Antwortsystemen.

Zum Service

Verwandte Kategorien

security development devops hardening

Unterstützende Artikel

WordPress-Login absichern gegen Brute Force
WordPress-Login absichern gegen Brute Force

Der umfassende 2500+ Wörter Leitfaden zur Absicherung Ihres WordPress Logins. 2FA, Passkeys, Fail2Ban, Login-URL ändern, CAPTCHA, und Sicherheit auf Militär-Niveau.

WordPress-Sicherheitshärtung 2026: Der vollständige Leitfaden vom Server bis zur Anwendung
WordPress-Sicherheitshärtung 2026: Der vollständige Leitfaden vom Server bis zur Anwendung

Ein umfassender Leitfaden zur WordPress-Sicherheitshärtung 2026 - Serverkonfiguration, Passkeys-Authentifizierung, WAF-Setup, CSP-Header, Datenbankschutz, Headless-Sicherheit und eine 25-Punkte-Audit-Checkliste.

Erweiterte WordPress-Sicherheit: Hardening für Unternehmen in 2026
Erweiterte WordPress-Sicherheit: Hardening für Unternehmen in 2026

Passwoerter sind tot. Zero-Trust ist der neue Standard. Dieser Leitfaden definiert die Sicherheitsarchitektur für große WordPress-Seiten in 2026.

Artikel-FAQ

Häufig gestellte Fragen

Praktische Antworten zur Umsetzung des Themas.

SEO-ready GEO-ready AEO-ready 5 Q&A

Beliebte Fragen

Wann beginnt die Anwendung von NIS2? Wie unterscheidet sich DORA von NIS2? Fällt die WordPress-Website eines Hotels oder Shops unter NIS2? Reicht die Installation eines Sicherheits-Plugins? Was gilt für die Meldung von Vorfällen?
Wann beginnt die Anwendung von NIS2?
#
Die Frist zur Umsetzung der NIS2-Richtlinie in nationales Recht ist am 2024-10-17 abgelaufen. Bis zu diesem Datum mussten die Mitgliedstaaten die nationalen Umsetzungsgesetze verabschieden. In der Praxis haben sich mehrere Länder mit der Umsetzung verzögert. Der Umsetzungsstand variiert zwischen den Mitgliedstaaten; vor einem finalen Audit ist die jeweilige nationale Rechtsdatenbank zu prüfen. Für den deutschen Stand ist das NIS2-Umsetzungsgesetz unter https://www.gesetze-im-internet.de/ separat zu verifizieren, für den polnischen Stand die ISAP-Datenbank unter https://isap.sejm.gov.pl/.
Wie unterscheidet sich DORA von NIS2?
#
DORA ist eine Verordnung (Regulation 2022/2554), sie gilt seit dem 2025-01-17 unmittelbar in allen Mitgliedstaaten ohne Umsetzung. Sie betrifft einen engen Sektor: Finanzinstitute und ihre kritischen IKT-Dienstleister. NIS2 ist eine Richtlinie mit breitem Anwendungs- bereich auf wesentliche und wichtige Einrichtungen, die in nationales Recht umzusetzen ist.
Fällt die WordPress-Website eines Hotels oder Shops unter NIS2?
#
Das hängt vom Akteur ab. NIS2 umfasst 18 Sektoren, unterteilt in wesentliche und wichtige. Hotels und Einzelhandel sind nicht ausdrücklich als regulierte Sektoren genannt. Wird WordPress jedoch von einer regulierten Einrichtung genutzt (zum Beispiel einem Krankenhaus, einem digitalen Diensteanbieter über dem Schwellenwert oder einem Cloud-Anbieter), gehen die Sicherheitspflichten auf diese über.
Reicht die Installation eines Sicherheits-Plugins?
#
Nein. NIS2 und DORA verlangen ein dokumentiertes Cyber-Risiko- Management, eine Meldung von Vorfällen an CSIRT/CERT oder die Finanzaufsicht sowie Audits. Ein Plugin ist nur ein Element. Die Serverkonfiguration allein, Passwortrichtlinien, Multi-Faktor- Authentifizierung, Protokolle und IR-Verfahren sind auf organisatorischer Ebene erforderlich, nicht nur technisch.
Was gilt für die Meldung von Vorfällen?
#
NIS2 verlangt die Meldung eines wesentlichen Vorfalls an das CSIRT oder die zuständige Behörde innerhalb von 24 Stunden (Frühwarnung), 72 Stunden (detaillierte Meldung) und einem Monat (Abschlussbericht). DORA hat eigene Fristen für Finanzeinrichtungen. Ein WordPress-Betreiber benötigt ein Verfahren zur Erkennung und Meldung, nicht nur zur Reaktion.

Sie brauchen ein FAQ für Branche und Zielmarkt? Wir erstellen eine Version passend zu Ihren Business-Zielen.

Kontakt aufnehmen

Ähnliche Artikel

Artikel 28 der Verordnung 2022/2554 macht Finanzeinrichtungen für das IKT-Risiko jedes Dritten verantwortlich, mit dem sie zusammenarbeiten. Ich beschreibe die Lieferanten-Due-Diligence-Checkliste, die ich 2026 mit WordPress-Mandaten an Banken und Versicherer ausliefere.
wordpress

DORA Artikel 28 IKT-Drittparteirisiko: WordPress-Hosting- und WAF-Lieferanten-Audit

Artikel 28 der Verordnung 2022/2554 macht Finanzeinrichtungen für das IKT-Risiko jedes Dritten verantwortlich, mit dem sie zusammenarbeiten. Ich beschreibe die Lieferanten-Due-Diligence-Checkliste, die ich 2026 mit WordPress-Mandaten an Banken und Versicherer ausliefere.

Artikel 21 der Richtlinie 2022/2555 listet zehn Risikomanagement-Maßnahmen auf, die jede betroffene Einrichtung umsetzen muss. Ich ordne jede einer Kontrolle in einer WordPress-Agentur zu, samt Nachweisdatei für das Audit.
wordpress

NIS2 Anhang II für WordPress-Agenturen: Geltungsbereich, Fristen, Nachweispfad

Artikel 21 der Richtlinie 2022/2555 listet zehn Risikomanagement-Maßnahmen auf, die jede betroffene Einrichtung umsetzen muss. Ich ordne jede einer Kontrolle in einer WordPress-Agentur zu, samt Nachweisdatei für das Audit.

Artikel 23 NIS2 räumt 24 Stunden ab Kenntnisnahme für die Frühwarnung an das CSIRT ein. Dieses Playbook listet die WordPress-spezifischen Signale, die den Zähler starten, und die Vorlage, die ich beim Start einreiche.
wordpress

WordPress-Vorfallsreaktion unter NIS2: 24-Stunden-Frühwarnungs-Playbook

Artikel 23 NIS2 räumt 24 Stunden ab Kenntnisnahme für die Frühwarnung an das CSIRT ein. Dieses Playbook listet die WordPress-spezifischen Signale, die den Zähler starten, und die Vorlage, die ich beim Start einreiche.