Welche Felder ein WordPress-Lieferant für die Aufnahme in ein DORA Artikel 28(3) Informationsregister bei einem Finanzunternehmen liefern muss.
DE

DORA Informationsregister für WordPress-Lieferanten: Pflichtfelder

4.70 /5 - (6 Stimmen )
Zuletzt überprüft: 1. Mai 2026
4Min. Lesezeit
Referenz
500+ WP-Projekte

#DORA Informationsregister für WordPress-Lieferanten: Pflichtfelder

Artikel 28(3) der Verordnung 2022/2554 verpflichtet jedes Finanzunternehmen, ein Informationsregister zu vertraglichen Vereinbarungen mit IKT-Drittparteidienstleistern zu führen und zu aktualisieren. Die Durchführungsverordnung (EU) 2024/2956 setzt die Feldstruktur: fünfzehn Tabellen mit benannten Spalten. Eine WordPress-Agentur, die eine Bank, einen Versicherer, ein Wertpapierdienstleistungsunternehmen oder ein Zahlungsinstitut beliefert, landet in diesem Register und muss die Daten rechtzeitig in der richtigen Form liefern.

Dies ist ein vertiefender Artikel innerhalb der NIS2 und DORA WordPress Säule, mit Querverweis zur DORA Artikel 28 Drittparteienrisiko-Erklärung.

#TL;DR

  • Fünfzehn Tabellen, gesetzt durch Durchführungsverordnung 2024/2956.
  • Vereinbarungen über kritische oder wichtige Funktionen haben Zusatzspalten (Substituierbarkeit, Konzentrationsrisiko, Exit-Plan).
  • Subkontraktorenketten transparent bis zur für das Finanzunternehmen relevanten Ebene.
  • Die Agentur reicht das Register nicht ein; die Agentur speist es.
  • Die meisten Agenturen verfehlen vier der fünfzehn Tabellen bei Erstabgabe.

#Was das Finanzunternehmen einreicht

Gemäß Artikel 28(3) muss jedes Finanzunternehmen das Register mindestens jährlich an seine zuständige Behörde und die europäische Aufsichtsbehörde über das gemeinsame Reporting-Framework melden. Die Durchführungsverordnung 2024 definiert das Schema. Die fünfzehn Tabellen sind:

  1. Unternehmensinformationen.
  2. Niederlassungsinformationen.
  3. Tochtergesellschaftsinformationen.
  4. IKT-Dienstleistungen.
  5. Funktionsidentifikation.
  6. Vertragliche Vereinbarungen.
  7. Funktionen der vertraglichen Vereinbarung.
  8. IKT-Dienstleistungen der vertraglichen Vereinbarung.
  9. Risiko der vertraglichen Vereinbarung.
  10. Subkontraktoren.
  11. Kündigungsbestimmungen.
  12. Standorte.
  13. Verantwortliche Personen oder Stellen.
  14. Vereinbarungen für kritische oder wichtige Funktionen.
  15. Konzentrationsvereinbarungen (gruppenweit).

Eine WordPress-Agentur erscheint typisch in Tabellen 4, 6, 8, 9, 10, 11, 12, 14. Tabellen 1-3, 5, 7, 13 gehören dem Finanzunternehmen. Tabelle 15 ist selten und nur, wenn die Agentur eine Muttergesellschaft hat oder häufig in der Gruppe liefert.

#Was die WordPress-Agentur liefern muss

Pro IKT-Dienstleistung (Tabelle 4) und pro vertraglicher Vereinbarung (Tabelle 6) liefert die Agentur die Spalten, die das Finanzunternehmen ins Register überträgt. Die nicht-erschöpfende Praxisliste:

  • Dienstleistungsbeschreibung: WordPress-Hosting, Plugin-Entwicklung, Headless-Frontend, Support, Sicherheitsaudits - pro Posten, nicht ein Sammelposten.
  • Lieferantenname und LEI: der Legal Entity Identifier der Agentur. Eine kleine WordPress-Agentur ohne LEI muss vor Vertragsabschluss einen erwerben.
  • Eintragungsland und Hauptsitz.
  • Gruppenzugehörigkeit: Mutter, Tochter, Schwesterfirmen.
  • Erbrachte Dienstleistungen: welche Produkte berührt werden, mit Kritikalitätsflagge.
  • Verarbeitete Daten: Kundendaten, Transaktionsdaten, Mitarbeiterdaten, keine.
  • Datenstandorte: Land und Rechenzentrumsanbieter pro Speicherebene (Produktion, Backup, Log-Archiv).
  • Subprocessor: jeder Lieferant, den die Agentur zur Erbringung nutzt (Cloudflare, Sentry, Deployment-Plattform, Monitoring, KI-APIs).
  • Subprocessor-Jurisdiktionen: Land und anwendbares Recht pro Subprocessor.

Tabelle 11 (Kündigungsbestimmungen) verlangt von der Agentur:

  • Kündigungsfrist für das Finanzunternehmen.
  • Kündigungsfrist für die Agentur.
  • Auslöser für vorzeitige Kündigung durch das Finanzunternehmen.
  • Exit-Plan: wie das Finanzunternehmen Daten und Betrieb zurückbekommt.

Tabelle 14 (kritische oder wichtige Funktion) verlangt zusätzliche Evidenz, wenn die WordPress-Dienstleistung eine kritische oder wichtige Funktion stützt. Substituierbarkeitsbewertung, Konzentrationsrisiko, Exit-Plan mit realistischen Zeiten, regelmäßiger Testkalender.

#Was die meisten WordPress-Agenturen verfehlen

Fünf wiederkehrende Lücken aus Lieferanten-Reviews 2025-2026:

LEI nicht beschafft. Eine WordPress-Agentur ohne Legal Entity Identifier verzögert Vertrag und Register. LEIs kosten ungefähr eine Domain-Verlängerung pro Jahr. Es gibt keinen Grund, ohne LEI zu arbeiten, wenn man regulierte Finanzkunden bedient.

Subprocessor-Liste unvollständig. Cloudflare ist gelistet; Sentry ist gelistet; der KI-Anbieter für redaktionelle Tools, der E-Mail-Relay-Anbieter, die Deployment-Plattform und der Off-Site-Backup-Speicher werden vergessen. Das Register fällt durch das Review und die Agentur läuft erneut durch Beschaffung.

Exit-Plan ist ein Absatz. “Wir übergeben Daten auf Anfrage” ist kein Exit-Plan. Das Finanzunternehmen braucht Übergabetage geschätzt, Datenformate, Source-Code-Repository-Übergabe, Runbook-Übergabe, Abhängigkeitsliste und Konten-Stilllegungsverfahren. Mindestens drei Seiten, idealerweise versioniert.

Fehlender Backup-Testnachweis. Artikel 11 DORA verlangt regelmäßige Tests operativer Resilienz einschließlich Restore. Die Agentur ohne Quartalsrestore-Log fällt im Lieferanten-Review beim ersten Audit.

Keine Bewertung als kritische Funktion. Die Agentur behauptet “wir sind nicht kritisch”, weil die WordPress-Site “nur Marketing” ist. Die Compliance-Abteilung des Finanzunternehmens widerspricht, weil ein Marken-Ausfall Kundenvertrauen schadet. Klärt das früh im Vertrag, nicht während des Audits.

#Wie man sich auf die erste Aufnahme vorbereitet

Eine praktische Checkliste für eine WordPress-Agentur vor dem ersten Register:

  1. LEI besorgen, falls fehlend.
  2. Subprocessor inventarisieren, mit Land und anwendbarem Recht pro Anbieter.
  3. Versionierten Exit-Plan schreiben: Daten, Code, Runbook, Konten.
  4. Datenstandorte pro Speicherebene und pro Subprocessor dokumentieren.
  5. Vollständigen Restore aus Off-Site-Backup testen; Zeitstempel, Dauer und Ergebnis loggen.
  6. Erbrachte Dienstleistungen auf Funktionen des Finanzunternehmens mappen; kritisch oder wichtig flaggen.
  7. Substituierbarkeits-Statement entwerfen: welche Konkurrenten ersetzen euren Dienst, in wie vielen Wochen.
  8. Quartals-Review-Kadenz starten: jedes Quartal Daten auffrischen, abzeichnen, ablegen.

Vor dem ersten Vertrag erledigt zahlt sich diese Vorbereitung mehrfach aus. Während des ersten Audits erledigt verdoppelt sie die Beauftragungskosten.

#Querverweise

Nächster Schritt

Machen Sie aus dem Artikel eine echte Umsetzung

Dieser Block stärkt die interne Verlinkung und führt Nutzer gezielt zum nächsten sinnvollen Schritt im Service- und Content-System.

Die sinnvollsten nächsten Schritte

WordPress Entwickler

Umsetzung, Architektur und individuelle Entwicklung.

Website Redesign

Bessere Struktur, Message und Conversion-Wege.

WordPress Wartung

Updates, Monitoring und stabile Weiterentwicklung.

Soll das Thema auf Ihrer Website umgesetzt werden?

Wenn Sie aus dem Artikel konkrete Maßnahmen für Website, Relaunch oder Weiterentwicklung ableiten wollen, definiere ich den Scope und setze ihn um.

Zum Projekt schreiben Zum Blog
Relevanter Cluster

Weitere WordPress-Dienste und Wissensbasis entdecken

Stärken Sie Ihr Unternehmen mit professionellem technischen Support in den Kernbereichen des WordPress-Ökosystems.

WordPress Entwickler

Individuelle WordPress-Entwicklung und Architektur.

Zum Service
WooCommerce Entwickler

Shops, Checkout-Prozesse und Verkaufslogik.

Zum Service
Wartung & Support

Stabilität, Updates und Support nach dem Launch.

Zum Service
Speed Optimierung

Core Web Vitals, Caching und schnellere Auslieferung.

Zum Service
Next.js / Astro Migration

Migration zu Astro, Next.js und Headless WordPress.

Zum Service
Website Relaunch

Klarere Struktur, Message und Conversion-Pfade.

Zum Service

Verwandte Kategorien

architecture development technology wordpress

Unterstützende Artikel

WordPress 7.0 vs Astro 6 nach der Cloudflare-Übernahme - wer gewinnt 2026?
WordPress 7.0 vs Astro 6 nach der Cloudflare-Übernahme - wer gewinnt 2026?

WordPress 7.0 mit AI Client vs Astro 6 nach der Cloudflare-Übernahme. Geschwindigkeit, Kosten, SEO und Sicherheit im Vergleich. Mein Fazit nach 20 Jahren als WP-Entwickler - wann migrieren, wann bleiben.

Headless WordPress Architektur 2026: Der ultimative Guide für Unternehmen
Headless WordPress Architektur 2026: Der ultimative Guide für Unternehmen

Ist Entkopplung der richtige Weg? Dieser 2000+ Wörter Guide analysiert die Zukunft von Headless WordPress: Next.js, GraphQL und Edge Delivery 2026.

EmDash vs WordPress, ein Funktionsvergleich für 2026
EmDash vs WordPress, ein Funktionsvergleich für 2026

Eine detaillierte Vergleichstabelle von EmDash CMS und WordPress in den Bereichen Architektur, Sicherheit, Plugins, KI-Funktionen, Inhaltsmodell, Hosting und Ökosystem-Reife.

Artikel-FAQ

Häufig gestellte Fragen

Praktische Antworten zur Umsetzung des Themas.

SEO-ready GEO-ready AEO-ready 4 Q&A

Beliebte Fragen

Wer führt das Informationsregister? Welche DORA-RTS definieren die Feldstruktur? Gilt eine WordPress-Site immer als IKT-Dienstleistung? Gilt das Register auch für kleine WordPress-Agenturen?
Wer führt das Informationsregister?
#
Das Finanzunternehmen führt es, nicht die Agentur. Die Agentur liefert Eingaben. Das Register ist eine regulatorische Lieferung an die europäischen Aufsichtsbehörden (EBA, EIOPA, ESMA) gemäß DORA Artikel 28(3).
Welche DORA-RTS definieren die Feldstruktur?
#
Die 2024 von der Europäischen Kommission verabschiedete Durchführungsverordnung (EU) 2024/2956 zum Informationsregister. Fünfzehn Tabellen mit Feldern.
Gilt eine WordPress-Site immer als IKT-Dienstleistung?
#
Fast immer, wenn sie eine Finanzdienstleistung unterstützt oder Kundendaten hält. Eine reine Broschüren-Site einer Bank ohne eingeloggten Nutzerflow ist Grenzfall; Aufsichtspraxis behandelt sie als IKT-Dienstleistung, weil die Markenoberfläche selbst kritisch ist.
Gilt das Register auch für kleine WordPress-Agenturen?
#
Es gilt für das Finanzunternehmen, aber jeder Lieferant einschließlich kleiner Agentur muss die Daten liefern. Eine Fünf-Personen-Agentur ist nicht von Jurisdiktion, Subprocessor- und Exit-Plan-Daten befreit.

Sie brauchen ein FAQ für Branche und Zielmarkt? Wir erstellen eine Version passend zu Ihren Business-Zielen.

Kontakt aufnehmen

Ähnliche Artikel

Artikel 28 der Verordnung 2022/2554 macht Finanzeinrichtungen für das IKT-Risiko jedes Dritten verantwortlich, mit dem sie zusammenarbeiten. Ich beschreibe die Lieferanten-Due-Diligence-Checkliste, die ich 2026 mit WordPress-Mandaten an Banken und Versicherer ausliefere.
wordpress

DORA Artikel 28 IKT-Drittparteirisiko: WordPress-Hosting- und WAF-Lieferanten-Audit

Artikel 28 der Verordnung 2022/2554 macht Finanzeinrichtungen für das IKT-Risiko jedes Dritten verantwortlich, mit dem sie zusammenarbeiten. Ich beschreibe die Lieferanten-Due-Diligence-Checkliste, die ich 2026 mit WordPress-Mandaten an Banken und Versicherer ausliefere.

NIS2 (Richtlinie 2022/2555) und DORA (Verordnung 2022/2554) decken ähnliches Terrain ab, aber mit unterschiedlicher Mechanik. Wo sie sich überschneiden, wo sie auseinandergehen, und wie eine WordPress-Agentur beides mit einem Nachweispfad erfüllt.
wordpress

NIS2 vs DORA Geltungsbereich-Überschneidung für WordPress-Agenturen 2026

NIS2 (Richtlinie 2022/2555) und DORA (Verordnung 2022/2554) decken ähnliches Terrain ab, aber mit unterschiedlicher Mechanik. Wo sie sich überschneiden, wo sie auseinandergehen, und wie eine WordPress-Agentur beides mit einem Nachweispfad erfüllt.

Die NIS2-Richtlinie (2022/2555) sollte bis zum 2024-10-17 in nationales Recht umgesetzt werden. Die DORA-Verordnung (2022/2554) gilt unmittelbar ab dem 2025-01-17. Für Betreiber einer WordPress-Website bedeutet das konkrete Pflichten, sofern die Seite einen regulierten Akteur betrifft. Wir erklären es ohne Panik, mit Verweisen auf die Originaltexte.
wordpress

NIS2 und DORA auf WordPress: was eine Website 2026 erfüllen muss

Die NIS2-Richtlinie (2022/2555) sollte bis zum 2024-10-17 in nationales Recht umgesetzt werden. Die DORA-Verordnung (2022/2554) gilt unmittelbar ab dem 2025-01-17. Für Betreiber einer WordPress-Website bedeutet das konkrete Pflichten, sofern die Seite einen regulierten Akteur betrifft. Wir erklären es ohne Panik, mit Verweisen auf die Originaltexte.