Zehn Risikomanagement-Maßnahmen aus NIS2 Artikel 21 abgebildet auf Kontrollen einer WordPress-Agentur und auf den jeweiligen Nachweis, den ein Audit 2026 verlangt.
DE

NIS2 Anhang II für WordPress-Agenturen: Geltungsbereich, Fristen, Nachweispfad

4.70 /5 - (9 Stimmen )
Zuletzt überprüft: 1. Mai 2026
6Min. Lesezeit
Referenz
500+ WP-Projekte

#NIS2 Anhang II für WordPress-Agenturen: Geltungsbereich, Fristen, Nachweispfad

Artikel 21 der Richtlinie 2022/2555 ist die operative Klausel, die bestimmt, wie ein Audit aussieht. Anhang I und Anhang II bestimmen, wer überhaupt durch dieses Audit muss. Dieser Beitrag bildet die zehn Maßnahmen aus Artikel 21 Absatz 2 auf konkrete Kontrollen einer WordPress-Agentur ab und beschreibt, welche Nachweisdatei ich erwarte, wenn ein regulierter Kunde eine Lieferantenprüfung anstößt.

Dies ist ein vertiefender Beitrag im Pillar zu NIS2 und DORA auf WordPress, mit Querverweisen auf den DORA-Artikel-28-Leitfaden und das 24-Stunden-Playbook für Sicherheitsvorfälle.

#TL;DR

  • Artikel 21 Absatz 2 listet zehn Risikomanagement-Maßnahmen. Keine ist optional.
  • Anhang I = wesentliche Einrichtungen. Anhang II = wichtige Einrichtungen. Gleiche Maßnahmen, andere Aufsicht.
  • Auditoren erwarten je Maßnahme vier Artefakte: Richtlinie, Verantwortlicher, Umsetzungsnachweis, Überprüfungsrhythmus.
  • Strafrahmen aus Artikel 34 trifft die Einrichtung, nicht den WordPress-Dienstleister, doch Lieferkettenklauseln reichen die Pflichten weiter.
  • Pro Buchstabe von Artikel 21 führe ich einen Ordner in jedem regulierten Mandat.

#Wer fällt unter den Anwendungsbereich: Anhang I gegen Anhang II

Anhang I listet die wesentlichen Einrichtungen: Energie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheit, Trink- und Abwasser, digitale Infrastruktur, IKT-Dienstemanagement (B2B), öffentliche Verwaltung, Raumfahrt. Anhang II listet die wichtigen Einrichtungen: Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, Herstellung von Medizinprodukten, Computern und Elektronik, Maschinen und Kraftfahrzeugen, Anbieter digitaler Dienste, Forschungseinrichtungen.

Beide Anhänge greifen bei mittleren Einrichtungen aufwärts (50+ Beschäftigte oder Jahresumsatz über 10 Mio. EUR oder Bilanzsumme über 10 Mio. EUR). Kleinst- und Kleinunternehmen fallen nicht unter den direkten Anwendungsbereich, außer in den in Artikel 2 Absatz 2 genannten Ausnahmen: Vertrauensdiensteanbieter, TLD-Registries, bestimmte DNS-Anbieter, öffentliche Verwaltung, Anbieter öffentlicher elektronischer Kommunikationsnetze.

Der praktische Filter für eine WordPress-Agentur: ein Krankenhaus, eine Bank, ein Chemiewerk, ein Rechenzentrumsbetreiber, eine TLD-Registry, ein OGAW-Verwalter. Ist der Kunde aus dieser Liste, beginnt das Scoping. Ist der Kunde ein Hotel, ein SaaS-Startup oder ein regionaler Händler, endet das Scoping meist mit „nicht im Anwendungsbereich, gute Sicherheitspraxis bleibt trotzdem geboten”.

#Artikel 21 Absatz 2: die zehn Maßnahmen

Der Richtlinientext liest sich als zehn Buchstaben von a bis j. Jeder Buchstabe wird in meinem Projektarbeitsraum zu einem Ordner.

(a) Risikoanalyse und Sicherheit der Informationssysteme. Ein unterschriebenes Risikoregister mit Werten, Bedrohungen, Eintrittswahrscheinlichkeit, Auswirkung und Behandlung. Für WordPress: Produktionsserver, Staging-Server, Plugin-Set, Drittanbieter-APIs (Zahlung, E-Mail, Analyse, KI), Admin-Konten, Inhaltsdatenbank. Bedrohungen: Plugin-RCE, Credential Stuffing, Ransomware auf Backups, DSGVO-Verstoß über Export. Behandlung: Update-Rhythmus, MFA, externes verschlüsseltes Backup, WAF-Regelwerk.

(b) Bewältigung von Sicherheitsvorfällen. Erkennung, Klassifizierung, Reaktion, Wiederherstellung, Nachbereitung. Nachweis: ein IR-Runbook mit benannten Verantwortlichen, das auslösende Monitoring-Werkzeug (Wordfence, Sucuri, Hosting-IDS, Cloudflare-Alerts), der Slack- oder PagerDuty-Kanal, die Vorlage für die Nachbereitung.

(c) Aufrechterhaltung des Betriebs einschließlich Backup-Management und Wiederherstellung sowie Krisenmanagement. Backup mit externer Lagerung, definierte RPO und RTO, Wiederherstellung getestet. Krisenkommunikationsplan einschließlich Pressesprecher und Behördenkontakt. Jährliche Restore-Übung mit Bericht.

(d) Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen jeder Einrichtung zu ihren unmittelbaren Anbietern oder Diensteanbietern. Hier landet die WordPress-Agentur. Die regulierte Einrichtung muss ein Lieferantenregister führen, nach Kritikalität klassifizieren, Due Diligence durchführen und Sicherheitsklauseln in Verträge schreiben. Querverweis: DORA Artikel 28 hat dieselbe Logik, strenger für Finanzeinrichtungen.

(e) Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen einschließlich Schwachstellenbehandlung und -offenlegung. Dokumentierter sicherer Entwicklungslebenszyklus. Für WordPress: Code-Review für eigene Plugins und Themes, Dependency-Scanning (Snyk, Dependabot, der Plugin-Checker auf WordPress.org), eine E-Mail für Schwachstellenmeldungen, Patch-Management-Richtlinie.

(f) Strategien und Verfahren zur Bewertung der Wirksamkeit der Cybersicherheitsmaßnahmen. Internes Audit, externes Audit oder Penetrationstest. Nachweis: Scope-Beschreibung, Testbericht, Maßnahmen-Tracker, Retest-Protokoll.

(g) Grundlegende Cyberhygiene und Schulung. Jährliche Schulung aller Beschäftigten, rollenspezifische Schulung für Admins. Nachweis: Schulungsregister mit Namen, Daten und Inhalten.

(h) Strategien und Verfahren zur Verwendung von Kryptographie und gegebenenfalls Verschlüsselung. TLS 1.3 am Edge, Verschlüsselung der Backups, Verschlüsselung der Datenbank-Backups in Ruhe. Hash-Algorithmus-Richtlinie (kein MD5, kein SHA-1). Inventar der kryptographischen Schlüssel.

(i) Personalsicherheit, Konzepte für die Zugriffskontrolle und Anlagenmanagement. Joiner-Mover-Leaver-Prozess. Benannte Admin-Konten, keine geteilten Zugänge. Asset-Inventar einschließlich aller WordPress-Installationen, Staging-Umgebungen, Repository-Zugänge, Hosting-Konsolen-Zugänge. Vierteljährliche Zugriffsüberprüfung.

(j) Verwendung von Multi-Faktor-Authentifizierung oder kontinuierlicher Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation und gesicherte Notfallkommunikation. MFA auf jeder WordPress-Admin-Anmeldung, jeder Hosting-Konsole, jeder CDN-Konsole, jedem Code-Repository, jedem E-Mail-Postfach. Keine Ausnahme für „interne Vertrauenskonten”.

#Der Nachweispfad: vier Artefakte je Maßnahme

Für jeden der zehn Buchstaben erwarte ich vier Artefakte, wenn ein Auditor erscheint:

ArtefaktErscheinungsbildBedeutung
RichtliniendokumentVom Management freigegeben, datiert, versioniertArtikel 20 verlangt Freigabe und Aufsicht durch das Leitungsorgan
ProzessverantwortlicherEine benannte Rolle (CISO, Engineering-Leitung, Agenturleitung)Auditoren akzeptieren „das Team” nicht als Verantwortlichkeit
UmsetzungsnachweisLogs, Screenshots, Ticketnummern, Scan-Berichte, VertragsklauselnBeleg, dass die Richtlinie tatsächlich wirkt
ÜberprüfungsrhythmusJährlicher oder vierteljährlicher Review, Kalendereintrag, ProtokollSchrankware ohne Review-Protokoll ist ein Audit-Befund

Diese Vier-Spalten-Tabelle führe ich pro Buchstabe von Artikel 21 Absatz 2. Zehn Buchstaben, vierzig Artefakte. So sieht ein Audit-Ordner 2026 aus.

#Meldefristen aus Artikel 23

Anhang II ist die Liste für den Regelbetrieb. Wenn ein Vorfall tatsächlich eintritt, gilt Artikel 23:

  • 24 Stunden ab Kenntnisnahme: Frühwarnung an CSIRT oder zuständige Behörde.
  • 72 Stunden ab Kenntnisnahme: Meldung mit Erstbewertung und Indikatoren.
  • 1 Monat ab Kenntnisnahme: Abschlussbericht mit Ursache und umgesetzten Gegenmaßnahmen.
  • Zwischenbericht jederzeit auf Anforderung der Aufsicht.

Das ausführliche Playbook für die ersten 24 Stunden steht im Artikel zu WordPress-Vorfallsreaktion unter NIS2.

#Strafrahmen und Verantwortung des Managements

Artikel 34 setzt die Obergrenzen, die nationale Umsetzungsgesetze nicht unterschreiten dürfen:

  • Wesentliche Einrichtungen: mindestens 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes, je nachdem, was höher ist.
  • Wichtige Einrichtungen: mindestens 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes, je nachdem, was höher ist.

Artikel 20 Absatz 1 weist die Verantwortung den Leitungsorganen zu, einschließlich der Pflicht, die Umsetzung zu überwachen. Artikel 20 Absatz 2 verlangt, dass die Leitungsorgane Schulungen absolvieren. Nationale Umsetzungen können persönliche Sanktionen für die benannten verantwortlichen Personen ergänzen; das deutsche Umsetzungsgesetz ist beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu verfolgen.

#Was das für die Agentur bedeutet

Eine WordPress-Agentur, die 2026 regulierte Kunden behalten will, liefert in jedem Mandat zwei Artefakte:

  1. Eine Selbsterklärung gegen Artikel 21 Absatz 2 Buchstabe d mit den Sicherheitsmaßnahmen, die die Agentur selbst umsetzt.
  2. Ein Referenzdokument, das der Kunde in seinen eigenen Artikel-21-Ordner einfügen kann und das zeigt, wie das WordPress-Mandat auf jede der zehn Maßnahmen abbildet.

Beides bündele ich zu einem „Lieferanten-Sicherheitspaket” und lege es dem Angebot bei. Das spart die Schleife mit dem Einkauf und signalisiert Verständnis für den regulierten Kontext. Die Preisgestaltung für Compliance-Engineering-Mandate ist individuell; der Umfang des Ordners bestimmt die Stunden, nicht eine Listenpreis-Tabelle.

#Cluster-Lektüre

Nächster Schritt

Machen Sie aus dem Artikel eine echte Umsetzung

Dieser Block stärkt die interne Verlinkung und führt Nutzer gezielt zum nächsten sinnvollen Schritt im Service- und Content-System.

Die sinnvollsten nächsten Schritte

WordPress Sicherheitsaudit

Hardening, Risikoreduktion und saubere Login-Sicherheit.

WordPress Wartung

Updates, Monitoring und stabile Weiterentwicklung.

WordPress Entwickler

Umsetzung, Architektur und individuelle Entwicklung.

Soll das Thema auf Ihrer Website umgesetzt werden?

Ich kann daraus ein konkretes Audit, Hardening-Maßnahmen und einen priorisierten Fix-Plan ableiten.

Zum Projekt schreiben Zum Blog
Relevanter Cluster

Weitere WordPress-Dienste und Wissensbasis entdecken

Stärken Sie Ihr Unternehmen mit professionellem technischen Support in den Kernbereichen des WordPress-Ökosystems.

Sicherheitsaudit

Audit, Hardening und weniger Sicherheitsrisiko.

Zum Service
Wartung & Support

Stabilität, Updates und Support nach dem Launch.

Zum Service
WordPress Entwickler

Individuelle WordPress-Entwicklung und Architektur.

Zum Service
Speed Optimierung

Core Web Vitals, Caching und schnellere Auslieferung.

Zum Service
Next.js / Astro Migration

Migration zu Astro, Next.js und Headless WordPress.

Zum Service
GEO / LLMO Optimierung

Sichtbarkeit in Google und KI-Antwortsystemen.

Zum Service

Verwandte Kategorien

security development devops hardening

Unterstützende Artikel

WordPress-Login absichern gegen Brute Force
WordPress-Login absichern gegen Brute Force

Der umfassende 2500+ Wörter Leitfaden zur Absicherung Ihres WordPress Logins. 2FA, Passkeys, Fail2Ban, Login-URL ändern, CAPTCHA, und Sicherheit auf Militär-Niveau.

WordPress-Sicherheitshärtung 2026: Der vollständige Leitfaden vom Server bis zur Anwendung
WordPress-Sicherheitshärtung 2026: Der vollständige Leitfaden vom Server bis zur Anwendung

Ein umfassender Leitfaden zur WordPress-Sicherheitshärtung 2026 - Serverkonfiguration, Passkeys-Authentifizierung, WAF-Setup, CSP-Header, Datenbankschutz, Headless-Sicherheit und eine 25-Punkte-Audit-Checkliste.

Erweiterte WordPress-Sicherheit: Hardening für Unternehmen in 2026
Erweiterte WordPress-Sicherheit: Hardening für Unternehmen in 2026

Passwoerter sind tot. Zero-Trust ist der neue Standard. Dieser Leitfaden definiert die Sicherheitsarchitektur für große WordPress-Seiten in 2026.

Artikel-FAQ

Häufig gestellte Fragen

Praktische Antworten zur Umsetzung des Themas.

SEO-ready GEO-ready AEO-ready 5 Q&A

Beliebte Fragen

Was zählt NIS2 Artikel 21 konkret auf? Wer gilt als wesentlich, wer als wichtig? Welchen Nachweis erwartet ein Auditor je Maßnahme? Sind Meldefristen Teil von Anhang II? Fällt die WordPress-Agentur selbst unter NIS2?
Was zählt NIS2 Artikel 21 konkret auf?
#
Artikel 21 Absatz 2 zählt zehn Kategorien von Cybersicherheits- Risikomanagement-Maßnahmen auf: Risikoanalyse, Bewältigung von Sicherheitsvorfällen, Aufrechterhaltung des Betriebs und Krisenmanagement, Sicherheit der Lieferkette, Sicherheit bei Erwerb und Entwicklung, Schwachstellenbehandlung, Schulung, Kryptographie, Zugriffskontrolle und Anlagenverwaltung, Multi-Faktor-Authentifizierung und sichere Kommunikation. Quelle: EUR-Lex CELEX 32022L2555.
Wer gilt als wesentlich, wer als wichtig?
#
Anhang I listet wesentliche Einrichtungen (Energie, Verkehr, Banken, Gesundheit, Wasser, digitale Infrastruktur, IKT-Dienstemanagement, öffentliche Verwaltung, Raumfahrt). Anhang II listet wichtige Einrichtungen (Post, Abfall, Chemie, Lebensmittel, Fertigung, digitale Dienste, Forschung). Beide befolgen dieselben Maßnahmen aus Artikel 21; Aufsichtsintensität und Strafrahmen unterscheiden sich.
Welchen Nachweis erwartet ein Auditor je Maßnahme?
#
Ein vom Management freigegebenes Dokument, einen benannten Prozessverantwortlichen, einen Umsetzungsnachweis (Logs, Screenshots, Testberichte) und eine Überprüfungsfrequenz. Eine Richtlinie ohne Review-Protokoll ist Schrankware. Ich führe pro Buchstabe von Artikel 21 einen Ordner mit diesen vier Artefakten.
Sind Meldefristen Teil von Anhang II?
#
Meldefristen stehen in Artikel 23, nicht in Anhang II. Artikel 23 Absatz 4 setzt die 24-Stunden-Frühwarnung, die 72-Stunden-Meldung und den Abschlussbericht binnen eines Monats. Artikel 21 deckt das laufende Risikomanagement ab; Artikel 23 greift, wenn etwas bricht.
Fällt die WordPress-Agentur selbst unter NIS2?
#
Meist nur als Teil der Lieferkette eines regulierten Kunden (Artikel 21 Absatz 2 Buchstabe d). Eine kleine Agentur unter 50 Beschäftigten und 10 Mio. Euro Umsatz fällt in der Regel nicht direkt unter den Anwendungsbereich, aber vertragliche Pflichten aus dem regulierten Kundenverhältnis übertragen den Großteil der Kontrollen.

Sie brauchen ein FAQ für Branche und Zielmarkt? Wir erstellen eine Version passend zu Ihren Business-Zielen.

Kontakt aufnehmen

Ähnliche Artikel

Artikel 23 NIS2 räumt 24 Stunden ab Kenntnisnahme für die Frühwarnung an das CSIRT ein. Dieses Playbook listet die WordPress-spezifischen Signale, die den Zähler starten, und die Vorlage, die ich beim Start einreiche.
wordpress

WordPress-Vorfallsreaktion unter NIS2: 24-Stunden-Frühwarnungs-Playbook

Artikel 23 NIS2 räumt 24 Stunden ab Kenntnisnahme für die Frühwarnung an das CSIRT ein. Dieses Playbook listet die WordPress-spezifischen Signale, die den Zähler starten, und die Vorlage, die ich beim Start einreiche.

Die NIS2-Richtlinie (2022/2555) sollte bis zum 2024-10-17 in nationales Recht umgesetzt werden. Die DORA-Verordnung (2022/2554) gilt unmittelbar ab dem 2025-01-17. Für Betreiber einer WordPress-Website bedeutet das konkrete Pflichten, sofern die Seite einen regulierten Akteur betrifft. Wir erklären es ohne Panik, mit Verweisen auf die Originaltexte.
wordpress

NIS2 und DORA auf WordPress: was eine Website 2026 erfüllen muss

Die NIS2-Richtlinie (2022/2555) sollte bis zum 2024-10-17 in nationales Recht umgesetzt werden. Die DORA-Verordnung (2022/2554) gilt unmittelbar ab dem 2025-01-17. Für Betreiber einer WordPress-Website bedeutet das konkrete Pflichten, sofern die Seite einen regulierten Akteur betrifft. Wir erklären es ohne Panik, mit Verweisen auf die Originaltexte.

Artikel 28 der Verordnung 2022/2554 macht Finanzeinrichtungen für das IKT-Risiko jedes Dritten verantwortlich, mit dem sie zusammenarbeiten. Ich beschreibe die Lieferanten-Due-Diligence-Checkliste, die ich 2026 mit WordPress-Mandaten an Banken und Versicherer ausliefere.
wordpress

DORA Artikel 28 IKT-Drittparteirisiko: WordPress-Hosting- und WAF-Lieferanten-Audit

Artikel 28 der Verordnung 2022/2554 macht Finanzeinrichtungen für das IKT-Risiko jedes Dritten verantwortlich, mit dem sie zusammenarbeiten. Ich beschreibe die Lieferanten-Due-Diligence-Checkliste, die ich 2026 mit WordPress-Mandaten an Banken und Versicherer ausliefere.