Die Artikel-23-Uhr läuft in drei Stufen. Was eine WordPress-Agentur 24 Stunden, 72 Stunden und einen Monat nach Detektion liefern muss.
DE

NIS2 Incident-Meldepflicht WordPress: 24 Stunden, 72 Stunden, ein Monat

4.70 /5 - (6 Stimmen )
Zuletzt überprüft: 1. Mai 2026
4Min. Lesezeit
Referenz
500+ WP-Projekte
Sicherheitsauditor

#NIS2 Incident-Meldepflicht WordPress: 24 Stunden, 72 Stunden, ein Monat

Artikel 23 der Richtlinie 2022/2555 bestimmt, wie Incident Response in der Praxis aussieht. Artikel 21 deckt das laufende Risikomanagement ab; Artikel 23 deckt ab, was passiert, wenn etwas bricht. Drei Milestones, drei Lieferungen, eine Uhr, die bei der Detektion startet.

Dies ist ein vertiefender Artikel innerhalb der NIS2 und DORA WordPress Säule, mit Querverweisen zur Anhang II Nachweispfad-Anleitung und zum DORA Artikel 28 Drittparteienregister.

#TL;DR

  • Die Uhr läuft ab Detektion eines erheblichen Vorfalls, nicht ab Ursachenbestätigung.
  • 24 Stunden: Frühwarnung, vermutete bösartige Ursache, grenzüberschreitender Indikator.
  • 72 Stunden: Vollmeldung mit Erstbewertung und Indikatoren.
  • Ein Monat: Abschlussbericht mit Bedrohungsart, Mitigation, grenzüberschreitender Auswirkung.
  • Der Abschlussbericht wird auch eingereicht, wenn die Ursache harmlos war.

#Was “Detektion” bedeutet

Artikel 23 schweigt zur Detektionsdefinition, aber ENISA-Leitlinien und Erwägungsgrund 101 lesen ihn als den Moment, ab dem die Einrichtung erkennt, dass ein Vorfall erheblich sein könnte. Praktisch: der Moment, in dem der Alert beim Runbook-Owner ankommt, nicht der Moment, in dem das Tool den Alert auslöst.

Für eine WordPress-Site bedeutet das typisch:

  • Ein Monitoring-Tool (Wordfence, Sucuri, Hosting-IDS, Cloudflare-Alert, Sentry-Error-Spike) markiert eine Anomalie.
  • Ein On-Call-Engineer triagiert den Alert und beurteilt den Umfang.
  • Wenn die Bewertung die Erheblichkeitsschwelle in Artikel 23(3) überschreitet, hat die Detektion stattgefunden. Die Uhr startet.

Der zu vermeidende Fehler ist, einen Junior um 23:50 einen Credential-Stuffing-Burst triagieren zu lassen, der “wirkt wie Rauschen” abwinkt und morgens neu beurteilt. War der Burst tatsächlich ein Credential-Breach mit bestätigtem Account-Zugriff, läuft die 24-Stunden-Uhr seit 23:50 - der Regulator rekonstruiert das aus Logs.

#Die 24-Stunden-Frühwarnung

Inhalt nach Artikel 23(4)(a):

  • Ob der Vorfall vermutlich durch rechtswidrige oder bösartige Handlung verursacht wurde.
  • Ob der Vorfall grenzüberschreitende Auswirkungen haben kann.

Das ist kurz. Die Frühwarnung ist keine Ursachenanalyse, sondern eine Flagge. CSIRT oder zuständige Behörde muss wissen, dass etwas Erhebliches passiert; Details folgen in der 72-Stunden-Meldung.

Rolle der WordPress-Agentur innerhalb 24 Stunden:

  • Vorfallsumfang über Logs, Alerts und Admin-Forensik bestätigen.
  • Dem Compliance-Team des Kunden eine einseitige Frühwarnungs-Vorlage liefern, die betroffenen Service, vermutete Kategorie (bösartig oder operativ) und grenzüberschreitendes Element (mehrsprachige Site, EU-weite Kundschaft) benennt.
  • Evidenz sichern: Server-Logs, Plugin-Update-Zeitleiste, Admin-Login-Historie, Hosting-Audit-Trail. Datenbankzustand sichern, wenn praktikabel.
  • Blutung stoppen: Credentials rotieren, IPs blockieren, kompromittierte Plugins isolieren, Site lesegeschützt setzen, wenn Checkout oder Zahlung betroffen.

Frühwarnung soll keine Spekulation über Attribution enthalten. “Vermutet bösartig” reicht; einen Bedrohungsakteur zu nennen ist Sache forensischer Spezialisten.

#Die 72-Stunden-Vollmeldung

Inhalt nach Artikel 23(4)(b):

  • Erstbewertung des Vorfalls, einschließlich Schweregrad und Auswirkungen.
  • Sofern verfügbar, Kompromittierungsindikatoren.

Schweregrad-Sprache zählt. ENISA arbeitet mit drei Stufen: niedrig, mittel, hoch. Ein WordPress-Vorfall, der die Site unter einer Stunde offline genommen hat ohne Datenabfluss, ist höchstens mittel. Ein bestätigter Credential-Breach mit Kundendaten-Zugriff ist hoch. Ein Defacement einer Marketing-Seite ohne weiteren Zugriff ist niedrig bis mittel.

Lieferung der Agentur innerhalb 72 Stunden:

  • Schriftliche Vorfalls-Zeitleiste mit Log-Zeitstempeln.
  • Bewertung, ob Kunden-, Zahlungs- oder Sitzungsdaten zugegriffen wurden.
  • Kompromittierungsindikatoren: Quell-IPs, User-Agents, Datei-Hashes bei Malware, modifizierte Plugin- oder Theme-Dateien, neu erstellte verdächtige Admin-Konten.
  • Erste Liste bereits ergriffener Mitigation: rotierte Credentials, entferntes oder gepatchtes Plugin, hinzugefügte WAF-Regel, Admin-Konten geprüft.

Hier bekommen die meisten WordPress-Vorfälle einen Namen in den Regulator-Akten. Die 72-Stunden-Meldung wird später mit dem Abschlussbericht verglichen.

#Der Ein-Monats-Abschlussbericht

Inhalt nach Artikel 23(4)(c):

  • Detaillierte Beschreibung des Vorfalls, Schweregrad und Auswirkungen.
  • Art der Bedrohung oder Ursache.
  • Ergriffene und laufende Mitigationsmaßnahmen.
  • Soweit zutreffend, grenzüberschreitende Auswirkungen.

Bis Monatsende sollte die WordPress-Agentur haben:

  • Vollständige Ursachenanalyse. Verwundbares Plugin? Geleaktes Credential? Fehlkonfigurierter Server? Phishing-vermittelter Admin-Compromise?
  • Evidenz, dass die Sofortmaßnahme wirkt und stabil ist. WAF-Regel ausgespielt, Plugin produktiv gepatcht, Credentials rotiert und MFA durchgesetzt, Monitoring nachjustiert.
  • Liste langfristiger Maßnahmen. Plugin-Policy aktualisiert, ungewartete Abhängigkeiten entfernt, periodischer Credential-Audit, Training für Editoren als möglichen Phishing-Vektor.
  • Bestätigungsabsatz für den Kunden zur Weiterleitung an den Regulator.

War die Ursache harmlos (verpfuschtes Plugin-Update als Breach fehlklassifiziert), wird der Abschlussbericht trotzdem eingereicht. Artikel 23(7) regelt das mit einer “Keine-Maßnahme”-Variante explizit. Die Uhr stoppt nicht, weil die Bewertung sich ändert.

#Was die Agentur in der Toolbox hält

Sechs Artefakte, die jede regulierte WordPress-Beauftragung vor dem ersten Vorfall bereit haben sollte:

  1. Incident-Response-Runbook mit benanntem Owner, Eskalationspfad und 24/72/30-Tage-Vorlagen.
  2. CSIRT- und Behördenkontaktliste für Kundenjurisdiktion und relevante grenzüberschreitende.
  3. Kommunikationsvorlage für betroffene Kunden bei bestätigtem Datenzugriff.
  4. Evidenzsicherungspolicy: Log-Aufbewahrung, Backup-Integrität, Chain-of-Custody-Notizen.
  5. Meldesprache-Bibliothek: vorabgenehmigte Phrasen für “vermutet bösartig”, “keine Kundendaten betroffen”, “Schwachstelle gepatcht”, “Monitoring nachjustiert”. Spart 30 Minuten in einem 24-Stunden-Fenster.
  6. Drill-Kalender: mindestens eine Tabletop-Übung pro Quartal mit 24/72/30-Lauf ohne echten Vorfall.

Die Toolbox ist der Unterschied zwischen einem 24-Stunden-Fenster, das eine ruhige einseitige Frühwarnung produziert, und einem 24-Stunden-Fenster, das einen Panikanruf an die Rechtsabteilung um 03:00 produziert.

#Querverweise

Nächster Schritt

Machen Sie aus dem Artikel eine echte Umsetzung

Dieser Block stärkt die interne Verlinkung und führt Nutzer gezielt zum nächsten sinnvollen Schritt im Service- und Content-System.

Die sinnvollsten nächsten Schritte

WordPress Sicherheitsaudit

Hardening, Risikoreduktion und saubere Login-Sicherheit.

WordPress Wartung

Updates, Monitoring und stabile Weiterentwicklung.

WordPress Entwickler

Umsetzung, Architektur und individuelle Entwicklung.

Soll das Thema auf Ihrer Website umgesetzt werden?

Ich kann daraus ein konkretes Audit, Hardening-Maßnahmen und einen priorisierten Fix-Plan ableiten.

Zum Projekt schreiben Zum Blog
Relevanter Cluster

Weitere WordPress-Dienste und Wissensbasis entdecken

Stärken Sie Ihr Unternehmen mit professionellem technischen Support in den Kernbereichen des WordPress-Ökosystems.

Sicherheitsaudit

Audit, Hardening und weniger Sicherheitsrisiko.

Zum Service
Wartung & Support

Stabilität, Updates und Support nach dem Launch.

Zum Service
WordPress Entwickler

Individuelle WordPress-Entwicklung und Architektur.

Zum Service
Speed Optimierung

Core Web Vitals, Caching und schnellere Auslieferung.

Zum Service
Next.js / Astro Migration

Migration zu Astro, Next.js und Headless WordPress.

Zum Service
GEO / LLMO Optimierung

Sichtbarkeit in Google und KI-Antwortsystemen.

Zum Service

Verwandte Kategorien

security development devops hardening

Unterstützende Artikel

WordPress-Login absichern gegen Brute Force
WordPress-Login absichern gegen Brute Force

Der umfassende 2500+ Wörter Leitfaden zur Absicherung Ihres WordPress Logins. 2FA, Passkeys, Fail2Ban, Login-URL ändern, CAPTCHA, und Sicherheit auf Militär-Niveau.

WordPress-Sicherheitshärtung 2026: Der vollständige Leitfaden vom Server bis zur Anwendung
WordPress-Sicherheitshärtung 2026: Der vollständige Leitfaden vom Server bis zur Anwendung

Ein umfassender Leitfaden zur WordPress-Sicherheitshärtung 2026 - Serverkonfiguration, Passkeys-Authentifizierung, WAF-Setup, CSP-Header, Datenbankschutz, Headless-Sicherheit und eine 25-Punkte-Audit-Checkliste.

Erweiterte WordPress-Sicherheit: Hardening für Unternehmen in 2026
Erweiterte WordPress-Sicherheit: Hardening für Unternehmen in 2026

Passwoerter sind tot. Zero-Trust ist der neue Standard. Dieser Leitfaden definiert die Sicherheitsarchitektur für große WordPress-Seiten in 2026.

Artikel-FAQ

Häufig gestellte Fragen

Praktische Antworten zur Umsetzung des Themas.

SEO-ready GEO-ready AEO-ready 4 Q&A

Beliebte Fragen

Was verlangt Artikel 23 konkret? Meldet die WordPress-Agentur direkt? Was ist ein erheblicher Vorfall? Was passiert beim Verpassen der 24-Stunden-Frist?
Was verlangt Artikel 23 konkret?
#
Drei Einreichungen an CSIRT oder zuständige Behörde. Eine Frühwarnung innerhalb 24 Stunden nach Detektion, eine vollständige Meldung innerhalb 72 Stunden, ein Abschlussbericht innerhalb eines Monats. Die Uhr startet bei der Detektion, nicht bei der Ursachenbestätigung.
Meldet die WordPress-Agentur direkt?
#
Nein. Der regulierte Kunde meldet. Die Agentur liefert die technische Evidenz. Praktisch entwirft die Agentur die erste Fassung der Frühwarnung im Rahmen der Vertragsverpflichtung; der Kunde prüft und reicht ein.
Was ist ein erheblicher Vorfall?
#
Artikel 23(3) definiert Erheblichkeit über schwerwiegende Betriebsstörung, finanziellen Verlust oder erhebliche Schäden bei anderen Personen. Ein WordPress-Ausfall, der den Kundenservice eines regulierten Unternehmens trifft, qualifiziert sich meist; ein gesperrter Editor-Login meist nicht.
Was passiert beim Verpassen der 24-Stunden-Frist?
#
Der Kunde verpasst die Frist, nicht die Agentur. Vertraglich werden NIS2-Pflichten oft an die Agentur durchgereicht; Verspätung wird zum Vertragsbruch- und Vertrauensrisiko. Der Regulator sanktioniert zuerst den Kunden.

Sie brauchen ein FAQ für Branche und Zielmarkt? Wir erstellen eine Version passend zu Ihren Business-Zielen.

Kontakt aufnehmen

Ähnliche Artikel

Artikel 23 NIS2 räumt 24 Stunden ab Kenntnisnahme für die Frühwarnung an das CSIRT ein. Dieses Playbook listet die WordPress-spezifischen Signale, die den Zähler starten, und die Vorlage, die ich beim Start einreiche.
wordpress

WordPress-Vorfallsreaktion unter NIS2: 24-Stunden-Frühwarnungs-Playbook

Artikel 23 NIS2 räumt 24 Stunden ab Kenntnisnahme für die Frühwarnung an das CSIRT ein. Dieses Playbook listet die WordPress-spezifischen Signale, die den Zähler starten, und die Vorlage, die ich beim Start einreiche.

Artikel 21 der Richtlinie 2022/2555 listet zehn Risikomanagement-Maßnahmen auf, die jede betroffene Einrichtung umsetzen muss. Ich ordne jede einer Kontrolle in einer WordPress-Agentur zu, samt Nachweisdatei für das Audit.
wordpress

NIS2 Anhang II für WordPress-Agenturen: Geltungsbereich, Fristen, Nachweispfad

Artikel 21 der Richtlinie 2022/2555 listet zehn Risikomanagement-Maßnahmen auf, die jede betroffene Einrichtung umsetzen muss. Ich ordne jede einer Kontrolle in einer WordPress-Agentur zu, samt Nachweisdatei für das Audit.

NIS2 (Richtlinie 2022/2555) und DORA (Verordnung 2022/2554) decken ähnliches Terrain ab, aber mit unterschiedlicher Mechanik. Wo sie sich überschneiden, wo sie auseinandergehen, und wie eine WordPress-Agentur beides mit einem Nachweispfad erfüllt.
wordpress

NIS2 vs DORA Geltungsbereich-Überschneidung für WordPress-Agenturen 2026

NIS2 (Richtlinie 2022/2555) und DORA (Verordnung 2022/2554) decken ähnliches Terrain ab, aber mit unterschiedlicher Mechanik. Wo sie sich überschneiden, wo sie auseinandergehen, und wie eine WordPress-Agentur beides mit einem Nachweispfad erfüllt.