Alle Artikel
ComplianceEUSecurity

EU Cyber Resilience Act 2027: Was WordPress-Seitenbetreiber tun müssen

e
erdincbulat
July 15, 2026
9 Min. Lesezeit
Erdo CRA Compliance

Was ist der EU Cyber Resilience Act?

Der EU Cyber Resilience Act (CRA) ist eine Verordnung, die verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt, die in der Europäischen Union verkauft werden. Er wurde Ende 2024 offiziell verabschiedet und wird im Dezember 2027 vollständig durchsetzbar.

Im Gegensatz zur DSGVO, die sich auf die Verarbeitung personenbezogener Daten konzentriert, fokussiert sich der CRA auf die Sicherheit des Produkts selbst — wie es gebaut wird, wie Schwachstellen offengelegt werden und wie Software-Updates über die Lebensdauer des Produkts gehandhabt werden.

Wenn du WordPress-Plugins, Themes, SaaS-Produkte oder irgendein vernetztes digitales Produkt an EU-Kunden verkaufst, gilt diese Verordnung wahrscheinlich für dich.

Wen betrifft der CRA?

Die Verordnung zielt auf „Hersteller" und „Händler" von Produkten mit digitalen Elementen ab. In der Praxis umfasst das:

WordPress-Plugin- und Theme-Entwickler, die bezahlte Produkte auf dem EU-Markt verkaufen. Wenn dein Plugin Daten verarbeitet, sich mit externen Diensten verbindet oder Teil eines größeren Software-Ökosystems ist, fällt es in den Geltungsbereich.

SaaS-Anbieter, die abonnementbasierte Tools für EU-Unternehmen oder -Verbraucher anbieten.

Agenturen und Freelancer, die individuelle Software oder Webanwendungen entwickeln, die an EU-Kunden geliefert werden. Wenn du ein WordPress-basiertes Produkt an einen Kunden in Deutschland, Frankreich, Italien oder einem anderen EU-Land übergibst, kannst du nach dem CRA als „Hersteller" gelten.

E-Commerce-Seitenbetreiber, die eigene digitale Produkte an EU-Kunden verkaufen.

Bemerkenswert: Open-Source-Software, die nicht-kommerziell entwickelt und verteilt wird, ist weitgehend ausgenommen. Aber wenn du ein WordPress-Plugin monetarisierst — selbst teilweise, selbst über ein Freemium-Modell — fällst du wahrscheinlich in den Geltungsbereich.

Wichtige Anforderungen nach dem CRA

Der CRA führt mehrere spezifische Pflichten ein. Hier sind die relevantesten für WordPress-Betreiber:

1. Vulnerability Disclosure Policy (VDP)

Du musst eine öffentlich zugängliche Richtlinie haben, die erklärt, wie Sicherheitsforscher Schwachstellen in deinem Produkt melden können. Das wird Vulnerability Disclosure Policy oder VDP genannt.

Die VDP muss an einem vorhersehbaren Ort (deiner Website) verfügbar sein, in einfacher Sprache geschrieben sein und Folgendes spezifizieren:

  • Wie man einen Schwachstellenbericht einreicht
  • Welche Informationen enthalten sein sollen
  • Wie lange du brauchst, um den Empfang zu bestätigen
  • Ob du einen koordinierten Offenlegungsprozess betreibst

2. security.txt-Datei (RFC 9116)

Der Standardort für Sicherheitskontaktinformationen ist /.well-known/security.txt auf deiner Domain. Diese maschinenlesbare Datei verweist Sicherheitsforscher auf deine Kontaktinformationen und VDP.

Der CRA macht dies effektiv zu einer Anforderung für Produkte im Geltungsbereich. Das Format ist in RFC 9116 definiert und sieht so aus:

Contact: mailto:security@deineseite.com
Expires: 2027-12-31T23:59:59.000Z
Policy: https://deineseite.com/vulnerability-disclosure-policy

3. Software Bill of Materials (SBOM)

Eine SBOM ist eine formale Liste aller Softwarekomponenten in deinem Produkt — im Wesentlichen eine Zutatenliste für Software.

Für ein WordPress-Plugin bedeutet das die Dokumentation von:

  • Deinem Plugin selbst (Name, Version, Lizenz)
  • Allen Drittanbieter-Bibliotheken oder Abhängigkeiten, die es nutzt
  • WordPress-Kern als Abhängigkeit

SBOMs müssen zuständigen Behörden auf Anfrage zur Verfügung stehen und für Produkte mit höherem Risiko möglicherweise öffentlich zugänglich sein.

4. Aktives Schwachstellenmanagement

Der CRA verlangt, dass Hersteller:

  • Ihre Produkte auf bekannte Schwachstellen überwachen
  • Sicherheitsupdates zeitnah veröffentlichen
  • Nutzer über Sicherheitsupdates informieren
  • Sicherheitsupdates für einen definierten Supportzeitraum kostenlos bereitstellen

Für WordPress-Plugins bedeutet das, dass du nicht einfach eine Version veröffentlichen und dann aufgeben kannst. Wird eine CVE entdeckt, die dein Plugin betrifft, bist du verpflichtet, einen Fix zu veröffentlichen.

5. Konformitätsbewertung und CE-Kennzeichnung

Die meisten „Standard"-Digitalprodukte (Kategorie I nach dem CRA) müssen eine Selbstbewertung gegen die Anforderungen der Verordnung durchlaufen und das CE-Zeichen an ihrem Produkt anbringen. Die Bewertung muss dokumentiert werden.

Produkte mit höherem Risiko (Kategorie II) erfordern eine Bewertung durch Dritte durch eine benannte Stelle — ähnlich wie Medizinprodukte oder Spielzeug getestet werden.

Die meisten WordPress-Plugins fallen in Kategorie I und können sich selbst zertifizieren.

Was ist mit DSGVO und NIS2?

Der CRA ersetzt nicht die DSGVO oder NIS2 — sie gelten parallel zueinander.

Die DSGVO deckt die Verarbeitung personenbezogener Daten ab. Wenn deine WordPress-Seite oder dein Plugin personenbezogene Daten von EU-Bürgern verarbeitet, gilt die DSGVO unabhängig vom CRA.

NIS2 (die Richtlinie zur Netzwerk- und Informationssicherheit 2) legt Sicherheitsanforderungen für „wesentliche" und „wichtige" Einrichtungen fest — vorwiegend größere Unternehmen in Sektoren wie Energie, Gesundheit, Finanzen und digitale Infrastruktur. Wenn dein Unternehmen oder das deines Kunden in eine dieser Kategorien fällt, gelten NIS2-Pflichten zusätzlich zum CRA.

Für die meisten kleinen WordPress-Unternehmen und Freelancer sind DSGVO und CRA die primären Anliegen. NIS2 gilt für eine engere Gruppe größerer Einrichtungen.

Der Zeitplan — was wann passieren muss

Datum Pflicht
Jetzt Beginne mit der Lückenanalyse: Identifiziere, was du tun musst
September 2026 CRA-Meldepflichten beginnen (Meldung aktiv ausgenutzter Schwachstellen an Behörden innerhalb von 24 Stunden)
Dezember 2027 Vollständige CRA-Anforderungen gelten: VDP, SBOM, security.txt, Konformitätsbewertung, CE-Kennzeichnung

Die Meldepflicht ab September 2026 wird oft übersehen. Auch wenn die vollständige Konformität erst bis Dezember 2027 erforderlich ist, musst du in der Lage sein, aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an ENISA zu melden — und das erfordert, dass vorher Überwachungsprozesse vorhanden sind.

So überprüfst du deinen aktuellen Status

Wenn du nicht sicher bist, wo du stehst, beginne mit diesen Fragen:

  1. Hast du einen Sicherheitskontakt? Gibt es eine Möglichkeit für Forscher oder Nutzer, ein Sicherheitsproblem in deinem Produkt zu melden?
  2. Gibt es eine security.txt-Datei unter /.well-known/security.txt auf deiner Domain?
  3. Kannst du alle Softwarekomponenten in deinem Produkt aufzählen? Weißt du, welche Drittanbieter-Bibliotheken deine Plugins nutzen und deren aktuelle Versionen?
  4. Hast du einen Prozess zur Verfolgung von Schwachstellen in den Abhängigkeiten deines Produkts?
  5. Hast du deine Sicherheitspraktiken dokumentiert? Könntest du einen Nachweis einer Konformitätsbewertung erbringen, wenn eine Aufsichtsbehörde danach fragt?

Wenn du die meisten dieser Fragen mit Nein beantwortet hast, gibt es Arbeit zu tun — aber das ist mit einer klaren Checkliste machbar.

Ein Plugin nutzen, um die Checkliste zu automatisieren

Anstatt diese Anforderungen manuell durchzugehen, automatisiert Erdo CRA Compliance die Lückenanalyse und hilft, erforderliche Dokumentation direkt von deinem WordPress-Dashboard aus zu erstellen.

Das Plugin:

Scannt deine Seite gegen CRA-, DSGVO- und NIS2-Kontrollen und erstellt ein farbcodiertes Compliance-Dashboard — grün (bestanden), gelb (Aufmerksamkeit erforderlich), rot (nicht bestanden).

Generiert deine security.txt-Datei im korrekten RFC-9116-Format und hostet sie automatisch unter /.well-known/security.txt. Kein FTP, keine Serverkonfiguration.

Erstellt eine Vulnerability-Disclosure-Policy-Vorlage basierend auf deinen Seitendetails, bereit zur Veröffentlichung als Seite auf deiner Website.

Erzeugt eine SBOM, die alle aktiven Plugins, ihre Versionen und Lizenzinformationen aufzählt — der Kern dessen, was eine Software Bill of Materials für ein WordPress-basiertes Produkt erfordert.

Exportiert PDF-Auditberichte, die deinen Compliance-Status dokumentieren, geeignet zum Teilen mit Kunden, Auditoren oder als Aufzeichnungen für eine Konformitätsbewertung.

Generiert eine Konformitätserklärungsvorlage — das Selbstbewertungsdokument, das für Kategorie-I-Produkte nach dem CRA erforderlich ist.

Nichts davon garantiert rechtliche Konformität — das hängt von deinem spezifischen Produkt, seiner Nutzung und deinem rechtlichen Kontext ab. Aber es gibt dir einen strukturierten Ausgangspunkt und stellt sicher, dass die grundlegenden technischen Anforderungen vorhanden sind.

Praktische Ratschläge für verschiedene Zielgruppen

Wenn du WordPress-Plugin-Entwickler bist: Beginne damit, die Abhängigkeiten deines Plugins zu dokumentieren (prüfe deine composer.json oder alle gebündelten Drittanbieter-Bibliotheken). Richte eine Sicherheitskontakt-E-Mail ein. Veröffentliche eine einfache VDP. Diese drei Schritte decken die meisten grundlegenden Pflichten ab und dauern ein paar Stunden, keine Wochen.

Wenn du ein Freelancer bist, der WordPress-Projekte liefert: Prüfe, ob deine Kunden in der EU ansässig sind und ob die Seiten, die du für sie baust, in den Geltungsbereich fallen. Erwäge, CRA-Compliance-Dokumentation als Leistung in deine Verträge aufzunehmen.

Wenn du eine Agentur bist: Baue eine CRA-Compliance-Checkliste in deinen Projektübergabeprozess ein. Kunden, die digitale Produkte auf dem EU-Markt erhalten, werden zunehmend Dokumentation benötigen, dass du diese Anforderungen berücksichtigt hast.

Wenn du eine EU-orientierte E-Commerce-Seite betreibst, die digitale Produkte verkauft: Behandle die Dezember-2027-Frist so, wie Unternehmen die Mai-2018-Frist der DSGVO behandelt haben — aber fange dieses Mal früher an.

Fazit

Der EU Cyber Resilience Act ist die größte Veränderung der Software-Compliance-Anforderungen seit der DSGVO. Anders als die DSGVO, die die meisten Seitenbetreiber bis zum letzten Moment weitgehend ignorierten, hat der CRA spezifische technische Anforderungen, die nicht allein mit einem Richtlinien-Update erfüllt werden können — sie erfordern tatsächliche Umsetzung.

Die gute Nachricht: Wenn du WordPress betreibst, sind die Werkzeuge zur Erfüllung der meisten CRA-Anforderungen jetzt verfügbar. Wenn du 2026 mit der Bewertung beginnst, hast du ein volles Jahr Zeit, um die Checkliste vor der Dezember-2027-Frist abzuarbeiten.

Lade Erdo CRA Compliance kostenlos von WordPress.org herunter und führe noch heute deinen ersten Compliance-Scan durch.

Kostenloses WordPress-Plugin

Erdo CRA Compliance

EU Cyber Resilience Act, DSGVO- & NIS2-Compliance-Scanner für WordPress.

Weitere Artikel

WorkflowClients

Der richtige Weg, einen WordPress-Entwurf mit einem Kunden zu teilen

6 Min. Lesezeit
PerformanceSEO

So konvertierst du WordPress-Bilder zu WebP (kostenlos, ohne API-Schlüssel)

7 Min. Lesezeit