· wordpress · In 7 min lesen

EU Cyber Resilience Act: VDP-Frist 12. Juni – Jetzt handeln!

Plugin-Entwickler aufgepasst: Die neue EU-Verordnung verlangt eine Vulnerability Disclosure Policy. Was ihr bis zum Stichtag wissen müsst.

Plugin-Entwickler aufgepasst: Die neue EU-Verordnung verlangt eine Vulnerability Disclosure Policy. Was ihr bis zum Stichtag wissen müsst.

Der EU Cyber Resilience Act (CRA) verändert die Spielregeln für alle, die kommerzielle WordPress-Plugins oder Themes entwickeln und verkaufen. Mit dem 12. Juni 2026 rückt die erste entscheidende Frist näher – und viele Entwickler wissen noch nicht einmal, dass sie betroffen sind. In diesem Artikel erfahren Sie alles, was Sie über die neuen Anforderungen wissen müssen, welche konkreten Schritte jetzt notwendig sind und wie Sie Ihr Plugin-Geschäft rechtzeitig auf die neuen EU-Vorschriften vorbereiten.

Was ist der EU Cyber Resilience Act und warum betrifft er WordPress-Entwickler?

Der Cyber Resilience Act ist eine neue EU-Verordnung, die verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen einführt. Das klingt zunächst nach Hardware und IoT-Geräten – doch die Definition ist deutlich weiter gefasst. Jede Software, die kommerziell vertrieben wird und mit anderen Systemen interagiert, fällt unter diese Regelung. WordPress-Plugins und Themes, die gegen Bezahlung angeboten werden, sind damit eindeutig erfasst.

Die Verordnung zielt darauf ab, die Sicherheit digitaler Produkte über ihren gesamten Lebenszyklus zu gewährleisten. Für Plugin-Entwickler bedeutet das konkret: Sie müssen nicht nur sichere Software entwickeln, sondern auch dokumentierte Prozesse für den Umgang mit Sicherheitslücken vorweisen können. Der CRA unterscheidet dabei nicht nach Unternehmensgröße – ob Einzelentwickler mit einem Premium-Plugin oder etabliertes Software-Unternehmen, die Pflichten gelten für alle gleichermaßen.

Die erste Deadline: Vulnerability Disclosure Policy bis zum 12. Juni 2026

Die unmittelbar relevante Anforderung ist die Einrichtung einer Vulnerability Disclosure Policy (VDP). Bis zum 12. Juni 2026 muss jeder kommerzielle Plugin- und Theme-Entwickler, der an EU-Kunden verkauft, eine solche Richtlinie implementiert haben. Eine VDP beschreibt den strukturierten Prozess, wie externe Sicherheitsforscher und Nutzer Schwachstellen melden können und wie Sie als Entwickler darauf reagieren.

Eine vollständige VDP muss folgende Elemente enthalten:

Kontaktinformationen für Sicherheitsmeldungen: Sie benötigen eine dedizierte E-Mail-Adresse oder ein Formular speziell für Sicherheitsberichte. Eine allgemeine Support-Adresse reicht nicht aus.

Erwartete Reaktionszeiten: Definieren Sie, innerhalb welcher Frist Sie eine Eingangsbestätigung senden und wann der Melder mit einer inhaltlichen Rückmeldung rechnen kann.

Prozessbeschreibung: Erläutern Sie transparent, wie Sie mit gemeldeten Schwachstellen umgehen – von der Prüfung über die Entwicklung eines Fixes bis zur Veröffentlichung.

Schutz für Sicherheitsforscher: Stellen Sie klar, dass Sie keine rechtlichen Schritte gegen Personen einleiten, die Schwachstellen verantwortungsvoll melden.

Veröffentlichungsrichtlinien: Beschreiben Sie, wie und wann Sie über behobene Sicherheitslücken informieren.

Die zweite Deadline: 24-Stunden-Meldepflicht ab September 2026

Ab dem 11. September 2026 wird es noch anspruchsvoller. Dann tritt die Pflicht in Kraft, aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an ENISA (European Union Agency for Cybersecurity) zu melden. Diese extrem kurze Frist erfordert interne Prozesse, die viele kleine Entwickler-Teams heute noch nicht haben.

Sie müssen in der Lage sein, eine ausgenutzte Schwachstelle schnell zu identifizieren, die relevanten technischen Details zusammenzustellen und die Meldung formgerecht einzureichen – und das alles innerhalb eines Tages. Für Solo-Entwickler oder kleine Teams kann das eine erhebliche organisatorische Herausforderung darstellen.

Die Meldung an ENISA muss bestimmte Informationen enthalten: eine Beschreibung der Schwachstelle, betroffene Produktversionen, den bekannten Ausnutzungsgrad und geplante oder bereits durchgeführte Gegenmaßnahmen. Es empfiehlt sich dringend, schon jetzt Vorlagen für diese Meldungen vorzubereiten.

Gilt der CRA auch für Entwickler außerhalb der EU?

Diese Frage stellen sich viele internationale Plugin-Entwickler – und die Antwort ist eindeutig: Ja. Der CRA folgt dem Marktortprinzip. Entscheidend ist nicht, wo Sie als Entwickler sitzen, sondern wo Ihre Kunden sind. Wenn Sie Plugins oder Themes an Personen oder Unternehmen in der EU verkaufen, unterliegen Sie den Anforderungen des CRA.

Das betrifft amerikanische Entwickler, die über Plattformen wie CodeCanyon oder Envato verkaufen, genauso wie australische Freelancer, die Premium-Plugins auf ihrer eigenen Website anbieten. Sobald EU-Kunden zu Ihrer Zielgruppe gehören – und bei den meisten kommerziellen WordPress-Produkten ist das der Fall – müssen Sie die CRA-Vorgaben erfüllen.

Die einzige Ausnahme bildet echte Open-Source-Software, die kostenlos und ohne kommerzielle Absicht bereitgestellt wird. Sobald jedoch ein Geschäftsmodell dahintersteht – sei es durch Pro-Versionen, Support-Pakete oder Freemium-Modelle – greift der CRA.

Die Strafen: Bis zu 15 Millionen Euro oder 2,5% des Umsatzes

Die EU meint es ernst mit der Durchsetzung. Bei Verstößen gegen den CRA drohen Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Für kleine Plugin-Entwickler mag das abstrakt klingen, doch auch niedrigere Strafen können existenzbedrohend sein.

Darüber hinaus können Aufsichtsbehörden die Bereitstellung nicht-konformer Produkte im EU-Markt untersagen. Das würde bedeuten, dass Sie Ihr Plugin nicht mehr an EU-Kunden verkaufen dürfen – ein Szenario, das für die meisten kommerziellen Projekte das wirtschaftliche Aus bedeuten würde.

Praktische Checkliste: Was Sie jetzt konkret tun sollten

Patchstack, ein führender Anbieter für WordPress-Sicherheit, hat eine detaillierte Checkliste für Plugin-Entwickler veröffentlicht, die den CRA erfüllen müssen. Basierend darauf und den Anforderungen des Gesetzes sollten Sie folgende Schritte priorisieren:

Sofort:

  • Prüfen Sie, ob Sie kommerzielle WordPress-Produkte an EU-Kunden verkaufen
  • Beginnen Sie mit der Ausarbeitung Ihrer Vulnerability Disclosure Policy
  • Richten Sie eine dedizierte Sicherheits-E-Mail-Adresse ein (z.B. security@ihredomain.de)

In den nächsten Wochen:

  • Veröffentlichen Sie Ihre VDP auf Ihrer Website
  • Implementieren Sie einen internen Prozess für die Bearbeitung von Sicherheitsmeldungen
  • Schulen Sie Ihr Team (falls vorhanden) im Umgang mit Vulnerability Reports

Bis September 2026:

  • Etablieren Sie Monitoring-Systeme, um aktive Ausnutzung Ihrer Produkte zu erkennen
  • Bereiten Sie Vorlagen für ENISA-Meldungen vor
  • Testen Sie Ihre Prozesse mit simulierten Szenarien

Der größere Kontext: WordPress-Sicherheit 2026

Der CRA kommt zu einem Zeitpunkt, an dem die WordPress-Sicherheitslandschaft ohnehin im Umbruch ist. Laut aktuellen Berichten sind Supply-Chain-Angriffe – also Angriffe, die über kompromittierte Plugins und Themes erfolgen – im vergangenen Jahr um 40 Prozent gestiegen. Die Diskussion um WordPress 7.0 und die geplanten AI Connectors wirft zudem neue Fragen zur Sicherheit von API-Schlüsseln im Core auf.

Für Website-Betreiber bedeutet das: Die Auswahl vertrauenswürdiger Plugins wird noch wichtiger. Plugins von Entwicklern, die den CRA erfüllen und professionelle Sicherheitsprozesse nachweisen können, werden einen Wettbewerbsvorteil haben. Umgekehrt werden Plugins ohne VDP und mit intransparenten Update-Praktiken zunehmend als Risiko wahrgenommen.

Als WordPress Agentur Frankfurt am Main beobachten wir diese Entwicklungen genau und berücksichtigen sie bei der Plugin-Auswahl für unsere Kundenprojekte.

Was der CRA für Website-Betreiber bedeutet

Auch wenn Sie selbst keine Plugins entwickeln, sondern WordPress-Websites betreiben, hat der CRA Auswirkungen auf Sie. Künftig sollten Sie bei der Auswahl von Premium-Plugins prüfen, ob der Entwickler eine Vulnerability Disclosure Policy vorweisen kann. Das wird ein Qualitätsmerkmal für professionell geführte Plugin-Projekte.

Achten Sie außerdem auf die Update-Frequenz und die Kommunikation bei Sicherheitsproblemen. Entwickler, die den CRA ernst nehmen, werden transparenter über Sicherheitsupdates informieren und schneller auf gemeldete Schwachstellen reagieren.

Für Unternehmen in regulierten Branchen kann der Einsatz CRA-konformer Software sogar zur Compliance-Anforderung werden. Dokumentieren Sie, welche Plugins Sie einsetzen und prüfen Sie deren Sicherheitsstatus regelmäßig.

Ressourcen und weiterführende Informationen

Um sich tiefer in das Thema einzuarbeiten, empfehlen wir folgende Quellen:

Die offizielle EU-Dokumentation zum Cyber Resilience Act bietet den vollständigen Gesetzestext und erläuternde Materialien. Die WordPress Security Dokumentation enthält Best Practices für sichere Plugin-Entwicklung, die eine gute Grundlage für CRA-konforme Prozesse bilden.

Diverse Security-Unternehmen bieten zudem Webinare und Workshops speziell für WordPress-Entwickler an, die sich auf den CRA vorbereiten möchten.

Fazit: Handeln Sie jetzt, nicht erst im Juni 2026

Der EU Cyber Resilience Act ist keine ferne Zukunftsmusik – die erste Deadline ist in weniger als einem Jahr. Die Anforderungen sind klar definiert, die Strafen erheblich, und die Umsetzung erfordert Zeit. Wer jetzt mit der Vorbereitung beginnt, kann die notwendigen Prozesse in Ruhe aufbauen und testen.

Für Plugin-Entwickler ist der CRA eine Chance, sich durch professionelle Sicherheitsstandards vom Wettbewerb abzuheben. Für Website-Betreiber wird er ein wichtiges Kriterium bei der Plugin-Auswahl. Und für die WordPress-Community insgesamt könnte er langfristig zu einem sichereren Ökosystem beitragen.

Sie haben Fragen zum Cyber Resilience Act oder benötigen Unterstützung bei der Absicherung Ihrer WordPress-Website? Frankfurt Marketing Studio unterstützt Unternehmen in Frankfurt und Umgebung bei allen Fragen rund um WordPress-Sicherheit, Plugin-Auswahl und die technische Umsetzung von Compliance-Anforderungen. Sprechen Sie uns an – wir helfen Ihnen, Ihre Website fit für die neuen Anforderungen zu machen.

Quellen

Share:
Back to Blog