Gilt der CRA für mein Produkt? / WordPress-Plugin
CRA-Compliance für WordPress-Plugins und -Themes
Kommerzielle WordPress-Plugins und -Themes (Premium, Freemium mit Bezahlstufen oder kostenlose Plugins als Zubringer zu einem bezahlten Dienst) sind Produkte mit digitalen Elementen. WordPress betreibt rund 40 % des Webs, Plugin-Schwachstellen sind ein Top-Angriffsvektor — den Aufsichtsbehörden ist das bekannt.
Was das konkret für Sie bedeutet
- ▸Der reine wordpress.org-Weg ohne jede Monetarisierung kann außerhalb der „Geschäftstätigkeit“ bleiben — ein Gratis-Plugin, das Ihr bezahltes SaaS bewirbt, ist jedoch kommerziell.
- ▸Ihre SBOM umfasst gebündelte PHP-Bibliotheken (Composer), gebündeltes JavaScript (der klassische Schwachpunkt: alte jQuery-Plugins, Chart-Bibliotheken) und einkopierten Fremdcode.
- ▸Sie müssen Sicherheits-Releases schnell ausliefern können: der wordpress.org-Update-Kanal oder ein Lizenz-Update-Mechanismus erfüllt die Anforderung — verwaiste Premium-Plugins auf Marktplätzen nicht.
- ▸Eine öffentliche Richtlinie zur koordinierten Offenlegung (CVD) zählt in diesem Ökosystem doppelt: die meisten WordPress-CVEs finden externe Researcher, die einen Meldeweg brauchen.
Die Falle, in die die meisten Teams laufen
Vor Jahren einkopierte, eingefrorene JS-Bibliotheken. Scanner und Prüfer finden sie in Minuten — genau dieses Muster adressiert Anhang I Teil II.
Die Fristen
2026-09-11
Beginn der Meldepflichten: aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle sind binnen 24 h / 72 h über die zentrale ENISA-Meldeplattform zu melden.
2027-12-11
Vollanwendung: grundlegende Anforderungen, technische Dokumentation, EU-Konformitätserklärung und CE-Kennzeichnung sind Voraussetzung für den Verkauf in der EU.
Wo steht Ihr Produkt konkret?
Der kostenlose Risk Check (englisch) liefert in 3 Minuten Ihr Anwendungsbereich-Urteil, die Risikoklasse, einen Readiness-Score und eine priorisierte Maßnahmenliste — inklusive der Grenzfälle, die diese Seite nicht abdecken kann. Ohne Anmeldung.
Oder CRAdar übernimmt das dauerhaft — zum Start benachrichtigen lassen:
Weitere Produkttypen
Redaktionelle Orientierungshilfe zur Verordnung (EU) 2024/2847 — keine Rechtsberatung.