¿Quién realiza auditorías de cumplimiento UE para WordPress?
WP Poland es una agencia WordPress con más de 20 años de experiencia en producción y cientos de sitios entregados. Las auditorías de cumplimiento UE las lideran seniors que cada semana remedian tiendas WooCommerce, portales de sectores regulados y sitios vendidos a licitación pública. Mariusz Szatkowski forma parte del equipo organizador de WordCamp Europe (2024-2026), lo que mantiene nuestra práctica conectada con expertos en accesibilidad y seguridad de toda Europa, no solo con resúmenes de directivas. En licitaciones españolas vemos cada vez más exigencias de accesibilidad bajo la Ley Europea de Accesibilidad junto a cuestionarios de cadena TIC alineados con NIS2 en el mismo cuadro de valoración del licitador.
¿Qué incluye la auditoría de cumplimiento UE?
Una contratación, tres regímenes en la capa WordPress:
- Accesibilidad (EAA / WCAG 2.2 AA) - escaparate, checkout, formularios, medios
- Ciberseguridad y cadena de suministro (NIS2 / DORA) - plugins, hosting, integraciones TIC, ruta de incidentes
- AI Act - etiquetado de contenido generado por IA, políticas de uso de modelos en el sitio
Entregables: informe escrito, backlog de remediación priorizado, paquete de evidencias para licitación.
¿Dónde está disponible la auditoría?
Trabajamos en remoto para clientes en Polonia, Alemania, países nórdicos, Portugal, España y el resto de la UE. Idiomas del informe: español e inglés. La auditoría requiere acceso a staging o una copia de producción con restricciones de solo lectura cuando sea posible.
¿Cuánto cuesta la auditoría de cumplimiento UE?
Presupuesto individual - depende de cuántos regímenes aplican, del tamaño de tienda o portal, del número de plugins e integraciones y de si la remediación P0 corre en paralelo con la auditoría.
| Alcance | Precio | Notas |
|---|---|---|
| Auditoría base (un régimen) | presupuesto individual | P. ej. solo EAA en una tienda WooCommerce |
| Auditoría completa (EAA + NIS2/DORA + AI Act) | presupuesto individual | Informe consolidado y un solo backlog |
| Remediación tras auditoría | presupuesto individual | Opcional, calendario separado |
No publicamos tarifas fijas en internet porque el alcance de regímenes varía entre una microtienda y un portal financiero.
Auditoría de cumplimiento UE para WordPress: una contratación en lugar de tres silos
Los equipos de compras de la UE puntúan cada vez más accesibilidad, ciberseguridad e IA en la misma hoja de proveedor. Ya tiene artículos sobre WCAG, BFSG y EAA, sobre NIS2 y DORA en WordPress y sobre etiquetado de contenido IA. Faltaba un servicio que cierre los tres hilos en una instalación WordPress sin tres proveedores y tres informes incoherentes.
La auditoría de cumplimiento UE es una revisión técnica consolidada: qué en su sitio incumple o arriesga incumplir obligaciones bajo la Directiva 2019/882 (EAA), la Directiva 2022/2555 (NIS2), el Reglamento 2022/2554 (DORA) y el Reglamento 2024/1689 (AI Act). No reexplicamos las directivas aquí - los enlaces apuntan a nuestros blogs y a EUR-Lex.
Los plazos impulsan la demanda: EAA aplica a servicios nuevos desde 2025-06-28, NIS2 está transpuesta en los Estados miembros con obligaciones para entidades esenciales e importantes, DORA cubre servicios financieros desde 2025-01-17 y el AI Act entra por fases desde 2025. Si el comprador pide evidencias antes de firmar, esta auditoría responde en un formato que licitación puede archivar.
Qué cubre la auditoría de cumplimiento UE
La tabla siguiente es el alcance técnico en WordPress. El detalle jurídico y las checklists de implementación están en los artículos enlazados - aquí solo lo que medimos en su instalación.
| Régimen | Alcance de auditoría en WordPress | Lectura profunda |
|---|---|---|
| Accesibilidad / EAA | WCAG 2.2 AA en rutas de compra, formularios, navegación por teclado, contraste, medios, declaración de accesibilidad | WCAG, BFSG y EAA: stack de cumplimiento |
| NIS2 / DORA | Registro de plugins e integraciones TIC, endurecimiento, ruta de incidentes 24h/72h, campos de registro de información DORA, riesgo de terceros | NIS2 y DORA: stack de cumplimiento 2026 |
| AI Act | Etiquetado de contenido generado por IA, política de uso de modelos, formularios con auto-resumen, chatbots en el sitio | AI Act: etiquetado de contenido generado por IA |
La auditoría no sustituye asesoría jurídica ni un VPAT formal. Sí ofrece un mapa de brechas técnicas que abogados o auditores externos pueden integrar en una evaluación más amplia sin volver a escanear código.
Entregables
Al cierre del encargo recibe tres artefactos que licitación sí lee:
- Informe escrito (PDF) dividido en tres regímenes. Cada hallazgo tiene prioridad P0-P3, evidencia (captura, extracto de código, log) e instrucciones de remediación que un desarrollador WordPress puede implementar sin idas y venidas.
- Backlog de remediación listo para Jira, Linear o hoja de cálculo - dependencias entre tareas, estimación de esfuerzo e indicación de si la corrección va en tema, plugin o configuración de hosting.
- Paquete de evidencias para licitación - mapa de proveedores TIC (hosting, CDN, pagos, correo, analítica), versiones de plugins, política de actualizaciones, esbozo de ruta de notificación de incidentes alineado con expectativas NIS2.
Más un walkthrough en vídeo de 30 minutos para ingeniería y compliance. Respondemos preguntas de seguimiento durante 30 días mientras trabaja el backlog.
Quién necesita esta auditoría
No todo sitio WordPress necesita el alcance completo de tres módulos. La encargan sobre todo:
- Tiendas WooCommerce que venden a clientes de la UE tras la fecha EAA - especialmente checkout, filtros de producto y formularios de contacto.
- Empresas de sectores regulados (finanzas, seguros, infraestructura crítica) o sus proveedores TIC, donde NIS2 y DORA llegan en el mismo pliego que accesibilidad.
- Sector público y contratistas que deben mostrar WCAG y evidencia de cadena de suministro antes de firmar un acuerdo marco.
- Agencias que venden WordPress a compradores de la UE y quieren una auditoría de referencia en lugar de tres ofertas subcontratadas.
Si es microempresa con exención estrecha de EAA, lo decimos en la primera llamada y no facturamos módulos fuera de alcance.
Cómo se desarrolla el encargo
Cinco pasos del frontmatter howTo - en la práctica:
Paso 1 - brief. Describa tipo de sitio, países, sector e integraciones (pagos, CRM, herramientas IA). Sin esto, el scoping de regímenes es adivinar.
Paso 2 - scoping de regímenes. En la llamada confirmamos si aplican EAA, NIS2/DORA, AI Act o un subconjunto. Apuntamos a los blogs si su equipo interno necesita contexto jurídico antes de firmar.
Paso 3 - propuesta. Presupuesto individual, calendario, acceso requerido (staging, SFTP solo lectura, lista de plugins).
Paso 4 - auditoría. Escaneo WCAG automatizado en URL representativas, muestra manual de rutas críticas, revisión de plugins para NIS2/DORA, comprobación de etiquetado IA. Podemos cerrar brechas P0 en paralelo si está contratado.
Paso 5 - informe y entrega. PDF, backlog, paquete de evidencias, grabación. Opcionalmente pasamos a remediación o mantenimiento WordPress continuo con re-auditoría trimestral de módulos seleccionados.
Prueba desde la práctica
En Q2 2026 completamos el scoping EAA para una tienda WooCommerce anonimizada presentada a un contrato marco del sector público español (40+ productos, tema de bloques estándar, tres plugins de pago y marketing). El pliego exigía accesibilidad conforme a la Ley Europea de Accesibilidad y documentación de cadena TIC en línea con expectativas NIS2 bajo la LCSP. En dos semanas desde el kick-off entregamos un informe WCAG con 23 hallazgos, siete marcados P0 en checkout (etiquetas de campos, trampa de foco en mini-carrito, contraste del botón de pago). El backlog llegó al equipo cliente como tickets listos; cerramos la remediación P0 en el sprint siguiente. Sin nombre de cliente, sin métricas inventadas - perfil típico de proyecto tras la fecha EAA.
Servicios relacionados y profundización
Esta auditoría agrega tres pilares. Si necesita profundizar en un régimen, existen servicios independientes:
| Servicio | Cuándo por separado | Enlace |
|---|---|---|
| Auditoría de accesibilidad WCAG | Solo EAA, sin NIS2 ni IA | Filosofía de remediación de tema |
| Cumplimiento NIS2 y DORA | Sector financiero, registro de proveedores TIC | Mapeo más profundo del artículo 28 DORA |
| Auditoría de seguridad WordPress | Incidente, malware, endurecimiento sin marco compliance | Limpieza y endurecimiento tras brecha |
Profundización en blog (el detalle está aquí, no repetido arriba):
- WCAG 2.2, BFSG y EAA: stack de cumplimiento 2026
- NIS2 y DORA en WordPress: stack de cumplimiento 2026
- AI Act: etiquetado de contenido generado por IA
Fuentes primarias (EUR-Lex): EAA 2019/882, NIS2 2022/2555, DORA 2022/2554, AI Act 2024/1689.
¿Listo para encargar la auditoría? Envíe un brief por el formulario de contacto con tipo de sitio, sector y plazo en el que debe mostrar evidencias de cumplimiento.







