Pilar de servicio

Cumplimiento NIS2 y DORA

Senior B2B, jurisdicción UE, alcance definido por proyecto.

Tarificación individual. Respuesta en un día laborable.

Pedir evaluación Auditoría de accesibilidad →

Qué entrego

Un informe escrito, registro de proveedores, evaluación de brechas, runbook de incidente y plan de acciones priorizado. La evaluación cubre WordPress clásico, WooCommerce y headless WordPress con CDN, edge, APIs, pagos, autenticación y proveedores externos.

Por qué WordPress necesita una evaluación propia

En un contexto regulado, WordPress no es solo una web. Los plugins pueden tener privilegios de administrador, los temas pueden tocar la base de datos, los editores pueden publicar fuera de un proceso formal de cambio, y WooCommerce puede involucrar varios proveedores de pago y analítica. La evaluación tiene que mirar ese funcionamiento real.

Los documentos no bastan

Una organización puede tener ISO, RGPD y políticas internas, pero fallar en una tarea sencilla: enviar un escaneo de forma segura. Impresoras antiguas que no negocian TLS con el servidor de correo acaban generando atajos como USB o envío manual, sin trazabilidad. Ese tipo de detalle rara vez aparece en la documentación formal, pero pesa en una auditoría seria.

Modelo de trabajo

El ciclo normal dura cuatro semanas: alcance, inventario, análisis de brechas, ensayo de incidente y entrega. La remediación se separa para mantener el informe defendible y evitar mezclar diagnóstico con venta de implementación.

NIS2 es una directiva de alcance amplio transpuesta al derecho nacional. DORA es un reglamento de alcance estrecho aplicado directamente. Se solapan en las entidades financieras también clasificadas como esenciales bajo NIS2. NIS2 (Directiva 2022/2555). DORA (Reglamento 2022/2554). NIS2 (Directiva 2022/2555) 18 sectores, entidades esenciales + importantes Plazo de transposición nacional 2024-10-17 Notificación de incidente 24h / 72h / 30 días DORA (Reglamento 2022/2554) Sector financiero + proveedores ICT críticos (CTPP) Aplicación directa desde 2025-01-17 TLPT cada 3 años para entidades seleccionadas
NIS2 es una directiva de alcance amplio transpuesta al derecho nacional. DORA es un reglamento de alcance estrecho aplicado directamente. Se solapan en las entidades financieras también clasificadas como esenciales bajo NIS2.

Preguntas frecuentes

¿NIS2 aplica a un sitio WordPress?

Depende de la entidad y del uso del sitio. NIS2 aplica a entidades medianas y grandes en sectores esenciales o importantes. Si WordPress soporta servicios públicos, salud, transporte, servicios digitales, portales de cliente o comunicación crítica con proveedores, el alcance debe documentarse.

¿Cuándo entra DORA?

DORA aplica a entidades financieras reguladas y a proveedores TIC críticos. Un WordPress o WooCommerce entra en la conversación cuando sostiene una experiencia de cliente, documentos, autenticación, pagos, marketing financiero o integración con proveedores de una entidad regulada.

¿Qué se entrega?

Un informe de preparación, registro de proveedores, evaluación de brechas, runbook de incidentes y plan de acciones. Está escrito para que seguridad, legal, compras y operación trabajen sobre la misma evidencia.

¿Es asesoría legal?

No. La evaluación es técnica y operativa. La interpretación jurídica final, la comunicación con reguladores y la responsabilidad formal pertenecen a la entidad y a sus asesores legales.

¿También podéis corregir los hallazgos?

Sí, como proyecto separado. Primero queda claro qué existe, qué falta y qué debe priorizarse; después podemos ejecutar hardening, logging, pruebas de backup, limpieza de proveedores o arquitectura Cloudflare.

Cluster relacionado

Explora otros servicios WordPress y base de conocimiento

Refuerza tu negocio con soporte técnico profesional en áreas clave del ecosistema WordPress.

Auditoría de Seguridad

Auditoría, hardening y menos riesgo operacional.

Ver servicio
Auditoría de accesibilidad (WCAG)

WCAG 2.2 y EAA — informe de conformidad y plan de remediación.

Ver servicio
Mantenimiento y Soporte

Estabilidad, actualizaciones y soporte continuo.

Ver servicio
Desarrollador WordPress

Ingeniería WordPress y arquitectura personalizada.

Ver servicio

Categorías relacionadas

seguridad wordpress derecho-ue opinion

Artículos de apoyo

NIS2 y DORA en WordPress: qué debe cumplir un sitio en 2026
NIS2 y DORA en WordPress: qué debe cumplir un sitio en 2026

La Directiva NIS2 (2022/2555) debía transponerse al derecho naciónal antes del 2024-10-17. El Reglamento DORA (2022/2554) se aplica directamente desde el 2025-01-17. Para el operador de un sitio WordPress esto supone obligaciónes concretas si el sitio se refiere a una entidad regulada. Lo explicamos sin alarmismo, con referencias a los textos de los actos.

53 por ciento de sitios WordPress con CVE sin parchear: auditoría GuardingWP
53 por ciento de sitios WordPress con CVE sin parchear: auditoría GuardingWP

El primer informe "State of WordPress Security 2026" de GuardingWP escaneo 424 instalaciones de WordPress confirmadas en mas de 40 sectores. Resultado principal: mas de la mitad sirve al menos un plugin con CVE conocida sin parchear. El fundador de Patchstack, Oliver Sild, anuncio que WordPress 7.0 desatara "una carrera absoluta de hackers tras las claves API". Polemica: el 53 por ciento no es descuido del usuario, es el resultado estructural de la economia de plugins. La solucion esta escrita en el articulo 21 de NIS2 y en el articulo 28 de DORA, pero requiere un marco de controles y no la compra de otro firewall.

Cuatro backdoors en plugins en un mes: la cadena de suministro de WordPress en 2026
Cuatro backdoors en plugins en un mes: la cadena de suministro de WordPress en 2026

Austin Ginder reveló cuatro backdoors en plugins de WordPress.org en 30 días, además de un autor que mantuvo un servidor de actualizaciones oculto durante cinco años. ¿Qué significa esto para los mapas de dependencias de NIS2 y DORA.

Servicios relacionados

Convertir cumplimiento en evidencia verificable

Envía el sector, el papel en la cadena de proveedores y una descripción breve del entorno WordPress. Respondo en un día laborable.

Contactar