Audyt zgodności EU dla WordPress: dostępność, NIS2/DORA, AI Act
PL

Audyt zgodności EU dla WordPress: dostępność, NIS2/DORA, AI Act

5.00/5 - (17 głosów)
7 min czytania
Przewodnik

#Kto przeprowadza audyt zgodności EU dla WordPress?

WPPoland to agencja WordPress z ponad 20-letnim doświadczeniem i setkami wdrożeń produkcyjnych. Audyty zgodności EU prowadzą seniorzy, którzy na co dzień remediacją zajmują się w sklepach WooCommerce, portalach sektorów regulowanych i witrynach sprzedawanych do zamawiających publicznych. Mariusz Szatkowski jest w zespole organizacyjnym WordCamp Europe (2024-2026), co daje bezpośredni kontakt z praktykami dostępności i bezpieczeństwa z całej Europy, nie tylko z lektury dyrektyw.

#Co obejmuje audyt zgodności EU?

Jeden zakup, trzy reżimy na warstwie WordPress:

  • Dostępność (EAA / WCAG 2.2 AA) - storefront, checkout, formularze, multimedia
  • Cyberbezpieczeństwo i łańcuch dostaw (NIS2 / DORA) - wtyczki, hosting, integracje ICT, ścieżka incydentu
  • AI Act - oznaczenia treści generowanych przez AI, polityki użycia modeli na stronie

Wynik: raport pisany, backlog remediacji z priorytetami i pakiet dowodowy pod procurement.

#Gdzie dostępny jest audyt?

Pracujemy zdalnie dla klientów z Polski, Niemiec, krajów nordyckich, Portugalii, Hiszpanii i reszty UE. Języki raportu: polski i angielski. Audyt wymaga dostępu do środowiska staging lub kopii produkcyjnej z ograniczeniami read-only tam, gdzie to możliwe.

#Ile kosztuje audyt zgodności EU?

Wycena indywidualna - zależy od liczby aktywnych reżimów, rozmiaru sklepu lub portalu, liczby wtyczek i integracji oraz tego, czy remediacja P0 ma iść równolegle z audytem.

ZakresCenaUwagi
Audyt podstawowy (jeden reżim)wycena indywidualnaNp. samo EAA na sklepie WooCommerce
Audyt pełny (EAA + NIS2/DORA + AI Act)wycena indywidualnaSkonsolidowany raport i jeden backlog
Remediacja po audyciewycena indywidualnaOpcjonalnie, osobny harmonogram

Nie podajemy sztywnych cenników w internecie, bo zakres reżimów różni się między mikro-sklepem a portalem finansowym.


#Audyt zgodności EU dla WordPress: jeden zakup zamiast trzech silosów

Zespoły zakupowe w UE coraz częściej wrzucają dostępność, cyberbezpieczeństwo i AI do jednego arkusza oceny dostawcy. Masz już artykuły o WCAG, BFSG i EAA, o NIS2 i DORA na WordPressie i o oznaczaniu treści AI. Brakuje usługi, która te trzy wątki zamknie na jednej instalacji WordPress bez trzech odrębnych firm i trzech niespójnych raportów.

Audyt zgodności EU to skonsolidowane badanie techniczne: co na Twojej stronie narusza lub ryzykuje naruszenie obowiązków wynikających z dyrektywy 2019/882 (EAA), dyrektywy 2022/2555 (NIS2), rozporządzenia 2022/2554 (DORA) oraz rozporządzenia 2024/1689 (AI Act). Nie powtarzamy tu pełnych wyjaśnień prawnych - odnośniki prowadzą do naszych blogów i do EUR-Lex.

Terminy napędzają ruch: EAA obowiązuje dla nowych usług od 2025-06-28, NIS2 jest transponowane w państwach członkowskich z obowiązkami dla podmiotów istotnych i ważnych, DORA dotyczy sektora finansowego od 2025-01-17, a AI Act wchodzi fazami od 2025. Jeśli kupujący pyta o dowody zanim podpiszesz umowę, ten audyt daje odpowiedź w formacie, który przejdzie przez procurement.

#Co obejmuje audyt zgodności EU

Poniższa tabela to zakres techniczny na warstwie WordPress. Szczegóły prawne i checklisty wdrożeniowe są w powiązanych artykułach - tutaj tylko to, co mierzymy na Twojej instalacji.

ReżimZakres audytu na WordPressGłębszy materiał
Dostępność / EAAWCAG 2.2 AA na ścieżkach zakupu, formularzach, nawigacji klawiaturą, kontrastach, multimedia, oświadczenie o dostępnościWCAG, BFSG i EAA na WordPressie
NIS2 / DORARejestr wtyczek i integracji ICT, hardening, ścieżka incydentu 24h/72h, pola pod rejestr informacji DORA, ryzyko stron trzecichNIS2 i DORA: stos zgodności 2026
AI ActOznaczenia treści generowanych przez AI, polityka użycia modeli, formularze z automatycznym podsumowaniem, chatboty na stronieAI Act: oznaczanie treści AI

Audyt nie zastępuje audytu prawnego ani formalnego VPAT. Daje jednak mapę luk technicznych, którą prawnik lub audytor zewnętrzny może włączyć do szerszej oceny bez ponownego skanowania kodu.

#Deliverables: co trafia do Twojej skrzynki

Po zakończeniu prac dostajesz trzy rzeczy, które procurement faktycznie czyta:

  1. Raport pisany (PDF) z podziałem na trzy reżimy, każde znalezisko z priorytetem P0-P3, dowodem (zrzut ekranu, fragment kodu, log) i instrukcją naprawczą zrozumiałą dla developera WordPress.
  2. Backlog remediacji w formacie gotowym do Jira, Linear lub arkusza - zależności między zadaniami, szacunkiem wysiłku i wskazaniem, co wymaga zmiany w motywie, wtyczce czy konfiguracji hostingu.
  3. Pakiet dowodowy pod zamówienia - mapa dostawców ICT (hosting, CDN, płatności, e-mail, analityka), wersje wtyczek, polityka aktualizacji, szkic ścieżki zgłoszenia incydentu zgodnej z oczekiwaniami NIS2.

Do tego 30-minutowe omówienie wideo dla osoby technicznej i dla compliance. W ciągu 30 dni odpowiadamy na pytania uzupełniające z wdrożenia backlogu.

#Kto potrzebuje tego audytu

Nie każda strona WordPress potrzebuje pełnego trójmodułowego zakresu. Najczęściej zamawiają:

  • Sklepy WooCommerce sprzedające do klientów w UE po wejściu EAA - szczególnie checkout, filtry produktów i formularze kontaktowe.
  • Firmy z sektorów regulowanych (finanse, ubezpieczenia, infrastruktura krytyczna) lub ich dostawcy ICT, gdzie NIS2 i DORA lądują w tym samym RFP co dostępność.
  • Podmioty publiczne i wykonawcy zamówień publicznych, którzy muszą pokazać WCAG i łańcuch dostaw przed podpisaniem umowy ramowej.
  • Agencje sprzedające WordPress klientom z UE, które chcą jednego audytu referencyjnego zamiast trzech osobnych ofert podzleconych na zewnątrz.

Jeśli jesteś mikroprzedsiębiorstwem z wąskim wyjątkiem EAA, powiemy to na pierwszej rozmowie i nie będziemy fakturować modułów poza zakresem.

#Jak przebiega współpraca

Pięć kroków z frontmatter howTo - w praktyce wygląda to tak:

Krok 1 - brief. Opisujesz typ witryny, kraje, sektor i listę integracji (płatności, CRM, narzędzia AI). Bez tego zakres reżimów jest zgadywaniem.

Krok 2 - ocena reżimów. Na rozmowie ustalamy, czy wchodzi EAA, NIS2/DORA, AI Act, czy podzbiór. Tu odsyłamy do blogów, jeśli zespół wewnętrzny potrzebuje kontekstu prawnego przed podpisaniem umowy.

Krok 3 - oferta. Wycena indywidualna, harmonogram, wymagany dostęp (staging, read-only SFTP, lista wtyczek).

Krok 4 - audyt. Automatyczny skan WCAG na reprezentatywnych URL, manualna próbka krytycznych ścieżek, przegląd wtyczek pod kątem NIS2/DORA, kontrola oznaczeń AI. Równolegle możemy zamykać luki P0, jeśli tak ustalimy w umowie.

Krok 5 - raport i handover. PDF, backlog, pakiet dowodowy, nagranie. Opcjonalnie przechodzimy w remediację lub w utrzymanie WordPress z kwartalnym re-audytem wybranych modułów.

#Dowód z praktyki

W Q2 2026 zamknęliśmy skoping EAA dla anonimowego sklepu WooCommerce (40+ produktów, standardowy motyw blokowy, trzy wtyczki płatności i marketingu). W dwa tygodnie od kick-offu dostarczyliśmy raport WCAG z 23 znaleziskami, z czego 7 oznaczyliśmy P0 na checkout (etykiety pól, focus trap w mini-koszyku, kontrast przycisku „Zapłać”). Backlog poszedł do zespołu klienta z gotowymi ticketami; remediację P0 zamknęliśmy w kolejnym sprincie. Bez nazwy klienta, bez zmyślonych metryk - typowy kształt projektu po terminie EAA.

#Powiązane usługi i materiały

Ten audyt agreguje trzy filary. Jeśli potrzebujesz głębszego wejścia w jeden reżim, masz też osobne oferty:

UsługaKiedy osobnoLink
Audyt dostępności WCAGTylko EAA, bez NIS2 i AIFilozofia WCAG i remediacja motywu
Audyt NIS2 i DORASektor finansowy, rejestr dostawców ICTGłębsze mapowanie DORA art. 28
Audyt bezpieczeństwa WordPressIncydent, malware, hardening bez complianceCzyszczenie i utwardzenie po włamaniu

Blogi (głęboko, bez powtarzania tutaj):

Źródła pierwotne (EUR-Lex): EAA 2019/882, NIS2 2022/2555, DORA 2022/2554, AI Act 2024/1689.

Chcesz zamówić audyt? Wyślij brief przez formularz kontaktowy z opisem witryny, sektora i terminu, pod którym musisz pokazać dowody zgodności.

Powiązany klaster

Sprawdź inne usługi WordPress i bazę wiedzy

Wzmocnij swój biznes dzięki profesjonalnemu wsparciu technicznemu w kluczowych obszarach ekosystemu WordPress.

Rekomendacje z LinkedIn

Rekomendacje i opinie o współpracy z WPPoland

Wybrane rekomendacje liderów branży WordPress, WordCamp i e-commerce - z naciskiem na terminowość, głębię techniczną i biznesowe podejście do rozwoju serwisów.

Karolina Czapla

Karolina Czapla

Strateg Marketingowy – Performance & Digital Strategy

“Praca z Mariuszem przy WordCampie pokazała mi, jak rzadko łączy się głębokie umiejętności techniczne z prawdziwym przywództwem. Planuje, koordynuje i dowozi z ogromną dbałością o szczegóły, a jednocześnie daje zespołowi ...”

Współorganizatorka WordCamp Gdynia 2024 i 2025

Argert Boja

Argert Boja

Senior Full‑Stack Developer

“Mariusz jest takim współpracownikiem, jakiego każdy chciałby mieć: mocne kompetencje full‑stack WordPress, jasne tłumaczenie decyzji technicznych i pozytywne nastawienie nawet pod presją. Sprawnie przechodzi między wtycz...”

Pracowaliśmy razem przy projektach WordPress

Daniel Blossfeld

Daniel Blossfeld

Konsultant ds. Optymalizacji Procesów i Digitalizacji

“Miałem przyjemność współpracować z Mariuszem przez prawie trzy lata. W tym czasie jego umiejętności w zakresie rozwoju WordPressa okazały się nieocenione w wielu projektach, od budowy stron internetowych po obszary człon...”

Mariusz był jego klientem przy pracach WordPress

Jessica Di Pasquale

Jessica Di Pasquale

Prowadzenie inicjatyw SEO z strategiami wzrostu opartymi na danych.

“Mariusz to bardzo utalentowany, cierpliwy i doświadczony człowiek. Zawsze gotowy do pomocy i naprawiania błędów, naprawdę doceniałem pracę z nim. Jest wspaniałym kolegą!”

Bezpośrednio zarządzała Mariuszem

Belinda Koch

Belinda Koch

Analityk Web-Tracking w TUI

“Mariusz to wspaniała osoba do współpracy. Jest niezwykle zmotywowany do nauki nowych rzeczy i dzielenia się swoją wiedzą, a także posiada szeroką wiedzę na wiele tematów. Pracowaliśmy razem nad analityką cyfrową i temata...”

Pracowaliśmy z Mariuszem nad analityką cyfrową i tematami śledzenia

Paweł Lewczuk

Paweł Lewczuk

Front-end developer, WordPress developer

“Współpracowałem z Mariuszem przy kilku projektach i nasza współpraca zawsze przebiegała wzorowo. Myślę, że jeszcze niejeden wspólny projekt przed nami. Polecam!”

Mariusz był klientem Pawła

Czym różni się audyt zgodności EU od pojedynczego audytu dostępności?#
Audyt dostępności mierzy WCAG 2.2 AA na warstwie front-endu. Audyt zgodności EU łączy ten wynik z mapowaniem NIS2 i DORA na łańcuch dostaw WordPressa (hosting, wtyczki, SaaS) oraz z kontrolą AI Act tam, gdzie strona publikuje lub generuje treści z użyciem modeli. Dostajesz jeden raport i jeden backlog zamiast trzech niespójnych dokumentów od różnych dostawców.
Czy mały sklep WooCommerce musi przejść pełny audyt EU?#
Zakres zależy od operatora, nie od samego CMS-a. Mikroprzedsiębiorstwa mają węższe wyjątki w EAA, ale sklep z 40+ produktami obsługujący klientów z UE często wpada w obowiązek dostępności od 2025-06-28. NIS2 i DORA dotyczą operatorów z sektorów regulowanych lub ich dostawców ICT. Na pierwszej rozmowie ustalamy, które z trzech reżimów faktycznie Cię dotyczą, żeby nie płacić za moduły poza zakresem.
Ile trwa audyt zgodności EU na WordPressie?#
Typowy sklep WooCommerce z kilkudziesięcioma produktami i standardowym stackiem wtyczek: dwa tygodnie od kick-offu do raportu z backlogiem. Portale z wieloma integracjami, SSO i niestandardowymi wtyczkami: trzy do czterech tygodni. Harmonogram zależy od dostępu do środowiska staging, listy integracji i tego, czy remediacja krytyczna ma iść równolegle z audytem.
Co dostaję na końcu audytu?#
Raport pisany z podziałem na EAA/WCAG, NIS2/DORA i AI Act, backlog remediacji z priorytetami (P0 do P3), pakiet dowodowy pod procurement (mapa dostawców, rejestr wtyczek, ścieżka incydentu) oraz 30-minutowe omówienie wideo dla zespołu technicznego i osoby odpowiedzialnej za compliance. Opcjonalnie wdrażamy poprawki P0 w ramach osobnego zakresu.
Czy audyt zastępuje certyfikat WCAG lub audyt prawny?#
Nie. Audyt techniczny WordPressa pokazuje luki na warstwie CMS, motywu, wtyczek i konfiguracji. Nie zastępuje formalnego audytu prawnego ani pełnego VPAT pod konkretny kontrakt publiczny. Raport jest jednak napisany tak, żeby prawnik lub audytor zewnętrzny mógł go włączyć do szerszej oceny zgodności bez ponownego skanowania kodu.
Czy możecie wdrożyć poprawki po audycie?#
Tak. Backlog z audytu można zamówić jako remediację: naprawy dostępności w motywie i WooCommerce, hardening pod NIS2, oznaczenia AI Act w szablonach treści. Krytyczne luki (np. brak etykiet formularza checkout, publiczny endpoint REST) zamykamy w pierwszej kolejności, zanim reszta zespołu czyta pełny raport.

Potrzebujesz FAQ dopasowanego do branży i rynku? Przygotujemy wersję pod Twoje cele biznesowe.

Porozmawiajmy

Polecane artykuły

Dlaczego Perplexity cytuje Twoją markę, a ChatGPT nie

Nasz własny bazowy pomiar Geoboard pokazał Perplexity jako najsilniejszy silnik i ChatGPT z zerową obecnością na ośmiu śledzonych promptach w tym samym przebiegu. Oto mechanizm stojący za tym rozjazdem i co to znaczy dla zakupów, ewaluatorów i agencji raportujących widoczność w AI klientom.