Kto przeprowadza audyt zgodności EU dla WordPress?
WPPoland to agencja WordPress z ponad 20-letnim doświadczeniem i setkami wdrożeń produkcyjnych. Audyty zgodności EU prowadzą seniorzy, którzy na co dzień remediacją zajmują się w sklepach WooCommerce, portalach sektorów regulowanych i witrynach sprzedawanych do zamawiających publicznych. Mariusz Szatkowski jest w zespole organizacyjnym WordCamp Europe (2024-2026), co daje bezpośredni kontakt z praktykami dostępności i bezpieczeństwa z całej Europy, nie tylko z lektury dyrektyw.
Co obejmuje audyt zgodności EU?
Jeden zakup, trzy reżimy na warstwie WordPress:
- Dostępność (EAA / WCAG 2.2 AA) - storefront, checkout, formularze, multimedia
- Cyberbezpieczeństwo i łańcuch dostaw (NIS2 / DORA) - wtyczki, hosting, integracje ICT, ścieżka incydentu
- AI Act - oznaczenia treści generowanych przez AI, polityki użycia modeli na stronie
Wynik: raport pisany, backlog remediacji z priorytetami i pakiet dowodowy pod procurement.
Gdzie dostępny jest audyt?
Pracujemy zdalnie dla klientów z Polski, Niemiec, krajów nordyckich, Portugalii, Hiszpanii i reszty UE. Języki raportu: polski i angielski. Audyt wymaga dostępu do środowiska staging lub kopii produkcyjnej z ograniczeniami read-only tam, gdzie to możliwe.
Ile kosztuje audyt zgodności EU?
Wycena indywidualna - zależy od liczby aktywnych reżimów, rozmiaru sklepu lub portalu, liczby wtyczek i integracji oraz tego, czy remediacja P0 ma iść równolegle z audytem.
| Zakres | Cena | Uwagi |
|---|---|---|
| Audyt podstawowy (jeden reżim) | wycena indywidualna | Np. samo EAA na sklepie WooCommerce |
| Audyt pełny (EAA + NIS2/DORA + AI Act) | wycena indywidualna | Skonsolidowany raport i jeden backlog |
| Remediacja po audycie | wycena indywidualna | Opcjonalnie, osobny harmonogram |
Nie podajemy sztywnych cenników w internecie, bo zakres reżimów różni się między mikro-sklepem a portalem finansowym.
Audyt zgodności EU dla WordPress: jeden zakup zamiast trzech silosów
Zespoły zakupowe w UE coraz częściej wrzucają dostępność, cyberbezpieczeństwo i AI do jednego arkusza oceny dostawcy. Masz już artykuły o WCAG, BFSG i EAA, o NIS2 i DORA na WordPressie i o oznaczaniu treści AI. Brakuje usługi, która te trzy wątki zamknie na jednej instalacji WordPress bez trzech odrębnych firm i trzech niespójnych raportów.
Audyt zgodności EU to skonsolidowane badanie techniczne: co na Twojej stronie narusza lub ryzykuje naruszenie obowiązków wynikających z dyrektywy 2019/882 (EAA), dyrektywy 2022/2555 (NIS2), rozporządzenia 2022/2554 (DORA) oraz rozporządzenia 2024/1689 (AI Act). Nie powtarzamy tu pełnych wyjaśnień prawnych - odnośniki prowadzą do naszych blogów i do EUR-Lex.
Terminy napędzają ruch: EAA obowiązuje dla nowych usług od 2025-06-28, NIS2 jest transponowane w państwach członkowskich z obowiązkami dla podmiotów istotnych i ważnych, DORA dotyczy sektora finansowego od 2025-01-17, a AI Act wchodzi fazami od 2025. Jeśli kupujący pyta o dowody zanim podpiszesz umowę, ten audyt daje odpowiedź w formacie, który przejdzie przez procurement.
Co obejmuje audyt zgodności EU
Poniższa tabela to zakres techniczny na warstwie WordPress. Szczegóły prawne i checklisty wdrożeniowe są w powiązanych artykułach - tutaj tylko to, co mierzymy na Twojej instalacji.
| Reżim | Zakres audytu na WordPress | Głębszy materiał |
|---|---|---|
| Dostępność / EAA | WCAG 2.2 AA na ścieżkach zakupu, formularzach, nawigacji klawiaturą, kontrastach, multimedia, oświadczenie o dostępności | WCAG, BFSG i EAA na WordPressie |
| NIS2 / DORA | Rejestr wtyczek i integracji ICT, hardening, ścieżka incydentu 24h/72h, pola pod rejestr informacji DORA, ryzyko stron trzecich | NIS2 i DORA: stos zgodności 2026 |
| AI Act | Oznaczenia treści generowanych przez AI, polityka użycia modeli, formularze z automatycznym podsumowaniem, chatboty na stronie | AI Act: oznaczanie treści AI |
Audyt nie zastępuje audytu prawnego ani formalnego VPAT. Daje jednak mapę luk technicznych, którą prawnik lub audytor zewnętrzny może włączyć do szerszej oceny bez ponownego skanowania kodu.
Deliverables: co trafia do Twojej skrzynki
Po zakończeniu prac dostajesz trzy rzeczy, które procurement faktycznie czyta:
- Raport pisany (PDF) z podziałem na trzy reżimy, każde znalezisko z priorytetem P0-P3, dowodem (zrzut ekranu, fragment kodu, log) i instrukcją naprawczą zrozumiałą dla developera WordPress.
- Backlog remediacji w formacie gotowym do Jira, Linear lub arkusza - zależności między zadaniami, szacunkiem wysiłku i wskazaniem, co wymaga zmiany w motywie, wtyczce czy konfiguracji hostingu.
- Pakiet dowodowy pod zamówienia - mapa dostawców ICT (hosting, CDN, płatności, e-mail, analityka), wersje wtyczek, polityka aktualizacji, szkic ścieżki zgłoszenia incydentu zgodnej z oczekiwaniami NIS2.
Do tego 30-minutowe omówienie wideo dla osoby technicznej i dla compliance. W ciągu 30 dni odpowiadamy na pytania uzupełniające z wdrożenia backlogu.
Kto potrzebuje tego audytu
Nie każda strona WordPress potrzebuje pełnego trójmodułowego zakresu. Najczęściej zamawiają:
- Sklepy WooCommerce sprzedające do klientów w UE po wejściu EAA - szczególnie checkout, filtry produktów i formularze kontaktowe.
- Firmy z sektorów regulowanych (finanse, ubezpieczenia, infrastruktura krytyczna) lub ich dostawcy ICT, gdzie NIS2 i DORA lądują w tym samym RFP co dostępność.
- Podmioty publiczne i wykonawcy zamówień publicznych, którzy muszą pokazać WCAG i łańcuch dostaw przed podpisaniem umowy ramowej.
- Agencje sprzedające WordPress klientom z UE, które chcą jednego audytu referencyjnego zamiast trzech osobnych ofert podzleconych na zewnątrz.
Jeśli jesteś mikroprzedsiębiorstwem z wąskim wyjątkiem EAA, powiemy to na pierwszej rozmowie i nie będziemy fakturować modułów poza zakresem.
Jak przebiega współpraca
Pięć kroków z frontmatter howTo - w praktyce wygląda to tak:
Krok 1 - brief. Opisujesz typ witryny, kraje, sektor i listę integracji (płatności, CRM, narzędzia AI). Bez tego zakres reżimów jest zgadywaniem.
Krok 2 - ocena reżimów. Na rozmowie ustalamy, czy wchodzi EAA, NIS2/DORA, AI Act, czy podzbiór. Tu odsyłamy do blogów, jeśli zespół wewnętrzny potrzebuje kontekstu prawnego przed podpisaniem umowy.
Krok 3 - oferta. Wycena indywidualna, harmonogram, wymagany dostęp (staging, read-only SFTP, lista wtyczek).
Krok 4 - audyt. Automatyczny skan WCAG na reprezentatywnych URL, manualna próbka krytycznych ścieżek, przegląd wtyczek pod kątem NIS2/DORA, kontrola oznaczeń AI. Równolegle możemy zamykać luki P0, jeśli tak ustalimy w umowie.
Krok 5 - raport i handover. PDF, backlog, pakiet dowodowy, nagranie. Opcjonalnie przechodzimy w remediację lub w utrzymanie WordPress z kwartalnym re-audytem wybranych modułów.
Dowód z praktyki
W Q2 2026 zamknęliśmy skoping EAA dla anonimowego sklepu WooCommerce (40+ produktów, standardowy motyw blokowy, trzy wtyczki płatności i marketingu). W dwa tygodnie od kick-offu dostarczyliśmy raport WCAG z 23 znaleziskami, z czego 7 oznaczyliśmy P0 na checkout (etykiety pól, focus trap w mini-koszyku, kontrast przycisku „Zapłać”). Backlog poszedł do zespołu klienta z gotowymi ticketami; remediację P0 zamknęliśmy w kolejnym sprincie. Bez nazwy klienta, bez zmyślonych metryk - typowy kształt projektu po terminie EAA.
Powiązane usługi i materiały
Ten audyt agreguje trzy filary. Jeśli potrzebujesz głębszego wejścia w jeden reżim, masz też osobne oferty:
| Usługa | Kiedy osobno | Link |
|---|---|---|
| Audyt dostępności WCAG | Tylko EAA, bez NIS2 i AI | Filozofia WCAG i remediacja motywu |
| Audyt NIS2 i DORA | Sektor finansowy, rejestr dostawców ICT | Głębsze mapowanie DORA art. 28 |
| Audyt bezpieczeństwa WordPress | Incydent, malware, hardening bez compliance | Czyszczenie i utwardzenie po włamaniu |
Blogi (głęboko, bez powtarzania tutaj):
- WCAG 2.2, BFSG i EAA: stos zgodności 2026
- NIS2 i DORA na WordPressie: stos zgodności 2026
- AI Act: oznaczanie treści generowanych przez AI
Źródła pierwotne (EUR-Lex): EAA 2019/882, NIS2 2022/2555, DORA 2022/2554, AI Act 2024/1689.
Chcesz zamówić audyt? Wyślij brief przez formularz kontaktowy z opisem witryny, sektora i terminu, pod którym musisz pokazać dowody zgodności.







