Filar usługowy

Audyt NIS2 i DORA

Premium B2B zgodność, jurysdykcja UE, zakres per projekt.

Wycena indywidualna. Odpowiadam w ciągu jednego dnia roboczego.

Zamów audyt gotowości Audyt dostępności →

Co dostarczam

Pisemny raport gotowości. Wypełniony rejestr dostawców zgodny z polami Artykułu 28 DORA lub strukturą ścieżki dowodowej Załącznika II NIS2. Ocenę luk w zabezpieczeniach zmapowaną na zabezpieczenia wymagane przez dyrektywę. Playbook zgłaszania incydentów z harmonogramami 24-godzinnym, 72-godzinnym i miesięcznym, wstępnie zmapowany na Twój konkretny stack. 60-minutowe omówienie dla Twojego zespołu operacyjnego.

Dlaczego infrastruktury WordPress potrzebują tego inaczej

Większość prac nad gotowością celuje w oprogramowanie szyte na miarę albo SaaS. WordPress i WooCommerce wprowadzają specyficzne powierzchnie zgodności: wtyczki z uprawnieniami administratora, motywy dotykające bazy danych, bramki płatności rozgałęziające ruch do stron trzecich oraz warstwa redakcyjna często działająca poza formalnym change managementem. Potraktowanie tych elementów jako pełnoprawnych obiektów w rejestrze dostawców to różnica między obronnym raportem a ćwiczeniem typu „odhaczone".

Dla kogo to jest

  • Średnie i duże podmioty w sektorach kluczowych i ważnych NIS2 (Załącznik I, Załącznik II)
  • Regulowane podmioty finansowe objęte zakresem DORA
  • Krytyczni zewnętrzni dostawcy ICT obsługujący klientów objętych DORA
  • Zamówienia publiczne wymagające oświadczenia o gotowości strony trzeciej przed zamknięciem postępowania na WordPressa

Certyfikacja a rzeczywistość operacyjna

Komplet papierów ISO, RODO i NIS2 nie znaczy, że w urzędzie czy średniej firmie faktycznie da się odebrać zaszyfrowanego maila. Klasyczny przypadek z terenu: jednostka ma audytora, dokumentację i certyfikat, a starsze kserokopiarki Ricoh i Nashuatec nie potrafią wynegocjować TLS z firmowym serwerem pocztowym i nie skanują do skrzynek e-mail. Skan trzeba wozić pendrivem, więc zostaje dziurę w łańcuchu dowodowym i brak rejestru, kto miał plik w ręce. Tego typu sprzęt rzadko ma wyjątek w ISO, w polityce RODO ani w wykazie KSC. Audytujemy więc zarówno dokumenty, jak i to, co realnie dzieje się przy biurku, i mapujemy każde takie urządzenie do listy aktywów i dostawców.

Polska transpozycja NIS2: Krajowy System Cyberbezpieczeństwa (KSC)

Polska transpozycja NIS2 uruchamia konkretny harmonogram wpisu do wykazu KSC. 6 maja 2026 do rejestru automatycznie trafiają podmioty publiczne, operatorzy telekomunikacyjni i dostawcy usług cyfrowych. 7 maja 2026 startuje rządowa aplikacja online dla pozostałych przedsiębiorców. Termin samodzielnego wpisu mija 3 października 2026. Cała procedura odbywa się wyłącznie online z kwalifikowanym podpisem elektronicznym. Sankcje za zignorowanie obowiązku sięgają 100 mln zł, a osoby zarządzające odpowiadają do trzykrotności miesięcznego wynagrodzenia. Co istotne, polska nowelizacja z kwietnia 2026 wyraźnie rozszerza osobistą odpowiedzialność poza członków zarządu na całą kadrę kierowniczą nadzorującą obszary objęte KSC, czyli na dyrektorów IT, bezpieczeństwa, compliance i operacji. Źródło: doniesienia mediów branżowych za Ministerstwem Cyfryzacji, maj 2026. Klasyfikacja podmiotu pod KSC jest pierwszym krokiem mapowania zakresu w naszym audycie i prowadzi wprost do rejestru dostawców i runbooka incydentów.

Model współpracy

Senioralne kontrakty B2B w jurysdykcji UE. Czterotygodniowe okno od kickoffu do raportu. Dostępny retainer na przeglądy kwartalne. Wycena indywidualna.

NIS2 to dyrektywa szerokiego zakresu transponowana do prawa krajowego. DORA to rozporządzenie wąskiego zakresu stosowane bezpośrednio. Pokrywają się na podmiotach finansowych, które są też kluczowe pod NIS2. NIS2 (Dyrektywa 2022/2555). DORA (Rozporządzenie 2022/2554). NIS2 (Dyrektywa 2022/2555) 18 sektorów, podmioty kluczowe + ważne Termin transpozycji krajowej 2024-10-17 Zgłoszenie incydentu 24h / 72h / 30 dni DORA (Rozporządzenie 2022/2554) Sektor finansowy + krytyczni dostawcy ICT (CTPP) Stosowane bezpośrednio od 2025-01-17 TLPT co 3 lata dla wybranych podmiotów
NIS2 to dyrektywa szerokiego zakresu transponowana do prawa krajowego. DORA to rozporządzenie wąskiego zakresu stosowane bezpośrednio. Pokrywają się na podmiotach finansowych, które są też kluczowe pod NIS2.

Najczęściej zadawane pytania

Czy NIS2 dotyczy mojej strony WordPress?

Dotyczy średnich i dużych podmiotów w sektorach kluczowych i ważnych zdefiniowanych w Załączniku I i Załączniku II. Jeśli jesteś dostawcą usług cyfrowych, marketplace'em, podmiotem ochrony zdrowia, administracją publiczną lub dostawcą infrastruktury krytycznej powyżej progu wielkości, jesteś w zakresie. Dyrektywa jest już prawem krajowym w każdym państwie członkowskim; organ nadzoru zależy od kraju.

A co z DORA?

DORA obowiązuje regulowane podmioty finansowe oraz ich krytycznych zewnętrznych dostawców ICT, ze stosowaniem od 17 stycznia 2025. Jeśli Twoja infrastruktura WordPress obsługuje usługi finansowe skierowane do klienta lub działasz jako dostawca ICT dla takiego podmiotu, Artykuł 28 wymaga rejestru informacji oraz postanowień umownych dotyczących podwykonawstwa, strategii wyjścia i zgłaszania incydentów.

Co jest produktem końcowym?

Pisemny raport gotowości, wypełniony rejestr dostawców zgodny z polami Artykułu 28 DORA lub strukturą Załącznika II NIS2, ocena luk w zabezpieczeniach z szacunkami pracy naprawczej oraz playbook zgłaszania incydentów z harmonogramami 24-godzinnym, 72-godzinnym i miesięcznym, wstępnie zmapowany na Twój stack.

Czy zajmiesz się też usuwaniem luk?

Tak, jako osobny projekt. Raport gotowości pozostaje oddzielony od wdrożenia, dzięki czemu jest obronny przed audytorem. Jeśli zlecisz mi remediację, zakres wynika z listy luk; wycena indywidualna. Remediacja zwykle łączy hardening znany z filaru audytu bezpieczeństwa ze zmianami w umowach z dostawcami, za które odpowiada Twój zespół prawny.

Czym to się różni od oprogramowania szytego na miarę?

Większość firm zajmujących się gotowością NIS2 i DORA zna oprogramowanie szyte na miarę i SaaS. WordPress i WooCommerce wprowadzają specyficzne tryby awarii: wtyczki z uprawnieniami administratora, motywy z dostępem do bazy, bramki płatności rozgałęziające ruch do stron trzecich oraz warstwa redakcyjna często wymykająca się procesowi change management. Traktuję te elementy jako pełnoprawne powierzchnie zgodności, a nie sprawy poboczne.

Powiązany klaster

Sprawdź inne usługi WordPress i bazę wiedzy

Wzmocnij swój biznes dzięki profesjonalnemu wsparciu technicznemu w kluczowych obszarach ekosystemu WordPress.

Audyt NIS2 i DORA

Mapowanie NIS2 i DORA, rejestr dostawców, runbook incydentów.

Sprawdź usługę
Audyt Bezpieczeństwa

Audyt, hardening i ochrona przed incydentami.

Sprawdź usługę
Audyt dostępności WCAG

WCAG 2.2, BFSG, EAA — raport zgodności z ścieżką naprawy.

Sprawdź usługę
Opieka Techniczna

Stabilność, aktualizacje i wsparcie po wdrożeniu.

Sprawdź usługę
Programista WordPress

Dedykowany development i architektura WordPress.

Sprawdź usługę
Programista Headless CMS

Headless WordPress, Sanity, Strapi i Contentful z Astro lub Next.js.

Sprawdź usługę

Powiązane kategorie

wordpress bezpieczenstwo prawo-eu

Artykuły wspierające temat

NIS2 i DORA na WordPressie: co musi spełniać strona w 2026
NIS2 i DORA na WordPressie: co musi spełniać strona w 2026

Dyrektywa NIS2 (2022/2555) miała być transponowana do prawa krajowego do 2024-10-17. Rozporządzenie DORA (2022/2554) obowiązuje bezpośrednio od 2025-01-17. Dla operatora strony WordPress oznacza to konkretne obowiązki, jeśli serwis dotyczy podmiotów regulowanych. Tłumaczymy bez paniki, z odniesieniem do tekstów aktów.

NIS2 vs DORA pokrywanie się zakresów dla agencji WordPress 2026
NIS2 vs DORA pokrywanie się zakresów dla agencji WordPress 2026

NIS2 (dyrektywa 2022/2555) i DORA (rozporządzenie 2022/2554) pokrywają podobny obszar, ale różną mechaniką. Gdzie się pokrywają, gdzie się rozchodzą i jak agencja WordPress spełnia oba jedną ścieżką dowodową.

DORA Artykuł 28 – ryzyko stron trzecich ICT: audyt dostawcy hostingu i WAF dla WordPress
DORA Artykuł 28 – ryzyko stron trzecich ICT: audyt dostawcy hostingu i WAF dla WordPress

Artykuł 28 Rozporządzenia 2022/2554 czyni podmioty finansowe odpowiedzialnymi za ryzyko ICT każdej strony trzeciej, z którą współpracują. Opisuję checklistę due diligence dostawcy, którą dostarczam wraz z mandatami WordPress dla banków i ubezpieczycieli w 2026.

Pakiet lektur

Zakres i stack

Dowody i artefakty operacyjne

Reakcja na incydent

Powiązane usługi

Niech praca audytora będzie nudna

Podaj klasyfikację podmiotu (sektor NIS2 lub zakres DORA) i infrastrukturę WordPress w zakresie. Odpowiadam w ciągu jednego dnia roboczego.

Napisz do mnie