Quem realiza auditorias de conformidade UE para WordPress?
WP Poland é uma agência WordPress com mais de 20 anos de experiência em produção e centenas de sites entregues. As auditorias de conformidade UE são lideradas por seniors que semanalmente remediam lojas WooCommerce, portais de setores regulados e sites vendidos a contratação pública. Mariusz Szatkowski integra a equipa organizadora do WordCamp Europe (2024-2026), o que mantém a nossa prática ligada a especialistas em acessibilidade e segurança de toda a Europa - não apenas a resumos de diretivas. Em concursos públicos portugueses vemos cada vez mais exigências de acessibilidade ao abrigo do Ato Europeu da Acessibilidade e questionários de cadeia TIC alinhados com NIS2 no mesmo quadro de avaliação da entidade adjudicante.
O que inclui a auditoria de conformidade UE?
Uma contratação, três regimes na camada WordPress:
- Acessibilidade (EAA / WCAG 2.2 AA) - montra, checkout, formulários, multimédia
- Cibersegurança e cadeia de fornecimento (NIS2 / DORA) - plugins, alojamento, integrações TIC, percurso de incidente
- AI Act - rotulagem de conteúdo gerado por IA, políticas de uso de modelos no site
Entregáveis: relatório escrito, backlog de remediação priorizado, pacote de evidências para contratação.
Onde está disponível a auditoria?
Trabalhamos remotamente para clientes na Polónia, Alemanha, países nórdicos, Portugal, Espanha e resto da UE. Idiomas do relatório: português e inglês. A auditoria requer acesso a staging ou cópia de produção com restrições só leitura quando possível.
Quanto custa a auditoria de conformidade UE?
Orçamento individual - depende de quantos regimes se aplicam, do tamanho da loja ou portal, do número de plugins e integrações e de a remediação P0 correr em paralelo com a auditoria.
| Âmbito | Preço | Notas |
|---|---|---|
| Auditoria base (um regime) | orçamento individual | P. ex. só EAA numa loja WooCommerce |
| Auditoria completa (EAA + NIS2/DORA + AI Act) | orçamento individual | Relatório consolidado e um único backlog |
| Remediação pós-auditoria | orçamento individual | Opcional, calendário separado |
Não publicamos tabelas de preços fixas online porque o âmbito dos regimes varia entre uma micro-loja e um portal financeiro.
Auditoria de conformidade UE para WordPress: uma contratação em vez de três silos
As equipas de compras na UE pontuam cada vez mais acessibilidade, cibersegurança e IA na mesma folha de fornecedor. Já tem artigos sobre WCAG, BFSG e EAA, sobre NIS2 e DORA em WordPress e sobre rotulagem de conteúdo IA. Faltava um serviço que feche os três fios numa instalação WordPress sem três fornecedores e três relatórios incoerentes.
A auditoria de conformidade UE é uma revisão técnica consolidada: o que no seu site viola ou arrisca violar obrigações ao abrigo da Diretiva 2019/882 (EAA), da Diretiva 2022/2555 (NIS2), do Regulamento 2022/2554 (DORA) e do Regulamento 2024/1689 (AI Act). Não reexplicamos as diretivas aqui - as ligações apontam para os nossos blogs e para o EUR-Lex.
Os prazos impulsionam a procura: o EAA aplica-se a novos serviços a partir de 2025-06-28, a NIS2 está transposta nos Estados-Membros com obrigações para entidades essenciais e importantes, o DORA cobre serviços financeiros desde 2025-01-17 e o AI Act entra por fases a partir de 2025. Se o comprador pedir evidências antes de assinar, esta auditoria responde num formato que a contratação pública pode arquivar.
O que a auditoria de conformidade UE cobre
A tabela seguinte é o âmbito técnico em WordPress. O detalhe jurídico e as checklists de implementação estão nos artigos ligados - aqui apenas o que medimos na sua instalação.
| Regime | Âmbito de auditoria em WordPress | Leitura aprofundada |
|---|---|---|
| Acessibilidade / EAA | WCAG 2.2 AA em percursos de compra, formulários, navegação por teclado, contraste, multimédia, declaração de acessibilidade | WCAG, BFSG e EAA: stack de conformidade |
| NIS2 / DORA | Registo de plugins e integrações TIC, endurecimento, percurso de incidente 24h/72h, campos de registo de informação DORA, risco de terceiros | NIS2 e DORA: stack de conformidade 2026 |
| AI Act | Rotulagem de conteúdo gerado por IA, política de uso de modelos, formulários com auto-resumo, chatbots no site | AI Act: rotulagem de conteúdo gerado por IA |
A auditoria não substitui aconselhamento jurídico nem um VPAT formal. Dá um mapa de lacunas técnicas que advogados ou auditores externos podem integrar numa avaliação mais ampla sem voltar a analisar código.
Entregáveis
No fim do encargo recebe três artefactos que a contratação pública de facto lê:
- Relatório escrito (PDF) dividido pelos três regimes. Cada achado tem prioridade P0-P3, evidência (captura de ecrã, excerto de código, log) e instruções de remediação que um programador WordPress pode implementar sem idas e vindas.
- Backlog de remediação pronto para Jira, Linear ou folha de cálculo - dependências entre tarefas, estimativa de esforço e indicação de se a correção pertence ao tema, plugin ou configuração de alojamento.
- Pacote de evidências para contratação - mapa de fornecedores TIC (alojamento, CDN, pagamentos, e-mail, analítica), versões de plugins, política de atualizações, esboço de percurso de notificação de incidentes alinhado com expectativas NIS2.
Mais um walkthrough em vídeo de 30 minutos para engenharia e compliance. Respondemos a perguntas de seguimento durante 30 dias enquanto trabalha o backlog.
Quem precisa desta auditoria
Nem todo o site WordPress precisa do âmbito completo de três módulos. É mais pedida por:
- Lojas WooCommerce que vendem a clientes da UE após a data EAA - especialmente checkout, filtros de produto e formulários de contacto.
- Empresas de setores regulados (finanças, seguros, infraestrutura crítica) ou os seus fornecedores TIC, onde NIS2 e DORA chegam ao mesmo concurso que a acessibilidade.
- Setor público e contratantes que devem mostrar WCAG e evidência de cadeia de fornecimento antes de assinar um acordo-quadro.
- Agências que vendem WordPress a compradores da UE e querem uma auditoria de referência em vez de três propostas subcontratadas.
Se for microempresa com isenção estreita de EAA, dizemo-lo na primeira chamada e não faturamos módulos fora de âmbito.
Como decorre o encargo
Cinco passos do frontmatter howTo - na prática:
Passo 1 - brief. Descreva tipo de site, países, setor e integrações (pagamentos, CRM, ferramentas IA). Sem isto, o scoping de regimes é adivinhar.
Passo 2 - scoping de regimes. Na chamada confirmamos se aplicam EAA, NIS2/DORA, AI Act ou um subconjunto. Apontamos para os blogs se a equipa interna precisar de contexto jurídico antes de assinar.
Passo 3 - proposta. Orçamento individual, calendário, acesso necessário (staging, SFTP só leitura, lista de plugins).
Passo 4 - auditoria. Varredura WCAG automatizada em URL representativas, amostra manual de percursos críticos, revisão de plugins para NIS2/DORA, verificação de rotulagem IA. Podemos fechar lacunas P0 em paralelo se contratado.
Passo 5 - relatório e entrega. PDF, backlog, pacote de evidências, gravação. Opcionalmente passamos a remediação ou manutenção WordPress contínua com re-auditoria trimestral de módulos selecionados.
Prova da prática
No Q2 2026 concluímos o scoping EAA para uma loja WooCommerce anonimizada apresentada a um contrato-quadro do setor público português (40+ produtos, tema de blocos padrão, três plugins de pagamento e marketing). O caderno de encargos exigia acessibilidade ao abrigo do Ato Europeu da Acessibilidade e documentação de cadeia TIC alinhada com expectativas NIS2 e notificação de incidentes ao CNCS. Em duas semanas desde o kick-off entregámos um relatório WCAG com 23 achados, sete marcados P0 no checkout (etiquetas de campos, armadilha de foco no mini-carrinho, contraste do botão pagar). O backlog foi para a equipa cliente como tickets prontos; fechámos a remediação P0 no sprint seguinte. Sem nome de cliente, sem métricas inventadas - perfil típico de projeto após a data EAA.
Serviços relacionados e aprofundamento
Esta auditoria agrega três pilares. Se precisar de mergulho mais fundo num regime, existem serviços autónomos:
| Serviço | Quando em separado | Ligação |
|---|---|---|
| Auditoria de acessibilidade WCAG | Só EAA, sem NIS2 nem IA | Filosofia de remediação de tema |
| Conformidade NIS2 e DORA | Setor financeiro, registo de fornecedores TIC | Mapeamento mais profundo do artigo 28 DORA |
| Auditoria de segurança WordPress | Incidente, malware, endurecimento sem enquadramento compliance | Limpeza e endurecimento após brecha |
Aprofundamento no blog (o detalhe está aqui, não repetido acima):
- WCAG 2.2, BFSG e EAA: stack de conformidade 2026
- NIS2 e DORA em WordPress: stack de conformidade 2026
- AI Act: rotulagem de conteúdo gerado por IA
Fontes primárias (EUR-Lex): EAA 2019/882, NIS2 2022/2555, DORA 2022/2554, AI Act 2024/1689.
Pronto para encomendar a auditoria? Envie um brief pelo formulário de contacto com tipo de site, setor e prazo até ao qual deve mostrar evidências de conformidade.







