Conformidade NIS2 e DORA para WordPress

Mariusz Szatkowski

Pilar de serviço

Conformidade NIS2 e DORA

Senior B2B, jurisdição UE, âmbito definido por projeto.

Orçamento individual. Resposta no prazo de um dia útil.

Pedir avaliação Auditoria de acessibilidade →

NIS2 âmbito e notificação
DORA risco de fornecedores TIC
Registo hosting, plugins, CDN, pagamento
Runbook decisões antes do incidente

O que entrego

Um relatório escrito, registo de fornecedores, avaliação de lacunas, runbook de incidente e plano de ações priorizado. A avaliação cobre WordPress clássico, WooCommerce e headless WordPress com CDN, edge, APIs, pagamentos, autenticação e fornecedores externos.

Porque WordPress precisa de uma avaliação própria

Num contexto regulado, WordPress não é apenas um site. Plugins podem ter privilégios administrativos, temas podem tocar na base de dados, editores podem publicar fora de um processo formal de mudança, e WooCommerce pode envolver vários fornecedores de pagamento e análise. A avaliação tem de olhar para esse funcionamento real.

Documentos não bastam

Uma organização pode ter ISO, RGPD e políticas internas, mas falhar numa tarefa simples: enviar um scan de forma segura. Impressoras antigas que não negociam TLS com o servidor de email acabam por criar atalhos como USB ou envio manual, sem rastreabilidade. Esses detalhes raramente aparecem nos documentos formais, mas pesam numa auditoria séria.

Modelo de trabalho

O ciclo normal dura quatro semanas: âmbito, inventário, análise de lacunas, ensaio de incidente e entrega. A remediação é separada para manter o relatório defensável e evitar misturar diagnóstico com venda de implementação.

A NIS2 é uma diretiva de âmbito alargado transposta para direito nacional. A DORA é um regulamento de âmbito restrito aplicado diretamente. Sobrepõem-se nas entidades financeiras também classificadas como essenciais ao abrigo da NIS2.

Perguntas frequentes

A NIS2 aplica-se a um site WordPress?

Depende da entidade e da função do site. A NIS2 aplica-se a entidades médias e grandes em setores essenciais ou importantes. Se o WordPress suporta serviços públicos, saúde, energia, transporte, serviços digitais, portais de cliente ou comunicação crítica com fornecedores, o âmbito deve ser documentado.

Quando é que a DORA entra na conversa?

A DORA aplica-se a entidades financeiras reguladas e a fornecedores críticos de TIC. Um WordPress ou WooCommerce torna-se relevante quando suporta uma jornada de cliente, documentos, autenticação, pagamentos, marketing financeiro ou integração com fornecedores de uma entidade abrangida.

O que é entregue?

Um relatório de prontidão, registo de fornecedores, avaliação de lacunas, runbook de incidentes e plano de ações. A linguagem é técnica, mas escrita para ser lida por segurança, jurídico, compras e operação.

Isto substitui aconselhamento jurídico?

Não. A avaliação é técnica e operacional. A interpretação legal final, a comunicação com reguladores e a responsabilidade formal ficam do lado da entidade e dos seus consultores jurídicos.

Podem corrigir os problemas encontrados?

Sim, como projeto separado. A separação é importante: primeiro fica claro o que existe, o que falta e o que deve ser priorizado; depois podemos executar hardening, logging, testes de backup, limpeza de fornecedores ou arquitetura Cloudflare.

Cluster relacionado

Explorar outros serviços WordPress e base de conhecimento

Reforce o seu negócio com suporte técnico profissional em áreas-chave do ecossistema WordPress.

Auditoria de Segurança

Auditoria, hardening e menos risco operacional.

Ver serviço

Auditoria de acessibilidade (WCAG)

WCAG 2.2 e EAA — relatório de conformidade defensável.

Ver serviço

Manutenção

Estabilidade, atualizações e suporte contínuo.

Ver serviço

Programador WordPress

Engenharia WordPress e arquitetura personalizada.

Ver serviço

Desenvolvedor Headless CMS

Headless WordPress, Sanity, Strapi e Contentful com Astro ou Next.js.

Ver serviço

Categorias relacionadas

seguranca wordpress direito-ue opinion

Artigos de apoio

NIS2 e DORA em WordPress: o que um site tem de cumprir em 2026

A Diretiva NIS2 (2022/2555) deveria ter sido transposta para o direito nacional até 2024-10-17. O Regulamento DORA (2022/2554) aplica-se diretamente desde 2025-01-17. Para o operador de um site WordPress, isto significa obrigações concretas se o site disser respeito a uma entidade regulada. Explicamos sem pânico, com referências aos textos dos atos.

53 por cento de sites WordPress com CVE sem patch: auditoria GuardingWP

O primeiro relatorio "State of WordPress Security 2026" da GuardingWP analisou 424 instalacoes WordPress confirmadas em mais de 40 setores. Resultado principal: mais de metade serve pelo menos um plugin com CVE conhecida e sem patch. O fundador da Patchstack, Oliver Sild, anunciou que o WordPress 7.0 vai desencadear "uma corrida absoluta dos hackers as chaves API". Polemica: 53 por cento nao e descuido do utilizador, e o resultado estrutural da economia de plugins. A solucao esta escrita no artigo 21 da NIS2 e no artigo 28 do DORA, mas exige um quadro de controlos e nao a compra de mais uma firewall.

Quatro backdoors em plugins num mês: cadeia de fornecimento WordPress em 2026

Austin Ginder divulgou quatro backdoors em plugins do WordPress.org em 30 dias, além de um autor que manteve um servidor de atualizações oculto durante cinco anos. O que isto significa para os mapas de dependências NIS2 e DORA.

Serviços relacionados

Transformar conformidade em trabalho verificável

Envie o setor, o papel na cadeia de fornecedores e uma descrição breve do ambiente WordPress. Respondo no prazo de um dia útil.

Contactar