Hoja de ruta para implementar NIS2 y DORA en un sitio WordPress en 2026, con enlaces a los textos oficiales de las directivas y reglamentos.
ES

NIS2 y DORA en WordPress: qué debe cumplir un sitio en 2026

4.60 /5 - (11 votes )
Última verificación: 1 de mayo de 2026
9min de lectura
Opinión
500+ proyectos WP
NIS2 es una directiva de alcance amplio transpuesta al derecho nacional. DORA es un reglamento de alcance estrecho aplicado directamente. Se solapan en las entidades financieras también clasificadas como esenciales bajo NIS2. NIS2 (Directiva 2022/2555). DORA (Reglamento 2022/2554). NIS2 (Directiva 2022/2555) 18 sectores, entidades esenciales + importantes Plazo de transposición nacional 2024-10-17 Notificación de incidente 24h / 72h / 30 días DORA (Reglamento 2022/2554) Sector financiero + proveedores ICT críticos (CTPP) Aplicación directa desde 2025-01-17 TLPT cada 3 años para entidades seleccionadas
NIS2 es una directiva de alcance amplio transpuesta al derecho nacional. DORA es un reglamento de alcance estrecho aplicado directamente. Se solapan en las entidades financieras también clasificadas como esenciales bajo NIS2.

#NIS2 y DORA en WordPress: qué debe cumplir un sitio en 2026

Dos actos de la UE definen en 2026 lo que se exige desde el lado de la ciberseguridad a un sitio WordPress que desarrolla actividad regulada en la Unión: la Directiva NIS2 (2022/2555) y el Reglamento DORA (2022/2554). No son intercambiables. NIS2 es una directiva con un ámbito sectorial amplio, transpuesta al derecho nacional. DORA es un reglamento sectorial (finanzas), de aplicación directa. Ambos se aplican a WordPress si y solo si la entidad que opera el sitio entra en el ámbito.

El artículo se conecta con el pillar de servicios headless WordPress, donde se describe la capa técnica, y con el pillar sobre WCAG, BFSG y EAA, porque la conformidad de accesibilidad y la de ciberseguridad caen cada vez más en la misma consulta de compras.

#TL;DR

  • Plazo de transposición de NIS2: 2024-10-17. DORA aplica desde 2025-01-17.
  • NIS2: 18 sectores, divididos en entidades esenciales e importantes.
  • DORA: sector financiero más proveedores críticos de TIC.
  • Requisitos: gestión de riesgos documentada, notificación de incidentes (24/72/30), auditorías.
  • WordPress en sí mismo no está en el ámbito; lo está la entidad que opera el sitio, si está regulada.

#Tres cosas que hay que saber de inmediato

Primero, NIS2 y DORA aplican a la entidad, no a la tecnología. WordPress no es “compliant” ni “non-compliant” como CMS. Compliant o no lo es la entidad que opera el sitio. Si un hospital, un banco, un proveedor de cloud o un operador de e-commerce por encima del umbral entra en el ámbito, su sitio WordPress entra en el ámbito como parte de la infraestructura de esa entidad.

Segundo, la transposición nacional de NIS2 está retrasada en muchos Estados miembros. El plazo del 2024-10-17 ha vencido, pero varios países se encontraban en distintas fases del proceso legislativo después de esa fecha. El estado de la transposición varía entre Estados miembros; consulte la base de datos jurídica nacional pertinente antes de la auditoría final. Para el estado del Estado miembro polaco, el proyecto de modificación de la ley sobre el sistema nacional de ciberseguridad está disponible públicamente y su estado actual debe verificarse en ISAP antes de cualquier auditoría final. El estado a 2026-04 requiere una revisión jurídica separada; este artículo no sustituye el asesoramiento legal.

Tercero, DORA aplica directamente. El reglamento no requiere transposición. Si una entidad financiera o un proveedor crítico de TIC opera un sitio WordPress, las obligaciones de DORA se aplican desde el 2025-01-17 con independencia del estado legislativo nacional.

#NIS2: ámbito subjetivo

La Directiva NIS2 enumera 18 sectores. Los casos más habituales en los que WordPress entra en el ámbito:

Entidades esenciales (essential entities):

  • Energía (electricidad, gas, petróleo, calor, hidrógeno).
  • Transporte (aéreo, ferroviario, marítimo, por carretera).
  • Banca.
  • Infraestructuras de los mercados financieros.
  • Sanidad (hospitales, laboratorios de referencia, fabricantes de medicamentos, productos sanitarios).
  • Agua potable y aguas residuales.
  • Infraestructura digital (proveedores de DNS, registros de dominios, proveedores de cloud computing, prestadores de servicios de centros de datos, redes de distribución de contenidos, prestadores de servicios de confianza, proveedores de redes públicas de comunicaciones electrónicas).
  • Gestión de servicios TIC (B2B).
  • Administración pública (condiciones definidas en el art. 2).
  • Espacio.

Entidades importantes (important entities):

  • Servicios postales y de mensajería.
  • Gestión de residuos.
  • Fabricación, transformación y distribución de productos químicos.
  • Fabricación, transformación y distribución de alimentos.
  • Fabricación en los sectores: médico, informático y electrónico, maquinaria, automóvil.
  • Proveedores de servicios digitales (mercados en línea, motores de búsqueda, plataformas sociales).
  • Organismos de investigación.

Umbral básico: empresa mediana (50+ empleados o cifra de negocios anual o balance superior a 10 millones EUR). Microempresas y pequeñas empresas suelen quedar fuera del ámbito, con excepciones (por ejemplo, prestadores de servicios de confianza, registros de TLD, ciertos proveedores de DNS).

La entidad esencial tiene obligaciones más estrictas. La entidad importante tiene los mismos requisitos técnicos pero con supervisión menos intensiva.

#DORA: ámbito subjetivo

DORA aplica a unos 20 tipos de entidad financiera:

  • Entidades de crédito.
  • Entidades de pago.
  • Entidades de dinero electrónico.
  • Empresas de servicios de inversión.
  • Proveedores de servicios de criptoactivos.
  • Depositarios centrales de valores.
  • Entidades de contrapartida central.
  • Centros de negociación (bolsas).
  • Registros de operaciones.
  • Entidades aseguradoras y reaseguradoras.
  • Mediadores de seguros y reaseguros.
  • Fondos de pensiones de empleo.
  • Agencias de calificación crediticia.
  • Auditores que auditen los estados financieros de entidades cubiertas por DORA.
  • Administradores de índices de referencia críticos.
  • Fondos de inversión (UCITS, AIFM).
  • Proveedores de servicios de financiación participativa.
  • Repositorios de titulizaciones.

Más los proveedores críticos de TIC terceros (Critical ICT Third-Party Providers, CTPP) designados por la supervisión europea. Es el mecanismo por el cual DORA arrastra a socios comerciales a su ámbito sin que estos se registren como entidad financiera.

Un sitio WordPress operado por un banco, una aseguradora o un fondo de inversión entra en el ámbito de DORA como parte de los sistemas TIC de la entidad.

#Qué hay que hacer en concreto: el núcleo común

NIS2 y DORA tienen un núcleo convergente de exigencias técnicas y organizativas. Implementación en WordPress:

Gestión del riesgo cibernético. Registro de riesgos documentado, procedimiento para su evaluación y aceptación, políticas de seguridad aprobadas por el consejo de administración. Son documentos, no solo configuración del servidor.

Control de acceso y autenticación. Autenticación multifactor (MFA) obligatoria para los administradores de WordPress. Contraseñas robustas obligatorias. Caducidad de sesión obligatoria. Todas las cuentas de administrador deben ser nominales, no compartidas.

Gestión de incidentes. Procedimiento para la detección, clasificación y notificación de incidentes. Un incidente significativo bajo NIS2 es aquel con un impacto significativo en la prestación del servicio. Notificación al CSIRT o autoridad competente en 24 horas desde la detección (alerta temprana), 72 horas con evaluación inicial, un mes con informe final.

Seguridad de la cadena de suministro. Un plugin de WordPress, hosting, CDN, proveedor de correo transaccional, proveedor de SMS, proveedor de IA. Cada uno forma parte de la cadena. Hay que mantener un registro, evaluaciones de riesgo y cláusulas contractuales.

Continuidad de negocio y recuperación ante desastres. Backup, plan de continuidad, recuperación ante desastres, probados con regularidad, no solo ejecutados.

Formación del personal. Exigida a nivel del consejo y de la organización en sentido amplio. Una “presentación interna” no basta; se requiere un plan de formación documentado.

Seguridad del proceso de desarrollo y mantenimiento. Políticas sobre desarrollo de software, pruebas y gestión de vulnerabilidades. El core de WordPress se actualiza; los plugins también deben actualizarse, con un proceso de pruebas en staging antes de producción.

Criptografía. Una política de criptografía, incluyendo TLS, cifrado de datos en reposo, firmas digitales. WordPress no cifra la base de datos por defecto; la solución es cifrar a nivel de sistema de ficheros o de base de datos.

#Específico de DORA: gestión de terceros TIC

DORA tiene un capítulo V dedicado a la gestión de proveedores TIC. Exige:

  • Un registro de todos los contratos con proveedores TIC.
  • Clasificación de los contratos (críticos, no críticos).
  • Cláusulas contractuales obligatorias en contratos con proveedores de funciones críticas.
  • Procedimiento de finalización con plan de migración.
  • Pruebas de penetración guiadas por amenazas (TLPT) al menos cada 3 años para entidades seleccionadas.

Para el operador WordPress esto significa que el proveedor de hosting y los plugins críticos (security plugin, backup plugin, payment gateway plugin) entran en el registro TIC.

#Específico de NIS2: sanciones y supervisión

La Directiva NIS2 establece sanciones administrativas que las transposiciones nacionales traducen en cuantías concretas. Los topes superiores en la propia directiva:

  • Entidad esencial: hasta 10 millones EUR o el 2 por ciento de la cifra de negocios anual a nivel mundial, lo que sea mayor.
  • Entidad importante: hasta 7 millones EUR o el 1,4 por ciento de la cifra de negocios anual a nivel mundial, lo que sea mayor.

Las transposiciones nacionales pueden introducir sus propios topes; verificar en la versión vigente de la ley en la jurisdicción correspondiente.

Sanciones complementarias: suspensión temporal de la certificación, prohibiciones temporales de ejercer funciones directivas para la persona responsable. Esto es el cambio más notorio de NIS2: la dirección tiene responsabilidad personal por la gestión del riesgo cibernético.

#Mapa práctico de implementación en WordPress

Cuatro categorías de trabajo, una auditoría:

Capa 1, infraestructura. Hosting conforme. Backup off-site. TLS 1.3. WAF. Monitorización 24/7 o contrato con SOC. Política de actualización del core, themes, plugins.

Capa 2, aplicación. MFA para administradores. Contraseñas robustas. Registro de todas las acciones administrativas en un flujo separado. Anti-CSRF. Anti-XSS a nivel de plantillas. Validación de input. Límite de intentos de login.

Capa 3, organización. Políticas de seguridad. Registro de riesgos. Plan de IR. Plan de BCDR. Registro de proveedores TIC. Procedimiento de notificación de incidentes al CSIRT/regulador. Formación.

Capa 4, documentación y auditoría. Documentación de procesos. Registros de auditoría. Auditoría externa o interna periódica. Retención conforme al RGPD.

WordPress como CMS cubre alrededor del 30 por ciento de los requisitos técnicos “out of the box”, tras hardening y plugins alrededor del 60 por ciento. El 40 por ciento restante es organización, documentación y procedimientos.

#Qué sigue

Consecuencias prácticas para la elección del equipo que opera WordPress: una agencia que opera el sitio para una entidad cubierta por NIS2 o DORA entra ella misma en la cadena de suministro. Nuestra página de carreras menciona la jurisdicción UE y el cumplimiento como estándar, porque es un filtro de procurement en 2026.

#Dónde encaja este artículo

El artículo se conecta con el pillar de servicios headless WordPress (capa técnica), con el pillar sobre WCAG/BFSG/EAA (cumplimiento de accesibilidad en el mismo scoreboard de procurement), con la página de carreras de WPPoland (señal de jurisdicción UE) y con el artículo sobre nearshore Polonia (jurisdicción UE como valor para el comprador occidental).

Siguiente paso

Transforma el artículo en una implementación real

Este bloque refuerza el enlazado interno y lleva al lector al siguiente paso más útil dentro de la arquitectura del sitio.

Próximos pasos más relevantes

Auditoría de seguridad WordPress

Hardening, reducción de riesgo y refuerzo del login.

Mantenimiento WordPress

Actualizaciones, monitorización y evolución estable.

Desarrollador WordPress

Implementación, arquitectura y desarrollo personalizado.

¿Quieres implementar esto en tu sitio?

Puedo traducir este tema en una auditoría práctica, hardening y un plan claro de correcciones.

Escribe sobre la implementación Ver el blog
Cluster relacionado

Explora otros servicios WordPress y base de conocimiento

Refuerza tu negocio con soporte técnico profesional en áreas clave del ecosistema WordPress.

Auditoría de Seguridad

Auditoría, hardening y menos riesgo operacional.

Ver servicio
Mantenimiento y Soporte

Estabilidad, actualizaciones y soporte continuo.

Ver servicio
Desarrollador WordPress

Ingeniería WordPress y arquitectura personalizada.

Ver servicio
Optimización de Velocidad

Core Web Vitals, caché y entrega más rápida.

Ver servicio
Migración Next.js / Astro

Migración a Astro, Next.js y headless WordPress.

Ver servicio
Optimización GEO / LLMO

Visibilidad en Google y en sistemas de respuesta IA.

Ver servicio

Categorías relacionadas

security development devops hardening

Artículos de apoyo

Seguridad avanzada y hardening de WordPress en 2026
Seguridad avanzada y hardening de WordPress en 2026

Una guía práctica para fortalecer WordPress en 2026 con passkeys, protección en el Edge, controles de infraestructura y habitos operativos más seguros.

Endurecimiento de Seguridad WordPress 2026: La Guía Completa del Servidor a la Aplicación
Endurecimiento de Seguridad WordPress 2026: La Guía Completa del Servidor a la Aplicación

Una guía completa de endurecimiento de seguridad WordPress para 2026 - configuración de servidor, autenticación con Passkeys, configuración WAF, cabeceras CSP, protección de base de datos, seguridad headless y una checklist de auditoría de 25 puntos.

Guia definitiva de seguridad de login en WordPress (2026): Detener ataques de fuerza bruta
Guia definitiva de seguridad de login en WordPress (2026): Detener ataques de fuerza bruta

Sigues usando "admin"? Te estan hackeando ahora mismo. La guía definitiva para asegurar la autenticación de WordPress: 2FA, Passkeys, Fail2Ban, Cloudflare Turnstile, monitoreo de login y procedimientos de respuesta a incidentes.

FAQ del artículo

Preguntas Frecuentes

Respuestas prácticas para aplicar el tema en la ejecución real.

SEO-ready GEO-ready AEO-ready 5 Q&A

Preguntas frecuentes

¿Cuándo empieza a aplicarse NIS2? ¿En qué se diferencia DORA de NIS2? ¿El sitio WordPress de un hotel o tienda está cubierto por NIS2? ¿Basta con instalar un plugin de seguridad? ¿Qué ocurre con la notificación de incidentes?
¿Cuándo empieza a aplicarse NIS2?
#
El plazo de transposición de la Directiva NIS2 al derecho nacional venció el 2024-10-17. Para esa fecha, los Estados miembros debían haber aprobado las leyes nacionales de transposición. En la práctica, varios países se retrasaron en la transposición. El estado de la transposición varía entre Estados miembros; consulte la base de datos jurídica nacional pertinente antes de una auditoría final. Para el estado del Estado miembro polaco, consulte ISAP en https://isap.sejm.gov.pl/. Para España, consulte el BOE.
¿En qué se diferencia DORA de NIS2?
#
DORA es un reglamento (Regulation 2022/2554), se aplica directamente en todos los Estados miembros desde el 2025-01-17 sin transposición. Afecta a un sector estrecho: instituciones financieras y sus proveedores críticos de TIC. NIS2 es una directiva con un ámbito amplio sobre entidades esenciales e importantes, transpuesta al derecho nacional.
¿El sitio WordPress de un hotel o tienda está cubierto por NIS2?
#
Depende de la entidad. NIS2 cubre 18 sectores, divididos en esenciales e importantes. Hoteles y comercio minorista no figuran directamente como sectores regulados. Sin embargo, si WordPress es utilizado por una entidad regulada (por ejemplo, un hospital, un proveedor de servicios digitales por encima del umbral de plantilla, un proveedor de cloud), las obligaciones de seguridad se le transfieren.
¿Basta con instalar un plugin de seguridad?
#
No. NIS2 y DORA exigen un sistema documentado de gestión del riesgo cibernético, notificación de incidentes al CSIRT/CERT o al regulador financiero, y auditorías. Un plugin es un solo elemento. La configuración del servidor por sí sola, las políticas de contraseñas, la autenticación multifactor, los registros y los procedimientos de IR se exigen a nivel organizativo, no solo técnico.
¿Qué ocurre con la notificación de incidentes?
#
NIS2 exige notificar un incidente significativo al CSIRT o a la autoridad competente en 24 horas (alerta temprana), 72 horas (notificación detallada) y un mes (informe final). DORA tiene sus propios plazos para entidades financieras. El operador WordPress debe disponer de un procedimiento de detección y notificación, no solo de respuesta.

¿Necesitas un FAQ adaptado a tu sector y mercado? Preparamos una versión alineada con tus objetivos de negocio.

Hablemos

Artículos Relacionados

WCAG 2.2 se convirtió en Recomendación del W3C el 2023-10-05. La Ley Europea de Accesibilidad (Directiva 2019/882) se aplica desde el 2025-06-28. La Barrierefreiheitsstärkungsgesetz alemana la transpone al derecho federal en la misma fecha. Este artículo es el mapa de implementación para un sitio WordPress en 2026.
wordpress

WCAG 2.2, BFSG y la Ley Europea de Accesibilidad: el stack de cumplimiento WordPress para 2026

WCAG 2.2 se convirtió en Recomendación del W3C el 2023-10-05. La Ley Europea de Accesibilidad (Directiva 2019/882) se aplica desde el 2025-06-28. La Barrierefreiheitsstärkungsgesetz alemana la transpone al derecho federal en la misma fecha. Este artículo es el mapa de implementación para un sitio WordPress en 2026.

Cloudflare Workers ejecuta JavaScript y WebAssembly en cientos de centros de datos en más de 100 países. Combinar Workers con un origen WordPress saca la ruta de lectura del servidor WordPress y convierte WooCommerce en una tienda renderizada en el edge. Así funciona la arquitectura, dónde se rompe y qué medir antes de adoptarla.
wordpress

Cloudflare Workers y WordPress: servir WooCommerce desde el edge

Cloudflare Workers ejecuta JavaScript y WebAssembly en cientos de centros de datos en más de 100 países. Combinar Workers con un origen WordPress saca la ruta de lectura del servidor WordPress y convierte WooCommerce en una tienda renderizada en el edge. Así funciona la arquitectura, dónde se rompe y qué medir antes de adoptarla.

Una tabla de comparación detallada entre EmDash CMS y WordPress en arquitectura, seguridad, plugins, funciones de IA, modelo de contenido, alojamiento y madurez del ecosistema.
wordpress

EmDash vs WordPress, comparación de características para 2026

Una tabla de comparación detallada entre EmDash CMS y WordPress en arquitectura, seguridad, plugins, funciones de IA, modelo de contenido, alojamiento y madurez del ecosistema.