Veikart for implementering av NIS2 og DORA på en WordPress-nettside i 2026, med henvisninger til de offisielle tekstene til direktivene og forordningene.
NB

NIS2 og DORA på WordPress: hva en nettside må oppfylle i 2026

4.60 /5 - (11 votes )
Sist verifisert: 1. mai 2026
7min lesetid
Mening
500+ WP-prosjekter
NIS2 er et bredt direktiv transponert til nasjonal rett. DORA er en smal forordning som anvendes direkte. De overlapper på finansenheter som også er klassifisert som vesentlige under NIS2. NIS2 (Direktiv 2022/2555). DORA (Forordning 2022/2554). NIS2 (Direktiv 2022/2555) 18 sektorer, vesentlige + viktige enheter Nasjonal transposisjonsfrist 2024-10-17 Hendelsesrapport 24t / 72t / 30 dager DORA (Forordning 2022/2554) Finanssektoren + kritiske ICT-tredjepartsleverandører (CTPP) Direkte anvendelse fra 2025-01-17 TLPT hvert 3. år for utvalgte enheter
NIS2 er et bredt direktiv transponert til nasjonal rett. DORA er en smal forordning som anvendes direkte. De overlapper på finansenheter som også er klassifisert som vesentlige under NIS2.

#NIS2 og DORA på WordPress: hva en nettside må oppfylle i 2026

To EU-rettsakter definerer i 2026 hva som kreves på cybersikkerhetssiden av en WordPress-nettside som driver regulert virksomhet i unionen: NIS2-direktivet (2022/2555) og DORA-forordningen (2022/2554). De er ikke utbyttbare. NIS2 er et direktiv med bredt sektorområde, transponert til nasjonal rett. DORA er en sektorforordning (finans) som gjelder direkte. Begge gjelder for WordPress hvis og bare hvis virksomheten som driver nettsiden er innenfor virkeområdet.

Artikkelen henger sammen med pillaren om headless WordPress-tjenester der det tekniske laget er beskrevet, og med pillaren om WCAG, BFSG og EAA, fordi tilgjengelighets- og cybersikkerhets-compliance i stadig større grad havner i samme innkjøpsforespørsel.

#TL;DR

  • NIS2-transponeringsfrist: 2024-10-17. DORA gjelder fra 2025-01-17.
  • NIS2: 18 sektorer, delt mellom vesentlige og viktige virksomheter.
  • DORA: finanssektoren pluss kritiske IKT-leverandører.
  • Krav: dokumentert risikostyring, hendelsesrapportering (24/72/30), revisjoner.
  • WordPress i seg selv er ikke i virkeområdet; det er virksomheten som driver nettsiden som er det, hvis den er regulert.

#Tre ting man må vite med en gang

For det første, NIS2 og DORA gjelder for virksomheten, ikke teknologien. WordPress er verken “compliant” eller “non-compliant” som CMS. Compliant eller ikke er virksomheten som driver nettsiden. Hvis et sykehus, en bank, en skyleverandør eller en e-handelsoperatør over terskelen er innenfor virkeområdet, kommer også WordPress-nettsiden inn som en del av virksomhetens infrastruktur.

For det andre, nasjonal transponering av NIS2 er forsinket i mange medlemsstater. Fristen 2024-10-17 har gått ut, men flere land var på ulike stadier av lovgivningsprosessen etter denne datoen. Transponeringsstatusen varierer mellom medlemsstatene; sjekk relevant nasjonal rettsdatabase før den endelige revisjonen. For polsk medlemsstats-status er utkastet til endring av loven om det nasjonale cybersikkerhetssystemet offentlig tilgjengelig, og dens aktuelle status må verifiseres i ISAP før en endelig revisjon. Status per 2026-04 krever en separat juridisk vurdering; denne artikkelen erstatter ikke juridisk rådgivning.

For det tredje, DORA gjelder direkte. Forordningen krever ikke transponering. Hvis en finansvirksomhet eller en kritisk IKT-leverandør driver en WordPress-nettside, gjelder DORA-forpliktelsene fra 2025-01-17 uavhengig av nasjonal lovgivningsstatus.

#NIS2: virkeområde

NIS2-direktivet lister 18 sektorer. De vanligste tilfellene der WordPress kommer innenfor virkeområdet:

Vesentlige virksomheter (essential entities):

  • Energi (elektrisitet, gass, olje, varme, hydrogen).
  • Transport (luft, jernbane, sjø, vei).
  • Bankvirksomhet.
  • Finansmarkedsinfrastrukturer.
  • Helsesektoren (sykehus, referanselaboratorier, legemiddelprodusenter, medisinsk utstyr).
  • Drikkevann og avløp.
  • Digital infrastruktur (DNS-leverandører, domeneregistre, leverandører av cloud computing, datasenter-tjenesteleverandører, content delivery networks, tillitstjenesteleverandører, leverandører av offentlige elektroniske kommunikasjonsnett).
  • Forvaltning av IKT-tjenester (B2B).
  • Offentlig forvaltning (vilkår definert i artikkel 2).
  • Romfart.

Viktige virksomheter (important entities):

  • Post- og kurertjenester.
  • Avfallshåndtering.
  • Produksjon, foredling og distribusjon av kjemikalier.
  • Produksjon, foredling og distribusjon av matvarer.
  • Produksjon i sektorene: medisinsk, data og elektronikk, maskin, bil.
  • Leverandører av digitale tjenester (nettmarkedsplasser, søkemotorer, sosiale plattformer).
  • Forskningsorganisasjoner.

Grunnterskel: mellomstor bedrift (50+ ansatte eller årlig omsetning eller balanse over 10 millioner EUR). Mikrofirmaer og små bedrifter er som regel utenfor virkeområdet, med unntak (for eksempel tillitstjenesteleverandører, TLD-registre, enkelte DNS-leverandører).

En vesentlig virksomhet har strengere forpliktelser. En viktig virksomhet har de samme tekniske kravene, men med mindre intensivt tilsyn.

#DORA: virkeområde

DORA gjelder for omkring 20 typer finansvirksomhet:

  • Kredittinstitusjoner.
  • Betalingsinstitusjoner.
  • Institusjoner for elektroniske penger.
  • Verdipapirforetak.
  • Leverandører av kryptotjenester.
  • Sentrale verdipapiroppgjørsnemnder.
  • Sentrale motparter.
  • Handelsplasser (børser).
  • Transaksjonsregistre.
  • Forsikrings- og gjenforsikringsforetak.
  • Forsikrings- og gjenforsikringsformidlere.
  • Tjenestepensjonsforetak.
  • Kredittvurderingsbyråer.
  • Revisorer som reviderer årsregnskapet til virksomheter omfattet av DORA.
  • Administratorer av kritiske referanseverdier.
  • Investeringsfond (UCITS, AIFM).
  • Crowdfunding-tjenestetilbydere.
  • Verdipapiriseringsregistre.

I tillegg kritiske IKT-tredjepartsleverandører (Critical ICT Third-Party Providers, CTPP) utpekt av europeisk tilsyn. Dette er mekanismen DORA bruker for å trekke forretningspartnere inn i sitt virkeområde, uten at de selv registreres som finansvirksomhet.

En WordPress-nettside drevet av en bank, et forsikringsselskap eller et investeringsfond kommer inn under DORA som del av virksomhetens IKT-systemer.

#Hva som konkret må gjøres: den felles kjernen

NIS2 og DORA har en felles kjerne av tekniske og organisatoriske krav. Implementering på WordPress:

Cyber-risikostyring. Dokumentert risikoregister, prosedyre for risikovurdering og -aksept, sikkerhetspolicyer godkjent av styret. Dette er dokumenter, ikke bare serverkonfigurasjon.

Tilgangskontroll og autentisering. Flerfaktor-autentisering (MFA) kreves for WordPress-administratorer. Sterke passord kreves. Sesjonsutløp kreves. Alle administratorkontoer må være navngitte, ikke delt.

Hendelseshåndtering. Prosedyre for deteksjon, klassifisering og rapportering av hendelser. En vesentlig hendelse under NIS2 er en hendelse med betydelig påvirkning på tjenesteleveransen. Rapportering til CSIRT eller kompetent myndighet innen 24 timer fra deteksjon (tidlig varsling), 72 timer med første vurdering, en måned med sluttrapport.

Forsyningskjedesikkerhet. Et WordPress-plugin, hosting, CDN, leverandør av transaksjons-e-post, SMS-leverandør, AI-leverandør. Hver av dem er del av kjeden. Det må finnes et register, risikovurderinger og kontraktsklausuler.

Forretningskontinuitet og katastrofegjenoppretting. Backup, kontinuitetsplan, gjenoppretting etter katastrofe, testet jevnlig, ikke bare utført.

Personalskolering. Kreves på styrenivå og i den bredere organisasjonen. En “intern presentasjon” er ikke nok; en dokumentert opplæringsplan kreves.

Sikkerhet i utviklings- og vedlikeholdsprosesser. Policyer for programvareutvikling, testing og sårbarhetsstyring. WordPress-core oppdateres; det må plugins også, med en prosess for testing på staging før produksjon.

Kryptografi. En kryptografipolicy, inkludert TLS, kryptering av data i hvile, digitale signaturer. WordPress krypterer ikke databasen som standard; løsningen er kryptering på filsystem- eller databasenivå.

#DORA-spesifikt: forvaltning av IKT-tredjeparter

DORA har en seksjon i kapittel V dedikert til forvaltning av IKT-tredjeparter. Den krever:

  • Et register over alle avtaler med IKT-leverandører.
  • Klassifisering av avtaler (kritiske, ikke-kritiske).
  • Obligatoriske kontraktsklausuler i avtaler med leverandører av kritiske funksjoner.
  • En avslutningsprosedyre med migreringsplan.
  • Trusselbaserte penetrasjonstester (TLPT) minst en gang hvert 3. år for utvalgte virksomheter.

For en WordPress-operatør betyr dette at hostingleverandøren og kritiske plugins (security plugin, backup plugin, payment gateway plugin) kommer inn i IKT-registeret.

#NIS2-spesifikt: sanksjoner og tilsyn

NIS2-direktivet fastsetter administrative sanksjoner som nasjonale transponeringer omsetter til konkrete beløp. Øvre tak i selve direktivet:

  • Vesentlig virksomhet: opptil 10 millioner EUR eller 2 prosent av årlig global omsetning, avhengig av hva som er høyest.
  • Viktig virksomhet: opptil 7 millioner EUR eller 1,4 prosent av årlig global omsetning, avhengig av hva som er høyest.

Nasjonale transponeringer kan innføre egne tak; verifiseres i den til enhver tid gjeldende versjonen av loven for relevant jurisdiksjon.

Supplerende sanksjoner: midlertidig suspensjon av sertifisering, midlertidige forbud mot å inneha lederfunksjoner for ansvarlig person. Det siste er den mest synlige endringen i NIS2: ledelsen har personlig ansvar for cyber-risikostyring.

#Et praktisk implementeringskart for WordPress

Fire arbeidskategorier, en revisjon:

Lag 1, infrastruktur. Compliant hosting. Off-site backup. TLS 1.3. WAF. 24/7 overvåking eller SOC-avtale. Oppdateringspolicy for core, themes, plugins.

Lag 2, applikasjon. MFA for administratorer. Sterke passord. Logging av alle administrative handlinger til en separat strøm. Anti-CSRF. Anti-XSS på malnivå. Inputvalidering. Begrensning av påloggingsforsøk.

Lag 3, organisasjon. Sikkerhetspolicyer. Risikoregister. IR-plan. BCDR-plan. IKT-leverandørregister. Prosedyre for rapportering av hendelser til CSIRT/regulator. Opplæring.

Lag 4, dokumentasjon og revisjon. Prosessdokumentasjon. Revisjonslogger. Periodisk ekstern eller intern revisjon. Oppbevaring i samsvar med GDPR.

WordPress som CMS dekker omtrent 30 prosent av de tekniske kravene “rett ut av boksen”, etter herding og plugins omtrent 60 prosent. De resterende 40 prosentene er organisasjon, dokumentasjon og prosedyrer.

#Hva som skjer videre

Praktiske konsekvenser for valg av team som driver WordPress: et byrå som driver nettsiden for en virksomhet omfattet av NIS2 eller DORA, blir selv en del av forsyningskjeden. Vår karriereside nevner EU-jurisdiksjon og compliance som standard, fordi dette er et innkjøpsfilter i 2026.

#Hvor denne artikkelen passer inn

Artikkelen henger sammen med pillaren om headless WordPress-tjenester (teknisk lag), pillaren om WCAG/BFSG/EAA (tilgjengelighets-compliance på samme innkjøps-scoreboard), WPPolands karriereside (signal om EU-jurisdiksjon) og artikkelen om nearshore Polen (EU-jurisdiksjon som verdi for den vestlige kjøperen).

Neste steg

Gjor artikkelen om til faktisk implementering

Denne blokken styrker intern lenking og sender leseren videre til de mest relevante tjenestene og innholdet.

Mest relevante neste steg

WordPress sikkerhetsrevisjon

Hardening, risikoreduksjon og tryggere innlogging.

WordPress vedlikehold

Oppdateringer, overvaking og stabil videreutvikling.

WordPress-utvikler

Implementering, arkitektur og skreddersydd utvikling.

Vil du fa dette implementert pa nettstedet ditt?

Jeg kan gjore temaet om til en konkret revisjon, hardening-plan og prioriterte tiltak.

Skriv om implementeringen Gå til bloggen
Relevant klynge

Utforsk andre WordPress-tjenester og kunnskapsbase

Styrk virksomheten din med profesjonell teknisk støtte innen kjerneområdene i WordPress-økosystemet.

Sikkerhetsrevisjon

Revisjon, hardening og lavere sikkerhetsrisiko.

Se tjenesten
Vedlikehold

Stabilitet, oppdateringer og videre støtte.

Se tjenesten
WordPress Utvikler

Skreddersydd WordPress-utvikling og arkitektur.

Se tjenesten
Hastighetsoptimalisering

Core Web Vitals, caching og raskere levering.

Se tjenesten
Next.js / Astro Migrering

Migrering til Astro, Next.js og headless WordPress.

Se tjenesten
GEO / LLMO Optimalisering

Synlighet i Google og AI-baserte svarsystemer.

Se tjenesten

Relaterte kategorier

security development devops hardening

Stottende artikler

WordPress-sikkerhetsherdning 2026: Den komplette guiden fra server til applikasjon
WordPress-sikkerhetsherdning 2026: Den komplette guiden fra server til applikasjon

En omfattende guide til WordPress-sikkerhetsherdning i 2026 - serverkonfigurasjon, Passkeys-autentisering, WAF-oppsett, CSP-headere, databasebeskyttelse, headless-sikkerhet og en 25-punkts sikkerhetssjekkliste.

Den ultimate guiden til WordPress-påloggingssikkerhet (2026)
Den ultimate guiden til WordPress-påloggingssikkerhet (2026)

Bruker du fortsatt 'admin'? Du blir hacket akkurat nå. Den definitive 1500-ords guiden: 2FA, Passkeys, Fail2Ban og fjerning av bruker ID 1.

Avansert WordPress-sikkerhet: Herding for bedrifter i 2026
Avansert WordPress-sikkerhet: Herding for bedrifter i 2026

Passord er døde. Zero-Trust er den nye standarden. Denne guiden på 2000+ ord definerer sikkerhetsarkitekturen for store WordPress-sider i 2026.

Artikkel-FAQ

Ofte stilte spørsmål

Praktiske svar for å bruke temaet i faktisk arbeid.

SEO-ready GEO-ready AEO-ready 5 Q&A

Populære spørsmål

Når begynner NIS2 å gjelde? Hvordan skiller DORA seg fra NIS2? Er WordPress-nettsiden til et hotell eller en butikk omfattet av NIS2? Holder det å installere et sikkerhets-plugin? Hva med rapportering av hendelser?
Når begynner NIS2 å gjelde?
#
Fristen for transponering av NIS2-direktivet til nasjonal rett gikk ut 2024-10-17. Innen denne datoen skulle medlemsstatene ha vedtatt nasjonale lover som gjennomfører direktivet. I praksis har flere land forsinket transponeringen. Transponeringsstatusen varierer mellom medlemsstatene; sjekk relevant nasjonal rettsdatabase før en endelig revisjon. For polsk medlemsstats-status, se ISAP på https://isap.sejm.gov.pl/.
Hvordan skiller DORA seg fra NIS2?
#
DORA er en forordning (Regulation 2022/2554) som gjelder direkte i alle medlemsstater fra 2025-01-17 uten transponering. Den retter seg mot en smal sektor: finansinstitusjoner og deres kritiske IKT-leverandører. NIS2 er et direktiv med bredt nedslagsfelt mot vesentlige og viktige virksomheter, transponert til nasjonal rett.
Er WordPress-nettsiden til et hotell eller en butikk omfattet av NIS2?
#
Det avhenger av virksomheten. NIS2 dekker 18 sektorer, delt inn i vesentlige og viktige. Hoteller og detaljhandel er ikke uttrykkelig listet som regulerte sektorer. Men hvis WordPress brukes av en regulert virksomhet (for eksempel et sykehus, en digital tjenesteleverandør over terskelen, en skyleverandør), overføres sikkerhetsforpliktelsene til denne.
Holder det å installere et sikkerhets-plugin?
#
Nei. NIS2 og DORA krever et dokumentert system for cyber- risikostyring, rapportering av hendelser til CSIRT/CERT eller finansregulatoren, og revisjoner. Et plugin er ett element. Selve serverkonfigurasjonen, passordpolicyer, flerfaktor-autentisering, logger og IR-prosedyrer kreves på organisatorisk nivå, ikke bare teknisk.
Hva med rapportering av hendelser?
#
NIS2 krever at en vesentlig hendelse rapporteres til CSIRT eller kompetent myndighet innen 24 timer (tidlig varsling), 72 timer (detaljert melding) og en måned (sluttrapport). DORA har egne tidsfrister for finansvirksomheter. En WordPress-operatør må ha en prosedyre for deteksjon og rapportering, ikke bare for respons.

Trenger du FAQ tilpasset bransje og marked? Vi lager en versjon som støtter dine forretningsmål.

Ta kontakt

Relaterte artikler

WCAG 2.2 ble en W3C-anbefaling 2023-10-05. EUs tilgjengelighetsdirektiv (direktiv 2019/882) gjelder fra 2025-06-28. Tysklands Barrierefreiheitsstärkungsgesetz innfører det i føderal rett samme dato. Denne artikkelen er gjennomføringskartet for et WordPress-nettsted i 2026.
wordpress

WCAG 2.2, BFSG og EUs tilgjengelighetsdirektiv: compliance-stacken for WordPress i 2026

WCAG 2.2 ble en W3C-anbefaling 2023-10-05. EUs tilgjengelighetsdirektiv (direktiv 2019/882) gjelder fra 2025-06-28. Tysklands Barrierefreiheitsstärkungsgesetz innfører det i føderal rett samme dato. Denne artikkelen er gjennomføringskartet for et WordPress-nettsted i 2026.

Tilgjengelighet på WordPress i Norge: hva Likestillings- og diskrimineringsloven og WAD-forskriften krever, og hvordan WCAG 2.2 oversettes i praksis.
wordpress

Tilgjengelighet og WCAG 2.2: hvordan WordPress holder mål i 2026

Tilgjengelighet på WordPress i Norge: hva Likestillings- og diskrimineringsloven og WAD-forskriften krever, og hvordan WCAG 2.2 oversettes i praksis.

Praktikerens sjekkliste over wp-config-konstanter, Cloudflare-regler og Schema-valg som flytter TTFB, Datatilsynet-compliance og rangeringer for norske sider.
wordpress

WordPress-herding, ytelse og SEO: hva som faktisk flytter nålen i 2026

Praktikerens sjekkliste over wp-config-konstanter, Cloudflare-regler og Schema-valg som flytter TTFB, Datatilsynet-compliance og rangeringer for norske sider.