Mapa wdrożenia NIS2 i DORA dla strony WordPress w 2026 roku, z odsyłaczami do oficjalnych tekstów dyrektyw i rozporządzeń.
PL

NIS2 i DORA na WordPressie: co musi spełniać strona w 2026

4.60 /5 - (11 głosów )
Ostatnio zweryfikowano: 1 maja 2026
7min czytania
Opinia
500+ projektów WP
NIS2 to dyrektywa szerokiego zakresu transponowana do prawa krajowego. DORA to rozporządzenie wąskiego zakresu stosowane bezpośrednio. Pokrywają się na podmiotach finansowych, które są też kluczowe pod NIS2. NIS2 (Dyrektywa 2022/2555). DORA (Rozporządzenie 2022/2554). NIS2 (Dyrektywa 2022/2555) 18 sektorów, podmioty kluczowe + ważne Termin transpozycji krajowej 2024-10-17 Zgłoszenie incydentu 24h / 72h / 30 dni DORA (Rozporządzenie 2022/2554) Sektor finansowy + krytyczni dostawcy ICT (CTPP) Stosowane bezpośrednio od 2025-01-17 TLPT co 3 lata dla wybranych podmiotów
NIS2 to dyrektywa szerokiego zakresu transponowana do prawa krajowego. DORA to rozporządzenie wąskiego zakresu stosowane bezpośrednio. Pokrywają się na podmiotach finansowych, które są też kluczowe pod NIS2.

#NIS2 i DORA na WordPressie: co musi spełniać strona w 2026

Dwa akty prawne UE definiują w 2026 roku, czego od strony cyberbezpieczeństwa wymaga się od strony WordPress prowadzącej działalność regulowaną w Unii: Dyrektywa NIS2 (2022/2555) oraz Rozporządzenie DORA (2022/2554). Nie są wymienne. NIS2 to dyrektywa o szerokim zakresie sektorowym, transponowana do prawa krajowego. DORA to rozporządzenie sektorowe (finanse), działające bezpośrednio. Obie aplikują do WordPress wtedy i tylko wtedy, gdy podmiot prowadzący stronę jest objęty zakresem.

Artykuł łączy się z filarem usług headless WordPress gdzie warstwa techniczna jest opisana, oraz z anglojęzycznym pillarem o WCAG, BFSG i EAA, bo zgodność dostępności i cyberbezpieczeństwa coraz częściej trafiają w to samo zapytanie zakupowe.

#TL;DR

  • NIS2 termin transpozycji: 2024-10-17. DORA stosowany od 2025-01-17.
  • NIS2: 18 sektorów, podział na podmioty kluczowe i ważne.
  • DORA: sektor finansowy plus krytyczni dostawcy ICT.
  • Wymagania: udokumentowane zarządzanie ryzykiem, zgłaszanie incydentów (24/72/30), audyty.
  • WordPress sam w sobie nie jest objęty; objęty jest podmiot prowadzący stronę, jeśli jest regulowany.

#Trzy rzeczy, które trzeba wiedzieć od razu

Pierwsza, NIS2 i DORA aplikują do podmiotu, nie do technologii. WordPress nie jest “compliant” ani “non-compliant” jako CMS. Compliant lub nie jest podmiot, który prowadzi stronę. Jeśli szpital, bank, dostawca chmury lub operator e-commerce powyżej progu jest objęty zakresem, to jego strona WordPress wchodzi w zakres jako element infrastruktury podmiotu.

Druga, transpozycja krajowa NIS2 jest opóźniona w wielu państwach członkowskich. Termin 2024-10-17 minął, ale część państw, w tym Polska, była na różnych etapach procesu legislacyjnego po tej dacie. W Polsce projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa jest publicznie dostępny i należy zweryfikować jego aktualny stan w ISAP przed finalnym audytem. Stan na 2026-04 wymaga osobnej weryfikacji prawnej; ten artykuł nie zastępuje porady prawnej.

Trzecia, DORA stosuje się bezpośrednio. Rozporządzenie nie wymaga transpozycji. Jeśli podmiot finansowy lub krytyczny dostawca ICT prowadzi stronę WordPress, obowiązki DORA aplikują od 2025-01-17 bez względu na to, co zrobiła Polska.

#NIS2: zakres podmiotowy

Dyrektywa NIS2 wymienia 18 sektorów. Najczęściej spotykane przypadki, w których WordPress wchodzi w zakres:

Podmioty kluczowe (essential entities):

  • Energetyka (elektryczność, gaz, ropa, ciepło, wodór).
  • Transport (lotniczy, kolejowy, wodny, drogowy).
  • Bankowość.
  • Infrastruktury rynku finansowego.
  • Sektor zdrowia (szpitale, laboratoria referencyjne, producenci leków, urządzenia medyczne).
  • Woda pitna i ścieki.
  • Infrastruktura cyfrowa (dostawcy DNS, rejestry domen, dostawcy usług cloud computing, dostawcy usług data center, sieci dostarczania treści, dostawcy usług zaufania, dostawcy publicznych sieci łączności elektronicznej).
  • Zarządzanie usługami ICT (B2B).
  • Administracja publiczna (warunki zdefiniowane w art. 2).
  • Przestrzeń kosmiczna.

Podmioty ważne (important entities):

  • Usługi pocztowe i kurierskie.
  • Gospodarka odpadami.
  • Produkcja, przetwórstwo i dystrybucja chemikaliów.
  • Produkcja, przetwórstwo i dystrybucja żywności.
  • Produkcja w sektorach: medycznym, komputerowym i elektronicznym, maszynowym, motoryzacyjnym.
  • Dostawcy usług cyfrowych (rynki online, wyszukiwarki, platformy społecznościowe).
  • Organizacje badawcze.

Podstawowy próg: średnia firma (50 plus zatrudnionych lub roczny obrót lub bilans powyżej 10 mln EUR). Mikrofirmy i małe firmy są zazwyczaj poza zakresem, z wyjątkami (np. dostawcy usług zaufania, rejestry TLD, niektórzy dostawcy DNS).

Podmiot kluczowy ma surowsze obowiązki. Podmiot ważny ma te same wymogi techniczne, ale z mniej intensywnym nadzorem.

#DORA: zakres podmiotowy

DORA aplikuje do około 20 typów podmiotów finansowych:

  • Instytucje kredytowe.
  • Instytucje płatnicze.
  • Instytucje pieniądza elektronicznego.
  • Firmy inwestycyjne.
  • Dostawcy usług kryptoaktywów.
  • Centralne depozyty papierów wartościowych.
  • Centralni kontrahenci.
  • Systemy obrotu (giełdy).
  • Repozytoria transakcji.
  • Zakłady ubezpieczeń i reasekuracji.
  • Pośrednicy ubezpieczeniowi i reasekuracyjni.
  • Instytucje pracownicze emerytalne.
  • Agencje ratingowe.
  • Audytorzy badający sprawozdania finansowe podmiotów objętych DORA.
  • Administratorzy wskaźników referencyjnych.
  • Fundusze inwestycyjne (UCITS, AIFM).
  • Crowdfunding service providers.
  • Repozytoria sekurytyzacji.

Plus krytyczni dostawcy ICT (Critical ICT Third-Party Providers, CTPP) wskazani przez nadzór europejski. To jest mechanizm, którym DORA wciąga partnerów biznesowych w swój zakres, bez ich własnej rejestracji jako podmiotu finansowego.

WordPress prowadzony przez bank, ubezpieczyciela lub fundusz inwestycyjny wchodzi w zakres DORA jako element systemów ICT podmiotu.

#Co konkretnie trzeba zrobić: wspólny rdzeń

NIS2 i DORA mają zbieżny rdzeń wymagań technicznych i organizacyjnych. Implementacja na WordPressie:

Zarządzanie ryzykiem cybernetycznym. Udokumentowany rejestr ryzyk, procedura ich oceny i akceptacji, polityki bezpieczeństwa zatwierdzone przez zarząd. To dokumenty, nie tylko konfiguracja serwera.

Kontrola dostępu i uwierzytelnianie. Wymagane uwierzytelnianie wieloskładnikowe (MFA) dla administratorów WordPress. Wymagane silne hasła. Wymagane wygaszanie sesji. Wszystkie konta administratorskie muszą być imienne, nie współdzielone.

Zarządzanie incydentami. Procedura wykrywania, klasyfikacji i zgłaszania incydentów. Incydent istotny pod NIS2 to taki, który ma znaczący wpływ na świadczenie usługi. Zgłoszenie do CSIRT lub właściwego organu w 24 godzinach od stwierdzenia (early warning), w 72 godzinach z oceną wstępną, w miesiącu z raportem końcowym.

Bezpieczeństwo łańcucha dostaw. Plugin WordPress, hosting, CDN, dostawca poczty transakcyjnej, dostawca SMS, dostawca AI. Każdy z nich jest częścią łańcucha. Trzeba mieć ich rejestr, oceny ryzyka i klauzule kontraktowe.

Ciągłość działania i odzyskiwanie po awarii. Backup, plan ciągłości, odtwarzanie po awarii, testowane regularnie, nie tylko wykonywane.

Szkolenia personelu. Wymagane na poziomie zarządu i szerszej organizacji. Nie wystarczy “wewnętrzna prezentacja”; potrzebny jest udokumentowany plan szkoleniowy.

Bezpieczeństwo procesu rozwoju i utrzymania. Polityki dotyczące rozwoju oprogramowania, testowania i zarządzania podatnościami. WordPress core jest aktualizowany; pluginy też muszą być, z procesem testowania na staging przed produkcją.

Kryptografia. Polityka kryptografii, w tym TLS, szyfrowanie danych w spoczynku, podpisy cyfrowe. WordPress nie szyfruje bazy danych domyślnie; rozwiązaniem jest szyfrowanie na poziomie systemu plików lub bazy.

#DORA-specific: zarządzanie ICT third-party

DORA ma sekcję rozdziału V poświęconą zarządzaniu dostawcami ICT. Wymaga:

  • Rejestru wszystkich umów z dostawcami ICT.
  • Klasyfikacji umów (krytyczne, niekrytyczne).
  • Klauzul kontraktowych obowiązkowych w umowach z dostawcami krytycznych funkcji.
  • Procedury zakończenia współpracy z planem migracji.
  • Testów penetracyjnych zaawansowanych (TLPT) co najmniej raz na 3 lata dla wybranych podmiotów.

Dla operatora WordPress oznacza to, że hostingodawca i krytyczne pluginy (security plugin, backup plugin, payment gateway plugin) wchodzą do rejestru ICT.

#NIS2-specific: kary i nadzór

Dyrektywa NIS2 określa kary administracyjne, które krajowe transpozycje przekładają na konkretne kwoty. Górne pułapy w samej dyrektywie:

  • Podmiot kluczowy: do 10 mln EUR lub 2 procent rocznego światowego obrotu, w zależności co wyższe.
  • Podmiot ważny: do 7 mln EUR lub 1.4 procent rocznego światowego obrotu, w zależności co wyższe.

Polska transpozycja może wprowadzać własne pułapy, weryfikować w aktualnej wersji ustawy.

Sankcje uzupełniające: tymczasowe zawieszenie certyfikatu, tymczasowe zakazy pełnienia funkcji zarządczych dla osoby odpowiedzialnej. Te ostatnie są najgłośniejszą zmianą NIS2: zarząd ma osobistą odpowiedzialność za zarządzanie ryzykiem cyber.

#Praktyczna mapa wdrożenia na WordPressie

Cztery kategorie pracy, jeden audyt:

Layer 1, infrastruktura. Hosting compliant. Backup off-site. TLS 1.3. WAF. Monitoring 24/7 lub umowa z SOC. Polityka aktualizacji core, themes, plugins.

Layer 2, aplikacja. MFA dla administratorów. Mocne hasła. Logowanie wszystkich akcji administracyjnych do osobnego strumienia. Anti-CSRF. Anti-XSS na poziomie szablonów. Walidacja inputu. Limit prób logowania.

Layer 3, organizacja. Polityki bezpieczeństwa. Rejestr ryzyk. Plan IR. Plan BCDR. Rejestr dostawców ICT. Procedura zgłaszania incydentów do CSIRT/regulatora. Szkolenia.

Layer 4, dokumentacja i audyt. Dokumentacja procesów. Logi audytowe. Audyt zewnętrzny lub wewnętrzny okresowy. Retencja zgodna z RODO.

WordPress jako CMS pokrywa około 30 procent wymagań technicznych “z pudełka”, po hardeningu i pluginach około 60 procent. Pozostałe 40 procent to organizacja, dokumentacja i procedury.

#Co dalej

Konsekwencje praktyczne dla doboru zespołu prowadzącego WordPress: agencja, która prowadzi stronę dla podmiotu objętego NIS2 lub DORA, sama wchodzi w łańcuch dostaw. Nasza strona kariery wspomina jurysdykcję UE i compliance jako standard, bo to filtr zakupowy procurementu w 2026.

#Artykuły wspierające w tym klastrze

Pięć praktycznych pogłębień znajduje się pod tym filarem; każde adresuje jedną operacyjną deltę, którą regulowane wdrożenie WordPress musi rzeczywiście dostarczyć:

#Gdzie ten artykuł pasuje

Artykuł łączy się z filarem usług headless WordPress (warstwa techniczna), angielskim filarem o WCAG/BFSG/EAA (zgodność dostępności w tych samych kryteriach zakupowych), stroną kariery WPPoland (sygnał EU jurisdiction), oraz angielskim artykułem o nearshore Poland (jurysdykcja UE jako wartość dla zachodniego klienta).

Następny krok

Przekuj artykuł w realne wdrożenie

Pod tym wpisem dokładam linki, które domykają intencję użytkownika i prowadzą dalej w strukturze serwisu.

Najbardziej sensowne dalsze kroki

Audyt bezpieczeństwa WordPress

Hardening, usuwanie ryzyk i poprawa bezpieczeństwa logowania.

Opieka techniczna WordPress

Aktualizacje, monitoring i stabilny rozwój po starcie.

Programista WordPress

Wdrożenia, architektura i niestandardowy development.

Chcesz wdrożyć ten temat na swojej stronie?

Mogę przełożyć ten temat na audyt, hardening i plan szybkich poprawek bez zbędnego chaosu.

Napisz w sprawie wdrożenia Przejdź do bloga
Powiązany klaster

Sprawdź inne usługi WordPress i bazę wiedzy

Wzmocnij swój biznes dzięki profesjonalnemu wsparciu technicznemu w kluczowych obszarach ekosystemu WordPress.

Audyt Bezpieczeństwa

Audyt, hardening i ochrona przed incydentami.

Sprawdź usługę
Opieka Techniczna

Stabilność, aktualizacje i wsparcie po wdrożeniu.

Sprawdź usługę
Programista WordPress

Dedykowany development i architektura WordPress.

Sprawdź usługę
Optymalizacja Szybkości

Core Web Vitals, cache i szybki frontend.

Sprawdź usługę
Migracja Next.js / Astro

Migracja do Astro, Next.js i headless WordPress.

Sprawdź usługę
GEO / LLMO

Widoczność w Google i systemach odpowiedzi AI.

Sprawdź usługę

Powiązane kategorie

security development devops hosting

Artykuły wspierające temat

Zabezpieczanie WordPressa 2026: Kompletny przewodnik od serwera po aplikację
Zabezpieczanie WordPressa 2026: Kompletny przewodnik od serwera po aplikację

Kompleksowy przewodnik po zabezpieczaniu WordPressa w 2026 roku - konfiguracja serwera, uwierzytelnianie Passkeys, WAF, nagłówki CSP, ochrona bazy danych, architektura headless i lista kontrolna 25 punktów audytu bezpieczeństwa.

Zaawansowane bezpieczeństwo WordPress: Standard enterprise na 2026 rok
Zaawansowane bezpieczeństwo WordPress: Standard enterprise na 2026 rok

Hasła umarły. Zero-Trust to nowa norma. Ten przewodnik (ponad 2000 słów) definiuje architekturę bezpieczeństwa dla dużych serwisów WordPress.

Zaawansowane zabezpieczenia WordPress: hartowanie dla firm w 2026
Zaawansowane zabezpieczenia WordPress: hartowanie dla firm w 2026

Hasła są przestarzałe. Zero-Trust to nowy standard. Ten przewodnik definiuje architekturę bezpieczeństwa dla dużych stron WordPress w 2026.

FAQ do artykułu

Często zadawane pytania

Najważniejsze odpowiedzi, które pomagają wdrożyć temat w praktyce.

SEO-ready GEO-ready AEO-ready 5 Q&A

Popularne zapytania

Kiedy NIS2 zaczyna obowiązywać? Czym DORA różni się od NIS2? Czy strona WordPress hotelu lub sklepu jest objęta NIS2? Czy wystarczy zainstalować plugin bezpieczeństwa? Co z rejestrowaniem incydentów?
Kiedy NIS2 zaczyna obowiązywać?
#
Termin transpozycji dyrektywy NIS2 do prawa krajowego upłynął 2024-10-17. Państwa członkowskie miały do tego dnia uchwalić ustawy krajowe wdrażające dyrektywę. W praktyce niektóre kraje opóźniły się z transpozycją. W Polsce projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa znajduje się w procesie legislacyjnym; stan na 2026-04 należy weryfikować w ISAP.
Czym DORA różni się od NIS2?
#
DORA jest rozporządzeniem (Regulation 2022/2554), działa bezpośrednio we wszystkich państwach członkowskich od 2025-01-17 bez transpozycji. Dotyczy wąskiego sektora: instytucji finansowych i ich krytycznych dostawców ICT. NIS2 to dyrektywa o szerokim zakresie podmiotów kluczowych i ważnych, transponowana do prawa krajowego.
Czy strona WordPress hotelu lub sklepu jest objęta NIS2?
#
Zależy od podmiotu. NIS2 obejmuje 18 sektorów, podzielonych na kluczowe i ważne. Hotele i sklepy detaliczne nie są wymienione jako sektory regulowane wprost. Jednak jeśli WordPress jest wykorzystywany przez podmiot regulowany (np. szpital, dostawca usług cyfrowych z progiem zatrudnienia, dostawca chmury), to obowiązki bezpieczeństwa przenoszą się na niego.
Czy wystarczy zainstalować plugin bezpieczeństwa?
#
Nie. NIS2 i DORA wymagają udokumentowanego systemu zarządzania ryzykiem cybernetycznym, zgłaszania incydentów do CSIRT/CERT lub regulatora finansowego, oraz audytów. Plugin to jeden element. Sama konfiguracja serwera, polityki haseł, uwierzytelnianie wieloskładnikowe, logi i procedury IR są wymagane na poziomie organizacyjnym, nie tylko technicznym.
Co z rejestrowaniem incydentów?
#
NIS2 wymaga zgłoszenia istotnego incydentu do CSIRT lub właściwego organu w 24 godzinach (powiadomienie wstępne), w 72 godzinach (powiadomienie szczegółowe) i w miesiącu (raport końcowy). DORA ma własne progi czasowe dla podmiotów finansowych. Operator WordPress musi mieć procedurę wykrywania i zgłaszania, nie tylko reagowania.

Potrzebujesz FAQ dopasowanego do branży i rynku? Przygotujemy wersję pod Twoje cele biznesowe.

Porozmawiajmy

Polecane artykuły

Artykuł 28 Rozporządzenia 2022/2554 czyni podmioty finansowe odpowiedzialnymi za ryzyko ICT każdej strony trzeciej, z którą współpracują. Opisuję checklistę due diligence dostawcy, którą dostarczam wraz z mandatami WordPress dla banków i ubezpieczycieli w 2026.
wordpress

DORA Artykuł 28 – ryzyko stron trzecich ICT: audyt dostawcy hostingu i WAF dla WordPress

Artykuł 28 Rozporządzenia 2022/2554 czyni podmioty finansowe odpowiedzialnymi za ryzyko ICT każdej strony trzeciej, z którą współpracują. Opisuję checklistę due diligence dostawcy, którą dostarczam wraz z mandatami WordPress dla banków i ubezpieczycieli w 2026.

Artykuł 21 Dyrektywy 2022/2555 wymienia dziesięć środków zarządzania ryzykiem, które każdy podmiot w zakresie musi wdrożyć. Mapuję każdy z nich na konkretną kontrolę w agencji WordPress, wraz z plikiem dowodowym wymaganym podczas audytu.
wordpress

NIS2 Załącznik II dla agencji WordPress: zakres, terminy, ścieżka dowodowa

Artykuł 21 Dyrektywy 2022/2555 wymienia dziesięć środków zarządzania ryzykiem, które każdy podmiot w zakresie musi wdrożyć. Mapuję każdy z nich na konkretną kontrolę w agencji WordPress, wraz z plikiem dowodowym wymaganym podczas audytu.

Artykuł 23 NIS2 daje 24 godziny od powzięcia wiedzy na złożenie wczesnego ostrzeżenia w CSIRT. Ten playbook wymienia sygnały specyficzne dla WordPress, które uruchamiają zegar, oraz szablon, który składam, gdy zegar startuje.
wordpress

WordPress – reakcja na incydent pod NIS2: 24-godzinny playbook wczesnego ostrzeżenia

Artykuł 23 NIS2 daje 24 godziny od powzięcia wiedzy na złożenie wczesnego ostrzeżenia w CSIRT. Ten playbook wymienia sygnały specyficzne dla WordPress, które uruchamiają zegar, oraz szablon, który składam, gdy zegar startuje.