Co dostawca WordPress musi wypełnić, aby trafić do Rejestru Informacji z DORA artykuł 28(3) u podmiotu finansowego.
PL

DORA Rejestr Informacji dla dostawców WordPress: pola obowiązkowe

4.70 /5 - (6 głosów )
Ostatnio zweryfikowano: 1 maja 2026
5min czytania
Dokumentacja
500+ projektów WP

#DORA Rejestr Informacji dla dostawców WordPress: pola obowiązkowe

Artykuł 28(3) rozporządzenia 2022/2554 zobowiązuje każdy podmiot finansowy do prowadzenia i aktualizacji Rejestru Informacji o umowach z dostawcami usług ICT third-party. Rozporządzenie wykonawcze (UE) 2024/2956 ustala strukturę pól: piętnaście tabel z nazwanymi kolumnami. Agencja WordPress dostarczająca usługi bankowi, ubezpieczycielowi, firmie inwestycyjnej albo instytucji płatniczej trafia do tego rejestru i musi dostarczać dane na czas, w odpowiednim kształcie.

To artykuł wspierający wewnątrz filaru NIS2 i DORA na WordPressie, z odsyłaczem do wyjaśnienia DORA artykuł 28 ryzyko stron trzecich.

#Streszczenie

  • Piętnaście tabel ustawionych przez rozporządzenie wykonawcze 2024/2956.
  • Umowy o funkcjach krytycznych albo istotnych mają dodatkowe kolumny (zastępowalność, ryzyko koncentracji, plan wyjścia).
  • Łańcuchy sub-procesorów przejrzyste do poziomu istotnego dla podmiotu finansowego.
  • Agencja nie składa Rejestru; agencja go karmi.
  • Większość agencji pomija cztery z piętnastu tabel przy pierwszym zgłoszeniu.

#Co składa podmiot finansowy

Zgodnie z artykułem 28(3) każdy podmiot finansowy musi raportować Rejestr co najmniej raz w roku do swojego organu nadzoru i europejskiego organu nadzoru poprzez wspólne ramy raportowania. Rozporządzenie wykonawcze 2024 definiuje schemat. Piętnaście tabel:

  1. Informacje o podmiocie.
  2. Informacje o oddziale.
  3. Informacje o jednostce zależnej.
  4. Usługi ICT.
  5. Identyfikacja funkcji.
  6. Umowy.
  7. Funkcje umowy.
  8. Usługi ICT umowy.
  9. Ryzyko umowy.
  10. Podwykonawstwo (sub-procesorzy).
  11. Postanowienia dotyczące rozwiązania.
  12. Lokalizacje.
  13. Osoby lub organy odpowiedzialne.
  14. Umowy dotyczące funkcji krytycznych lub istotnych.
  15. Umowy z koncentracją (third-party w ramach grupy).

Z tych piętnastu agencja WordPress zwykle pojawia się w tabelach 4, 6, 8, 9, 10, 11, 12, 14. Tabele 1-3, 5, 7, 13 należą do podmiotu finansowego. Tabela 15 pojawia się rzadko i tylko, gdy agencja ma podmiot dominujący albo jest częstym dostawcą w grupie podmiotu.

#Co agencja WordPress musi dostarczyć

Per usługa ICT (tabela 4) i per umowa (tabela 6) agencja dostarcza kolumny, które podmiot finansowy przepisuje do Rejestru. Praktyczna lista nieprzykładna:

  • Opis usługi: hosting WordPress, rozwój pluginu, headless front, support, audyty bezpieczeństwa - per pozycja, a nie jeden wspólny worek.
  • Nazwa dostawcy i LEI: Legal Entity Identifier agencji. Mała agencja WordPress bez LEI musi go uzyskać przed podpisaniem umowy.
  • Kraj rejestracji i siedziba.
  • Przynależność grupowa: spółka dominująca, zależne, siostrzane.
  • Świadczone usługi: które produkty są dotykane, z flagą krytyczności.
  • Przetwarzane dane: dane klientów, dane transakcyjne, dane pracowników, brak.
  • Lokalizacje danych: kraj i dostawca data center per warstwa przechowywania (produkcja, backup, archiwum logów).
  • Sub-procesorzy: każdy dostawca, którego agencja używa do świadczenia usługi (Cloudflare, Sentry, platforma deploymentu, monitoring, API AI).
  • Jurysdykcje sub-procesorów: kraj i prawo właściwe per sub-procesor.

Tabela 11 (postanowienia dotyczące rozwiązania) wymaga od agencji ujawnienia:

  • Okresu wypowiedzenia dla podmiotu finansowego.
  • Okresu wypowiedzenia dla agencji.
  • Wyzwalaczy wcześniejszego rozwiązania przez podmiot finansowy.
  • Planu wyjścia: jak podmiot finansowy odzyskuje dane i operacje.

Tabela 14 (umowy dotyczące funkcji krytycznych lub istotnych) wymaga dodatkowych dowodów, jeśli usługa WordPress wspiera funkcję krytyczną lub istotną. Ocena zastępowalności, ryzyko koncentracji, plan wyjścia z realistycznymi terminami, regularny harmonogram testów.

#Co większość agencji WordPress pomija

Pięć powtarzających się luk z reviewów dostawców 2025-2026:

Brak LEI. Agencja WordPress bez Legal Entity Identifier opóźnia umowę i Rejestr. LEI kosztuje mniej więcej tyle co odnowienie domeny rocznie. Nie ma wytłumaczenia dla braku LEI przy obsłudze regulowanego sektora finansowego.

Niekompletna lista sub-procesorów. Cloudflare jest, Sentry jest; dostawca AI dla narzędzi redakcyjnych, vendor email-relay, platforma deploymentu i target backupu off-site są zapomniani. Rejestr nie przechodzi review i agencja wraca przez zakup ponownie.

Plan wyjścia w jednym akapicie. “Przekażemy dane na żądanie” to nie plan wyjścia. Podmiot finansowy potrzebuje szacowanych dni handoveru, formatu dostawy danych, przekazania repozytorium kodu, przekazania runbooka, listy zależności i procedury zamknięcia kont. Minimum trzy strony, najlepiej dokument wersjonowany.

Brak dowodu testu backupu. Artykuł 11 DORA wymaga regularnych testów odporności operacyjnej, w tym restore. Agencja bez kwartalnego logu restore zawodzi review przy pierwszym audicie.

Brak oceny funkcji krytycznej. Agencja twierdzi “nie jesteśmy krytyczni”, bo strona WordPress to “tylko marketing”. Zespół compliance podmiotu finansowego nie zgadza się, bo awaria marki szkodzi zaufaniu klientów. Ustalcie to wcześnie w umowie, nie podczas audytu.

#Jak przygotować się do pierwszego wpisu

Praktyczna checklista dla agencji WordPress wchodzącej do pierwszego Rejestru:

  1. Uzyskać LEI, jeśli brak.
  2. Zinwentaryzować sub-procesorów, z krajem i prawem właściwym per dostawca.
  3. Napisać wersjonowany plan wyjścia: dane, kod, runbook, konta.
  4. Udokumentować lokalizacje danych per warstwa przechowywania i per sub-procesor.
  5. Przetestować pełny restore z backupu off-site; zalogować timestamp, czas trwania i wynik.
  6. Zmapować świadczone usługi na funkcje podmiotu finansowego; oflagować krytyczne lub istotne.
  7. Sporządzić oświadczenie o zastępowalności: którzy konkurenci zastąpią waszą usługę, w ilu tygodniach.
  8. Wprowadzić rytm kwartalnego review: co kwartał odświeżenie danych, podpis, archiwizacja.

Wykonane przed pierwszą umową, takie przygotowanie zwraca się wielokrotnie. Wykonane podczas pierwszego audytu, podwaja koszt zaangażowania.

#Odsyłacze

Następny krok

Przekuj artykuł w realne wdrożenie

Pod tym wpisem dokładam linki, które domykają intencję użytkownika i prowadzą dalej w strukturze serwisu.

Najbardziej sensowne dalsze kroki

Programista WordPress

Wdrożenia, architektura i niestandardowy development.

Redesign i modernizacja strony

Porządek w treści, strukturze i ścieżce konwersji.

Opieka techniczna WordPress

Aktualizacje, monitoring i stabilny rozwój po starcie.

Chcesz wdrożyć ten temat na swojej stronie?

Jeśli chcesz przełożyć wiedzę z artykułu na działającą stronę, sklep albo przebudowę serwisu, przygotuję konkretny zakres prac.

Napisz w sprawie wdrożenia Przejdź do bloga
Powiązany klaster

Sprawdź inne usługi WordPress i bazę wiedzy

Wzmocnij swój biznes dzięki profesjonalnemu wsparciu technicznemu w kluczowych obszarach ekosystemu WordPress.

Programista WordPress

Dedykowany development i architektura WordPress.

Sprawdź usługę
Programista WooCommerce

Sklepy, checkout i logika sprzedażowa.

Sprawdź usługę
Opieka Techniczna

Stabilność, aktualizacje i wsparcie po wdrożeniu.

Sprawdź usługę
Optymalizacja Szybkości

Core Web Vitals, cache i szybki frontend.

Sprawdź usługę
Migracja Next.js / Astro

Migracja do Astro, Next.js i headless WordPress.

Sprawdź usługę
Przebudowa Stron

Porządek w strukturze, treści i ścieżce konwersji.

Sprawdź usługę

Powiązane kategorie

development architecture wordpress technologia

Artykuły wspierające temat

WordPress 7.0 vs Astro 6 po akwizycji Cloudflare - kto wygrywa w 2026?
WordPress 7.0 vs Astro 6 po akwizycji Cloudflare - kto wygrywa w 2026?

WordPress 7.0 z AI Client kontra Astro 6 po akwizycji Cloudflare. Porównanie prędkości, kosztów, SEO i bezpieczeństwa. Opinia po 20 latach jako programista WP - kiedy migrować, a kiedy zostać.

Architektura headless WordPress w 2026: Ostateczny przewodnik dla biznesu
Architektura headless WordPress w 2026: Ostateczny przewodnik dla biznesu

Czy rozdzielenie frontendu od backendu jest dla Ciebie? Ten przewodnik (ponad 2000 słów) bada przyszłość Headless WP: Next.js, GraphQL i Edge Delivery.

Wnętrze wordpressa – Anatomia panelu administracyjnego (templates)
Wnętrze wordpressa – Anatomia panelu administracyjnego (templates)

Jak zbudowany jest panel admina? Poznaj strukturę plików w wp-admin i system szablonów (Templates), który tym steruje.

FAQ do artykułu

Często zadawane pytania

Najważniejsze odpowiedzi, które pomagają wdrożyć temat w praktyce.

SEO-ready GEO-ready AEO-ready 4 Q&A

Popularne zapytania

Kto prowadzi Rejestr Informacji? Które RTS DORA definiują strukturę pól? Czy strona WordPress jest zawsze ICT services? Czy Rejestr dotyczy małych agencji WordPress?
Kto prowadzi Rejestr Informacji?
#
Podmiot finansowy prowadzi go, nie agencja. Agencja dostarcza dane wejściowe. Rejestr to dostawa regulacyjna do europejskich organów nadzoru (EBA, EIOPA, ESMA) zgodnie z artykułem 28(3) DORA.
Które RTS DORA definiują strukturę pól?
#
Rozporządzenie wykonawcze Komisji Europejskiej (UE) 2024/2956 z 2024 roku do Rejestru Informacji. Piętnaście tabel z polami.
Czy strona WordPress jest zawsze ICT services?
#
Prawie zawsze, gdy wspiera usługę finansową albo trzyma dane klienta. Czysta strona broszurowa banku bez logowania to przypadek graniczny; praktyka nadzorcza traktuje ją jako ICT, bo powierzchnia marki sama w sobie jest krytyczna.
Czy Rejestr dotyczy małych agencji WordPress?
#
Dotyczy podmiotu finansowego, ale każdy dostawca w tym mała agencja musi dostarczyć dane. Pięcioosobowa agencja nie jest zwolniona z podawania jurysdykcji, sub-procesorów i planu wyjścia.

Potrzebujesz FAQ dopasowanego do branży i rynku? Przygotujemy wersję pod Twoje cele biznesowe.

Porozmawiajmy

Polecane artykuły

Artykuł 28 Rozporządzenia 2022/2554 czyni podmioty finansowe odpowiedzialnymi za ryzyko ICT każdej strony trzeciej, z którą współpracują. Opisuję checklistę due diligence dostawcy, którą dostarczam wraz z mandatami WordPress dla banków i ubezpieczycieli w 2026.
wordpress

DORA Artykuł 28 – ryzyko stron trzecich ICT: audyt dostawcy hostingu i WAF dla WordPress

Artykuł 28 Rozporządzenia 2022/2554 czyni podmioty finansowe odpowiedzialnymi za ryzyko ICT każdej strony trzeciej, z którą współpracują. Opisuję checklistę due diligence dostawcy, którą dostarczam wraz z mandatami WordPress dla banków i ubezpieczycieli w 2026.

NIS2 (dyrektywa 2022/2555) i DORA (rozporządzenie 2022/2554) pokrywają podobny obszar, ale różną mechaniką. Gdzie się pokrywają, gdzie się rozchodzą i jak agencja WordPress spełnia oba jedną ścieżką dowodową.
wordpress

NIS2 vs DORA pokrywanie się zakresów dla agencji WordPress 2026

NIS2 (dyrektywa 2022/2555) i DORA (rozporządzenie 2022/2554) pokrywają podobny obszar, ale różną mechaniką. Gdzie się pokrywają, gdzie się rozchodzą i jak agencja WordPress spełnia oba jedną ścieżką dowodową.

Dyrektywa NIS2 (2022/2555) miała być transponowana do prawa krajowego do 2024-10-17. Rozporządzenie DORA (2022/2554) obowiązuje bezpośrednio od 2025-01-17. Dla operatora strony WordPress oznacza to konkretne obowiązki, jeśli serwis dotyczy podmiotów regulowanych. Tłumaczymy bez paniki, z odniesieniem do tekstów aktów.
wordpress

NIS2 i DORA na WordPressie: co musi spełniać strona w 2026

Dyrektywa NIS2 (2022/2555) miała być transponowana do prawa krajowego do 2024-10-17. Rozporządzenie DORA (2022/2554) obowiązuje bezpośrednio od 2025-01-17. Dla operatora strony WordPress oznacza to konkretne obowiązki, jeśli serwis dotyczy podmiotów regulowanych. Tłumaczymy bez paniki, z odniesieniem do tekstów aktów.