Dziesięć środków zarządzania ryzykiem z artykułu 21 NIS2 odwzorowanych na kontrole w agencji WordPress oraz dowody wymagane podczas audytu w 2026.
PL

NIS2 Załącznik II dla agencji WordPress: zakres, terminy, ścieżka dowodowa

4.70 /5 - (9 głosów )
Ostatnio zweryfikowano: 1 maja 2026
7min czytania
Dokumentacja
500+ projektów WP

#NIS2 Załącznik II dla agencji WordPress: zakres, terminy, ścieżka dowodowa

Artykuł 21 Dyrektywy 2022/2555 to klauzula operacyjna, która rozstrzyga, jak wygląda audyt. Załącznik I i Załącznik II rozstrzygają, kto przez ten audyt musi przejść. Ten tekst odwzorowuje dziesięć środków z artykułu 21 ust. 2 na konkretne kontrole w agencji WordPress oraz na pliki dowodowe, których oczekuję, gdy regulowany klient uruchamia ocenę dostawcy.

To artykuł wspierający w filarze NIS2 i DORA na WordPress, z odsyłaczami do przewodnika po artykule 28 DORA i 24-godzinnego playbooka reakcji na incydent.

#TL;DR

  • Artykuł 21 ust. 2 wymienia dziesięć środków zarządzania ryzykiem. Żaden nie jest opcjonalny.
  • Załącznik I = podmioty kluczowe. Załącznik II = podmioty ważne. Te same środki, inny nadzór.
  • Audytor szuka czterech artefaktów dla każdego środka: polityki, właściciela, zapisu wdrożenia, rytmu przeglądów.
  • Kary z artykułu 34 dotyczą podmiotu, nie dostawcy WordPress, lecz klauzule łańcucha dostaw przenoszą obowiązki w dół.
  • W każdym mandacie regulowanym prowadzę po jednym folderze na każdą literę artykułu 21.

#Kto wpada w zakres: Załącznik I a Załącznik II

Załącznik I wymienia podmioty kluczowe: energetyka, transport, bankowość, infrastruktury rynku finansowego, zdrowie, woda pitna i ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT (B2B), administracja publiczna, kosmos. Załącznik II wymienia podmioty ważne: usługi pocztowe i kurierskie, gospodarka odpadami, chemia, żywność, produkcja wyrobów medycznych, komputerów i elektroniki, maszyn oraz pojazdów silnikowych, dostawcy usług cyfrowych, organizacje badawcze.

Oba załączniki stosuje się do podmiotów średnich i większych (50+ pracowników lub obrót roczny ponad 10 mln EUR lub suma bilansowa ponad 10 mln EUR). Mikroprzedsiębiorcy i małe przedsiębiorstwa są poza bezpośrednim zakresem, z wyjątkami z artykułu 2 ust. 2: dostawcy usług zaufania, rejestry TLD, niektórzy dostawcy DNS, administracja publiczna, dostawcy publicznych sieci łączności elektronicznej.

Praktyczny filtr dla agencji WordPress: szpital, bank, zakład chemiczny, operator data center, rejestr TLD, zarządzający UCITS. Jeśli klient jest jednym z nich, scoping startuje. Jeśli klient to hotel, startup SaaS lub regionalny detalista, scoping zwykle kończy się stwierdzeniem „poza zakresem, dobre praktyki bezpieczeństwa nadal obowiązują”.

#Artykuł 21 ust. 2: dziesięć środków

Tekst dyrektywy czyta się jako dziesięć liter od a do j. Każda litera staje się folderem w moim repozytorium projektu.

(a) Polityki analizy ryzyka i bezpieczeństwa systemów informatycznych. Podpisany rejestr ryzyka z aktywami, zagrożeniami, prawdopodobieństwem, wpływem i sposobem postępowania. Dla WordPress: serwer produkcyjny, serwer staging, zestaw wtyczek, API zewnętrzne (płatności, e-mail, analityka, AI), konta administracyjne, baza treści. Zagrożenia: RCE we wtyczce, credential stuffing, ransomware na backupach, naruszenie RODO przez eksport. Postępowanie: harmonogram aktualizacji, MFA, off-site szyfrowany backup, zestaw reguł WAF.

(b) Obsługa incydentów. Wykrywanie, klasyfikacja, reakcja, odzyskiwanie, podsumowanie. Dowód: runbook IR z imiennymi właścicielami, narzędzie monitorujące wyzwalające alerty (Wordfence, Sucuri, IDS hostingu, alerty Cloudflare), kanał Slack lub PagerDuty, szablon post-mortem.

(c) Ciągłość działania, w tym zarządzanie kopiami zapasowymi i odzyskiwanie po awarii oraz zarządzanie kryzysowe. Backup z magazynem off-site, zdefiniowane RPO i RTO, przetestowane przywrócenie. Plan komunikacji kryzysowej z osobą do mediów i osobą do regulatora. Doroczne ćwiczenie odtworzenia z raportem.

(d) Bezpieczeństwo łańcucha dostaw, w tym aspekty bezpieczeństwa dotyczące relacji każdego podmiotu z bezpośrednimi dostawcami lub usługodawcami. To miejsce, w którym ląduje agencja WordPress. Regulowany podmiot prowadzi rejestr dostawców, klasyfikuje ich według krytyczności, prowadzi due diligence, wpisuje klauzule bezpieczeństwa do umów. Powiązanie: artykuł 28 DORA stosuje tę samą logikę, ostrzej dla finansów.

(e) Bezpieczeństwo w nabywaniu, rozwoju i utrzymaniu sieci i systemów informatycznych, w tym obsługa i ujawnianie podatności. Udokumentowany bezpieczny cykl wytwarzania. Dla WordPress: review kodu własnych wtyczek i motywów, skanowanie zależności (Snyk, Dependabot, Plugin Checker na WordPress.org), adres e-mail do zgłaszania podatności, polityka zarządzania łatkami.

(f) Polityki i procedury oceny skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa. Audyt wewnętrzny, zewnętrzny lub test penetracyjny. Dowód: opis zakresu, raport z testu, rejestr działań naprawczych, protokół retestu.

(g) Podstawowe praktyki cyberhigieny i szkolenia. Doroczne szkolenie wszystkich pracowników, szkolenia rolowe dla administratorów. Dowód: rejestr szkoleń z imionami, datami i treścią.

(h) Polityki i procedury dotyczące stosowania kryptografii i, w stosownych przypadkach, szyfrowania. TLS 1.3 na brzegu, szyfrowanie kopii zapasowych, szyfrowanie kopii bazy w spoczynku. Polityka algorytmów haszowania (bez MD5 i SHA-1). Inwentarz kluczy kryptograficznych.

(i) Bezpieczeństwo zasobów ludzkich, polityki kontroli dostępu i zarządzanie aktywami. Proces joiner-mover-leaver. Imienne konta administracyjne, brak współdzielonych poświadczeń. Inwentarz aktywów obejmujący wszystkie instalacje WordPress, środowiska staging, dostępy do repozytoriów, dostępy do konsoli hostingowych. Kwartalny przegląd uprawnień.

(j) Stosowanie uwierzytelniania wieloskładnikowego lub rozwiązań ciągłego uwierzytelniania, zabezpieczonej komunikacji głosowej, wideo i tekstowej oraz zabezpieczonej komunikacji awaryjnej. MFA na każdym logowaniu admina WordPress, każdej konsoli hostingowej, każdej konsoli CDN, każdym repozytorium kodu, każdej skrzynce e-mail. Bez wyjątków dla „zaufanych kont wewnętrznych”.

#Ścieżka dowodowa: cztery artefakty na środek

Dla każdej z dziesięciu liter oczekuję czterech artefaktów, gdy zjawia się audytor:

ArtefaktWyglądZnaczenie
Dokument politykiZatwierdzony przez zarząd, datowany, w wersjonowaniuArtykuł 20 wymaga zatwierdzenia i nadzoru organu zarządczego
Właściciel procesuImienna rola (CISO, szef inżynierii, dyrektor agencji)Audytor nie akceptuje „zespołu” jako właściciela
Zapis wdrożeniaLogi, zrzuty ekranu, numery ticketów, raporty skanów, klauzule umówŚwiadczy, że polityka faktycznie działa
Rytm przegląduRoczny lub kwartalny review, wpis do kalendarza, protokółPółkownik bez przeglądu to ustalenie audytowe

Tę czterokolumnową tabelę prowadzę dla każdej litery artykułu 21 ust. 2. Dziesięć liter, czterdzieści artefaktów. Tak wygląda segregator audytowy w 2026.

#Terminy zgłaszania z artykułu 23

Załącznik II to lista stanu ustalonego. Gdy incydent się zdarzy, działa artykuł 23:

  • 24 godziny od powzięcia wiedzy: wczesne ostrzeżenie do CSIRT lub właściwego organu.
  • 72 godziny od powzięcia wiedzy: zgłoszenie z oceną wstępną i wskaźnikami kompromitacji.
  • 1 miesiąc od powzięcia wiedzy: raport końcowy z przyczyną źródłową i podjętymi działaniami naprawczymi.
  • Raport pośredni na każde żądanie regulatora w trakcie.

Szczegółowy playbook na pierwsze 24 godziny żyje w artykule WordPress – reakcja na incydent pod NIS2.

#Pułapy kar i odpowiedzialność zarządu

Artykuł 34 ustanawia pułapy, których krajowe transpozycje nie mogą obniżać:

  • Podmioty kluczowe: co najmniej 10 mln EUR albo 2% całkowitego rocznego obrotu światowego, w zależności od tego, która wartość jest wyższa.
  • Podmioty ważne: co najmniej 7 mln EUR albo 1,4% całkowitego rocznego obrotu światowego, w zależności od tego, która wartość jest wyższa.

Artykuł 20 ust. 1 nakłada odpowiedzialność na organy zarządcze, w tym obowiązek nadzoru nad wdrożeniem. Artykuł 20 ust. 2 wymaga odbywania szkoleń przez członków organu. Krajowe transpozycje mogą dodać sankcje osobowe wobec osoby odpowiedzialnej; status polskiej ustawy o krajowym systemie cyberbezpieczeństwa należy weryfikować w ISAP przed audytem.

#Co to oznacza dla agencji

Agencja WordPress, która chce w 2026 utrzymać regulowanych klientów, dostarcza w każdym mandacie dwa artefakty:

  1. Samodeklarację względem artykułu 21 ust. 2 lit. d, opisującą środki bezpieczeństwa wdrożone u samej agencji.
  2. Dokument referencyjny, który klient wkleja do własnego segregatora artykułu 21, pokazujący, jak mandat WordPress mapuje się na każdy z dziesięciu środków.

Oba pakuję w „pakiet bezpieczeństwa dostawcy” i dołączam do oferty. To eliminuje rundę z działem zakupów i sygnalizuje rozumienie kontekstu regulacyjnego. Wycena mandatów compliance-engineering jest indywidualna; zakres segregatora dyktuje godziny, nie cennik.

#Czytanie klastrowe

Następny krok

Przekuj artykuł w realne wdrożenie

Pod tym wpisem dokładam linki, które domykają intencję użytkownika i prowadzą dalej w strukturze serwisu.

Najbardziej sensowne dalsze kroki

Audyt bezpieczeństwa WordPress

Hardening, usuwanie ryzyk i poprawa bezpieczeństwa logowania.

Opieka techniczna WordPress

Aktualizacje, monitoring i stabilny rozwój po starcie.

Programista WordPress

Wdrożenia, architektura i niestandardowy development.

Chcesz wdrożyć ten temat na swojej stronie?

Mogę przełożyć ten temat na audyt, hardening i plan szybkich poprawek bez zbędnego chaosu.

Napisz w sprawie wdrożenia Przejdź do bloga
Powiązany klaster

Sprawdź inne usługi WordPress i bazę wiedzy

Wzmocnij swój biznes dzięki profesjonalnemu wsparciu technicznemu w kluczowych obszarach ekosystemu WordPress.

Audyt Bezpieczeństwa

Audyt, hardening i ochrona przed incydentami.

Sprawdź usługę
Opieka Techniczna

Stabilność, aktualizacje i wsparcie po wdrożeniu.

Sprawdź usługę
Programista WordPress

Dedykowany development i architektura WordPress.

Sprawdź usługę
Optymalizacja Szybkości

Core Web Vitals, cache i szybki frontend.

Sprawdź usługę
Migracja Next.js / Astro

Migracja do Astro, Next.js i headless WordPress.

Sprawdź usługę
GEO / LLMO

Widoczność w Google i systemach odpowiedzi AI.

Sprawdź usługę

Powiązane kategorie

security development devops hosting

Artykuły wspierające temat

Zabezpieczanie WordPressa 2026: Kompletny przewodnik od serwera po aplikację
Zabezpieczanie WordPressa 2026: Kompletny przewodnik od serwera po aplikację

Kompleksowy przewodnik po zabezpieczaniu WordPressa w 2026 roku - konfiguracja serwera, uwierzytelnianie Passkeys, WAF, nagłówki CSP, ochrona bazy danych, architektura headless i lista kontrolna 25 punktów audytu bezpieczeństwa.

Zaawansowane bezpieczeństwo WordPress: Standard enterprise na 2026 rok
Zaawansowane bezpieczeństwo WordPress: Standard enterprise na 2026 rok

Hasła umarły. Zero-Trust to nowa norma. Ten przewodnik (ponad 2000 słów) definiuje architekturę bezpieczeństwa dla dużych serwisów WordPress.

Zaawansowane zabezpieczenia WordPress: hartowanie dla firm w 2026
Zaawansowane zabezpieczenia WordPress: hartowanie dla firm w 2026

Hasła są przestarzałe. Zero-Trust to nowy standard. Ten przewodnik definiuje architekturę bezpieczeństwa dla dużych stron WordPress w 2026.

FAQ do artykułu

Często zadawane pytania

Najważniejsze odpowiedzi, które pomagają wdrożyć temat w praktyce.

SEO-ready GEO-ready AEO-ready 5 Q&A

Popularne zapytania

Co konkretnie wymienia artykuł 21 NIS2? Kto jest podmiotem kluczowym, a kto ważnym? Jakiego dowodu oczekuje audytor dla każdego środka? Czy terminy zgłaszania są częścią Załącznika II? Czy sama agencja WordPress podlega NIS2?
Co konkretnie wymienia artykuł 21 NIS2?
#
Artykuł 21 ust. 2 wymienia dziesięć kategorii środków zarządzania ryzykiem cyberbezpieczeństwa: polityki analizy ryzyka, obsługa incydentów, ciągłość działania i zarządzanie kryzysowe, bezpieczeństwo łańcucha dostaw, bezpieczeństwo nabywania i rozwoju, obsługa podatności, szkolenia, kryptografia, kontrola dostępu i zarządzanie zasobami, uwierzytelnianie wieloskładnikowe i zabezpieczona komunikacja. Źródło: EUR-Lex CELEX 32022L2555.
Kto jest podmiotem kluczowym, a kto ważnym?
#
Załącznik I wymienia podmioty kluczowe (energia, transport, bankowość, zdrowie, woda, infrastruktura cyfrowa, zarządzanie usługami ICT, administracja publiczna, kosmos). Załącznik II wymienia podmioty ważne (poczta, odpady, chemia, żywność, produkcja, dostawcy usług cyfrowych, badania). Oba stosują te same środki z artykułu 21; różnią się intensywnością nadzoru i wysokością kar.
Jakiego dowodu oczekuje audytor dla każdego środka?
#
Dokumentu zatwierdzonego przez zarząd, właściciela procesu, zapisu wdrożenia (logi, zrzuty ekranu, raporty z testów) i częstotliwości przeglądu. Polityka bez zapisu przeglądu to półkownik. Prowadzę po jednym folderze na każdy ustęp artykułu 21 z tymi czterema artefaktami.
Czy terminy zgłaszania są częścią Załącznika II?
#
Terminy zgłaszania wynikają z artykułu 23, nie z Załącznika II. Artykuł 23 ust. 4 ustanawia 24-godzinne wczesne ostrzeżenie, 72-godzinne zgłoszenie i raport końcowy w ciągu miesiąca. Artykuł 21 reguluje stan ustalony; artykuł 23 wchodzi, gdy coś pęknie.
Czy sama agencja WordPress podlega NIS2?
#
Zwykle tylko jako element łańcucha dostaw regulowanego klienta (artykuł 21 ust. 2 lit. d). Mała agencja poniżej 50 osób i 10 mln EUR obrotu nie jest co do zasady objęta bezpośrednio, lecz obowiązki umowne ze strony regulowanego klienta przenoszą znaczną część kontroli na agencję.

Potrzebujesz FAQ dopasowanego do branży i rynku? Przygotujemy wersję pod Twoje cele biznesowe.

Porozmawiajmy

Polecane artykuły

Artykuł 23 NIS2 daje 24 godziny od powzięcia wiedzy na złożenie wczesnego ostrzeżenia w CSIRT. Ten playbook wymienia sygnały specyficzne dla WordPress, które uruchamiają zegar, oraz szablon, który składam, gdy zegar startuje.
wordpress

WordPress – reakcja na incydent pod NIS2: 24-godzinny playbook wczesnego ostrzeżenia

Artykuł 23 NIS2 daje 24 godziny od powzięcia wiedzy na złożenie wczesnego ostrzeżenia w CSIRT. Ten playbook wymienia sygnały specyficzne dla WordPress, które uruchamiają zegar, oraz szablon, który składam, gdy zegar startuje.

Dyrektywa NIS2 (2022/2555) miała być transponowana do prawa krajowego do 2024-10-17. Rozporządzenie DORA (2022/2554) obowiązuje bezpośrednio od 2025-01-17. Dla operatora strony WordPress oznacza to konkretne obowiązki, jeśli serwis dotyczy podmiotów regulowanych. Tłumaczymy bez paniki, z odniesieniem do tekstów aktów.
wordpress

NIS2 i DORA na WordPressie: co musi spełniać strona w 2026

Dyrektywa NIS2 (2022/2555) miała być transponowana do prawa krajowego do 2024-10-17. Rozporządzenie DORA (2022/2554) obowiązuje bezpośrednio od 2025-01-17. Dla operatora strony WordPress oznacza to konkretne obowiązki, jeśli serwis dotyczy podmiotów regulowanych. Tłumaczymy bez paniki, z odniesieniem do tekstów aktów.

Artykuł 28 Rozporządzenia 2022/2554 czyni podmioty finansowe odpowiedzialnymi za ryzyko ICT każdej strony trzeciej, z którą współpracują. Opisuję checklistę due diligence dostawcy, którą dostarczam wraz z mandatami WordPress dla banków i ubezpieczycieli w 2026.
wordpress

DORA Artykuł 28 – ryzyko stron trzecich ICT: audyt dostawcy hostingu i WAF dla WordPress

Artykuł 28 Rozporządzenia 2022/2554 czyni podmioty finansowe odpowiedzialnymi za ryzyko ICT każdej strony trzeciej, z którą współpracują. Opisuję checklistę due diligence dostawcy, którą dostarczam wraz z mandatami WordPress dla banków i ubezpieczycieli w 2026.