Mapa de implementação da NIS2 e da DORA num site WordPress em 2026, com referências aos textos oficiais das diretivas e regulamentos.
PT-PT

NIS2 e DORA em WordPress: o que um site tem de cumprir em 2026

4.60 /5 - (11 votes )
Última verificação: 1 de maio de 2026
9min de leitura
Opinião
500+ projetos WP
A NIS2 é uma diretiva de âmbito alargado transposta para direito nacional. A DORA é um regulamento de âmbito restrito aplicado diretamente. Sobrepõem-se nas entidades financeiras também classificadas como essenciais ao abrigo da NIS2. NIS2 (Diretiva 2022/2555). DORA (Regulamento 2022/2554). NIS2 (Diretiva 2022/2555) 18 setores, entidades essenciais + importantes Prazo de transposição nacional 2024-10-17 Notificação de incidente 24h / 72h / 30 dias DORA (Regulamento 2022/2554) Setor financeiro + prestadores ICT críticos (CTPP) Aplicação direta desde 2025-01-17 TLPT de 3 em 3 anos para entidades selecionadas
A NIS2 é uma diretiva de âmbito alargado transposta para direito nacional. A DORA é um regulamento de âmbito restrito aplicado diretamente. Sobrepõem-se nas entidades financeiras também classificadas como essenciais ao abrigo da NIS2.

#NIS2 e DORA em WordPress: o que um site tem de cumprir em 2026

Dois atos da UE definem em 2026 o que é exigido do lado da cibersegurança a um site WordPress que conduz uma atividade regulada na União: a Diretiva NIS2 (2022/2555) e o Regulamento DORA (2022/2554). Não são intercambiáveis. A NIS2 é uma diretiva com âmbito setorial alargado, transposta para o direito nacional. A DORA é um regulamento setorial (finanças) com aplicação direta. Ambos se aplicam a WordPress se e somente se a entidade que opera o site estiver no âmbito.

O artigo liga-se ao pillar de serviços headless WordPress, onde a camada técnica é descrita, e ao pillar sobre WCAG, BFSG e EAA, porque a conformidade de acessibilidade e a de cibersegurança aterram cada vez mais no mesmo pedido de aquisição.

#TL;DR

  • Prazo de transposição da NIS2: 2024-10-17. DORA aplica-se desde 2025-01-17.
  • NIS2: 18 setores, divididos entre entidades essenciais e importantes.
  • DORA: setor financeiro mais fornecedores críticos de TIC.
  • Exigências: gestão de risco documentada, comunicação de incidentes (24/72/30), auditorias.
  • O WordPress em si não está no âmbito; está a entidade que opera o site, se for regulada.

#Três coisas a saber desde já

Primeiro, a NIS2 e a DORA aplicam-se à entidade, não à tecnologia. O WordPress não é “compliant” nem “non-compliant” enquanto CMS. Compliant ou não é a entidade que opera o site. Se um hospital, um banco, um fornecedor de cloud ou um operador de e-commerce acima do limiar estiver no âmbito, o seu site WordPress entra no âmbito como parte da infraestrutura da entidade.

Segundo, a transposição nacional da NIS2 está atrasada em vários Estados-Membros. O prazo de 2024-10-17 expirou, mas vários países encontravam-se em diferentes fases do processo legislativo após essa data. O estado da transposição varia entre os Estados-Membros; verifique a base de dados jurídica nacional relevante antes da auditoria final. Para o estado português, consulte o Diário da República; para o estado polaco, o projeto de alteração à lei sobre o sistema nacional de cibersegurança está publicamente disponível e o seu estado atual deve ser verificado em ISAP antes de qualquer auditoria final. O estado em 2026-04 exige análise jurídica separada; este artigo não substitui aconselhamento jurídico.

Terceiro, a DORA aplica-se diretamente. O regulamento não exige transposição. Se uma entidade financeira ou um fornecedor crítico de TIC operar um site WordPress, as obrigações da DORA aplicam-se desde 2025-01-17 independentemente do estado legislativo nacional.

#NIS2: âmbito subjetivo

A Diretiva NIS2 lista 18 setores. Os casos mais comuns em que o WordPress entra no âmbito:

Entidades essenciais (essential entities):

  • Energia (eletricidade, gás, petróleo, calor, hidrogénio).
  • Transportes (aéreo, ferroviário, aquático, rodoviário).
  • Banca.
  • Infraestruturas dos mercados financeiros.
  • Saúde (hospitais, laboratórios de referência, fabricantes de medicamentos, dispositivos médicos).
  • Água potável e águas residuais.
  • Infraestrutura digital (fornecedores de DNS, registos de domínio, fornecedores de cloud computing, prestadores de serviços de centro de dados, redes de distribuição de conteúdos, prestadores de serviços de confiança, fornecedores de redes públicas de comunicações eletrónicas).
  • Gestão de serviços TIC (B2B).
  • Administração pública (condições definidas no art. 2).
  • Espaço.

Entidades importantes (important entities):

  • Serviços postais e de correio expresso.
  • Gestão de resíduos.
  • Fabrico, transformação e distribuição de químicos.
  • Fabrico, transformação e distribuição de alimentos.
  • Fabrico nos setores: médico, informático e eletrónico, de máquinas, automóvel.
  • Prestadores de serviços digitais (mercados em linha, motores de pesquisa, plataformas sociais).
  • Organismos de investigação.

Limiar de base: empresa média (50+ trabalhadores ou volume de negócios anual ou balanço superior a 10 milhões EUR). Microempresas e pequenas empresas estão geralmente fora do âmbito, com exceções (por exemplo prestadores de serviços de confiança, registos de TLD, alguns fornecedores de DNS).

A entidade essencial tem obrigações mais estritas. A entidade importante tem os mesmos requisitos técnicos mas com supervisão menos intensiva.

#DORA: âmbito subjetivo

A DORA aplica-se a cerca de 20 tipos de entidade financeira:

  • Instituições de crédito.
  • Instituições de pagamento.
  • Instituições de moeda eletrónica.
  • Empresas de investimento.
  • Prestadores de serviços de criptoativos.
  • Centrais de valores mobiliários.
  • Contrapartes centrais.
  • Plataformas de negociação (bolsas).
  • Repositórios de transações.
  • Empresas de seguros e resseguros.
  • Mediadores de seguros e resseguros.
  • Instituições de realização de planos de pensões profissionais.
  • Agências de notação de risco.
  • Auditores que auditam contas de entidades abrangidas pela DORA.
  • Administradores de índices de referência críticos.
  • Fundos de investimento (OICVM, AIFM).
  • Prestadores de serviços de financiamento colaborativo.
  • Repositórios de titularização.

Mais os fornecedores críticos de TIC terceiros (Critical ICT Third-Party Providers, CTPP) designados pela supervisão europeia. É o mecanismo pelo qual a DORA puxa parceiros de negócio para o seu âmbito, sem que estes se registem como entidade financeira.

Um WordPress operado por um banco, segurador ou fundo de investimento entra no âmbito da DORA como parte dos sistemas de TIC da entidade.

#O que tem de ser feito em concreto: o núcleo comum

A NIS2 e a DORA partilham um núcleo convergente de exigências técnicas e organizacionais. Implementação em WordPress:

Gestão do risco cibernético. Registo de risco documentado, procedimento para avaliação e aceitação do risco, políticas de segurança aprovadas pelo órgão de gestão. São documentos, não apenas configuração do servidor.

Controlo de acesso e autenticação. Autenticação multifator (MFA) obrigatória para administradores WordPress. Palavras-passe fortes obrigatórias. Expiração de sessão obrigatória. Todas as contas de administrador devem ser nominais, não partilhadas.

Gestão de incidentes. Procedimento para deteção, classificação e comunicação de incidentes. Um incidente significativo na NIS2 é um com impacto significativo na prestação do serviço. Comunicação ao CSIRT ou autoridade competente em 24 horas após a deteção (alerta inicial), 72 horas com avaliação inicial, um mês com relatório final.

Segurança da cadeia de fornecimento. Um plugin WordPress, alojamento, CDN, fornecedor de email transacional, fornecedor de SMS, fornecedor de IA. Cada um faz parte da cadeia. É necessário um registo, avaliações de risco e cláusulas contratuais.

Continuidade do negócio e recuperação após desastre. Backup, plano de continuidade, recuperação após desastre, testados regularmente, não apenas executados.

Formação do pessoal. Exigida a nível do órgão de gestão e da organização em geral. Uma “apresentação interna” não basta; é necessário um plano de formação documentado.

Segurança dos processos de desenvolvimento e manutenção. Políticas de desenvolvimento de software, testes e gestão de vulnerabilidades. O core do WordPress é atualizado; os plugins também o devem ser, com um processo de testes em staging antes da produção.

Criptografia. Uma política de criptografia, incluindo TLS, cifragem de dados em repouso, assinaturas digitais. O WordPress não cifra a base de dados por defeito; a solução é cifragem ao nível do sistema de ficheiros ou da base de dados.

#Específico da DORA: gestão de terceiros TIC

A DORA tem uma secção no capítulo V dedicada à gestão de terceiros TIC. Exige:

  • Um registo de todos os contratos com fornecedores TIC.
  • Classificação dos contratos (críticos, não críticos).
  • Cláusulas contratuais obrigatórias em contratos com fornecedores de funções críticas.
  • Procedimento de cessação com plano de migração.
  • Testes de penetração orientados por ameaças (TLPT) pelo menos uma vez de 3 em 3 anos para entidades selecionadas.

Para o operador WordPress isto significa que o fornecedor de alojamento e os plugins críticos (security plugin, backup plugin, payment gateway plugin) entram no registo TIC.

#Específico da NIS2: sanções e supervisão

A Diretiva NIS2 estabelece sanções administrativas que as transposições nacionais traduzem em montantes concretos. Os limites superiores na própria diretiva:

  • Entidade essencial: até 10 milhões EUR ou 2 por cento do volume de negócios anual a nível mundial, consoante o que for mais elevado.
  • Entidade importante: até 7 milhões EUR ou 1,4 por cento do volume de negócios anual a nível mundial, consoante o que for mais elevado.

As transposições nacionais podem introduzir limites próprios; a verificar na versão em vigor da lei na jurisdição relevante.

Sanções complementares: suspensão temporária da certificação, proibições temporárias do exercício de funções de direção para a pessoa responsável. Esta é a alteração mais marcante da NIS2: o órgão de gestão tem responsabilidade pessoal pela gestão do risco cibernético.

#Mapa prático de implementação em WordPress

Quatro categorias de trabalho, uma auditoria:

Camada 1, infraestrutura. Alojamento conforme. Backup off-site. TLS 1.3. WAF. Monitorização 24/7 ou contrato com SOC. Política de atualização do core, themes, plugins.

Camada 2, aplicação. MFA para administradores. Palavras-passe fortes. Registo de todas as ações administrativas num fluxo separado. Anti-CSRF. Anti-XSS ao nível dos templates. Validação de input. Limite de tentativas de login.

Camada 3, organização. Políticas de segurança. Registo de risco. Plano de IR. Plano de BCDR. Registo de fornecedores TIC. Procedimento de comunicação de incidentes ao CSIRT/regulador. Formação.

Camada 4, documentação e auditoria. Documentação de processos. Registos de auditoria. Auditoria externa ou interna periódica. Retenção em conformidade com o RGPD.

O WordPress como CMS cobre cerca de 30 por cento dos requisitos técnicos “out of the box”, após hardening e plugins cerca de 60 por cento. Os restantes 40 por cento são organização, documentação e procedimentos.

#Para a frente

Consequências práticas para a escolha da equipa que opera WordPress: uma agência que opera o site para uma entidade abrangida pela NIS2 ou pela DORA entra ela própria na cadeia de fornecimento. A nossa página de carreiras menciona jurisdição da UE e compliance como standard, porque é um filtro de aquisição em 2026.

#Onde este artigo se encaixa

O artigo liga-se ao pillar de serviços headless WordPress (camada técnica), ao pillar sobre WCAG/BFSG/EAA (compliance de acessibilidade no mesmo scoreboard de aquisição), à página de carreiras WPPoland (sinal de jurisdição UE) e ao artigo sobre nearshore Polónia (jurisdição UE como valor para o comprador ocidental).

Próximo passo

Transforme o artigo numa implementação real

Este bloco reforça a ligação interna e conduz o leitor para o passo seguinte mais útil dentro da arquitetura do site.

Passos seguintes mais relevantes

Auditoria de segurança WordPress

Hardening, redução de risco e reforço do login.

Manutenção WordPress

Atualizações, monitorização e evolução estável.

Desenvolvedor WordPress

Implementação, arquitetura e desenvolvimento personalizado.

Quer implementar isto no seu site?

Posso traduzir este tema para uma auditoria prática, hardening e um plano claro de correções.

Escreva sobre a implementação Ver o blog
Cluster relacionado

Explorar outros serviços WordPress e base de conhecimento

Reforce o seu negócio com suporte técnico profissional em áreas-chave do ecossistema WordPress.

Auditoria de Segurança

Auditoria, hardening e menos risco operacional.

Ver serviço
Manutenção

Estabilidade, atualizações e suporte contínuo.

Ver serviço
Programador WordPress

Engenharia WordPress e arquitetura personalizada.

Ver serviço
Otimização de Velocidade

Core Web Vitals, cache e entrega mais rápida.

Ver serviço
Migração Next.js / Astro

Migração para Astro, Next.js e headless WordPress.

Ver serviço
Otimização GEO / LLMO

Visibilidade no Google e em sistemas de resposta IA.

Ver serviço

Categorias relacionadas

security development devops hardening

Artigos de apoio

Segurança logowania WordPress
Segurança logowania WordPress

O guia completo de 2500+ palavras para proteger o seu login WordPress. 2FA, Passkeys, Fail2Ban, alterar URL de login, CAPTCHA e segurança de nível militar.

Fortalecimento da Segurança WordPress 2026: O Guia Completo do Servidor à Aplicação
Fortalecimento da Segurança WordPress 2026: O Guia Completo do Servidor à Aplicação

Um guia abrangente de fortalecimento da segurança WordPress para 2026 - configuração de servidor, autenticação com Passkeys, configuração WAF, cabeçalhos CSP, proteção de base de dados, segurança headless é uma checklist dé auditoria de 25 pontos.

Segurança WordPress avançada: Hardening para empresas em 2026
Segurança WordPress avançada: Hardening para empresas em 2026

As palavras-passe morreram. Zero-Trust é a nova norma. Este guia de +2000 palavras definé a arquitetura de segurança para grandes sites WordPress em 2026.

FAQ do artigo

Perguntas Frequentes

Respostas práticas para aplicar o tema na execução real.

SEO-ready GEO-ready AEO-ready 5 Q&A

Perguntas populares

Quando começa a aplicar-se a NIS2? Em que difere a DORA da NIS2? O site WordPress de um hotel ou loja está abrangido pela NIS2? Basta instalar um plugin de segurança? E quanto à comunicação de incidentes?
Quando começa a aplicar-se a NIS2?
#
O prazo para a transposição da Diretiva NIS2 para o direito nacional terminou em 2024-10-17. Até essa data, os Estados-Membros deviam ter aprovado as leis nacionais de transposição. Na prática, vários países atrasaram a transposição. O estado da transposição varia entre os Estados-Membros; verifique a base de dados jurídica nacional relevante antes de uma auditoria final. Para o estado português consulte o Diário da República; para o estado polaco consulte ISAP em https://isap.sejm.gov.pl/.
Em que difere a DORA da NIS2?
#
A DORA é um regulamento (Regulation 2022/2554), aplica-se diretamente em todos os Estados-Membros desde 2025-01-17 sem transposição. Aplica-se a um setor restrito: instituições financeiras e os seus fornecedores críticos de TIC. A NIS2 é uma diretiva com âmbito amplo sobre entidades essenciais e importantes, transposta para o direito nacional.
O site WordPress de um hotel ou loja está abrangido pela NIS2?
#
Depende da entidade. A NIS2 abrange 18 setores, divididos em essenciais e importantes. Hotéis e comércio retalhista não constam diretamente como setores regulados. No entanto, se o WordPress for utilizado por uma entidade regulada (por exemplo um hospital, um prestador de serviços digitais acima do limiar de pessoal, um fornecedor de cloud), as obrigações de segurança transferem-se para essa entidade.
Basta instalar um plugin de segurança?
#
Não. A NIS2 e a DORA exigem um sistema documentado de gestão do risco cibernético, comunicação de incidentes ao CSIRT/CERT ou ao regulador financeiro, e auditorias. Um plugin é apenas um elemento. A configuração do servidor por si só, políticas de palavras-passe, autenticação multifator, registos e procedimentos de IR são exigidos a nível organizacional, não apenas técnico.
E quanto à comunicação de incidentes?
#
A NIS2 exige a comunicação de um incidente significativo ao CSIRT ou à autoridade competente em 24 horas (alerta inicial), 72 horas (notificação detalhada) e um mês (relatório final). A DORA tem os seus próprios prazos para entidades financeiras. O operador do WordPress deve ter um procedimento de deteção e comunicação, não apenas de resposta.

Precisa de FAQ adaptado ao setor e mercado? Criamos uma versão alinhada com os seus objetivos de negócio.

Fale connosco

Artigos Relacionados

WCAG 2.2 tornou-se Recomendação W3C a 2023-10-05. O Ato Europeu de Acessibilidade (Diretiva 2019/882) aplica-se a partir de 2025-06-28. A Barrierefreiheitsstärkungsgesetz alemã transpõe-o para o direito federal na mesma data. Este artigo é o mapa de implementação para um sítio WordPress em 2026.
wordpress

WCAG 2.2, BFSG e o Ato Europeu de Acessibilidade: a stack de conformidade WordPress para 2026

WCAG 2.2 tornou-se Recomendação W3C a 2023-10-05. O Ato Europeu de Acessibilidade (Diretiva 2019/882) aplica-se a partir de 2025-06-28. A Barrierefreiheitsstärkungsgesetz alemã transpõe-o para o direito federal na mesma data. Este artigo é o mapa de implementação para um sítio WordPress em 2026.

O Cloudflare Workers executa JavaScript e WebAssembly em centenas de centros de dados em mais de 100 países. Combinar Workers com uma origem WordPress retira o caminho de leitura do servidor WordPress e transforma o WooCommerce numa loja renderizada na edge. Eis como funciona a arquitetura, onde quebra e o que medir antes de adoptar.
wordpress

Cloudflare Workers e WordPress: servir o WooCommerce na edge

O Cloudflare Workers executa JavaScript e WebAssembly em centenas de centros de dados em mais de 100 países. Combinar Workers com uma origem WordPress retira o caminho de leitura do servidor WordPress e transforma o WooCommerce numa loja renderizada na edge. Eis como funciona a arquitetura, onde quebra e o que medir antes de adoptar.

Guia honesto para migração de Joomla para WordPress em Portugal em 2026: critérios de decisão, fases concretas, armadilhas e quando manter o Joomla.
wordpress

Migração do Joomla para WordPress em Portugal: guia 2026

Guia honesto para migração de Joomla para WordPress em Portugal em 2026: critérios de decisão, fases concretas, armadilhas e quando manter o Joomla.