Réglementations UE
Signalement des incidents, sécurité de la chaîne d'approvisionnement et préparation opérationnelle.
Conformité NIS2 : Le guide complet pour les entreprises européennes
Tout ce que vous devez savoir sur la conformité NIS2 — qui est concerné, quelles sont les exigences, les délais, les sanctions et comment devenir conforme. Le guide de référence pour les organisations de l'UE.
2026-03-07 · Par Emre Salmanoglu
NIS2 Articles 21 et 23 : Le signalement des incidents et la sécurité de la chaîne d'approvisionnement nécessitent plus qu'un SMSI
Les articles 21 et 23 de NIS2 exigent un signalement opérationnel des incidents (24 h et 72 h) et une gestion des risques de la chaîne d'approvisionnement. Un SMSI aide à la gouvernance, mais pas à l'exécution quotidienne.
2026-01-06 · Par Anna Bley
Qu'est-ce que NIS2 ? La directive européenne sur la cybersécurité expliquée
Une explication claire de NIS2 — ce que c'est, pourquoi c'est important, qui est concerné et ce qui est exigé. Comprenez la réglementation européenne la plus importante en matière de cybersécurité en langage simple.
2026-03-07 · Par Emre Salmanoglu
RGPD Articles 28, 32, 33 et 34 : Pourquoi un SMSI ne suffit pas
Les articles 28, 32, 33, 34 du RGPD exigent des accords de traitement des données, des mesures de sécurité et une notification de violation dans les 72 heures. Un SMSI soutient la gouvernance, mais pas l'exécution opérationnelle.
2026-01-28 · Par Anna Bley
Vendor Assurance sous NIS2 : Ce que l'article 21 exige pour la sécurité de la chaîne d'approvisionnement
L'article 21(2)(d) de NIS2 exige une sécurité continue de la chaîne d'approvisionnement. Les évaluations ponctuelles des fournisseurs ne suffisent plus. Découvrez ce que la directive attend concrètement et comment y répondre opérationnellement.
2026-03-09 · Par Anna Bley
Conformité DORA : Guide complet du Digital Operational Resilience Act
Tout ce que les entités financières doivent savoir sur la conformité DORA — gestion des risques TIC, signalement des incidents, tests de résilience opérationnelle numérique et gestion des risques liés aux tiers selon le Règlement (UE) 2022/2554.
2026-03-07 · Par Emre Salmanoglu
Gestion des sous-traitants ultérieurs en vertu de l'article 28 du RGPD : Ce que les responsables du traitement attendent réellement
Qu'attendent réellement les responsables du traitement, les DPO et les équipes achats de votre gestion des sous-traitants ultérieurs ? Un guide pratique au-delà de la conformité minimale à l'article 28 du RGPD — couvrant les listes de sous-traitants, les notifications de changement, la transparence des flux de données et la diligence raisonnable continue.
2026-02-23 · Par Anna Bley
Cyber Resilience Act (CRA) : Guide complet pour les fabricants de produits
Tout ce que vous devez savoir sur le Cyber Resilience Act de l'UE — exigences obligatoires de cybersécurité pour les produits comportant des éléments numériques, marquage CE, gestion des vulnérabilités et calendrier de conformité.
2026-03-07 · Par Emre Salmanoglu
DORA Articles 19, 28 et 30 : Pourquoi un SMSI ne suffit plus pour les entités financières
DORA exige une communication opérationnelle avec les clients pendant les incidents, un registre à jour des prestataires TIC et une surveillance continue. Un SMSI seul ne peut pas répondre à ces exigences.
2026-01-27 · Par Anna Bley
Cyber Resilience Act Articles 13 et 14 : Pourquoi un SMSI ne suffit pas
Le CRA exige la sécurité dès la conception, le signalement des vulnérabilités sous 24 heures, les SBOM et le marquage CE. Un SMSI soutient la gouvernance, mais pas la conformité au niveau du produit.
2026-01-28 · Par Anna Bley
Sécurité de la chaîne d'approvisionnement NIS2 : Pourquoi les évaluations annuelles des fournisseurs ne suffisent plus
L'article 21(2)(d) de NIS2 exige une sécurité continue de la chaîne d'approvisionnement — pas des questionnaires ponctuels. Ce qui change, pourquoi votre SMSI atteint ses limites ici et comment construire la couche opérationnelle réellement exigée.
2026-02-22 · Par Anna Bley
Signalement des incidents NIS2 : Comment réellement respecter le délai de 24 heures
L'article 23 de NIS2 exige une alerte précoce sous 24 heures, une notification qualifiée sous 72 heures et un rapport final sous un mois. La plupart des organisations ont un plan de réponse aux incidents. Très peu peuvent réellement signaler sous pression.
2026-02-22 · Par Anna Bley
Vous êtes concerné par NIS2 — Et maintenant ? Les lacunes opérationnelles au-delà de votre SMSI
Vous avez vérifié si votre organisation relève de NIS2. La réponse est oui. Vous avez un SMSI. Et maintenant vous découvrez : entre ce que votre SMSI couvre et ce que NIS2 exige opérationnellement, il y a un écart. Cet article montre où il se situe — et comment le combler.
2026-02-22 · Par Anna Bley
Checklist de conformité NIS2 : Ce que votre SMSI couvre et ce qu'il ne couvre pas
L'aperçu complet : Les dix mesures de gestion des risques de l'article 21, évaluées par rapport à un SMSI ISO 27001 typique. Où vous en êtes, où sont les lacunes, et ce que vous devez ajouter sur le plan opérationnel.
2026-02-22 · Par Anna Bley
Plan de réponse aux incidents vs. système de gestion des incidents : Ce que NIS2 exige réellement
Chaque SMSI possède un plan de réponse aux incidents. NIS2 exige un système de gestion des incidents. La différence n'est pas sémantique — elle est opérationnelle. Ce qu'un SGI doit concrètement fournir, quels composants il nécessite, et comment faire la transition du plan au système.
2026-02-22 · Par Anna Bley
Préparation aux audits NIS2 : De la documentation aux preuves continues
NIS2 confère aux autorités de supervision le droit de demander des preuves à tout moment. Pas lors de votre prochain audit. Pas avec un préavis. À tout moment. Ce que cela signifie pour votre gestion des preuves — et pourquoi la plupart des organisations n'y sont pas préparées.
2026-02-22 · Par Anna Bley
ISO 27001 ne signifie pas conformité NIS2 : Ce qui manque réellement
ISO 27001 fournit le socle de gouvernance pour NIS2 — mais pas l'exécution opérationnelle. Ce qui manque entre la documentation du SMSI et la conformité réelle à NIS2, et pourquoi c'est un problème concret depuis le 6 décembre 2025.
2026-02-22 · Par Anna Bley
Documentation des risques tiers NIS2 : Ce que les auditeurs veulent réellement voir
Les preuves et artefacts de documentation spécifiques que les auditeurs vérifient lors des évaluations de sécurité de la chaîne d'approvisionnement NIS2. Registres de fournisseurs, classifications des risques, enregistrements de communication sur les incidents, et comment un Trust Center produit une documentation audit-ready sur les risques tiers comme sous-produit naturel.
2026-02-23 · Par Anna Bley
NIS2 : Preuve interne vs preuve externe
La plupart des organisations se concentrent sur les contrôles internes. NIS2 relève la barre en attendant des preuves tant pour votre propre posture de sécurité que pour l'écosystème dans lequel vous opérez.
2025-11-14 · Par Emre Salmanoglu