Décrypter la conformité, la sécurité et l'IA.
Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.
Patching automatisé : la réponse à NIS 2, article 21
Les dirigeants doivent prouver que les vulnérabilités sont corrigées en temps utile. Un patching automatisé, bien configuré, est la méthode la plus sûre et vérifiable pour satisfaire NIS 2 art. 21.
CNPD — Vidéosurveillance au travail: proportionnalité, AIPD et droits
Installer des caméras au travail reste possible au Luxembourg, mais sous conditions strictes: base légale, proportionnalité, AIPD fréquente, information L.261‑1 et respect des droits. Documentez tout, caméra par caméra.
CSPM cloud: la réponse à la circulaire CSSF 22/806 sur l’externalisation
Pour rester conforme à la CSSF en 2026, il ne suffit plus d’aller dans le cloud. Un CSPM prouve en continu la bonne configuration, la supervision et l’auditabilité exigées.
RGPD – Article 28: le contrat sous-traitant sans angle mort
En 2026, chaque DPO/CISO doit savoir blinder ses contrats de sous-traitance. Clauses obligatoires, doctrine EDPB/CNPD et mode opératoire d’audit pour un article 28 sans angle mort.
TLPT (red team piloté par la menace) : répondre à DORA art. 26‑27
DORA oblige certaines entités financières à conduire des tests d’intrusion pilotés par la menace sur systèmes de production. Voici comment une mise en œuvre TLPT structurée coche, point par point, les articles 26‑27.
NIS 2 au Luxembourg: dirigeants, formation obligatoire et risques personnels
Sous NIS 2, les organes de direction doivent approuver et superviser les mesures cyber (art. 20), se former régulièrement et peuvent être tenus personnellement responsables en cas de manquements. L’ILR a publié des lignes directrices concrètes.
MFA phishing‑resistant (FIDO2/WebAuthn) : réponse à l’article 32 RGPD
L’article 32 RGPD impose des mesures « état de l’art ». La MFA phishing‑resistant FIDO2/WebAuthn est aujourd’hui l’option la plus robuste et pragmatique pour y répondre sans complexité inutile.
NIS 2 et supply chain: obligations concrètes et certification
La sécurisation de la chaîne d’approvisionnement ICT devient un contrôle clé sous NIS 2. Ce guide résume vos obligations (art. 21(2)(d)), le rôle de l’ILR au Luxembourg et quand utiliser la certification européenne (art. 24).
Backups immuables et isolés: répondre à DORA sur la résilience ransomware
DORA exige des sauvegardes restaurables et isolées. Les backups immuables et l’isolation réseau concrétisent ces obligations tout en réduisant le risque ransomware.
AI Act – Annexe III: passer au haut risque sans se tromper
Systèmes d’IA à haut risque: comment décider si vous relevez de l’Annexe III et constituer un dossier conforme (gestion des risques, Annexe IV, CE) au Luxembourg, en mai 2026.
NIS 2 – Article 21 au Luxembourg: que contrôle réellement l’ILR ?
Article 21 NIS 2 impose 10 familles de mesures minimales. L’ILR annonce un contrôle ex ante/ex post centré sur ces mesures et la responsabilité des dirigeants. Voici comment s’y conformer efficacement.
NIS 2 au Luxembourg: loi du 5 mai 2026 publiée, que faire avant le 10 mai
La loi luxembourgeoise transposant NIS 2 est publiée (5 mai 2026) et entre en vigueur le 10 mai. Périmètre élargi, gouvernance renforcée, notification d’incident sous 24 h/72 h à l’ILR via SERIMA. Actions prioritaires et sources officielles.
