Articles, par nos experts

Décrypter la conformité, la sécurité et l'IA.

Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.

53 articles trouves · #nis-2

CSSF — DORA: registre TIC au 31 mars 2026, l’inventaire devient critique

La CSSF ouvre la collecte DORA du registre des services TIC avec des validations durcies. Sans inventaire/CMDB automatisé et fiable, le dépôt risque le rejet et les angles morts supply chain persistent.

Italie: 100 000 € contre Lepida pour défauts sur LepidaID

Le Garante italien inflige 100 000 € à Lepida S.c.p.A. pour des manquements RGPD liés à la gestion des identités LepidaID (>1,5 M d’usagers). Transparence, minimisation et rétention des logs épinglées.

ILR — Notification NIS 2: 24 h pour alerter, votre SOC doit suivre

En juin 2026, l’ILR publie un guide « Notification d’incident NIS 2 » imposant alerte précoce à 24 h, notification à 72 h et rapport final sous 1 mois. Voici la pile SIEM/SOC pour y parvenir sans panique.

CSSF — Ivanti EPMM: RCE exploitée, notification DORA obligatoire

Le 10 février 2026, la CSSF alerte sur deux RCE Ivanti EPMM (CVE‑2026‑1281/1340) activement exploitées et rappelle l’obligation de notifier un incident majeur TIC (Circulaires 25/893 et 24/847).

BSI v2.0 « Protocole et détection » : impacts sur vos logs et votre SIEM

Le BSI a publié en avril 2026 la v2.0 de son minimum standard « Protokollierung und Detektion ». Voici comment aligner journalisation, détection et investigation avec NIS 2 et DORA, et les attentes ILR/CSSF.

DORA vs NIS 2 au Luxembourg : qui prime en cas d’incident ?

La Commission européenne a confirmé le 18/09/2023 que les actes sectoriels priment sur NIS 2 en « lex specialis » si leurs exigences sont équivalentes. DORA en fait partie : au Luxembourg, la CSSF encadre les notifications des entités financières.

ENISA publie sa méthodologie d’exercices cyber (16 fév. 2026)

ENISA publie une méthode complète et un toolkit pour concevoir et conduire des exercices cyber. Voici comment l’aligner avec DORA (art. 24) et NIS 2 pour des preuves de conformité solides.

NIS 2 Luxembourg : J‑9 pour l’auto‑enregistrement ILR

Les entités essentielles et importantes au Luxembourg doivent s’auto‑enregistrer auprès de l’ILR d’ici le 10 juillet 2026. Points légaux, risques et plan d’action immédiat.

ANSSI — ReCyF : la microsegmentation, levier clé NIS 2

Le ReCyF de l’ANSSI (17 mars 2026) précise des mesures NIS 2 concrètes. La microsegmentation réseau limite les mouvements latéraux, protège les environnements sensibles et facilite la preuve de conformité.

NIS 2 au Luxembourg: attentes de l’ILR sur les 10 mesures (art. 21)

Depuis la loi du 5 mai 2026, l’ILR détaille les 10 mesures minimales de l’article 21 NIS 2 et leur supervision. Les directions doivent approuver, mettre en œuvre et prouver ces mesures, incluant MFA et chaîne d’approvisionnement.

ShinyHunters exploite un 0‑day Oracle: NAIC touchée, 100+ organisations

Oracle a confirmé un 0‑day PeopleSoft (CVE‑2026‑35273) exploité par ShinyHunters. La NAIC reconnaît un accès non autorisé; 3,1 To volés et plus de 100 organisations compromises.

Charter/Spectrum : vishing, Entra, Salesforce — la MFA FIDO2 comme parade RGPD/NIS 2

ShinyHunters aurait vishé un employé de Charter/Spectrum, pris un compte Microsoft Entra et exfiltré des données Salesforce. Une MFA résistante au phishing (FIDO2/WebAuthn) répond à l’art. 32 RGPD et coupe l’accès initial.

Page 1 / 5 Plus ancien →