Honest disclosure

Reglyze is below the NIS2 SME threshold of Article 2(1).

We voluntarily implement the risk-management measures using Reglyze (the product) as both subject and tool. This is dogfooding, not a regulatory obligation. We publish it so you can verify what an AI-built evidence base actually looks like before you buy.

Trust Center

Reglyze is built on Reglyze

We use our own platform to manage Reglyze's compliance posture — in each country's native framework, not raw NIS2. Same scoring, same policies, same controls our customers use. No marketing fluff, just our actual numbers.

Last self-assessed: 19 May 2026

How we built this

under 1 hour

to document our whole evidence base (vs 80–120h manual)

100%

critical-patch SLA (Dependabot + Renovate, 3 real fixes)

Quarterly

self-audit cadence — last cycle Q2-2026

IT-GrundschutzCompliance score
48/100
Implementation: 53%Documentation: 43%
Organization

Name

Reglyze

Country

FR

Sector

digital_providers

Headcount

5

NIS2 Status

Out of scope
Reglyze is below the medium-enterprise threshold (5 employees) and is not in a NIS2 special category. We comply voluntarily because our customers require evidence of security under their own supply-chain due diligence.

IT-GrundschutzControls

ISMS Security Management
67%
ISMS.1
Security managementEstablished

La PSSI (REGLYZE-ISP-001) et le board briefing deck matérialisent un système de management de la sécurité approuvé par le dirigeant ; structure mono-dirigeant, cadence de revue formelle non testée (v1.0). [NIS2 20.1.a, 21.2.a.2]

2/32/3
ORP Organisation and Personnel
57%
ORP.1
OrganisationEstablished

Les rôles et responsabilités sécurité sont décrits dans l'ISP et le board deck ; avec 5 personnes et un dirigeant unique, la matrice de délégation/organisation formalisée reste embryonnaire. [NIS2 20.1.a]

1/32/3
ORP.2
Human resourcesEstablished

La politique RH (hr_security) couvre screening, arrivée et départ ; aucune charte signée, checklist d'onboarding ou journal NDA complété n'est attesté pour les 5 collaborateurs. [NIS2 21.2.i.4]

1/32/3
ORP.3
Information-security awareness and trainingEstablished

Le plan de formation couvre la sensibilisation de l'ensemble des 5 collaborateurs et du dirigeant ; aucun enregistrement de complétion (certificat, log LMS) n'existe. [NIS2 21.2.g.1]

2/32/3
ORP.4
Identity and access managementEstablished

La politique de contrôle d'accès (REG-SEC-POL-001) documente le moindre privilège et la MFA est imposée partout (FORCE) ; aucun cycle de revue des accès n'a toutefois été complété. [NIS2 21.2.i.2, 21.2.j.1]

2/32/3
ORP.5
Compliance management (requirements management)Established

La politique de test d'efficacité (REG-POL-ETP-001) définit la gestion des exigences et l'auto-évaluation NIS2 de mai 2026 en est l'application (dogfooding) ; aucun cycle d'audit/conformité complété. [NIS2 21.2.f]

1/32/3
CON Concepts and Approaches
52%
CON.1
Cryptographic conceptMature

FORCE : chiffrement au repos opérationnel (Postgres/Redis/MinIO/sauvegardes) et TLS imposé en transit via Cloudflare, adossés à la politique de chiffrement (REG-SEC-POL-CRYPTO-001) v1.0. [NIS2 21.2.h.2, 21.2.h.3]

3/32/3
CON.2
Data protectionEstablished

La protection des données repose sur le chiffrement et le contrôle d'accès ; posture RGPD réelle mais aucune politique de protection des données autonome ni DPA fournisseur exécuté. [NIS2 21.2.h, 21.2.i]

2/31/3
CON.3
Data backup conceptEstablished

Sauvegardes quotidiennes rclone -> Google Drive opérationnelles, adossées à la politique BDR (REGLYZE-POL-BDR-001) ; la restauration n'a pas été testée sur les 12 derniers mois. [NIS2 21.2.c.2]

2/32/3
CON.6
Deletion and destructionPartial

L'effacement relève du RGPD applicatif mais aucune procédure d'effacement/destruction sécurisée formalisée ni journal n'est attesté (infra cloud, pas de média physique). [NIS2 21.2.i]

1/31/3
CON.8
Software developmentEstablished

Développement sur monorepo TypeScript avec revue de PR et CI/CD GitHub ; Dependabot/Renovate couvrent les dépendances, mais aucun cycle de développement sécurisé (SDLC) formellement documenté. [NIS2 21.2.e.1]

2/31/3
CON.9
Information exchangePartial

Les échanges d'information sont chiffrés (TLS) et la politique MFA/communications sécurisées (REGLYZE-POL-SEC-007) référence les canaux ; aucun accord d'échange formel avec des tiers. [NIS2 21.2.j]

1/31/3
CON.10
Web-application developmentEstablished

Le produit web bénéficie de TLS + WAF Cloudflare, du blocage egress (correctif SSRF S2) et de la CSP (S5) ; aucun standard de développement web-app documenté ni test d'intrusion. [NIS2 21.2.e]

2/31/3
OPS Operations
49%
OPS.1.1.1
General IT operationsEstablished

L'exploitation IT est conteneurisée et pilotée par CI/CD GitHub (déploiements reproductibles) ; aucun manuel d'exploitation formalisé. [NIS2 21.2.e]

2/31/3
OPS.1.1.2
Proper IT administrationEstablished

L'administration passe par SSH/consoles avec MFA imposée et comptes nominatifs ; aucun concept d'administration (droits admin, séparation des tâches) formellement documenté. [NIS2 21.2.e, 21.2.i.2]

2/31/3
OPS.1.1.3
Patch and change managementMature

FORCE opérationnelle : Dependabot + Renovate ouvrent des PR de correctifs automatiques (3 PR de sécurité réelles appliquées, SLA de patch 100%), adossés à la politique de gestion des vulnérabilités (REG-SEC-POL-003). [NIS2 21.2.e.3]

3/32/3
OPS.1.1.4
Protection against malwarePartial

Pas d'AV/EDR sur serveurs (infra conteneurisée immuable) ; le WAF Cloudflare filtre les menaces web mais aucun programme anti-malware documenté. [NIS2 21.2.e]

1/31/3
OPS.1.1.5
LoggingEstablished

Journaux GitHub, logs de déploiement et logs applicatifs/DB existent avec centralisation partielle (log-shipper) ; pas de SIEM ni de politique de journalisation formelle. [NIS2 21.2.e.5, 21.2.b.2]

2/31/3
OPS.1.1.6
Software testing and release approvalEstablished

Tests automatisés et revue de PR conditionnent la mise en production via CI/CD ; aucune procédure formelle d'approbation de mise en production documentée. [NIS2 21.2.e.1]

2/31/3
OPS.1.1.7
Systems managementEstablished

La gestion des systèmes s'appuie sur Docker Compose et une configuration versionnée (compose/ADRs) ; pas de concept de gestion des systèmes formalisé. [NIS2 21.2.e]

2/31/3
OPS.1.2.2
ArchivingPartial

Les sauvegardes quotidiennes assurent une rétention mais aucun concept d'archivage distinct (valeur probante, conservation long-terme) n'est formalisé. [pas d'évidence directe]

1/31/3
OPS.1.2.4
TeleworkingEstablished

Équipe 100% distante avec MFA et chiffrement des postes ; le télétravail est couvert de façon informelle par la politique RH, sans politique de télétravail dédiée. [NIS2 21.2.i]

2/31/3
OPS.1.2.5
Remote maintenanceEstablished

La télémaintenance vers l'hôte Hetzner passe par Cloudflare Tunnel/SSH chiffrés avec MFA imposée ; procédure non formellement documentée. [NIS2 21.2.j.1, 21.2.e]

2/31/3
OPS.1.2.6
NTP time synchronisationPartial

La synchronisation NTP est assurée au niveau OS de l'hôte Linux mais n'est ni durcie ni documentée comme mesure. [pas d'évidence directe]

1/31/3
OPS.2.2
Cloud usageEstablished

7 fournisseurs cloud identifiés et évalués (Hetzner, Cloudflare, Anthropic, Stripe, GitHub, Resend, Google) avec criticité et risque résiduel, adossés à la politique chaîne d'approvisionnement (REGLYZE-POL-SC-001). [NIS2 21.2.d.1]

2/32/3
OPS.2.3
Use of outsourcingEstablished

La politique chaîne d'approvisionnement exige des clauses contractuelles ; aucun contrat fournisseur exécuté avec clauses de sécurité/DPA n'est attesté. [NIS2 21.2.d.2]

1/32/3
OPS.3.2
Provision of outsourcingPartial

Reglyze est elle-même prestataire SaaS pour ses clients ; le modèle de responsabilité partagée et les engagements de service ne sont pas formellement documentés. [NIS2 21.2.d]

1/31/3
DER Detection and Response
47%
DER.1
Detection of security-relevant eventsEstablished

La détection repose sur les alertes WAF Cloudflare, les notifications Dependabot/Renovate et la surveillance d'astreinte ; pas de SIEM, mais couverture partielle documentée dans le PRI. [NIS2 21.2.b.2]

2/32/3
DER.2.1
Handling of security incidentsEstablished

Un plan de réponse aux incidents (PRI v1.0) couvre classification, confinement, éradication et récupération ; jamais déclenché sur un incident réel ni exercé en simulation. [NIS2 21.2.b.1]

2/32/3
DER.2.2
IT-forensic readinessPartial

Aucun dispositif de préparation forensique (préservation de preuves, procédures d'investigation) formalisé ; la journalisation n'est que partiellement centralisée. [pas d'évidence directe]

1/31/3
DER.2.3
Remediation of major security incidents (APT cleanup)Partial

Le PRI couvre l'éradication/récupération de façon générique ; aucune procédure spécifique de remédiation d'incident majeur/APT (reconstruction, chasse) n'est documentée. [NIS2 21.2.b.1]

1/31/3
DER.3.1
Audits and reviewsPartial

La politique de test d'efficacité impose audits et tests ; AUCUN audit, revue indépendante ou test d'intrusion n'a jamais été conduit (NIS2 21.2.f.2 = 0). Écart le plus important. [NIS2 21.2.f.1, 21.2.f.2]

0/32/3
DER.4
Emergency managementEstablished

Le PCA (REGLYZE-BCP) traite la gestion d'urgence à haut niveau (RTO/RPO) ; aucun exercice de crise ni test de bascule n'a été conduit, astreinte concentrée sur une personne. [NIS2 21.2.c.4]

1/32/3
APP Applications
46%
APP.1.1
Office productsPartial

Les outils bureautiques sont des SaaS standard avec MFA ; aucune configuration de référence (durcissement macros, etc.) formalisée. [pas d'évidence directe]

1/31/3
APP.1.2
Web browsersPartial

Les navigateurs des postes sont à jour et adossés à la MFA ; aucune politique de configuration/durcissement navigateur gérée. [pas d'évidence directe]

1/31/3
APP.3.1
Web applications and web servicesEstablished

L'application web est protégée par TLS + WAF Cloudflare, RBAC applicatif, correctif SSRF (S2) et CSP (S5) ; aucun test d'intrusion ni standard de sécurité applicative documenté. [NIS2 21.2.e]

2/31/3
APP.3.2
Web serversEstablished

Le reverse-proxy Traefik derrière Cloudflare impose HTTPS/HSTS (FORCE TLS) ; durcissement du serveur web réel mais non documenté ni audité. [NIS2 21.2.h.3, 21.2.e]

2/31/3
APP.4.3
Relational databasesEstablished

Postgres avec chiffrement au repos et isolation tenant par RLS (réelle et récente) ; pas de durcissement DB documenté ni de revue/audit base de données. [NIS2 21.2.h.2, 21.2.i.2]

2/31/3
APP.5.3
General e-mail client and serverEstablished

L'e-mail transactionnel est délégué à Resend (fournisseur évalué, criticité medium, sans certification publique attestée) sur TLS ; aucune politique de messagerie formalisée. [NIS2 21.2.d.1]

2/31/3
APP.6
General softwareEstablished

Les logiciels/dépendances tiers sont suivis en continu par Dependabot/Renovate (veille + correctifs) ; pas de procédure formelle d'acquisition/homologation logicielle documentée. [NIS2 21.2.e.3]

2/31/3
APP.7
Development of bespoke softwareEstablished

Le développement sur mesure (le produit) s'appuie sur revue de PR, CI/CD et Dependabot ; aucun standard de codage sécurisé documenté ni SDLC formel. [NIS2 21.2.e.1]

2/31/3
SYS IT Systems
43%
SYS.1.1
General serverEstablished

L'hôte serveur unique (Hetzner Linux, Francfort) bénéficie du chiffrement au repos et d'un pare-feu ; aucun référentiel de durcissement serveur documenté. [NIS2 21.2.e]

2/31/3
SYS.1.3
Servers running Linux and UnixEstablished

Le serveur Linux est maintenu par les mises à jour OS et l'accès administrateur est protégé par MFA ; le durcissement Linux (CIS/BSI) n'est pas documenté. [NIS2 21.2.e]

2/31/3
SYS.1.6
ContainerisationEstablished

Conteneurisation Docker avec images minimales (réel) et déploiement reproductible ; aucune politique de sécurité des conteneurs (scan d'images, secrets) formalisée. [NIS2 21.2.e.5]

2/31/3
SYS.2.1
General clientPartial

Les postes clients sont adossés à la MFA et au chiffrement de disque mais aucun MDM ni configuration de référence gérée n'est en place. [NIS2 21.2.i]

1/31/3
SYS.3.1
LaptopsPartial

Les ordinateurs portables de l'équipe distante utilisent chiffrement de disque et MFA ; aucune gestion centralisée (MDM), inventaire ou politique de poste formalisée. [NIS2 21.2.i]

1/31/3
NET Networks and Communication
42%
NET.1.1
Network architecture and designPartial

Instance unique sans segmentation réseau multi-niveaux ; l'isolation tenant est assurée en base par RLS, mais l'architecture réseau reste plate et non formellement conçue. [NIS2 21.2.e]

1/31/3
NET.1.2
Network managementPartial

Le réseau est géré via Cloudflare et Traefik sur un hôte unique ; pas de processus de gestion réseau formalisé (peu de surface propre en cloud). [NIS2 21.2.e]

1/31/3
NET.3.2
FirewallEstablished

Le filtrage combine WAF Cloudflare, reverse-proxy Traefik et pare-feu Hetzner, avec blocage egress ajouté (correctif SSRF S2) ; règles non formellement documentées. [NIS2 21.2.e]

2/31/3
NET.3.3
VPNEstablished

L'accès distant d'administration passe par Cloudflare Tunnel/SSH chiffrés avec MFA imposée (tenant lieu de VPN) ; configuration non formellement documentée. [NIS2 21.2.j.1, 21.2.e]

2/31/3
INF Infrastructure (Physical)
33%
INF.8
Home office workplacePartial

Équipe entièrement en télétravail ; le poste à domicile est traité de façon informelle par la politique RH, sans guide de sécurité du poste à domicile dédié. [NIS2 21.2.i]

1/31/3
INF.9
Mobile workplacePartial

Le travail nomade s'appuie sur chiffrement de disque et MFA ; aucune politique de poste de travail mobile (écrans de confidentialité, réseaux non fiables) formalisée. [NIS2 21.2.i]

1/31/3

Critical suppliers (7)

Hetzner Online GmbH

Cloud infrastructure / hosting

critical

Data shared: All application data, customer accounts, encrypted backups

Cloudflare

CDN, DNS, WAF, TLS termination

critical

Data shared: All HTTP/S traffic metadata, no plaintext payloads

Anthropic

AI/LLM (Claude API for document generation)

high

Data shared: Customer organization context for document generation prompts

GitHub

Source code hosting and CI/CD

high

Data shared: Source code, deployment secrets via Actions

Resend

Transactional email delivery

medium

Data shared: Recipient email addresses (customer admins, vendor questionnaire contacts), email bodies (compliance notifications, vendor questionnaire requests, billing notices).

Google (Workspace + Drive via rclone)

Off-site backup destination

high

Data shared: Encrypted daily Postgres dumps + MinIO blob backups mirrored via rclone. Encryption at rest by Google; Reglyze does not currently apply client-side encryption on top.

Stripe

Payment processing and billing

high

Data shared: Customer billing details, subscription metadata

Security policies (15)

NIS2 Article 20(2) Training Certificate — Cyril Poder

Updated 17 May 2026

Approved

Reglyze Information Security Policy

Updated 17 May 2026

Approved

Reglyze Incident Response Plan

Updated 17 May 2026

Approved

Reglyze Business Continuity Plan

Updated 17 May 2026

Approved

Reglyze Backup and Disaster Recovery Plan

Updated 17 May 2026

Approved

Reglyze Supply Chain Security Policy

Updated 17 May 2026

Approved

Reglyze Vulnerability Management Policy

Updated 17 May 2026

Approved

Reglyze Effectiveness Testing Policy

Updated 17 May 2026

Approved

Reglyze Cybersecurity Training Plan

Updated 17 May 2026

Approved

Reglyze Cryptography Policy

Updated 17 May 2026

Approved

Reglyze HR Security Policy

Updated 17 May 2026

Approved

Reglyze Access Control Policy

Updated 17 May 2026

Approved

Reglyze Asset Management Policy

Updated 17 May 2026

Approved

MFA & Secured Communications Policy

Updated 17 May 2026

Approved

Board/Management Cybersecurity Briefing Deck

Updated 17 May 2026

Approved

Why we publish this

Most compliance vendors talk about security but never show their own posture. We think that's backwards. If our platform is good enough for our customers, it's good enough for us.

Every score, control, supplier, and policy on this page comes from the same Reglyze platform we sell — rendered in each country's native framework, the way a French, Italian or German buyer actually assesses. There's no separate trust portal, no manually-curated security PDF.

You can verify it yourself: api.reglyze.com/api/public/trust/reglyze

Build your own trust page

Get your compliance score, generate policies, and manage suppliers in one platform — the same one we use.