Honest disclosure

Reglyze is below the NIS2 SME threshold of Article 2(1).

We voluntarily implement the risk-management measures using Reglyze (the product) as both subject and tool. This is dogfooding, not a regulatory obligation. We publish it so you can verify what an AI-built evidence base actually looks like before you buy.

Trust Center

Reglyze is built on Reglyze

We use our own platform to manage Reglyze's compliance posture — in each country's native framework, not raw NIS2. Same scoring, same policies, same controls our customers use. No marketing fluff, just our actual numbers.

Last self-assessed: 19 May 2026

How we built this

under 1 hour

to document our whole evidence base (vs 80–120h manual)

100%

critical-patch SLA (Dependabot + Renovate, 3 real fixes)

Quarterly

self-audit cadence — last cycle Q2-2026

Misure ACNCompliance score
57/100
Implementation: 54%Documentation: 60%
Organization

Name

Reglyze

Country

FR

Sector

digital_providers

Headcount

5

NIS2 Status

Out of scope
Reglyze is below the medium-enterprise threshold (5 employees) and is not in a NIS2 special category. We comply voluntarily because our customers require evidence of security under their own supply-chain due diligence.

Misure ACNControls

GV GV — Governare
56%
GV.OC-04.R1
È mantenuto un elenco aggiornato dei sistemi informativi e di rete rilevanti.Established

La politique de gestion des actifs (REGLYZE-POL-ASM-001) définit l'inventaire des systèmes ; le stack de production est identifiable (Hetzner, Cloudflare, GitHub, Postgres, Redis, MinIO) mais aucun registre formellement complété n'est produit comme artefact. [NIS2 21.2.i.1]

2/32/3
GV.RM-03.R1
Nell'ambito dei processi di gestione del rischio del soggetto NIS e nel rispetto delle politiche di cui alla misura GV.PO-01, è definito, attuato, aggiornato e documentato un piano di gestione dei rischi per la sicurezza informatica per identificare, analizzare, valutare, trattare e monitorare i rischi.Established

La PSSI (REGLYZE-ISP-001) définit un cadre de gestion des risques (méthodologie, périmètre, traitement) ; aucun registre de risques complété n'est encore attesté (documents v1.0). [NIS2 21.2.a.1]

2/32/3
GV.RR-02.R1
È definita, approvata dagli organi di amministrazione e direttivi, e resa nota alle articolazioni competenti del soggetto NIS, l'organizzazione per la sicurezza informatica e ne sono stabiliti ruoli e responsabilità.Established

L'organisation sécurité et les rôles sont décrits dans l'ISP et le board briefing deck, approuvés par Cyril Poder, dirigeant unique. [NIS2 20.1.a]

2/32/3
GV.RR-02.R2
È mantenuto un elenco aggiornato del personale dell'organizzazione di cui al punto 1 avente specifici ruoli e responsabilità ed è reso noto alle articolazioni competenti del soggetto   NIS.Established

Les rôles sont décrits dans les politiques ; avec 5 personnes et un dirigeant unique, aucun registre nominatif formel des porteurs de rôles n'est maintenu comme artefact. [NIS2 20.1.a]

1/32/3
GV.RR-02.R3
All’interno dell’organizzazione per la sicurezza informatica di cui al punto 1, sono inclusi il punto di contatto e il suo sostituto, il referente CSIRT e gli eventuali suoi sostituti, di cui alla determinazione adottata ai sensi dell’articolo 7, comma 6 del decreto NIS.Partial

Reglyze étant hors périmètre/volontaire, aucun point de contact ni référent CSIRT/PSNC n'est désigné ni enregistré auprès de l'ACN. [pas d'évidence directe]

1/31/3
GV.RR-02.R4
I ruoli e le responsabilità di cui al punto 1 sono riesaminati e, se opportuno, aggiornati periodicamente e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi, variazioni organizzative o mutamenti dell’esposizione alle minacce e ai relativi rischi.Established

Les politiques prévoient une revue des rôles ; aucun cycle de réexamen complété (documents en v1.0). [NIS2 20.1.a.4]

1/32/3
GV.RR-04.R1
Per almeno i sistemi informativi e di rete rilevanti, il personale autorizzato ad accedervi è individuato previa valutazione dell’esperienza, capacità e affidabilità e deve fornire idonea garanzia del pieno rispetto della normativa in materia di sicurezza informatica.Established

La politique RH (hr_security) couvre le contrôle préalable du personnel accédant aux SI ; aucun enregistrement de screening/vérification complété pour les 5 collaborateurs. [NIS2 21.2.i.4]

1/32/3
GV.RR-04.R2
Gli amministratori di sistema dei sistemi informativi e di rete sono individuati previa valutazione dell’esperienza, capacità e affidabilità e devono fornire idonea garanzia del pieno rispetto della normativa in materia di sicurezza informatica.Established

La politique RH couvre la sélection des administrateurs système ; dirigeant unique cumulant les rôles d'administration, aucune évaluation formalisée archivée. [NIS2 21.2.i.4]

1/32/3
GV.RR-04.R3
Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1 e 2.Established

La politique RH documente les procédures de fiabilité des ressources humaines. [NIS2 21.2.i]

2/32/3
GV.PO-01.R1
Sono adottate e documentate politiche di sicurezza informatica per almeno i seguenti ambiti: a) gestione del rischio; b) ruoli e responsabilità; c) affidabilità delle risorse umane; d) conformità e audit di sicurezza; e) gestione dei rischi per la sicurezza informatica della catena di approvvigionamento; f) gestione degli asset; g) gestione delle vulnerabilità; h) continuità operativa, ripristino in caso di disastro e gestione delle crisi informatiche; i) gestione dell'autenticazione, delle identità digitali e del controllo accessi; j) sicurezza fisica; k) formazione del personale e consapevolezza; l) sicurezza dei dati; m) sviluppo, configurazione, manutenzione e dismissione dei sistemi informativi e di rete; n) protezione delle reti e delle comunicazioni; o) monitoraggio degli eventi di sicurezza; p) risposta agli incidenti e ripristino.Established

FORCE documentaire : 14 politiques v1.0 couvrent la quasi-totalité des domaines requis (ISP, gestion du risque, RH, chaîne d'appro., actifs, vulnérabilités, PCA/PRA, contrôle d'accès, chiffrement, formation, MFA/comms). [NIS2 21.2.a.2]

2/32/3
GV.PO-01.R2
Per gli ambiti di cui al punto 1 sono incluse almeno le politiche in relazione ai requisiti indicati nella tabella 1 in Appendice al presente allegato.Established

Les politiques existantes couvrent les exigences des domaines listés ; aucune cartographie formelle des exigences par table complétée. [NIS2 21.2.a.2]

2/32/3
GV.PO-01.R3
Le politiche di cui al punto 1 sono approvate dagli organi di amministrazione e direttivi e rese note alle articolazioni competenti del soggetto NIS tenuto anche conto della necessità di conoscere (need to know).Established

L'ensemble des politiques est approuvé par le dirigeant unique (champ d'approbation renseigné dans chaque document). [NIS2 20.1.a]

2/32/3
GV.PO-02.R1
Le politiche di cui alla misura GV.PO-01 sono riesaminate e, se opportuno, aggiornate periodicamente e comunque almeno con cadenza annuale, nonché qualora si verifichino evoluzioni del contesto normativo in materia di sicurezza informatica, incidenti significativi, variazioni organizzative o mutamenti dell’esposizione alle minacce e ai relativi rischi.Established

Toutes les politiques prévoient une revue annuelle ; aucune revue effectuée à ce jour (v1.0, prochaine revue 2026). [NIS2 21.2.a.5]

1/32/3
GV.PO-02.R2
Ai fini del riesame di cui al punto 1, è verificata almeno la conformità delle politiche di cui alla misura GV.PO-01 alla normativa in materia di sicurezza informatica.Established

L'auto-évaluation NIS2 de mai 2026 constitue une vérification de conformité (dogfooding du produit) ; l'exercice Misure ACN est en cours. [NIS2 21.2.f]

2/32/3
GV.SC-01.R1
In merito all’affidamento di forniture con potenziali impatti sulla sicurezza dei sistemi informativi e di rete, anche mediante ricorso agli strumenti delle centrali di committenza di cui all’allegato I.1, articolo 1, comma 1, lettera i), del decreto legislativo 31 marzo 2023, n. 36, sono previsti: a) il coinvolgimento dell’organizzazione per la sicurezza informatica di cui alla misura GV.RR-02 nella definizione ed esecuzione dei processi di approvvigionamento a partire dalla fase di identificazione e progettazione della fornitura; b) in accordo agli esiti della valutazione del rischio associato alla fornitura di cui alla misura GV.SC-07, la definizione di requisiti di sicurezza sulla fornitura coerenti con le misure di sicurezza applicate dal soggetto NIS ai sistemi informativi e di rete.Established

La politique chaîne d'approvisionnement (REGLYZE-POL-SC-001) exige l'intégration d'exigences de sécurité dans les approvisionnements ; aucune fourniture avec exigences contractuellement exécutées n'est attestée. [NIS2 21.2.d.2]

1/32/3
GV.SC-02.R1
Nell'ambito dell'organizzazione per la sicurezza informatica di cui alla misura GV.RR-02, sono definiti e resi noti alle articolazioni competenti del soggetto NIS gli eventuali ruoli e responsabilità in materia di sicurezza informatica assegnati al personale delle terze parti.Established

La politique chaîne d'appro. prévoit l'attribution de rôles sécurité aux tiers ; aucune attribution formelle documentée pour les 7 fournisseurs. [NIS2 21.2.d]

1/32/3
GV.SC-02.R2
Il personale di cui al punto 1 avente specifici ruoli e responsabilità è incluso nell’elenco di cui al punto 2 della misura GV.RR-02.Partial

Aucun personnel de tiers n'est inscrit dans un registre nominatif de porteurs de rôles. [pas d'évidence directe]

1/31/3
GV.SC-04.R1
È mantenuto un inventario aggiornato dei fornitori delle forniture con potenziali impatti sulla sicurezza dei sistemi informativi e di rete, che comprende almeno: a) gli estremi di contatto del referente della fornitura; b) la tipologia di fornitura.Established

7 fournisseurs inventoriés et évalués (Hetzner, Cloudflare, Anthropic, Stripe, GitHub, Resend, Google) avec type de fourniture ; référents contact non systématiquement formalisés. [NIS2 21.2.d.1]

2/32/3
GV.SC-05.R1
Fatte salve motivate e documentate ragioni normative o tecniche, i requisiti di sicurezza di cui alla misura GV.SC-01, punto 1, lettera b) sono inseriti nelle richieste di offerta, bandi di gara, contratti, accordi e convenzioni relativi alle forniture con potenziali impatti sulla sicurezza dei sistemi informativi e di rete.Established

La politique exige des clauses de sécurité dans les contrats ; aucun contrat fournisseur exécuté avec clauses de sécurité/DPA n'est attesté. [NIS2 21.2.d.2]

1/32/3
GV.SC-07.R1
Nell’ambito della valutazione del rischio di cui alla misura ID.RA-05, è valutato e documentato il rischio associato alle forniture. A tal fine, sono valutati almeno: a) il livello di accesso del fornitore ai sistemi informativi e di rete del soggetto NIS; b) l'accesso del fornitore alla proprietà intellettuale e ai dati anche sulla base della loro criticità; c) l'impatto di una grave interruzione della fornitura; d) i tempi e i costi di ripristino in caso di indisponibilità dei servizi; e) i ruoli e le responsabilità del fornitore nel governo dei sistemi informativi e di rete.Established

Le risque associé aux fournitures est évalué et documenté : criticité classée (critical/high/medium) et score de risque résiduel par fournisseur pour les 7 fournisseurs. [NIS2 21.2.d.1]

2/32/3
GV.SC-07.R2
È verificata periodicamente e documentata la conformità delle forniture ai requisiti di cui alla misura GV.SC-05.Established

La politique prévoit une vérification périodique de conformité des fournitures ; aucune cadence de revue périodique des tiers n'est attestée. [NIS2 21.2.d.3]

1/32/3
ID ID — Identificare
56%
ID.AM-01.R1
È mantenuto un inventario aggiornato degli apparati fisici (hardware) che compongono i sistemi informativi e di rete, ivi inclusi i dispositivi IT, IoT, OT e mobili, approvati da attori interni al soggetto NIS.Established

La politique d'actifs définit l'inventaire matériel ; infra 100% cloud sans matériel détenu (hors postes distants), aucun inventaire hardware formel complété. [NIS2 21.2.i.1]

1/32/3
ID.AM-02.R1
È mantenuto un inventario aggiornato dei servizi, dei sistemi e delle applicazioni software che compongono i sistemi informativi e di rete, ivi incluse le applicazioni commerciali, open-source e custom, anche accessibili tramite API, approvati da attori interni al soggetto NIS.Established

Le stack applicatif et les services sont identifiables ; SBOM de fait via Dependabot/Renovate sur le monorepo ; pas de registre formel complété. [NIS2 21.2.i.1]

2/32/3
ID.AM-04.R1
È mantenuto un inventario aggiornato dei servizi informatici erogati dai fornitori, ivi inclusi i servizi cloud.Established

Les services cloud/fournisseurs sont inventoriés dans l'évaluation chaîne d'approvisionnement (7 fournisseurs). [NIS2 21.2.d.1]

2/32/3
ID.RA-01.R1
Le informazioni di cui al punto 1 della misura ID.RA-08 sono utilizzate per identificare eventuali vulnerabilità sui i sistemi informativi e di rete.Mature

FORCE : identification continue des vulnérabilités via Dependabot + Renovate + GitHub advisories sur l'ensemble du monorepo. [NIS2 21.2.e.3]

3/32/3
ID.RA-05.R1
In accordo al piano di gestione dei rischi per la sicurezza informatica di cui alla misura GV.RM-03, è eseguita e documentata la valutazione del rischio posto alla sicurezza dei sistemi informativi e di rete, anche con riferimento alle eventuali dipendenze da fornitori e partner terzi, che comprende almeno: a) l’identificazione del rischio; b) l’analisi del rischio; c) la ponderazione del rischio.Established

La PSSI définit une méthodologie d'analyse des risques ; aucune évaluation de risque formellement exécutée et documentée (identification/analyse/pondération) n'est attestée. [NIS2 21.2.a.1]

1/32/3
ID.RA-05.R2
La valutazione del rischio di cui al punto 1 è eseguita a intervalli pianificati e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi, variazioni organizzative o mutamenti dell’esposizione alle minacce e ai relativi rischi.Established

La politique prévoit une revue périodique du risque ; aucun cycle d'évaluation complété (v1.0). [NIS2 21.2.a.5]

1/32/3
ID.RA-05.R3
La valutazione del rischio cui al punto 1 è approvata dagli organi di amministrazione e direttivi.Established

L'approbation par les organes dirigeants est prévue ; aucune évaluation de risque complétée à approuver à ce jour. [NIS2 20.1.a]

1/32/3
ID.RA-06.R1
È definito, documentato, eseguito e monitorato un piano di trattamento dei rischi per la sicurezza informatica che comprende almeno: a) le opzioni di trattamento e le misure da attuare in merito al trattamento di ciascun rischio individuato e le relative priorità; b) le articolazioni competenti per l'attuazione delle misure di trattamento dei rischi e le tempistiche per tale attuazione; c) la descrizione e le ragioni che giustificano l'accettazione di eventuali rischi residui al trattamento.Partial

Le plan de traitement des risques est référencé dans l'ISP mais aucun plan de traitement autonome (options, priorités, rôles, échéances, risque résiduel) n'est produit comme artefact. [NIS2 21.2.a.3]

1/31/3
ID.RA-06.R2
Qualora per motivate e documentate ragioni normative o tecniche non siano attuati i requisiti di cui alla tabella 2 in appendice al presente allegato, sono adottate, ove applicabile, misure di mitigazione compensative e il piano di cui al punto 1 include la descrizione di tali misure e dell’eventuale rischio residuo.Partial

Aucune analyse formalisée des mesures compensatoires ni du risque résiduel associé n'est documentée. [NIS2 21.2.a.3]

1/31/3
ID.RA-06.R3
Il piano di cui al punto 1, ivi compresa l’accettazione di eventuali rischi residui, è approvato dagli organi di amministrazione e direttivi.Partial

L'approbation du plan de traitement par les organes dirigeants est prévue ; aucun plan formel à approuver. [NIS2 20.1.a]

1/31/3
ID.RA-08.R1
Sono monitorati almeno i canali di comunicazione del CSIRT Italia, nonché di eventuali CERT e Information Sharing & Analysis Centre (ISAC) settoriali, al fine di acquisire, analizzare e rispondere alle informazioni sulle vulnerabilità.Partial

Les canaux GitHub advisories/Dependabot sont surveillés en continu, mais les canaux du CSIRT Italia et des ISAC sectoriels ne sont pas monitorés (statut volontaire). [pas d'évidence directe]

1/31/3
ID.RA-08.R2
Le vulnerabilità, ivi comprese quelle identificate ai sensi della misura ID.RA-01 , sono prontamente risolte attraverso aggiornamenti di sicurezza o misure di mitigazione, ove disponibili, ovvero accettando e documentando il rischio in accordo al piano di trattamento dei rischi di cui alla misura ID.RA-06  .Mature

FORCE : résolution rapide des vulnérabilités via correctifs automatiques Dependabot/Renovate — 3 PR de sécurité réelles appliquées, SLA de patch 100%. [NIS2 21.2.e.3]

3/32/3
ID.RA-08.R3
È definito, attuato, aggiornato e documentato un piano di gestione delle vulnerabilità che comprende almeno: a) le modalità per l'identificazione delle vulnerabilità di cui alla misura ID.RA-01 e la relativa pianificazione delle attività; b) le modalità per monitorare, ricevere, analizzare e rispondere alle informazioni sulle vulnerabilità; c) le procedure, i ruoli, le responsabilità per lo svolgimento delle attività di cui alle lettere a) e b).Established

La politique de gestion des vulnérabilités (REG-SEC-POL-003) définit identification, monitoring, priorisation, rôles et responsabilités. [NIS2 21.2.e]

2/32/3
ID.RA-08.R4
Il piano di cui al punto 3 è approvato dagli organi di amministrazione e direttivi.Established

La politique de gestion des vulnérabilités est approuvée par le dirigeant unique. [NIS2 20.1.a]

2/32/3
ID.IM-01.R1
In accordo agli esiti del riesame di cui al punto 1 della misura GV.PO-02, è definito, attuato, documentato e approvato dagli organi di amministrazioni e direttivi un piano di adeguamento che identifichi gli interventi necessari ad assicurare l’attuazione delle politiche di sicurezza.Established

Les écarts sont identifiés par l'auto-évaluation NIS2 ; un plan d'adéquation formel approuvé, corrélé au réexamen des politiques, n'est pas encore établi. [NIS2 21.2.f.4]

1/32/3
ID.IM-01.R2
Gli organi di amministrazione e direttivi sono informati mediante apposite relazioni periodiche sugli esiti dei piani di cui al punto 1.Established

Le board briefing deck matérialise l'information des dirigeants ; aucune cadence de relations périodiques attestée. [NIS2 21.2.f.4]

1/32/3
ID.IM-04.R1
Per almeno i sistemi informativi e di rete rilevanti è definito, attuato, aggiornato e documentato un piano di continuità operativa, che comprende almeno: a) le finalità, ivi incluse le esigenze di continuità operativa, e l'ambito di applicazione; b) i ruoli e le responsabilità; c) i contatti principali e i canali di comunicazione (interni ed esterni); d) le condizioni per l'attivazione e la disattivazione del piano; e) le risorse necessarie, ivi compresi i backup e le ridondanze.Established

Un plan de continuité opérationnelle (REGLYZE-POL-BCP) v1.0 couvre finalités, rôles, activation et ressources (dont backups) ; non exercé. [NIS2 21.2.c.1]

2/32/3
ID.IM-04.R2
Per almeno i sistemi informativi e di rete rilevanti è definito, attuato, aggiornato e documentato un piano di ripristino in caso di disastro, che comprende almeno: a) le finalità, ivi incluse le esigenze di ripristino in caso di disastro, e l'ambito di applicazione; b) i ruoli e le responsabilità; c) i contatti principali e i canali di comunicazione (interni ed esterni); d) le condizioni per l'attivazione e la disattivazione del piano; e) le risorse necessarie, ivi compresi i backup e le ridondanze; f) l'ordine di ripristino delle operazioni; g) le procedure di ripristino per operazioni specifiche, compresi gli obiettivi di ripristino.Established

Un plan de reprise après sinistre (REGLYZE-POL-BDR-001) définit les procédures et objectifs de ripristino (Hetzner primaire, bascule Cloudflare) ; aucun exercice DR réalisé. [NIS2 21.2.c.3]

2/32/3
ID.IM-04.R3
Per almeno i sistemi informativi e di rete rilevanti è definito, attuato, aggiornato e documentato un piano per la gestione delle crisi informatiche che comprende almeno: a) i ruoli e le responsabilità del personale e, se opportuno, dei fornitori, specificando l'assegnazione dei ruoli in situazioni di crisi, comprese le procedure specifiche da seguire; b) le modalità di comunicazione tra i soggetti e le autorità competenti.Established

La gestion de crise est abordée à haut niveau dans le PCA ; équipe de 5 personnes en astreinte unique (Cyril), aucun dispositif de gestion de crise autonome exercé. [NIS2 21.2.c.4]

1/32/3
ID.IM-04.R4
I piani di cui ai punti 1, 2 e 3 sono approvati dagli organi di amministrazione e direttivi.Established

Les plans PCA/PRA sont approuvés par le dirigeant unique. [NIS2 20.1.a]

2/32/3
ID.IM-04.R5
I piani di cui ai punti 1, 2 e 3 sono riesaminati e, se opportuno, aggiornati periodicamente e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi o mutamenti dell’esposizione alle minacce e ai relativi rischi.Established

Les plans prévoient une revue périodique ; aucun cycle de réexamen ni exercice complété (restauration non testée sur 12 mois). [NIS2 21.2.c.5]

1/32/3
PR PR — Proteggere
60%
PR.AA-01.R1
Tutte le utenze, ivi incluse quelle con privilegi amministrativi e quelle utilizzate per l’accesso remoto, sono censite, approvate da attori interni al soggetto NIS e, fatte salve motivate e documentate ragioni tecniche, in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, sono individuali per gli utenti.Established

Comptes nominatifs sur l'ensemble des plateformes (GitHub, Hetzner, Cloudflare) et Better Auth pour les utilisateurs applicatifs ; comptes d'accès distant individuels. [NIS2 21.2.i.2]

2/32/3
PR.AA-01.R2
Le credenziali (ad esempio nome utente e password) relative alle utenze sono robuste e aggiornate in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05.Established

Règles de robustesse des mots de passe via Better Auth ; identifiants hachés ; renforcés par la MFA. [NIS2 21.2.j]

2/32/3
PR.AA-01.R3-EI
Per almeno i sistemi informativi e di rete rilevanti, sono verificate periodicamente le utenze e le relative autorizzazioni, aggiornandole/revocandole in caso di variazioni (ad esempio trasferimento o cessazione di personale).Established

La politique de contrôle d'accès impose une revue périodique des utenze/autorisations ; aucun cycle de revue des accès complété ni journal de révocation attesté. [NIS2 21.2.i.5]

1/32/3
PR.AA-01.R4
Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1, 2 e 3.Established

La politique de contrôle d'accès (REG-SEC-POL-001) documente les procédures de gestion des utenze. [NIS2 21.2.i.2]

2/32/3
PR.AA-03.R1
Le modalità di autenticazione delle utenze per accedere ai sistemi informativi e di rete sono commisurate al rischio. A tal fine sono valutati almeno i rischi connessi: a) ai privilegi delle utenze; b) alla criticità dei sistemi informativi e di rete; c) alla tipologia di operazioni che le utenze possono effettuare sui sistemi informativi e di rete.Established

Les modalités d'authentification sont commensurées au risque (privilèges, criticité, type d'opérations) ; MFA généralisée par défaut. [NIS2 21.2.j]

2/32/3
PR.AA-03.R2
Per almeno i sistemi informativi e di rete rilevanti, in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, sono impiegate soluzioni di autenticazione multifattore.Mature

FORCE : authentification multifactorielle imposée partout (SSH, GitHub, Hetzner, Cloudflare, application). [NIS2 21.2.j.1]

3/32/3
PR.AA-03.R3
Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1 e 2.Established

La politique MFA/comms sécurisées (REGLYZE-POL-SEC-007) documente les procédures d'authentification. [NIS2 21.2.j]

2/32/3
PR.AA-05.R1
I permessi sono assegnati alle utenze in accordo ai principi del minimo privilegio e della separazione delle funzioni, tenuto anche conto della necessità di conoscere (need to know).Established

Moindre privilège et besoin d'en connaître documentés dans la politique ; RBAC applicatif + rôles DB RLS (reglyze_app/reglyze_admin). [NIS2 21.2.i.2]

2/32/3
PR.AA-05.R2
È assicurata la completa distinzione tra utenze con e senza privilegi amministrativi degli amministratori di sistema alle quali debbono corrispondere credenziali diverse.Established

Distinction des comptes à privilèges via le split de rôles RLS reglyze_admin (bypass) vs reglyze_app (scoped) et comptes d'administration séparés sur les plateformes. [NIS2 21.2.i.2]

2/32/3
PR.AA-05.R3
Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1 e 2.Established

La politique de contrôle d'accès documente les règles de moindre privilège et de séparation des fonctions. [NIS2 21.2.i.2]

2/32/3
PR.AA-06.R1
Per almeno i sistemi informativi e di rete rilevanti, l’accesso fisico è protetto.Established

Aucun local serveur détenu ; sécurité physique héritée du datacenter Hetzner (ISO 27001, Francfort), équipe entièrement distante. Contrôle hérité documenté dans l'évaluation chaîne d'appro. [NIS2 21.2.d]

2/32/3
PR.AA-06.R2
Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 1.Partial

Sans locaux techniques propres, les procédures d'accès physique sont celles de Hetzner ; non formalisées côté Reglyze. [NIS2 21.2.d]

1/31/3
PR.AT-01.R1
È definito, attuato, aggiornato e documentato un piano di formazione in materia di sicurezza informatica del personale, ivi inclusi gli organi di amministrazione e direttivi, che comprende almeno: a) la pianificazione delle attività di formazione previste con l’indicazione dei contenuti della formazione fornita; b) le eventuali modalità di verifica dell'acquisizione dei contenuti.Established

Un plan de formation sécurité v1.0 couvre l'ensemble des 5 collaborateurs et les organes dirigeants, avec contenus et modalités de vérification. [NIS2 21.2.g.1]

2/32/3
PR.AT-01.R2
Il piano di formazione di cui al punto 1 è approvato dagli organi di amministrazione e direttivi.Established

Le plan de formation est approuvé par le dirigeant unique (également couvert par le board briefing deck). [NIS2 20.2.a]

2/32/3
PR.AT-01.R3
È mantenuto un registro aggiornato recante l'elenco dei dipendenti che hanno ricevuto la formazione di cui al punto 1, i relativi contenuti e l'elenco delle verifiche svolte laddove previste.Partial

Aucun registre de complétion de la formation ni enregistrement des vérifications n'est produit à ce jour. [NIS2 21.2.g]

1/31/3
PR.DS-01.R1
Per almeno i sistemi informativi e di rete rilevanti, in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, fatte salve motivate e documentate ragioni normative o tecniche, i dati memorizzati sui dispositivi portatili, ivi inclusi laptop, smartphone e tablet, e sui supporti removibili, sono cifrati con protocolli e algoritmi allo stato dell’arte e considerati sicuri.Established

La politique de chiffrement (REG-SEC-POL-CRYPTO-001) impose le chiffrement ; chiffrement au repos opérationnellement fort côté serveurs/backups, mais le chiffrement des postes/supports portables n'est pas formellement attesté par device. [NIS2 21.2.h.2]

2/32/3
PR.DS-01.R2
Fatte salve motivate e documentate ragioni normative o tecniche, è disabilitata l'auto esecuzione dei supporti rimovibili ed è effettuata la loro scansione al fine di rilevare codici malevoli prima che siano utilizzati nei sistemi informativi e di rete.Partial

Infra cloud entièrement distante, aucun support amovible en production ; désactivation de l'auto-exécution et scan des supports non formalisés (faible pertinence opérationnelle). [NIS2 21.2.e]

1/31/3
PR.DS-01.R3
Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1 e 2.Established

La politique de chiffrement couvre le chiffrement des données ; les procédures spécifiques aux supports amovibles/postes ne sont pas détaillées. [NIS2 21.2.h.1]

1/32/3
PR.DS-02.R1
Per almeno i sistemi informativi e di rete rilevanti, ivi inclusi quelli di comunicazione vocale, video e testuale, in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, fatte salve motivate e documentate ragioni normative o tecniche, sono utilizzati, per la trasmissione dei dati da e verso l’esterno del soggetto NIS, protocolli e algoritmi di cifratura allo stato dell’arte e considerati sicuri.Mature

FORCE : chiffrement des données en transit imposé partout via TLS Cloudflare (suites modernes, HSTS). [NIS2 21.2.h.3]

3/32/3
PR.DS-02.R2
Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 1.Established

La politique de chiffrement documente les protocoles de transmission sécurisée. [NIS2 21.2.h.1]

2/32/3
PR.DS-11.R1
In accordo alle esigenze di continuità operativa e di ripristino in caso di disastro individuate nei piani di cui alla misura ID.IM-04, sono effettuati periodicamente i backup dei dati e delle configurazioni e, per almeno i sistemi informativi e di rete rilevanti, sono anche conservate copie di backup offline.Established

Sauvegardes quotidiennes rclone -> Google Drive opérationnelles (FORCE) et chiffrées au repos ; pas de véritable copie hors-ligne/immuable pour les SI rilevanti. [NIS2 21.2.c.2]

2/32/3
PR.DS-11.R2
Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 1.Established

La politique de sauvegarde/PRA (REGLYZE-POL-BDR-001) documente les procédures de backup et les objectifs de rétention. [NIS2 21.2.c.2]

2/32/3
PR.PS-02.R1
Fatte salve motivate e documentate ragioni normative o tecniche, in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, è installato esclusivamente software, ivi compresi i sistemi operativi, per il quale è garantita la disponibilità di aggiornamenti di sicurezza.Established

Renovate maintient les composants sur des versions supportées ; l'exigence de n'installer que du logiciel bénéficiant de correctifs n'est pas formellement documentée. [NIS2 21.2.e]

2/31/3
PR.PS-02.R2
Fatte salve motivate e documentate ragioni normative o tecniche, sono installati, senza ingiustificato ritardo, gli ultimi aggiornamenti di sicurezza rilasciati dal produttore in coerenza con il piano di gestione delle vulnerabilità di cui alla misura ID.RA-08.Mature

FORCE : installation sans retard injustifié des derniers correctifs via Dependabot/Renovate — 3 PR de sécurité réelles appliquées, SLA 100%. [NIS2 21.2.e.3]

3/32/3
PR.PS-02.R3
Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1e 2.Established

La politique de gestion des vulnérabilités documente les procédures de mise à jour. [NIS2 21.2.e]

2/32/3
PR.PS-04.R1
Tutti gli accessi eseguiti da remoto e quelli effettuati con utenze con privilegi amministrativi sono registrati.Established

Les accès distants et à privilèges sont journalisés (logs GitHub, logs de déploiement, logs SSH/DB). [NIS2 21.2.e.5]

2/32/3
PR.PS-04.R2
Per almeno i sistemi informativi e di rete rilevanti, sono acquisiti e, in modo sicuro e possibilmente centralizzato, conservati almeno i log necessari ai fini del monitoraggio degli eventi di sicurezza, ivi compresi quelli relativi agli accessi di cui al punto 1.Established

Les logs nécessaires au monitoring sont acquis ; centralisation partielle via log-shipper. [NIS2 21.2.e.5]

2/32/3
PR.PS-04.R3
In accordo agli esiti della valutazione rischio di cui alla misura ID.RA-05, sono definite e documentate le tempistiche di conservazione dei log di cui al punto 2.Partial

Aucune durée de conservation des logs formellement définie et documentée en fonction du risque. [NIS2 21.2.e.5]

1/31/3
PR.PS-04.R4
Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 1 e 2.Established

Les procédures de journalisation sont partiellement couvertes par les politiques ; pas de procédure dédiée complète attestée. [NIS2 21.2.e.5]

1/32/3
PR.PS-06.R1
Sono adottate e documentate pratiche di sviluppo sicuro del codice nello sviluppo del software.Established

Développement sur monorepo TypeScript avec CI/CD GitHub et revues de PR (pratiques implicites de développement sécurisé) ; aucune politique SDLC/codage sécurisé formalisée. [NIS2 21.2.e.1]

2/31/3
PR.IR-01.R1
Per almeno i sistemi informativi e di rete rilevanti, sono definite e documentate le eventuali attività consentite da remoto e implementate adeguate misure di sicurezza per l’accesso.Established

Accès distant d'administration via Cloudflare Tunnel + SSH (chiffré) avec MFA imposée ; mesures de sécurité en place. [NIS2 21.2.e]

2/32/3
PR.IR-01.R2
È mantenuto un elenco aggiornato dei sistemi informativi e di rete ai quali è possibile accedere da remoto con la descrizione delle relative modalità di accesso.Partial

Aucun élenco formel des systèmes accessibles à distance et de leurs modalités n'est maintenu. [NIS2 21.2.e]

1/31/3
PR.IR-01.R3
Sono presenti, aggiornati, mantenuti e configurati in modo adeguato sistemi perimetrali, quali firewall.Established

Systèmes périmétriques en place : Cloudflare WAF + reverse-proxy Traefik ; blocage egress ajouté (correctif SSRF S2). [NIS2 21.2.e]

2/32/3
PR.IR-01.R4
Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione ai punti 2 e 3.Established

Les procédures relatives aux accès distants et aux systèmes périmétriques sont partiellement couvertes par les politiques, sans procédure dédiée complète. [NIS2 21.2.e]

1/32/3
DE DE — Rilevare
47%
DE.CM-01.R1
Per almeno i sistemi informativi e di rete rilevanti, sono presenti, aggiornati, mantenuti e configurati in modo adeguato strumenti tecnici per rilevare tempestivamente gli incidenti significativi.Established

Outils de détection en place : alertes Cloudflare WAF + Dependabot/Renovate, monitoring en astreinte par Cyril ; pas de SIEM/SOC. [NIS2 21.2.b.2]

2/32/3
DE.CM-01.R2
Sono definiti e documentati i livelli di servizio attesi (SL) dei servizi e delle attività del soggetto NIS anche ai fini di rilevare tempestivamente gli incidenti significativi.Partial

Aucun niveau de service (SL) formellement défini et documenté aux fins de détection d'incidents. [pas d'évidence directe]

1/31/3
DE.CM-01.R3
Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 1.Established

Le PRI couvre la détection et la qualification des événements ; alertes Cloudflare/Dependabot en entrée ; non testé. [NIS2 21.2.b]

2/32/3
DE.CM-09.R1
Fatte salve motivate e documentate ragioni normative o tecniche, sono presenti, aggiornati, mantenuti e configurati in modo adeguato, sistemi di protezione dei punti terminali (endpoint) per il rilevamento del codice malevolo.Partial

Pas d'AV/EDR sur endpoints (infra conteneurisée immuable) ; le WAF Cloudflare filtre les menaces web mais aucun système de protection endpoint anti-malware n'est déployé. [NIS2 21.2.e]

1/31/3
DE.CM-09.R2
Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le procedure in relazione al punto 1.Partial

Aucun programme anti-malware endpoint documenté. [NIS2 21.2.e]

1/31/3
RS RS — Rispondere
53%
RS.MA-01.R1
È definito, attuato, aggiornato e documentato un piano per la gestione degli incidenti di sicurezza informatica e la notifica al CSIRT Italia, in accordo a quanto previsto dall’articolo 25 del decreto NIS, che comprende almeno: a) le fasi e le procedure di gestione e notifica degli incidenti con l’indicazione dei relativi ruoli e delle responsabilità; b) le procedure per la predisposizione e la trasmissione delle relazioni di cui all’articolo 25, comma 5, lettere c), d) ed e) del decreto NIS; c) le informazioni di contatto per la segnalazione degli incidenti; d) le modalità di comunicazione interna, anche con riguardo al coinvolgimento degli organi di amministrazione e direttivi, ed esterna; e) la reportistica da utilizzare per la documentazione dell’incidente.Established

Un plan de réponse aux incidents (PRI) v1.0 couvre phases, rôles, notification au CSIRT (délais alerte précoce/notification/rapport final), contacts et reporting ; jamais déclenché sur un incident réel. [NIS2 21.2.b.4]

2/32/3
RS.MA-01.R2
Il piano di cui al punto 1 è approvato dagli organi di amministrazione e direttivi.Established

Le plan de réponse aux incidents est approuvé par le dirigeant unique. [NIS2 20.1.a]

2/32/3
RS.MA-01.R3
Il piano di cui al punto 1 è riesaminato e, se opportuno, aggiornato periodicamente e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi, integrando le relative lezioni apprese, o mutamenti dell’esposizione alle minacce e ai relativi rischi.Established

Le PRI prévoit un réexamen périodique et l'intégration des leçons apprises ; jamais exercé ni révisé (aucun incident réel, pas d'exercice sur table). [NIS2 21.2.b.5]

1/32/3
RS.CO-02.R1
In accordo al piano per la gestione degli incidenti di cui alla misura RS.MA-01, sono documentate e adottate procedure per comunicare senza ingiustificato ritardo, se ritenuto opportuno e qualora possibile, sentito il CSIRT Italia, ovvero qualora intimato dall’Agenzia per la cybersicurezza nazionale ai sensi dell’articolo 37, comma 3, lettere g) e h), del decreto NIS: a) ai destinatari dei propri servizi, gli incidenti significativi che possono ripercuotersi negativamente sulla fornitura di tali servizi; b) ai destinatari dei propri servizi che sono potenzialmente interessati da una minaccia informatica significativa, le misure o azioni correttive o di mitigazione che tali destinatari possono adottare in risposta a tale minaccia e la natura di tale minaccia.Established

Le PRI référence la communication aux destinataires des services ; procédure jamais exercée et liste des contacts externes partielle. [NIS2 21.2.b.4]

1/32/3
RS.CO-02.R2
Sono documentate e adottate procedure per informare il pubblico sugli incidenti occorsi, qualora intimato dall’Agenzia per la cybersicurezza nazionale ai sensi dell’art. 37, comma 3, lettera i) del decreto NIS.Partial

Aucune procédure documentée d'information du public sur les incidents (sur injonction de l'ACN) n'est attestée. [pas d'évidence directe]

1/31/3
RC RC — Ripristinare
67%
RC.RP-01.R1
Nell'ambito del piano per la gestione degli incidenti di cui alla misura RS.MA-01, sono adottate e documentate procedure per il ripristino  con riguardo almeno al ripristino del normale funzionamento dei sistemi informativi e di rete coinvolti da incidenti di sicurezza informatica, ivi compresi quelli di cui all’articolo 25 del decreto NIS.Established

Le PRI et la politique de sauvegarde/PRA couvrent les procédures de ripristino du fonctionnement normal ; sauvegardes quotidiennes opérationnelles mais restauration non testée sur 12 mois. [NIS2 21.2.c.2]

2/32/3

Critical suppliers (7)

Hetzner Online GmbH

Cloud infrastructure / hosting

critical

Data shared: All application data, customer accounts, encrypted backups

Cloudflare

CDN, DNS, WAF, TLS termination

critical

Data shared: All HTTP/S traffic metadata, no plaintext payloads

Anthropic

AI/LLM (Claude API for document generation)

high

Data shared: Customer organization context for document generation prompts

GitHub

Source code hosting and CI/CD

high

Data shared: Source code, deployment secrets via Actions

Resend

Transactional email delivery

medium

Data shared: Recipient email addresses (customer admins, vendor questionnaire contacts), email bodies (compliance notifications, vendor questionnaire requests, billing notices).

Google (Workspace + Drive via rclone)

Off-site backup destination

high

Data shared: Encrypted daily Postgres dumps + MinIO blob backups mirrored via rclone. Encryption at rest by Google; Reglyze does not currently apply client-side encryption on top.

Stripe

Payment processing and billing

high

Data shared: Customer billing details, subscription metadata

Security policies (15)

NIS2 Article 20(2) Training Certificate — Cyril Poder

Updated 17 May 2026

Approved

Reglyze Information Security Policy

Updated 17 May 2026

Approved

Reglyze Incident Response Plan

Updated 17 May 2026

Approved

Reglyze Business Continuity Plan

Updated 17 May 2026

Approved

Reglyze Backup and Disaster Recovery Plan

Updated 17 May 2026

Approved

Reglyze Supply Chain Security Policy

Updated 17 May 2026

Approved

Reglyze Vulnerability Management Policy

Updated 17 May 2026

Approved

Reglyze Effectiveness Testing Policy

Updated 17 May 2026

Approved

Reglyze Cybersecurity Training Plan

Updated 17 May 2026

Approved

Reglyze Cryptography Policy

Updated 17 May 2026

Approved

Reglyze HR Security Policy

Updated 17 May 2026

Approved

Reglyze Access Control Policy

Updated 17 May 2026

Approved

Reglyze Asset Management Policy

Updated 17 May 2026

Approved

MFA & Secured Communications Policy

Updated 17 May 2026

Approved

Board/Management Cybersecurity Briefing Deck

Updated 17 May 2026

Approved

Why we publish this

Most compliance vendors talk about security but never show their own posture. We think that's backwards. If our platform is good enough for our customers, it's good enough for us.

Every score, control, supplier, and policy on this page comes from the same Reglyze platform we sell — rendered in each country's native framework, the way a French, Italian or German buyer actually assesses. There's no separate trust portal, no manually-curated security PDF.

You can verify it yourself: api.reglyze.com/api/public/trust/reglyze

Build your own trust page

Get your compliance score, generate policies, and manage suppliers in one platform — the same one we use.