Ce que les institutions financières néerlandaises doivent savoir sur les exigences de conformité NIS 2

La directive européenne sur la sécurité des réseaux et de l’information 2 (directive NIS 2) a instauré des exigences obligatoires en matière de cybersécurité pour des milliers d’institutions financières aux Pays-Bas. Depuis la date limite de transposition d’octobre 2024, les banques néerlandaises, les prestataires de paiement, les gestionnaires d’actifs et les assureurs doivent mettre en œuvre des contrôles techniques, opérationnels et de gouvernance qui réduisent concrètement les risques cyber. Avec l’entrée en vigueur de l’application, les organisations doivent garantir leur conformité totale pour éviter toute mesure coercitive, la responsabilité personnelle des dirigeants et l’atteinte à la réputation.

Les obligations de conformité NIS2 incluent des exigences de signalement obligatoires, des procédures élargies de déclaration d’incidents et des mesures de responsabilisation des dirigeants qui impactent directement la façon dont les institutions financières néerlandaises conçoivent leurs programmes de sécurité, gèrent les risques liés aux tiers et protègent les données sensibles en transit. Comprendre les exigences de NIS 2, vérifier l’état actuel de conformité et combler les éventuelles lacunes détermine si votre établissement opère dans le cadre réglementaire ou s’expose à des sanctions.

Dans cet article, nous détaillons les exigences spécifiques de conformité NIS 2 auxquelles les institutions financières néerlandaises doivent répondre, les fonctions techniques et de gouvernance requises, ainsi que la manière de bâtir des contrôles auditables qui sécurisent les données sensibles tout en répondant aux attentes réglementaires.

Résumé exécutif

NIS 2 fixe des normes obligatoires de cybersécurité pour les entités essentielles et importantes dans l’Union européenne, ce qui inclut pratiquement toutes les institutions financières néerlandaises. Après la date limite de transposition du 17 octobre 2024, les Pays-Bas ont intégré NIS 2 dans leur droit national et les organisations doivent prouver leur conformité continue. Contrairement aux directives précédentes, NIS 2 engage la responsabilité personnelle des dirigeants, impose le signalement des incidents dans des délais stricts et exige la mise en œuvre démontrable de mesures de gestion des risques de sécurité couvrant la gestion des risques liés à la supply chain, le chiffrement, le contrôle des accès et la continuité d’activité. Les institutions financières néerlandaises qui ne maintiennent pas leur conformité NIS 2 risquent des amendes administratives allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, ainsi que des sanctions potentielles contre les membres du conseil d’administration. Être conforme exige la mise en place de contrôles techniques fondés sur le principe du zéro trust, des pistes d’audit prouvant l’application des mesures et des canaux de communication sécurisés pour protéger les données sensibles tout au long de leur cycle de vie. Les institutions financières doivent vérifier leur posture de conformité, corriger toute lacune et instaurer des workflows de reporting robustes pour répondre aux obligations réglementaires continues.

Résumé des points clés

• Point clé 1 : Le gouvernement néerlandais a transposé NIS 2 dans le droit national avant la date limite du 17 octobre 2024, créant ainsi des obligations de conformité immédiates et continues pour les institutions financières désignées comme entités essentielles ou importantes. L’application est désormais active et les contrôles de supervision sont en cours.

• Point clé 2 : NIS 2 introduit la responsabilité personnelle des dirigeants, y compris les membres du conseil d’administration et les C-level. Le défaut d’approbation ou de supervision de la mise en œuvre des mesures de cybersécurité requises peut entraîner des sanctions individuelles, ce qui crée une responsabilisation directe au-delà des sanctions à l’échelle de l’entreprise.

• Point clé 3 : Les délais de signalement des incidents sont stricts. Les organisations doivent fournir une alerte précoce dans les 24 heures, une notification d’incident dans les 72 heures et un rapport final dans le mois. Tout retard ou signalement incomplet entraîne des mesures coercitives, quel que soit le degré de gravité de l’incident.

• Point clé 4 : NIS 2 impose des mesures techniques couvrant la sécurité de la supply chain, le chiffrement, le contrôle des accès, l’authentification multifactorielle et des systèmes de communication sécurisés. La documentation seule ne suffit pas à prouver la conformité. Les organisations doivent démontrer l’application opérationnelle via des pistes d’audit et une surveillance continue.

• Point clé 5 : Les institutions financières doivent sécuriser les données sensibles en transit dans le cadre de leurs obligations de gestion des risques. Cela inclut les données financières clients, les informations personnelles identifiables, les instructions de paiement et les communications confidentielles partagées avec les tiers, les régulateurs et les prestataires de services.

État d’avancement de la mise en œuvre de NIS 2 et obligations de conformité continues

L’Union européenne a adopté NIS 2 le 27 décembre 2022, fixant au 17 octobre 2024 la date limite de transposition obligatoire pour tous les États membres. Les Pays-Bas ont intégré les exigences NIS 2 dans leur droit national à cette date, créant ainsi des obligations exécutoires pour les institutions financières. Avec la transposition achevée et l’application active depuis début 2025, les institutions financières font désormais face à des obligations de conformité continues et à des contrôles réguliers de supervision.

Les institutions financières néerlandaises classées comme entités essentielles au titre de NIS 2 incluent les établissements de crédit, les établissements de paiement et les contreparties centrales. Les entités importantes englobent les sociétés d’investissement, les prestataires de services sur crypto-actifs, les intermédiaires d’assurance et certains gestionnaires de fonds. Ces classifications déclenchent des exigences techniques identiques mais diffèrent en termes d’intensité de supervision et de mécanismes d’application. Les deux catégories sont soumises aux mêmes délais de signalement des incidents et à l’obligation de mettre en œuvre des mesures de gestion des risques proportionnées à leur taille, leur exposition aux menaces et leur importance systémique.

Les institutions financières qui n’ont pas encore atteint la pleine conformité s’exposent à un risque réglementaire immédiat. Les autorités de supervision mènent des contrôles initiaux pour évaluer la mise en œuvre des contrôles, les capacités de réponse aux incidents et la supervision des dirigeants. Les établissements doivent vérifier leur état de conformité, identifier les éventuelles lacunes et mettre en œuvre sans délai des mesures correctives pour éviter toute sanction lors de ces contrôles.

Responsabilité personnelle des dirigeants dans le cadre de NIS 2

NIS 2 attribue explicitement la responsabilité de la cybersécurité à la direction. Les membres du conseil d’administration et les C-level doivent approuver les mesures de gestion des risques, superviser leur mise en œuvre et participer à des formations pour comprendre les menaces cyber propres à leur établissement. Cela marque une rupture avec les cadres réglementaires antérieurs où la responsabilité de la conformité était souvent diluée entre les équipes techniques, sans véritable portage au niveau exécutif.

Les autorités de supervision néerlandaises peuvent sanctionner directement les personnes qui ne remplissent pas ces obligations. La responsabilité personnelle va au-delà de la négligence et inclut le défaut de supervision, l’insuffisance de ressources allouées ou le manque d’implication dans la gouvernance cybersécurité. Les institutions financières doivent documenter la participation des dirigeants aux évaluations des risques, l’approbation des règles de sécurité et la supervision continue de l’avancement de la mise en œuvre.

Pour produire une documentation audit-ready, il faut mettre en place une gouvernance formelle attribuant des responsabilités cybersécurité précises à des dirigeants nommés, définir les circuits d’escalade en cas d’incident et imposer un reporting régulier sur l’efficacité des contrôles. Les tableaux de bord exécutifs qui agrègent les indicateurs de risques, les tendances d’incidents et l’état de conformité offrent à la fois une visibilité opérationnelle et une preuve réglementaire. Une supervision démontrable exige que les dirigeants prennent des décisions éclairées sur la base d’informations de risques fiables. Les institutions financières doivent déployer des systèmes de suivi qui présentent les indicateurs cybersécurité dans des formats compréhensibles et exploitables par les dirigeants, tels que le délai moyen de détection et de remédiation des incidents, le taux de conformité des correctifs ou l’exposition aux risques liés aux tiers.

Les dirigeants doivent recevoir des briefings réguliers sur les menaces émergentes propres au secteur financier, notamment les attaques par ransomware ciblant les systèmes de paiement, les fraudes par compromission de messagerie professionnelle ou les attaques supply chain touchant les plateformes bancaires. Les pratiques de documentation doivent consigner les processus décisionnels des dirigeants, créant ainsi une traçabilité défendable qui prouve que les efforts de conformité sont informés, réfléchis et adaptés au profil de risque de l’établissement.

Exigences de signalement des incidents et réponse opérationnelle

NIS 2 instaure des délais de signalement des incidents en trois temps, ne laissant aucune place à l’inaction. Les institutions financières doivent transmettre une alerte précoce dans les 24 heures suivant la détection d’un incident significatif, une notification d’incident dans les 72 heures avec des informations techniques détaillées, puis un rapport final dans le mois analysant les causes racines et les actions correctives. Ces délais s’appliquent que l’incident provienne d’une attaque externe, d’une menace interne ou d’une défaillance d’un tiers.

Un incident significatif inclut tout événement provoquant une perturbation opérationnelle, une perte financière, une atteinte à la réputation ou impactant la disponibilité des services pour les clients. Pour les institutions financières, ce seuil est bas. Une attaque DDoS qui dégrade la performance de la banque en ligne est concernée. Une infection par ransomware touchant les systèmes back-office est concernée. Une fuite de données impliquant des dossiers financiers clients est concernée.

Respecter ces délais impose de disposer de plans de réponse aux incidents préétablis et de workflows automatisant les notifications. Les établissements doivent désigner des équipes de réponse aux incidents dotées de l’autorité pour déclarer un incident, préparer des modèles de notification à compléter avec les détails spécifiques, et établir des canaux de communication sécurisés avec les autorités compétentes nationales. Le délai de 24 heures pour l’alerte précoce nécessite des capacités de détection quasi temps réel et des procédures d’escalade fonctionnant en dehors des horaires ouvrés.

Des workflows de signalement efficaces commencent par des seuils de détection clairs. Les équipes de sécurité doivent disposer de critères prédéfinis déclenchant l’escalade vers les coordinateurs de réponse aux incidents, selon la définition NIS 2 d’un incident significatif. Dès qu’un incident atteint ces seuils, des workflows automatisés notifient les personnes désignées, lancent la collecte de preuves et commencent à remplir les modèles de notification avec les informations connues. L’intégration entre les systèmes SIEM, les plateformes de ticketing et les outils de communication garantit que les données pertinentes alimentent automatiquement les workflows de reporting sans agrégation manuelle sous pression. Les établissements doivent organiser régulièrement des exercices de simulation pour vérifier la capacité des équipes à respecter les délais NIS 2.

Mesures techniques de gestion des risques exigées par NIS 2

NIS 2 impose la mise en place de contrôles techniques précis dans le cadre du dispositif de gestion des risques. Cela inclut des politiques et procédures pour l’analyse des risques et la sécurité de l’information, la gestion des incidents, la continuité d’activité et la gestion de crise, la sécurité de la supply chain, ainsi que la sécurité lors de l’acquisition, du développement et de la maintenance des systèmes réseaux et d’information. La directive exige explicitement le chiffrement, le contrôle des accès, l’authentification multifactorielle et des systèmes de communication sécurisés.

Pour les institutions financières néerlandaises, ces exigences recoupent celles de la directive sur les services de paiement 2, du RGPD et des recommandations de l’Autorité bancaire européenne. Toutefois, NIS 2 ajoute des mécanismes d’application explicites et des attentes de supervision qui transforment les bonnes pratiques en obligations contraignantes. Les institutions financières ne peuvent pas se contenter de la documentation de leurs politiques pour satisfaire à NIS 2. Elles doivent prouver que les contrôles sont effectivement déployés, appliqués et surveillés en continu.

Les exigences de chiffrement s’appliquent aux données au repos et en transit. Les institutions financières doivent chiffrer les données financières clients, les historiques de transactions et les communications confidentielles, tant lors du stockage que lors de leur transmission sur les réseaux. Les exigences de contrôle d’accès imposent que seules les personnes autorisées puissent accéder aux systèmes et données sensibles, avec des droits accordés selon le principe du moindre privilège. L’authentification multifactorielle doit protéger tous les accès administratifs et s’étendre à l’accès distant des collaborateurs et des tiers.

Les systèmes de communication sécurisés constituent une catégorie de contrôle souvent négligée par les institutions financières. NIS 2 reconnaît que les données sensibles circulent fréquemment via la messagerie électronique, le partage de fichiers, les plateformes collaboratives et les systèmes de transfert sécurisé de fichiers. Ces canaux de communication deviennent des vecteurs d’attaque s’ils ne sont pas suffisamment sécurisés. Les fraudes par compromission de messagerie exploitent la faiblesse de la sécurité email pour usurper l’identité des dirigeants et autoriser des paiements frauduleux. L’exfiltration de données se fait souvent via des outils de partage de fichiers non sécurisés.

Les institutions financières doivent mettre en place des contrôles protégeant les données sensibles tout au long de leur cycle de vie, y compris lors de leur circulation entre services internes, vers les auditeurs externes, les autorités de régulation ou les prestataires tiers. Cela suppose des contrôles data-aware capables d’identifier les données sensibles dans les communications, d’appliquer des politiques d’accès selon la classification des données et de générer des pistes d’audit immuables retraçant qui a accédé à quelles données et quand. Les outils traditionnels de sécurité email et de partage de fichiers manquent souvent de la granularité et des capacités d’audit exigées par NIS 2. Les institutions financières ont besoin de systèmes de communication sécurisés conçus pour traiter les données sensibles comme des actifs contrôlés de leur création à leur suppression.

Sécurité de la supply chain et gestion des risques tiers

NIS 2 exige explicitement que les organisations traitent les risques cybersécurité liés aux prestataires tiers et à la supply chain. Les institutions financières doivent évaluer la posture de sécurité des fournisseurs ayant accès à leurs systèmes ou données sensibles, inclure des exigences cybersécurité dans les contrats fournisseurs et surveiller en continu la conformité des fournisseurs. Cette obligation s’étend au-delà des fournisseurs directs pour inclure les risques de quatrième niveau lorsque les fournisseurs sous-traitent des fonctions critiques.

Les institutions financières néerlandaises font généralement appel à des dizaines, voire des centaines de prestataires pour les plateformes bancaires, le traitement des paiements, l’infrastructure cloud, le développement logiciel ou les services professionnels. Chaque relation crée un risque potentiel. Une vulnérabilité sur la plateforme d’un fournisseur peut compromettre les données clients. Des identifiants compromis d’un employé fournisseur peuvent offrir aux attaquants un accès indirect au réseau de l’établissement.

Une gestion efficace de la sécurité supply chain commence par un inventaire. Les institutions financières doivent identifier tous les tiers ayant accès à leurs systèmes ou données sensibles, les catégoriser selon leur niveau de risque en fonction du type d’accès et des données concernées, puis hiérarchiser les efforts d’évaluation. Les fournisseurs à haut risque nécessitent des évaluations de sécurité approfondies couvrant les contrôles techniques, la gouvernance, la réponse aux incidents et la continuité d’activité.

La surveillance continue des risques tiers exige des fonctions automatisées permettant de détecter les signaux de risque fournisseur sans intervention manuelle. Les institutions financières doivent intégrer des TIPs qui alertent en cas de violation de données chez un fournisseur, suivre les certifications de sécurité et les rapports d’audit des fournisseurs, et surveiller leur santé financière comme indicateur d’investissement dans la sécurité. Les clauses contractuelles doivent définir les obligations de sécurité des fournisseurs en termes mesurables. Plutôt que d’exiger un niveau de sécurité « raisonnable », les contrats doivent imposer des contrôles précis comme le chiffrement des données au repos et en transit, l’authentification multifactorielle pour tous les accès, des tests d’intrusion annuels et la notification d’incidents dans des délais définis. Les institutions financières doivent également sécuriser les canaux de communication utilisés pour échanger des données sensibles avec les fournisseurs, afin que le partage TPRM devienne un processus contrôlé et auditable, et non un risque de conformité.

Comment le Réseau de données privé Kiteworks répond aux exigences NIS 2

Comprendre les exigences NIS 2 et mettre en œuvre les contrôles attendus par les régulateurs nécessite des fonctions techniques capables de sécuriser les données sensibles en transit, d’appliquer le principe du zéro trust, de générer des preuves auditables et de s’intégrer à l’infrastructure de sécurité existante. De nombreuses institutions financières abordent la conformité via des solutions ponctuelles qui répondent à chaque exigence séparément, créant des écarts entre les outils et des pistes d’audit dispersées. Une approche plus efficace consiste à regrouper les workflows de données sensibles sur une plateforme unifiée qui applique les contrôles de façon cohérente et génère des pistes d’audit exhaustives.

Le Réseau de données privé offre aux institutions financières une plateforme conçue pour sécuriser les données sensibles lors de leur circulation via la messagerie électronique, le partage de fichiers, le transfert sécurisé de fichiers, les formulaires web et les API. Kiteworks applique les principes de l’architecture zéro trust en authentifiant chaque utilisateur, en autorisant l’accès selon la politique et en inspectant les données avant toute transmission. Cette approche répond directement aux exigences NIS 2 en matière de chiffrement, de contrôle des accès et de systèmes de communication sécurisés.

Kiteworks applique des contrôles data-aware qui identifient les données sensibles dans les communications grâce à la reconnaissance de motifs, aux labels de classification et à l’intégration avec des moteurs DLP. Lorsqu’un utilisateur tente d’envoyer par email un fichier contenant des données financières clients à un destinataire externe, Kiteworks évalue les politiques de partage externe, applique automatiquement le chiffrement, impose des dates d’expiration et journalise l’opération dans une piste d’audit immuable. Ainsi, les données sensibles restent protégées même après avoir quitté le contrôle direct de l’établissement.

La plateforme génère des journaux d’audit unifiés retraçant chaque action sur les données sensibles : qui a envoyé quelles données à qui, quand les destinataires y ont accédé, s’ils les ont transférées ou téléchargées. Ces journaux se mappent directement aux exigences réglementaires, réduisant l’effort nécessaire pour prouver la conformité lors des contrôles. Kiteworks s’intègre aussi aux plateformes SIEM et SOAR, alimentant les workflows de sécurité existants avec les données d’audit pour corréler les événements à l’échelle du système d’information.

Pour la gestion des risques tiers, Kiteworks propose des salles de données virtuelles sécurisées où les institutions financières peuvent partager des documents sensibles avec des auditeurs externes, des régulateurs ou des prestataires tout en gardant un contrôle total sur les accès. Les établissements peuvent accorder un accès temporaire, révoquer les autorisations à distance, empêcher le téléchargement ou l’impression et tracer chaque interaction avec les données partagées. Cette capacité transforme le partage de données avec les tiers d’un risque incontrôlé en un processus gouverné avec une visibilité d’audit complète.

Kiteworks inclut une bibliothèque de conformité qui fait le lien entre les contrôles techniques et plus de 150 cadres réglementaires et normes, dont NIS 2, le RGPD, PSD2 et ISO 27001. Cette bibliothèque permet aux institutions financières de démontrer comment les fonctions de la plateforme répondent à des exigences réglementaires précises. Lorsque les régulateurs demandent comment l’établissement sécurise les données sensibles en transit, les responsables conformité peuvent s’appuyer sur les journaux Kiteworks montrant le chiffrement appliqué à toutes les communications sortantes contenant des données clients, ainsi que sur la documentation des politiques expliquant la configuration des contrôles. La plateforme prend également en charge l’automatisation du reporting de conformité, générant des rapports qui agrègent les journaux pertinents, les configurations de politiques et les évaluations de risques dans des formats standardisés pour les soumissions réglementaires, les audits internes et le reporting au conseil d’administration.

Combler les lacunes de conformité et maintenir la conformité dans la durée

Avec l’application de NIS 2 désormais active, les institutions financières néerlandaises doivent vérifier leur posture de conformité et corriger immédiatement toute lacune. Les organisations qui n’ont pas encore atteint la pleine conformité s’exposent à un risque réglementaire lors des contrôles de supervision. Celles qui ont déployé les contrôles requis doivent maintenir leur conformité par une surveillance continue, des évaluations régulières et une adaptation aux menaces émergentes.

La vérification de conformité doit suivre une démarche structurée. Commencez par une analyse de l’écart NIS2 qui compare les contrôles en place aux exigences NIS 2. Documentez l’état de mise en œuvre des contrôles, identifiez les insuffisances et hiérarchisez la remédiation selon le risque réglementaire et l’impact opérationnel. Ciblez en priorité les lacunes à haut risque, comme l’absence de capacité de réponse aux incidents, la documentation insuffisante de la supervision des dirigeants ou les canaux de communication non sécurisés pour les données sensibles.

Impliquez la direction dans la gouvernance continue de la conformité. Les dispositions de responsabilité personnelle de NIS 2 signifient que les dirigeants ont un intérêt direct à maintenir la conformité. Des briefings réguliers sur l’état de conformité, les lacunes émergentes et l’avancement des remédiations maintiennent l’engagement du management. Le sponsoring exécutif accélère aussi la prise de décision et l’allocation de ressources en cas d’obstacles pour les équipes conformité. Les institutions financières doivent également échanger avec leurs pairs, les associations professionnelles et les conseils juridiques pour comprendre l’interprétation des exigences NIS 2 par les autorités néerlandaises et les priorités d’application lors des premiers contrôles.

La conformité dans la durée exige une surveillance continue de l’efficacité des contrôles. Mettez en place un suivi automatisé des indicateurs clés de conformité comme la couverture du chiffrement des données en transit, la rapidité de détection et de signalement des incidents, la participation des dirigeants à la gouvernance cybersécurité ou le taux d’achèvement des évaluations de risques tiers. Des audits internes réguliers doivent vérifier que les contrôles documentés restent opérationnels et efficaces. Des évaluations externes par des tiers qualifiés apportent une validation indépendante de la posture de conformité et identifient les éventuelles insuffisances avant qu’elles ne soient relevées par les autorités de supervision.

Note importante sur la conformité

Si Kiteworks propose des fonctions techniques robustes pour soutenir la conformité NIS 2, les organisations doivent consulter leurs conseils juridiques et conformité pour s’assurer que leur mise en œuvre répond à toutes les exigences réglementaires applicables à leur juridiction et à leur catégorie d’entité. La conformité est une responsabilité partagée entre les fournisseurs technologiques et les organisations utilisatrices. Les informations de cet article sont fournies à titre informatif général et ne constituent pas un conseil juridique ou de conformité.

Conclusion

L’application de NIS 2 est désormais effective et les institutions financières néerlandaises doivent maintenir une conformité rigoureuse pour éviter sanctions et amendes. Réussir exige bien plus qu’une documentation de politiques. Il faut des fonctions techniques pour sécuriser les données sensibles en transit, appliquer le zéro trust, générer des preuves auditables et s’intégrer à l’infrastructure de sécurité existante. Les institutions financières qui voient NIS 2 comme un levier d’amélioration de leur posture cybersécurité plutôt qu’une contrainte réglementaire gagneront en résilience, en efficacité opérationnelle et seront mieux préparées aux évolutions réglementaires à venir.

Kiteworks aide les institutions financières néerlandaises à répondre aux exigences de conformité NIS 2 grâce à une plateforme unifiée qui sécurise les données sensibles via la messagerie électronique, le partage de fichiers, le transfert sécurisé de fichiers et d’autres canaux de communication. Le Réseau de données privé applique automatiquement le chiffrement et le contrôle des accès, génère des pistes d’audit immuables conformes aux exigences réglementaires et s’intègre aux systèmes SIEM, SOAR et ITSM pour fluidifier les opérations de sécurité. Les institutions financières utilisant Kiteworks réduisent la complexité de la démonstration de conformité tout en améliorant leur capacité à détecter, répondre et se remettre d’incidents cyber.

Avec l’application en cours et les contrôles de supervision en place, les institutions financières doivent vérifier leur conformité et combler sans délai toute lacune. Les organisations disposant de contrôles exhaustifs répondront aux obligations réglementaires, protégeront les données clients et éviteront les sanctions encourues en cas de non-conformité.

Comment Kiteworks peut-il vous aider ?

Réservez une démo personnalisée pour découvrir comment Kiteworks aide les institutions financières néerlandaises à répondre aux exigences de conformité NIS 2 tout en sécurisant les données sensibles sur tous les canaux de communication. Découvrez comment le Réseau de données privé applique le zéro trust, génère des preuves auditables et s’intègre à votre infrastructure de sécurité existante. Contactez-nous dès aujourd’hui pour vérifier votre posture de conformité et corriger toute lacune restante.

Note importante : Si Kiteworks propose des fonctions techniques robustes pour soutenir la conformité NIS 2, les organisations doivent consulter leurs conseils juridiques et conformité pour s’assurer que leur mise en œuvre répond à toutes les exigences réglementaires applicables à leur juridiction et à leur catégorie d’entité. La conformité est une responsabilité partagée entre les fournisseurs technologiques et les organisations utilisatrices.