Who is norppa.io for?

norppa.io is for any EU company that needs to demonstrate NIS2 supply chain security — from small businesses responding to a customer audit request to compliance teams at larger organisations. No prior security expertise needed: add a domain name and you are monitoring within minutes. Supply chain vendors also use norppa.io to monitor their own posture — seeing the exact signals their NIS2-obligated customers assess, and fixing exposures before a customer flags them.

What is included in supply chain monitoring?

Each supplier domain is checked across 100+ automated checks daily, with ransomware and dark-web monitoring every 6 hours: ransomware victim lists, dark web infostealer credential leaks, TLS/certificate health, DNS integrity and DNSSEC, MX blacklist status, cookie security flags, robots.txt path exposure, email security posture (SPF/DKIM/DMARC), IP geolocation, CVE/EPSS vulnerability exposure, breach database exposure, security.txt presence, post-quantum TLS readiness (NIST FIPS 203), Model Context Protocol exposure, JavaScript bundle secret scanning, and AI vendor inventory for EU AI Act Art. 26. Your own domain additionally receives a monthly external security assessment — exposed port and service risks, known vulnerability exposure, and TLS/SSL configuration weaknesses. No agents to install, no access to your infrastructure required.

How does NIS2 compliance reporting work?

Every finding is automatically mapped to the relevant NIS2 article — Art. 21(2)(d) supply chain, Art. 21(2)(h) cryptography, Art. 21(2)(i) credentials, Art. 23 incident reporting. Monthly PDF includes an executive summary, NIS2 compliance score, per-article breakdown and remediation actions.

Where is data stored?

All customer data is stored on EU-jurisdiction infrastructure in Finland and Germany. No data ever leaves the EU. GDPR compliant by architecture.

Surveillance NIS2 automatisée de la chaîne d'approvisionnement

Sachez quand un fournisseur ou votre propre domaine devient un risque. Chaque jour.

Ajoutez un domaine fournisseur et recevez chaque jour plus de 100 contrôles automatisés — santé DNS/TLS, sanctions, données de violation et plus — ainsi qu'une surveillance ransomware et dark web toutes les 6 heures. Chaque constat mappé à NIS2 Art. 21. Rapport PDF mensuel inclus. Aucun agent, aucun projet informatique.

Essai gratuit — sans carte bancaire Voir les tarifs

Nouveau en 2026TLS post-quantique · Exposition MCP / agents IA · Règlement UE sur l'IA

Aperçu de la chaîne d'approvisionnement

Mis à jour il y a 2 h

81/100

Score de conformité NIS2

3 fournisseurs surveillés

Fournisseurs

Nordic Systems AB

Risque faible

Helsinki Tech Oy

Risque faible

Acme Oy

Risque élevé

Critique : identifiants Infostealer détectés

Acme Oy — il y a 4 heures

Nouveau

100+ vérifications automatisées par jour · ransomware & dark web toutes les 6 heures

Ransomware · Dark web · DNS/TLS · Sécurité HTTP · Données de violations · Renseignement entreprise · Dépôts de code · Identité & fraude par e-mail professionnel · Exposition IA

Constats mappés aux articles NIS2

Entreprise européenne · Données hébergées dans l'UE — Finlande + Allemagne · Conformité RGPD by design

Tableau de bord, rapports et questionnaires fournisseurs en 8 langues de l’UE

Inclus dans l'abonnement

Ce que vous recevez en tant qu'abonné

Sans effort manuel, sans intégration — ajoutez un domaine et norppa.io s'occupe du reste.

Surveillance automatisée quotidienne

Chaque fournisseur est vérifié automatiquement chaque jour. Ajoutez un fournisseur en 30 secondes — aucune planification, aucune révision manuelle, aucun suivi nécessaire.

Alertes immédiates pour les événements critiques

Inscription sur liste de victimes de ransomware, fuite active de données d'identification, certificat expirant — vous recevez une alerte e-mail le jour même de la détection. Pas des semaines plus tard.

Rapport de conformité mensuel — prêt à l'emploi

Un rapport PDF généré automatiquement avec un résumé exécutif par IA, des scores NIS2 par article et une liste d'actions correctives priorisées. Chaque cycle de surveillance est enregistré — constituant un historique continu et documenté de votre supervision de la chaîne d'approvisionnement.

Vérifié, pas seulement collecté

Les réponses au questionnaire du fournisseur sont recoupées avec nos observations — vérifiées, contredites ou clairement marquées comme déclaration seule. Les constats incertains sont signalés comme faux positifs potentiels, pour que votre équipe agisse sur le réel, pas sur le bruit.

Conçu pour l’UE — 8 langues

Tableau de bord, rapports mensuels et questionnaires fournisseurs en huit langues de l’UE. Servez et évaluez vos fournisseurs dans toute l’Europe dans leur propre langue.

Voir à quoi ressemble le rapport

Découvrez vos premiers constats NIS2 aujourd'hui.

Saisissez votre e-mail professionnel — nous analysons votre domaine automatiquement et vous envoyons un lien de connexion. Aucun mot de passe, aucune carte, aucune configuration.

Principaux risques externes couverts — exposition technique, dark web, registres d'entreprises et vulnérabilités activement exploitées.

Quotidiennement pour chaque fournisseur surveillé. Aucun agent, aucune intégration.

Vérifications de sécurité techniques

Certificats TLS, intégrité DNS (SPF/DKIM/DMARC/DNSSEC), en-têtes de sécurité HTTP, application HTTPS, risque d'usurpation d'e-mail (MTA-STS, BIMI, BEC composite), découverte de sous-domaines, services exposés et ports ouverts, détection de changements de site web, security.txt, détection d'infrastructure de phishing AiTM, validation d'origine de route RPKI/BGP, analyse de dépôts de code publics (GitHub/GitLab, npm, Docker Hub) et risque de chaîne d'approvisionnement de quatrième partie. Mappé à NIS2 Art. 21(2)(e)(h)(i).

Renseignement dark web

Surveillance quotidienne du dark web — si les credentials des employés de votre fournisseur circulent sur les marchés du dark web, vous êtes alerté rapidement pour pouvoir réagir. Mappé à NIS2 Art. 21(2)(b).

Suivi des victimes de ransomware

Plusieurs flux de renseignement ransomware vérifiés quotidiennement contre tous vos fournisseurs. Groupes de menaces actifs surveillés quotidiennement. Alerte e-mail immédiate si un fournisseur apparaît sur une liste de victimes. Mappé à NIS2 Art. 21(2)(b).

Certificats & infrastructure

Certificats TLS, santé DNS, DNSSEC, sécurité e-mail (SPF/DKIM/DMARC), services exposés et découverte de sous-domaines surveillés quotidiennement. Alerte e-mail quand un certificat expire dans moins de 14 jours.

Surveillance des violations & expositions

Bases de données de violations, sites de paste et exposition de credentials vérifiés quotidiennement. Sachez si les comptes ou données de vos fournisseurs sont apparus dans des fuites publiques — avant que cela devienne votre problème.

Surveillance des adresses IP

Suivez les IPs et plages CIDR des fournisseurs qui ne sont pas derrière un domaine principal — passerelles VPN, relais mail, hôtes dédiés. Détection d'exposition CVE (Shodan / CISA KEV), alertes pays à haut risque, classification hébergement mutualisé. Inclus par fournisseur dans chaque forfait. Mappé sur l'inventaire d'actifs de la chaîne d'approvisionnement NIS2 Art. 21(2)(d).

Détection des risques fournisseur d'identité & BEC

Identifie automatiquement le fournisseur d'identité utilisé par un fournisseur (Entra ID, ADFS, Okta), détecte les configurations d'identité fédérée à risque BEC élevé et signale les endpoints SSO exposés publiquement. Corrèle avec les données infostealers pour générer un score de risque BEC composite. Mappé sur NIS2 Art. 21(2)(i)(j).

Exposition aux outils IA & API LLM

Découvre les outils de développement IA exposés (Jupyter, Streamlit, Gradio, Ollama), les endpoints API publics compatibles OpenAI et les dépendances HuggingFace Spaces — y compris les fuites de secrets potentielles. Ces expositions sont invisibles pour les outils EASM traditionnels. Mappé sur NIS2 Art. 21(2)(a)(e).

Renseignement sur l'entreprise

Statut du registre du commerce incluant la détection de faillite et liquidation, enregistrement LEI/GLEIF et détection d'expiration, contrôle des sanctions (UE, OFAC, ONU), validation TVA, changements de registraire de domaine et de serveurs de noms — vérifiés quotidiennement. Directement mappé aux exigences NIS2 Art. 21(2)(d).

Nouveau en 2026

Préparation TLS post-quantique

NIST FIPS 203 (ML-KEM) est devenu le standard cryptographique en août 2024. Nous identifions le CDN / fournisseur edge de chaque fournisseur et signalons ceux qui n'utilisent pas encore le TLS hybride post-quantique — Cloudflare, Fastly et AWS CloudFront le déploient par défaut ; Akamai, BunnyCDN et les origins directs typiquement pas encore. « Harvest now, decrypt later » est une menace réelle pour les données sensibles à longue durée de vie. Mappé sur NIS2 Art. 21(2)(h).

Nouveau en 2026

Exposition d'endpoints MCP / agents IA

Les serveurs Model Context Protocol publics constituent la surface d'attaque 2026 : BlueRock a constaté que 36,7 % de 7 000 serveurs MCP étudiés étaient vulnérables à la SSRF, CVE-2025-6514 a transformé 437 000 installations mcp-remote en portes dérobées de chaîne d'approvisionnement. Nous détectons /.well-known/mcp, /mcp, /sse et l'inventaire des fournisseurs IA — le seul outil TPRM à le faire. Mappé sur NIS2 Art. 21(2)(e) et EU AI Act Art. 26.

Nouveau en 2026

Exports NIS2 + DORA prêts pour audit

Exports CSV en un clic pour l'audit NIS2 (12 mois de constats mappés par article, décisions de risque, notifications fournisseurs, certifications) et le Registre d'information DORA UE (Règlement d'exécution 2024/1773 Annexe III B_02.03 + B_05.01). Colonnes norppa.io plus champs alignés DORA RTS prêts pour le classeur de votre équipe de conformité — pour les entités financières soumises à DORA.

Preuves de conformité NIS2

Chaque constat est automatiquement mappé à l'article NIS2 correspondant — Art. 21(2)(d) chaîne d'approvisionnement, Art. 21(2)(h) cryptographie, Art. 21(2)(j) contrôle d'accès, Art. 23 déclaration d'incident. Rapport PDF mensuel pour la direction et l'audit.

Module complémentaire Full Scan mensuel

Une fois par mois, norppa.io réalise une évaluation de sécurité externe complète de votre propre domaine — ports et services exposés, vulnérabilités CVE connues (classées EPSS), faiblesses de configuration TLS, en-têtes de sécurité HTTP et exposition de sous-domaines. Entièrement depuis l'internet public, sans accès à votre infrastructure. Il confirme également activement les vulnérabilités signalées passivement lors de la surveillance quotidienne, en les faisant passer de « potentielles » à vérifiées. Tous les constats inclus dans votre rapport NIS2 mensuel.

Auto-évaluation fournisseur (SAQ)

Envoyez à chaque fournisseur un lien de questionnaire tokenisé — il répond à 28 questions mappées NIS2 sur la gouvernance, le contrôle d'accès, la réponse aux incidents, la cryptographie, la continuité et les pratiques de la chaîne d'approvisionnement. Les réponses sont notées automatiquement et visibles dans votre tableau de bord aux côtés des constats techniques.

Inclus dans toutes les formules

Deux niveaux de preuves NIS2 — recoupés l'un contre l'autre

La surveillance automatisée détecte ce que les fournisseurs ne déclarent pas. Le questionnaire capture ce que les outils ne voient pas. norppa recoupe l'un avec l'autre — chaque attestation est étayée par des preuves, pas accordée sur confiance.

Layer 1

Surveillance automatisée — 100+ vérifications quotidiennes

100+ vérifications quotidiennes par domaine surveillé — listes de victimes de ransomware, fuites de credentials dark web, santé DNS/TLS, préparation TLS post-quantique (NIST FIPS 203 ML-KEM), inventaire des fournisseurs IA/LLM (EU AI Act), exposition d'endpoints MCP, géolocalisation IP, exposition aux violations, en-têtes de sécurité HTTP, détection de changements de site web, renseignement sur l'entreprise (registre du commerce, statut LEI, détection de faillite) et analyse de dépôts de code publics. Aucune implication du fournisseur requise.

Layer 2

Auto-évaluation fournisseur (SAQ)

Envoyez à chaque fournisseur un lien de questionnaire en un clic. 28 questions sur 7 sections NIS2 — gouvernance, contrôle d'accès, réponse aux incidents, cryptographie, continuité d'activité et plus. Noté automatiquement, visible dans votre tableau de bord. Envoyez-le à chaque fournisseur dans sa propre langue — disponible en 8 langues de l’UE — pour de meilleurs taux de réponse.

Attestation étayée par des preuves

NIS2 Art. 21(2)(d) — Lorsqu'un contrôle est observable de l'extérieur, nous comparons la réponse du fournisseur à ce que nous voyons réellement — un scan TLS propre vérifie une attestation « TLS 1.2+ » ; des vulnérabilités exposées contredisent un « nous corrigeons rapidement ». Les contrôles que nous ne pouvons pas observer de l'extérieur sont clairement marqués comme déclaration. Nous n'impliquons jamais une vérification que nous ne pouvons pas étayer.

Chaque réponse porte son statut : vérifiée, contredite, remise en question ou déclaration seule.

Voir à quoi ressemble le SAQ →

Conçu pour les équipes de sécurité agiles

100+

vérifications automatisées par domaine

Ransomware · Dark web · DNS/TLS · Renseignement entreprise · Dépôts de code · Violations

quotidien

fréquence de scan

Surveillance continue, pas un instantané ponctuel

100 %

hébergement dans l'UE

Finlande + Allemagne · RGPD by architecture

NIS2

articles mappés automatiquement

Tous les sous-paragraphes NIS2 Art. 21(2) couverts — automatiquement mappés et documentés

Opérationnel en cinq minutes. Premier rapport de conformité dans le premier mois.

Ajoutez vos fournisseurs

Saisissez le nom de l'entreprise et le domaine. Toute votre liste de fournisseurs en 5 minutes — sans intégrations, clés API ni projet informatique.

La surveillance démarre immédiatement

Listes de victimes ransomware, fuites de credentials dark web, état des certificats, registres d'entreprises et exposition CVE — vérifiés quotidiennement sur l'ensemble de votre réseau de fournisseurs et votre propre domaine. Aucune configuration requise.

Les constats critiques déclenchent des alertes instantanées

Alerte e-mail dans les 24 heures suivant la détection d'une inscription ransomware, d'une exposition de credentials dark web ou d'un certificat expirant dans moins de 14 jours. Agissez sur les risques dès qu'ils émergent.

Rapport mensuel de conformité NIS2

Rapport PDF mensuel — chaque constat mappé à son article NIS2, avec scores de risque, classement des fournisseurs et résumé exécutif IA. Utile pour l'audit dès le premier mois.

Voir un rapport exemple →

Sécurité NIS2 de la chaîne d'approvisionnement dès 249 €/mois — sans la complexité enterprise.

Fonctionnalité	norppa.io
Surveillance de la chaîne d'approvisionnement	Inclus
Surveillance dark web & infostealer	Quotidien
Suivi des victimes de ransomware	Quotidien
Rapport mappé aux articles NIS2	PDF mensuel
Surveillance des certificats & sous-domaines	Continu
Hébergement des données dans l'UE	Oui
Module complémentaire Full Scan	OSINT + vérifications HTTP incluses · Full Scan : module complémentaire
Questionnaire d'auto-évaluation fournisseur (SAQ)	Inclus
Renseignement entreprise (registre du commerce, détection de faillite)	Inclus
Analyse de dépôts de code publics (GitHub/GitLab, npm, Docker Hub)	Inclus
Détection des risques fournisseur d'identité (Entra ID, ADFS, Okta) + score BEC composite	Inclus
Exposition des outils IA/ML et analyse de secrets API LLM	Inclus
Art. 23 — Capacité de notification d'incidents (24h)	Quotidiennement — informé immédiatement
Recouper les attestations des fournisseurs avec les preuves de scan	Automatique

Fonctionnalité	norppa.io	Outils EASM traditionnels	Processus manuel
Surveillance de la chaîne d'approvisionnement	Inclus	Non inclus	Tableur manuel
Surveillance dark web & infostealer	Quotidien	Non inclus	Non réalisable
Suivi des victimes de ransomware	Quotidien	Non inclus	Manuel
Rapport mappé aux articles NIS2	PDF mensuel	Non inclus	Manuel
Surveillance des certificats & sous-domaines	Continu	Continu	Manuel
Hébergement des données dans l'UE	Oui	Partiel	Selon les cas
Module complémentaire Full Scan	OSINT + vérifications HTTP incluses · Full Scan : module complémentaire	Niveaux supérieurs uniquement	N/A
Questionnaire d'auto-évaluation fournisseur (SAQ)	Inclus	Non inclus	Manuel
Renseignement entreprise (registre du commerce, détection de faillite)	Inclus	Partiel	Manuel
Analyse de dépôts de code publics (GitHub/GitLab, npm, Docker Hub)	Inclus	Non inclus	Non réalisable
Détection des risques fournisseur d'identité (Entra ID, ADFS, Okta) + score BEC composite	Inclus	Non inclus	Non réalisable
Exposition des outils IA/ML et analyse de secrets API LLM	Inclus	Non inclus	Non réalisable
Art. 23 — Capacité de notification d'incidents (24h)	Quotidiennement — informé immédiatement	Ne couvre pas les incidents fournisseurs	Impossible avec un bilan annuel
Recouper les attestations des fournisseurs avec les preuves de scan	Automatique	Non inclus	Non réalisable

Pourquoi une feuille de calcul peut ne pas satisfaire NIS2 Art. 21

Les questionnaires annuels indiquent ce qu'un fournisseur avait prévu de faire — pas si ses systèmes sont réellement sécurisés aujourd'hui. La norme des 'mesures appropriées' imposée par NIS2 sera difficilement atteinte avec de simples instantanés annuels.

Basé sur des comparaisons de fonctionnalités publiquement disponibles. Susceptible de modification.

Nous n'utilisons pas les noms de clients dans nos communications et ne demandons pas de références ni d'études de cas. Ce que vous partagez avec norppa reste chez vous.

NIS2 est en vigueur. Pouvez-vous démontrer que votre chaîne d'approvisionnement est maîtrisée — chaque jour, et pas une fois par an ?

La directive européenne NIS2 (en vigueur depuis octobre 2024) oblige les entreprises moyennes et grandes des secteurs critiques à gérer activement les risques de cybersécurité dans leurs chaînes d'approvisionnement. L'article 21(2)(d) impose spécifiquement des mesures de sécurité de la chaîne d'approvisionnement. Le non-respect peut entraîner des amendes allant jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial.

Lire NIS2 Art. 21 →Voir un rapport exemple →

Guides pratiques :Qui est concerné ?Exigence chaîne d'approvisionnement NIS2 vs DORA

160 000 à 200 000 entreprises dans l'UE sont directement obligées

Finance, énergie, santé, transport, infrastructure numérique — NIS2 s'applique dans toute l'UE avec les mêmes exigences dans chaque État membre.

Les évaluations annuelles seules ne suffisent probablement pas

Un questionnaire annuel indique à quoi ressemblaient les choses à l'époque — NIS2 attend que vous démontriez à quoi elles ressemblent aujourd'hui. norppa recoupe les réponses de chaque fournisseur avec des preuves de scan en temps réel, de sorte qu'une attestation est étayée par ce que nous observons réellement.

En cas d'audit, vous devez pouvoir démontrer une surveillance continue

Les autorités de contrôle peuvent demander des preuves concrètes de la gestion des risques — et les dirigeants en sont personnellement responsables. Un questionnaire annuel est une défense fragile. norppa.io génère automatiquement des preuves datées au niveau des constats — chaque jour, pour chaque fournisseur.

Une fraction du coût

Surveillance continue de jusqu'à 10 fournisseurs à partir de 249 €/mois — moins de 25 € par fournisseur — face à des amendes pouvant atteindre 10 M€ ou 2 % du chiffre d'affaires mondial.

Sachez quand un fournisseur ou votre propre domaine devient un risque. Chaque jour.

Ce que vous recevez en tant qu'abonné

Surveillance automatisée quotidienne

Alertes immédiates pour les événements critiques

Rapport de conformité mensuel — prêt à l'emploi

Vérifié, pas seulement collecté

Conçu pour l’UE — 8 langues

Découvrez vos premiers constats NIS2 aujourd'hui.

Principaux risques externes couverts — exposition technique, dark web, registres d'entreprises et vulnérabilités activement exploitées.

Vérifications de sécurité techniques

Renseignement dark web

Suivi des victimes de ransomware

Certificats & infrastructure

Surveillance des violations & expositions

Surveillance des adresses IP

Détection des risques fournisseur d'identité & BEC

Exposition aux outils IA & API LLM

Renseignement sur l'entreprise

Préparation TLS post-quantique

Exposition d'endpoints MCP / agents IA

Exports NIS2 + DORA prêts pour audit

Preuves de conformité NIS2

Module complémentaire Full Scan mensuel

Auto-évaluation fournisseur (SAQ)

Deux niveaux de preuves NIS2 — recoupés l'un contre l'autre

Surveillance automatisée — 100+ vérifications quotidiennes

Auto-évaluation fournisseur (SAQ)

Opérationnel en cinq minutes. Premier rapport de conformité dans le premier mois.

Ajoutez vos fournisseurs

La surveillance démarre immédiatement

Les constats critiques déclenchent des alertes instantanées

Rapport mensuel de conformité NIS2

Sécurité NIS2 de la chaîne d'approvisionnement dès 249 €/mois — sans la complexité enterprise.

NIS2 est en vigueur. Pouvez-vous démontrer que votre chaîne d'approvisionnement est maîtrisée — chaque jour, et pas une fois par an ?

160 000 à 200 000 entreprises dans l'UE sont directement obligées

Les évaluations annuelles seules ne suffisent probablement pas

En cas d'audit, vous devez pouvoir démontrer une surveillance continue

Une fraction du coût

Questions fréquentes

À qui s'adresse norppa.io ?

Que comprend la surveillance de la chaîne d'approvisionnement ?

Comment fonctionne le reporting de conformité NIS2 ?

Puis-je ajouter d'autres fournisseurs plus tard ?

Où mes données sont-elles stockées ?

Quelles sont les conditions de facturation ?

Est-il légal de surveiller nos fournisseurs sans leur consentement ?

Comment savez-vous que les réponses au questionnaire d'un fournisseur sont exactes ?