Skip to main content
GenioCT

Platform

Azure NIS2- en CyFun-conformiteit, met auditklaar bewijs op aanvraag

Microsoft vertelt u wat er mis is in Azure. Governator vertelt u wat het betekent voor CyFun/NIS2, wie verantwoordelijk is, hoe het op te lossen en welk bewijs u aan een auditor kunt tonen.

Wat Governator doet

Governator verzamelt configuratie-, beveiligings-, toegangs-, kosten- en activiteitsgegevens uit uw Azure-subscriptions. Het koppelt bevindingen aan het CCB CyberFundamentals-framework (748 controle-bewijskoppelingen) en NIS2 Artikel 21-vereisten, en presenteert vervolgens een geïntegreerd dashboard voor continue compliancemonitoring en auditgereedheid.

Control Mapping Engine

Azure-bevindingen gekoppeld aan CyFun/NIS2/CCB-thema's. Niet alleen 'wat is er mis' maar 'wat het betekent voor uw complianceverplichting, welk NIS2-artikel geraakt wordt en wie het hiaat bezit.'

Evidence Vault

Getimestempeld bewijs, snapshots, manuele attestaties, uitzonderingen en een volledig auditspoor. Het bewijs dat uw auditor nodig heeft, gestructureerd en exporteerbaar.

Remediation Factory

Eigenaarstoewijzing per bevinding, SLA-tracking en herverificatie bij elke verzamelingsrun. Bevindingen worden niet alleen gerapporteerd, ze worden afgesloten.

Executive Assurance Pack

Dashboard op bestuursniveau met auditgereedheidspercentage, risicotrends, achterstallige eigenaars en managementsamenvattingen. Eén pagina voor de mensen die moeten aftekenen.

Pre-Audit Mode

Assessmentklare export op uw beoogde CyFun-assuranceniveau. Executive summary, controlebewijsmatrix, hiaatanalyse, attestaties en uitzonderingen. Kleurgecodeerde XLSX.

Governator-overzicht met audit-readiness, secure score, publieke blootstelling en gedetecteerde toxische combinaties over de abonnementen.
Executive overzicht: audit-readiness, secure score, blootstelling, top exposures, audit-blockers en toxische combinaties op één pagina.

Voor wie het is

Beveiligingsteams

Dagelijkse operationele beveiliging: WAF-beoordeling, analyse van publieke blootstelling, RBAC-audit, Defender-bevindingstriage, uitzonderingsworkflows, driftalertering, opruimtracking. Bruikbare inzichten, niet alleen dashboards.

Management en audit

Compliancebewijs, CyFun/NIS2-mapping, bestuursrapportage, auditklare exports, hiaatnarratieven. Bewijs en verantwoording voor de mensen die moeten aftekenen.

Hoe het werkt

Gegevensverzameling

  • Resource Graph (subscriptions, resources, tags, properties)
  • Defender for Cloud (CSPM assessments, secure scores)
  • Azure Policy (compliance states, definition resolution)
  • RBAC (role assignments, principal resolution via MS Graph)
  • Activity Log (90-day activity per resource)
  • Cost Management (billing data, service breakdown)
  • WAF Policies (CRS rules, paranoia level, exclusions)
  • Azure Firewall (rule collection groups, DNAT exposure)
  • Storage Metrics (transactions, capacity, egress)
  • Tag Compliance, Cleanup Detection, Change Detection

AI-gestuurde beoordeling

  • Per controle gegenereerd hiaatnarratief voor auditorbeoordelingen
  • Diepte-inspectie van opslagaccounts met PII-detectie
  • Classificatie van resourcekritikaliteit en gegevensgevoeligheid
  • WAF-beveiligingsbeoordeling met effectieve beschermingsscore
  • Opstellen van onderbouwing voor Defender-uitzonderingen

How Governator is different

Defender / Policy / Secure Score tell you

  • What is misconfigured
  • What is exposed
  • What is non-compliant technically

Governator adds

  • CyFun/NIS2 control mapping with interpretation
  • Ownership and remediation workflow per finding
  • Evidence trail with attestations and review dates
  • Executive summary and audit-ready export
  • One place to track technical and compliance meaning

Example: from Defender finding to audit evidence

1

Defender for Cloud flags a storage account with public blob access enabled

2

Governator maps it to CyFun PR.AC-3 (access control) and NIS2 Art. 21(2)(d) (access management policies)

3

The finding is assigned to the subscription owner with a 14-day remediation SLA

4

If the public access is intentional, the owner files an exemption with business justification and review date

5

The corrected or exempted state is included in the next audit evidence pack with full history

Governator issue-levenscyclus met detectie, eigenaar, bewijs en resolutiestatus.
Issue-levenscyclus: detecteren, eigenaar toewijzen, bewijs koppelen, oplossen. Met het tijdspoor dat een auditor zal vragen.

Van terugkerende auditkosten naar continue assurance

NIS2 en DORA zijn beide doorlopende verplichtingen, geen eenmalige certificeringen. NIS2 Artikel 21-maatregelen moeten worden ingevoerd én onderhouden, met onder de Belgische regeling een jaarlijks voortgangsrapport. DORA vraagt continu ICT-risicobeheer, verplichte operationele veerkrachttests en een actueel register van derde partijen. De audit eindigt eigenlijk nooit.

De meeste organisaties vangen dat op met terugkerende readiness assessments: elke twaalf maanden een externe consultancy-opdracht, een verse PDF en een nieuwe budgetcyclus. De drift tussen die assessments is waar de meeste tekortkomingen ontstaan. Governator draait dat model om. Eerst één eenmalige baseline-assessment, daarna continue assurance als managed service. Bewijs wordt op aanvraag opnieuw gegenereerd. Het terugkerende budget gaat naar tooling die auditklaar materiaal oplevert, niet naar elk jaar een nieuw consultancy-deliverable laten opstellen.

  • Vervangt het jaarlijkse externe readiness-traject door continue dataverzameling.
  • Genereert verse bewijspakketten op aanvraag voor de volgende audit, snapshot-review of bestuursupdate.
  • Alarmeert bij drift tussen assessments, daar waar de feitelijke tekortkomingen ontstaan.
  • Houdt het terugkerende budget binnen de toolchain in plaats van in herhaalde consultancyfacturen.
Governator compliance-tijdlijn: percentage week na week tegen de CyFun- en NIS2-controles.
Compliance-percentage continu gevolgd, niet alleen vlak voor een audit.

Assessment of continue assurance?

Governator ondersteunt beide. Een CyFun/NIS2 Readiness Assessment is een eenmalige opdracht die Governator gebruikt om een momentopname van compliance te produceren met expertinterpretatie. Voor organisaties die doorlopend inzicht nodig hebben, draait Governator continu als beheerde dienst met regelmatige verzameling, driftdetectie en managementrapportage.

De meeste organisaties starten met een assessment en stappen over op continue assurance wanneer ze de waarde van het bewijsspoor zien.

Start with a readiness assessment Discuss continuous assurance

Verder verdiepen

NIS2 op Azure

Artikel 21-koppeling en auditbewijs

Koppeling per maatregel, Belgische tijdlijn en wat Microsoft niet biedt voor NIS2.

CyFun op Azure

Basic, Important, Essential assurance

748 control-bewijskoppelingen, exports per niveau en gap-narratieven voor CyberFundamentals.

DORA op Azure

ICT-risico, weerbaarheid en derden

De vier DORA-pijlers op Azure, met continu register van derden en spoor van weerbaarheidstesten.

Vergelijking

Defender for Cloud vs Governator

Waar Defender stopt voor NIS2 en CyFun, en welke laag Governator daarbovenop biedt.

Van de blog

→ Defender for Cloud in 2026 and What to Enable, Tune, and Skip → Your Board Is Asking About NIS2. Here Is What You Actually Need to Do → Why Every Azure Enterprise Needs a WAF Analysis Methodology → Microsoft Sentinel in 2026 and How to Control Ingestion Costs → Azure Landing Zones in 2026 and What Actually Matters Now

Begin met een Azure Health Check, aangedreven door Governator

Niet zeker waar te beginnen? Een snelle architectuurreview geeft u een helder beeld. Vrijblijvend.

  • Risicoscorecard voor identiteit, netwerk, governance en beveiliging
  • Top 10 problemen gerangschikt op impact en inspanning
  • 30-60-90 dagen roadmap met quick wins
Plan een Gesprek