Skip to main content
GenioCT

DORA op Azure

Azure DORA audit-readiness, met continu bewijs in plaats van terugkerende consultancy

DORA is bij ontwerp een doorlopend regime: continu ICT-risicobeheer, verplichte weerbaarheidstesten en een derde-partijenregister dat actueel moet blijven. Governator dekt de Azure-kant af als beheerde tooling, niet als een jaarlijkse consultancycyclus.

Wat DORA daadwerkelijk eist van uw Azure-omgeving

De Digital Operational Resilience Act (Verordening (EU) 2022/2554) werd op 17 januari 2025 van toepassing voor financiële entiteiten in de EU: banken, verzekeraars, beleggingsondernemingen, betaalinstellingen, dienstverleners voor cryptoactiva en nog veel meer. In tegenstelling tot NIS2, dat breed van opzet is, is DORA sectorspecifiek en uitdrukkelijk voorschrijvend. De wet beschrijft vier pijlers die elke in-scope entiteit moet aantonen, plus een vijfde gebied rond informatie-uitwisseling.

Op Microsoft Azure zijn de onderliggende mogelijkheden aanwezig: Defender for Cloud, Sentinel, Azure Backup, Site Recovery, Lighthouse, en de cost- en activity-logs. Wat standaard niet wordt geleverd, is de bewijslaag die in voor de toezichthouder leesbare vorm aantoont dat de vier DORA-pijlers continu functioneren en dat het register van derden actueel is.

Governator verzamelt het Azure-bewijs, koppelt elke bevinding aan het DORA-artikel waarop ze betrekking heeft, onderhoudt het register van ICT-derden (inclusief de service-principal-naar-leverancier mapping die de meeste teams overslaan) en levert het spoor van de weerbaarheidstesten op aanvraag.

De vier pijlers op Azure

Elke pijler komt overeen met een specifiek Azure-bewijsmodel. De onderstaande tabel toont wat Governator continu verzamelt om een DORA-audit te ondersteunen.

Artikelen 5–14

ICT-risicobeheerframework

Een gedocumenteerd, door het bestuur goedgekeurd framework dat controls koppelt aan geïdentificeerde risico's, met periodieke review en aantoonbaar onderhoud.

Welk Azure-bewijs Governator verzamelt

Defender for Cloud regulatory dashboard, Azure Policy compliance-status, exemption-register met reviewdata, Secure Score-trend.

Artikelen 17–23

Beheer en melding van ICT-incidenten

Classificatie, melding en post-incident analyse van majeure ICT-incidenten binnen de door de toezichthouder gedefinieerde termijnen.

Welk Azure-bewijs Governator verzamelt

Sentinel-incidenten met tijdlijn-metadata, bewijs van Defender alert-workflow, runbook-attestaties, register van post-incident reports.

Artikelen 24–27

Digitale operationele weerbaarheidstesten

Jaarlijkse scenariotesten voor in-scope entiteiten, plus Threat-Led Penetration Testing (TLPT) om de drie jaar voor significante entiteiten.

Welk Azure-bewijs Governator verzamelt

Attestaties van testplannen, scenariodekkingsmatrix, bewijs van corrigerende acties, gedateerde hertest-resultaten.

Artikelen 28–44

ICT-risicobeheer van derden

Een onderhouden register van alle ICT-overeenkomsten met derden, inclusief criticaliteitsbeoordeling, contractuele dekking en exit-strategieën voor kritieke leveranciers.

Welk Azure-bewijs Governator verzamelt

Service principal-inventaris gekoppeld aan derde-partijenleveranciers, RBAC-scope per leverancier, Lighthouse-delegatie-register, contractmetadata.

Waarom continue assurance beter past bij DORA dan jaarlijkse consultancy

DORA is in de regelgeving zelf opgevat als een doorlopend regime. Het register van derden mag niet twaalf maanden achterop hinken. Weerbaarheidstesten zijn een terugkerende verplichting, geen project. Incidentmeldingen worden uitgelokt door gebeurtenissen, niet door de auditkalender. Een model waarin u om de twaalf maanden een readiness assessment laat uitvoeren, een nieuwe PDF krijgt en daartussen drift accepteert, past structureel slecht bij deze regelgeving.

De continue-assurance modus van Governator is voor deze vorm gebouwd. Het register van derden blijft actueel doordat de service-principal- en Lighthouse-delegatie-inventaris volgens een schema draait. Het spoor van de weerbaarheidstesten bouwt zich op tussen formele tests in plaats van op het einde van het jaar gereconstrueerd te worden. De tijdlijngegevens van incidenten worden gevangen wanneer ze zich voordoen, klaar voor de door de toezichthouder gedefinieerde meldingsklok. En vooral: het terugkerende budget gaat naar de toolchain die op aanvraag bewijs oplevert, niet naar elk jaar hetzelfde readiness-deliverable laten opstellen.

  • Register van derden afgestemd op uw live service-principal- en Lighthouse-delegatie-inventaris.
  • Spoor van weerbaarheidstesten met gedateerde attestaties en bewijs van corrigerende acties, ook tussen TLPT-cycli door actueel gehouden.
  • Incident-tijdlijn-metadata uit Sentinel en Defender voor de door de toezichthouder bepaalde classificatievensters.
  • Terugkerend budget verschuift van jaarlijkse externe readiness-opdrachten naar beheerde tooling die op aanvraag vers bewijs produceert.

Wat Microsoft wel en niet biedt

Wat Microsoft wel biedt

  • Defender for Cloud en Secure Score voor identificatie van ICT-risico's
  • Sentinel voor incidentdetectie en tijdlijngegevens
  • Azure Backup, Site Recovery en zone-/regio-redundantieprimitieven
  • Activity Log en audit-trail voor wijzigingen op resourceniveau
  • Lighthouse-delegatie-telemetrie voor cross-tenant toegang

Wat Microsoft niet biedt

  • Een koppeling per bevinding aan de DORA-artikelen (5–14, 17–23, 24–27, 28–44)
  • Een onderhouden register van ICT-derden gekoppeld aan de werkelijke Azure-toegang
  • Een register van weerbaarheidstesten met gedateerde attestaties en corrigerende acties
  • Incidentclassificatie-metadata afgestemd op de DORA-meldingstermijnen
  • Een pre-audit export met executive summary en bewijsmatrix per artikel
  • Een continu-assurance dashboard dat doorlopende werking aantoont, niet een momentopname

Het regulatory dashboard van Defender bevat tegenwoordig een DORA-initiatief, dat een nuttig vertrekpunt is voor de controls in Artikelen 5–14. Het onderhoudt echter niet het register van derden, het spoor van weerbaarheidstesten of de incidentclassificatie-metadata die DORA verwacht. Dat zijn de operationele lagen die Governator toevoegt.

Waar begint u?

De meeste financiële entiteiten met Azure-workloads starten met een DORA-readiness assessment waarin Governator de vier pijlers in beeld brengt: bewijs van ICT-risicobeheer, afstemming van incidentmeldingen, het spoor van weerbaarheidstesten en het register van derden. Het assessment levert een afgebakende remediatie-roadmap en een toezichthouder-klaar bewijspakket op een gegeven moment. Vanaf daar houdt continue assurance het register actueel, het testspoor gedateerd en het auditpakket op aanvraag regenereerbaar.

DORA-readiness assessment bespreken Bekijk het volledige Governator-platform

Gerelateerd

→ Azure NIS2-conformiteit: Artikel 21-mapping en auditbewijs → CyberFundamentals op Azure: assurance-niveaus en audit-readiness → Defender for Cloud vs Governator: waar Microsoft stopt op compliance

Begin met een Azure Health Check, aangedreven door Governator

Niet zeker waar te beginnen? Een snelle architectuurreview geeft u een helder beeld. Vrijblijvend.

  • Risicoscorecard voor identiteit, netwerk, governance en beveiliging
  • Top 10 problemen gerangschikt op impact en inspanning
  • 30-60-90 dagen roadmap met quick wins
Plan een Gesprek