NIS2 op Azure
Azure NIS2-conformiteit, gekoppeld aan Artikel 21 met auditklaar bewijs
Microsoft toont u wat er verkeerd is geconfigureerd. NIS2 vraagt wat dat betekent voor Artikel 21, wie verantwoordelijk is en welk bewijs u aan een auditor kunt voorleggen. Governator is de laag tussen die twee.
Wat NIS2 daadwerkelijk eist van uw Azure-omgeving
De NIS2-richtlijn (EU 2022/2555) is in België in werking getreden op 18 oktober 2024. Voor organisaties die cloud-infrastructuur uitbaten is de concrete tekst Artikel 21, dat tien technische en organisatorische maatregelen opsomt die elke essentiële of belangrijke entiteit moet invoeren en documenteren. Er is geen bijlage met een afvinklijst. De maatregelen zijn geformuleerd als resultaten en de bewijslast ligt bij u.
Op Microsoft Azure zijn de onderliggende controls meestal wel ergens aanwezig: Defender for Cloud, Azure Policy, Conditional Access, Key Vault, Sentinel, Azure Backup. Wat standaard niet wordt geleverd, is de mappinglaag tussen die technische controls en de Artikel 21-maatregelen, het verantwoordelijkheidsspoor en het auditbewijspakket dat een toezichthouder in vijf minuten kan doorlezen.
Governator is specifiek voor die kloof gebouwd. Het haalt de bevindingen uit uw Azure-omgeving, koppelt ze aan de Artikel 21-maatregel waarop ze betrekking hebben, wijst per bevinding een eigenaar toe, volgt de remediatie en levert op aanvraag een auditklaar bewijsdossier.
Hoe Governator Azure aan NIS2 Artikel 21 koppelt
Bij elke Artikel 21-maatregel hoort een specifiek Azure-bewijsmodel. De tabel hieronder toont de koppeling die Governator continu uitvoert over uw subscriptions.
| Referentie | Maatregel | Welk Azure-bewijs Governator verzamelt |
|---|---|---|
| Artikel 21(2)(a) | Risicoanalyse en beleid voor informatiebeveiliging | Azure Policy-toewijzingen, Defender for Cloud-dashboard regulatory compliance, exemption-register met zakelijke motivering. |
| Artikel 21(2)(b) | Incidentafhandeling | Sentinel-incidenten, Defender alert-workflow, runbook-attestaties, post-incident-reviewbewijs. |
| Artikel 21(2)(c) | Bedrijfscontinuïteit en crisisbeheer | Azure Backup vault-policies, Azure Site Recovery-configuratie, geo-redundante storage, geteste DR-runbook-attestatie. |
| Artikel 21(2)(d) | Beveiliging van de toeleveringsketen | Service principal-inventaris, RBAC-toewijzingen aan derden, federated identity-audit, Lighthouse-delegatie-review. |
| Artikel 21(2)(e) | Beveiliging bij verwerving, ontwikkeling en onderhoud | AVM-moduleversies, pipeline secret-scanning, Defender for DevOps-bevindingen, IaC-reviewbewijs. |
| Artikel 21(2)(f) | Effectiviteit van risicobeheermaatregelen | Secure Score-trend, control-effectiviteitsmetrics, exemption-decay rate, MTTR per bevindingscategorie. |
| Artikel 21(2)(g) | Cyberhygiëne en training | Conditional Access-houding, MFA-dekking, Privileged Identity Management-activeringen, trainingsattestatie-register. |
| Artikel 21(2)(h) | Cryptografie | Key Vault-inventaris, TLS-minimumversie policy, customer-managed keys (CMK)-dekking, certificaatverloop-monitoring. |
| Artikel 21(2)(i) | Personeel, toegangscontrole, asset management | RBAC-rolassigning, joiner-mover-leaver-procesbewijs, service principal-lifecycle, just-in-time access-logs. |
| Artikel 21(2)(j) | Multifactorauthenticatie en beveiligde communicatie | Entra Conditional Access-rapporten, MFA-registratiedekking, Private Link & private endpoint-inventaris, public exposure-analyse. |
De Belgische NIS2-tijdlijn
België implementeerde NIS2 via de wet van 26 april 2024, met het CCB (Centre for Cybersecurity Belgium) als toezichthoudende autoriteit. Het CCB heeft NIS2-handhaving afgestemd op het CyberFundamentals-framework: organisaties tonen Artikel 21-conformiteit aan door het juiste CyFun-assurance-niveau te bereiken (Basic, Important of Essential).
- Registratiedeadline: 18 maart 2025 (verstreken). Alle in scope zijnde entiteiten moeten geregistreerd zijn bij het CCB.
- CyFun-zelfevaluatie te leveren tegen: 18 april 2026. De meeste "important" entiteiten werken naar CyFun Important toe; "essential" entiteiten hebben CyFun Essential nodig.
- Herclassificatie: kritieke entiteiten worden essentiële entiteiten op 17 juli 2026.
- Voortgangsrapport te leveren tegen: 18 april 2027.
Als u op Azure draait en uw CyFun-zelfevaluatie op de kalender staat, is het afstemmingswerk tussen Defender-bevindingen, policy-compliance, RBAC-inventaris en de CyFun-controlset precies waar Governator voor gebouwd is. Zie de aparte pagina CyFun op Azure voor de koppeling per assurance-niveau.
Wat Microsoft wel en niet biedt
Wat Microsoft wel biedt
- ✓Defender for Cloud regulatory compliance-dashboard met NIS2-initiatief
- ✓Secure Score en de aanbevelingsmotor
- ✓Compliance-status van Azure Policy per toewijzing
- ✓Sentinel voor het loggen van incidenten en de detectie
- ✓Activity Log met 90 dagen retentie per resource
Wat Microsoft niet biedt
- ✓Een koppeling per bevinding aan de Artikel 21-maatregelen (a)–(j)
- ✓Toewijzing van eigenaars en opvolging van remediatie-SLA's
- ✓Een bewijsvault met attestaties, snapshots en exemptions
- ✓Een export per CyFun-assurance-niveau met control-bewijsmatrix
- ✓Audit-readiness percentage en trends voor het bestuur
- ✓Cross-cloud en integratie van externe bewijzen
De NIS2-weergave van Defender laat zien welke Azure-controls technisch geconfigureerd zijn. Wat ze niet zegt: wat een tekortkoming betekent voor uw Artikel 21-verplichting, wie de remediatie moet uitvoeren of wat uw auditor als bewijs zal aanvaarden. Dat is de operationele laag waar Governator voor zorgt.
Waar begint u?
De meeste organisaties die naar de CyFun-zelfevaluatie van april 2026 toewerken, starten met een NIS2-readiness assessment: een eenmalige opdracht waarin Governator een momentopname van uw compliance maakt, met expertinterpretatie, een lijst van de meest risicovolle tekortkomingen en een afgebakende remediatie-roadmap als resultaat. Wie het assessment achter zich heeft, schakelt door naar continue assurance: Governator draait dan als managed service tegen uw Azure-subscriptions.
Begin met een Azure Health Check, aangedreven door Governator
Niet zeker waar te beginnen? Een snelle architectuurreview geeft u een helder beeld. Vrijblijvend.
- ✓ Risicoscorecard voor identiteit, netwerk, governance en beveiliging
- ✓ Top 10 problemen gerangschikt op impact en inspanning
- ✓ 30-60-90 dagen roadmap met quick wins