Cyberbeveiliging is niet langer optioneel - het is een hoeksteen van de operationele veerkracht en de compliance-strategie van elke organisatie. Met de introductie van de NIS2-richtlijn van de EU moeten Europese organisaties dringend voldoen aan strenge beveiligingsnormen. Hoewel de NIS2-richtlijn van de EU duidelijke normen stelt voor netwerk- en informatiebeveiliging, kan het een uitdaging zijn om de mandaten te vertalen naar uitvoerbare stappen, vooral voor bedrijven die gebruikmaken van cloudplatforms zoals Microsoft Azure.

Gelukkig biedt Azure een reeks tools die ontworpen zijn om compliance te vereenvoudigen en je beveiligingsraamwerk te versterken. In dit bericht leggen we uit hoe Azure je kan helpen om je aan te passen aan NIS2, waarbij we het proces opsplitsen in beheersbare stappen om je te helpen je omgeving te beveiligen en compliant te blijven.

Wat is NIS2?

De NIS2 van de EU (Network and Information Security Directive 2) is een cyberbeveiligingsrichtlijn die door de Europese Unie is geïntroduceerd om de veerkracht en beveiliging van kritieke infrastructuur en essentiële diensten in de lidstaten te verbeteren. De richtlijn vervangt de oorspronkelijke NIS-richtlijn uit 2015 en is sinds 18 oktober 2024 opgenomen in de nationale wetgeving van elke EU-lidstaat.

NIS2 standaardiseert cyberbeveiligingspraktijken voor een breed scala aan sectoren en organisaties, van digitale diensten, gezondheidszorg en energie tot transport en openbaar bestuur. Niet-naleving kan leiden tot hoge boetes en zelfs reputatieschade, dus voor betrokken organisaties is naleving cruciaal.

Uitdagingen van NIS2

NIS2 omvat een breed scala aan cyberbeveiligingsdoelstellingen, waaronder governance, risicobeheer en incidentrespons. Met zoveel doelstellingen kan het voor organisaties een ontmoedigende taak zijn om ze te vertalen naar uitvoerbare stappen.

Bevindt uw infrastructuur zich in de publieke cloud Azure? Weet u dat Azure belangrijke tools biedt om audits uit te voeren en ervoor te zorgen dat uw omgeving voldoet aan NIS2.

Hoe begin je met de implementatie van NIS2?

De eerste stap voor het implementeren van NIS2 is het opdelen van de richtlijn in kleinere beheersbare controles. Zodra dit is gedaan, kan het werk van het in kaart brengen van de controles naar de beste technologie en het beste proces beginnen.

In deze blog splitsen we een specifieke set controles op en brengen ze in kaart bij een technologie, met de nadruk op Microsoft Azure en Microsoft Entra ID.

Microsoft Entra ID: identiteits- en toegangsbeheer voor NIS2-compliance

Een van de belangrijkste vereisten van NIS2 is ervoor te zorgen dat alleen geautoriseerd personeel toegang heeft tot kritieke systemen en gegevens. Met Microsoft Entra ID beschikt u over een zeer robuuste set tools voor identiteits- en toegangsbeheer (IAM).

Multi Factor Authenticatie

Multi Factor Authenticatie (MFA) is de de facto standaard beveiligingsmethode geworden. Het vereist dat een gebruiker minstens twee verificatiefactoren opgeeft om toegang te krijgen tot de omgeving.

Voorwaardelijk toegangsbeleid

Conditional Access Policies worden vaak over het hoofd gezien omdat ze optioneel lijken, maar ze zijn essentieel voor een veilige omgeving. Ze definiëren de voorwaarden waaraan gebruikers moeten voldoen om toegang te krijgen tot de omgeving. Ze kunnen toegang verlenen of weigeren op basis van parameters zoals:

• IP-adres (locatie)
• Lidmaatschap van gebruikersgroep in Entra ID
• Apparaathouding en compliance

Just-in-time toegang

Bijkomende veiligheidsmaatregelen zoals Just-in-Time-Access, die specifieke rechten voor een beperkte tijd verleent, moeten ook worden geconfigureerd. Als beheerder moet u standaard alleen-lezen toegang behouden en Just-in-Time-Access gebruiken om de rechten tijdelijk te verhogen tijdens goedgekeurde wijzigingsvensters.

Beveiligingsinformatie en gebeurtenissenbeheer

Alle veiligheidsmaatregelen in de wereld betekenen niets als je geen effectieve manier hebt om continu te monitoren en adequaat te reageren. Er zijn verschillende SIEM-oplossingen (Security Information and Event Management) beschikbaar. Je kunt Microsoft Sentinel gebruiken, dat zowel hybride als cloud native ondersteuning biedt.

Microsoft Sentinel

Bij ACA raden we aan om uw beveiligde score nauwlettend in de gaten te houden in Microsoft Entra ID tenant. Het biedt een snel en duidelijk overzicht van de voortgang van je compliance.

Azure tools voor NIS2-compliance

Het Azure platform biedt veel tools en technologieën om je te helpen met NIS2 compliance.

Microsoft Defender voor Cloud

Microsoft Defender for Cloud is een uitstekende tool om realtime bedreigingsdetectie te bieden, samen met beveiligingsaanbevelingen voor verschillende Azure-bronnen zoals VM's, SQL-databases, opslag en nog veel meer. Dit omvat ook het monitoren op kwetsbaarheden, naleving van beleidsregels en verkeerde configuraties.

Azure beleid

Azure policy is de basis om je infrastructuur compliant te houden, en legt de basis van je governance framework voor je hele landingszone.

Voordat je je eerste werklasten in Azure beschikbaar stelt, moet je ervoor zorgen dat je Azure beleid is geconfigureerd en voldoet aan de NIS2 richtlijn.

Heb je al workloads in Azure? Dan wordt het afdwingen van beleid iets complexer, omdat ze vaak zijn ingesteld zonder strikte handhaving. In dergelijke gevallen moet het beleid in 'audit'-modus draaien. Dit is waar elke niet-naleving wordt gemarkeerd, maar niet afgedwongen. Met deze aanpak kunnen organisaties de impact bekijken en beoordelen voordat de beleidsregels volledig worden afgedwongen.

Hoe beheer je respons en herstel in NIS2?

NIS2 gaat niet alleen over beveiliging, maar heeft ook een compliance-sectie over "Response en herstel". Dit is waar je gebruik kunt maken van Azure Backup, Azure Site Recovery en natuurlijk Infrastructure as Code.

Als we ons verder richten op de feitelijke gegevens, moeten we de verschillende soorten gegevens vertrouwelijk behandelen. Encryptie is hier de sleutel omdat het ervoor zorgt dat je gegevens alleen toegankelijk zijn voor geautoriseerde personen en systemen.

Er zijn drie hoofdtypes van versleuteling beschikbaar:

1. Gegevens in rust

Wanneer je een bestand opslaat in een Azure Storage Account, wordt dit automatisch versleuteld met behulp van Service-side encryption (SSE). Er zijn verschillende soorten encryptie at Rest in Azure, afhankelijk van welke service je gebruikt.

2. Gegevens onderweg

Wanneer gegevens over het netwerk worden verzonden, zijn er verschillende manieren om ze te versleutelen. De meest gebruikte is Transport Layer Security (TLS). Dit is de primaire methode die wordt gebruikt wanneer je verbinding maakt met en interageert met Azure services.

3. Gebruikte gegevens

Gegevens die worden gebruikt voor verwerking, zoals opgeslagen in het geheugen, kunnen ook worden versleuteld. Dit wordt vaak over het hoofd gezien omdat het complexer is en de implementatie varieert afhankelijk van welke service je gebruikt. Als je virtuele machines in Azure gebruikt, is er een heel gebied dat Vertrouwelijke gegevensverwerkingbehandelt . Voor het geval iemand het geheugen van de host probeert te lezen, is het versleuteld en onleesbaar.

Worstel je met NIS2-compliance?

De reis naar NIS2-compliance is spannend, maar kan ook complex zijn. Alleen al de technologische aspecten omvatten talloze controles op verschillende publieke cloudtechnologieën. Het bereiken van echte compliance vereist echter een evenwichtige aanpak die de technologieën integreert met robuuste processen en governance.

➡️ Bij ACA hechten we veel waarde aan beveiliging. Waar u zich ook bevindt in het NIS2-traject, u kunt op ons rekenen om u te begeleiden op weg naar NIS2-compliance.

Vragen over NIS2-compliance?