Microsoft Entra ID en NIS2: zo maak je je tenant compliant

Jeroen van Langenbroek

8 minutes min read

Steeds meer organisaties gebruiken Microsoft Entra ID als centrale toegangspoort tot hun IT-omgeving. Dat is logisch: vrijwel alles loopt tegenwoordig via cloudaccounts, Single Sign-On en identity-gebaseerde beveiliging.

Maar met de komst van NIS2 verandert de rol van Entra ID. Wat eerst vooral een technisch hulpmiddel was, wordt nu een compliance-kritische component. De vraag is niet meer of je Entra gebruikt, maar of je tenant zo is ingericht dat je aan de wet kunt voldoen.

En daar wringt het bij veel organisaties.

Entra ID is geen compliance-oplossing “out of the box”

Microsoft Entra ID biedt veel mogelijkheden: MFA, Conditional Access, logging, groepen, rollen. Toch betekent “Entra gebruiken” niet automatisch dat je NIS2-proof bent.

Waarom niet?

Omdat NIS2 niet vraagt om losse features, maar om aantoonbare governance:

  • Wie heeft toegang?

  • Waarom heeft iemand die toegang?

  • Wanneer is die toegang aangepast?

  • Hoe snel trek je toegang weer in?

  • Kun je dat onderbouwen richting auditor of toezichthouder?

Veel tenants zijn historisch gegroeid. Instellingen zijn stap voor stap toegevoegd, uitzonderingen zijn gemaakt, scripts zijn gebouwd. Het werkt totdat iemand vraagt om bewijs.

Stap 1: begin bij identiteitsbeveiliging (MFA en Conditional Access)

NIS2 verwacht dat organisaties sterke authenticatie toepassen. In Entra betekent dat in de praktijk:

  • MFA verplicht stellen voor gebruikers

  • Extra bescherming voor beheerdersaccounts

  • Risicogebaseerde toegangsregels instellen

Het probleem is dat MFA vaak “half” is ingericht. Bijvoorbeeld:

  • Alleen voor admins

  • Alleen voor externe toegang

  • Met te veel uitzonderingen

Voor compliance is consistentie belangrijker dan complexiteit. Beter een duidelijke baseline policy dan twintig losse regels die niemand meer begrijpt.

Stap 2: maak van groepen en rollen je fundament

Toegang beheren op gebruikersniveau is niet schaalbaar en niet auditvriendelijk. Toch gebeurt het nog vaak: iemand krijgt “even snel” extra rechten, een tijdelijke oplossing wordt permanent.

Onder NIS2 is dat niet houdbaar.

Een compliant Entra-inrichting werkt met:

  • Rolgebaseerde toegang

  • Functie → groep → applicatierechten

  • Standaardprofielen per rol

Zo ontstaat structuur. En structuur is wat auditors willen zien.

Stap 3: automatiseer lifecycle-beheer

Een van de grootste compliance-risico’s zit in offboarding. Accounts die blijven bestaan, rechten die blijven hangen, externe accounts die vergeten worden.

NIS2 verwacht dat toegang synchroon loopt met de werkelijkheid.

Dat betekent:

  • Account aanmaken bij start

  • Rechten aanpassen bij functiewijziging

  • Direct blokkeren bij uitdiensttreding

Handmatig beheer is hier niet betrouwbaar genoeg. Lifecycle-automatisering, bij voorkeur gekoppeld aan HR-data, is geen luxe meer, maar noodzaak.

Stap 4: zorg dat logging niet alleen bestaat, maar bruikbaar is

Entra ID genereert veel logs. Maar logs hebben alleen waarde als je ze:

  • kunt terugvinden

  • kunt filteren

  • kunt exporteren

  • kunt interpreteren

Voor NIS2 zijn vooral belangrijk:

  • Login-activiteiten

  • Wijzigingen in rechten

  • Provisioning events

  • Administratieve acties

Als je deze informatie niet eenvoudig kunt aanleveren bij audits of incidentonderzoek, voldoet je tenant functioneel niet aan de eisen.

Stap 5: richt governance in, niet alleen techniek

Een veelgemaakte fout is om NIS2 te benaderen als configuratieproject. Maar compliance draait niet alleen om instellingen maar om procesafspraken:

  • Wie mag nieuwe toegang goedkeuren?

  • Wie is eigenaar van groepen?

  • Wie controleert periodiek rechten?

  • Hoe worden uitzonderingen vastgelegd?

Zonder governance ontstaat weer wildgroei, ook al is de techniek goed ingericht.

Waarom standaard Entra vaak niet voldoende is

Voor veel organisaties blijkt dat standaard Entra-functionaliteit niet genoeg overzicht en controle biedt om NIS2 aantoonbaar te ondersteunen.

Veel voorkomende knelpunten:

  • Geen centrale lifecycle-orchestratie

  • Geen overzicht over roltoewijzingen

  • Beperkte compliance-rapportages

  • Handmatige uitzonderingen

  • Fragmentatie over meerdere applicaties

Daarom zien we steeds vaker dat organisaties een extra governance- en automatiseringslaag boven Entra inzetten.

Niet om Entra te vervangen maar om het beheersbaar, schaalbaar en auditbaar te maken.

Wat auditors uiteindelijk willen zien

Tijdens audits draait het niet om hoeveel policies je hebt. Het draait om drie simpele dingen:

  1. Is toegang logisch ingericht?

  2. Werkt het proces consistent?

  3. Kun je het aantonen?

Als je op die drie vragen “ja” kunt antwoorden, zit je goed richting NIS2.

Tot slot

NIS2 verandert Microsoft Entra ID van een technisch platform naar een compliance-kritische kerncomponent. Organisaties die nu investeren in structuur, automatisering en governance, bouwen niet alleen aan wetgeving-compliance maar ook aan een volwassen security-architectuur.

Wie wacht tot audits beginnen, is meestal te laat.

Wil je weten hoe jouw Entra-tenant ervoor staat ten opzichte van NIS2? Dan is een gerichte readiness scan vaak de snelste manier om inzicht te krijgen en prioriteiten te bepalen.

Steeds meer organisaties gebruiken Microsoft Entra ID als centrale toegangspoort tot hun IT-omgeving. Dat is logisch: vrijwel alles loopt tegenwoordig via cloudaccounts, Single Sign-On en identity-gebaseerde beveiliging.

Maar met de komst van NIS2 verandert de rol van Entra ID. Wat eerst vooral een technisch hulpmiddel was, wordt nu een compliance-kritische component. De vraag is niet meer of je Entra gebruikt, maar of je tenant zo is ingericht dat je aan de wet kunt voldoen.

En daar wringt het bij veel organisaties.

Entra ID is geen compliance-oplossing “out of the box”

Microsoft Entra ID biedt veel mogelijkheden: MFA, Conditional Access, logging, groepen, rollen. Toch betekent “Entra gebruiken” niet automatisch dat je NIS2-proof bent.

Waarom niet?

Omdat NIS2 niet vraagt om losse features, maar om aantoonbare governance:

  • Wie heeft toegang?

  • Waarom heeft iemand die toegang?

  • Wanneer is die toegang aangepast?

  • Hoe snel trek je toegang weer in?

  • Kun je dat onderbouwen richting auditor of toezichthouder?

Veel tenants zijn historisch gegroeid. Instellingen zijn stap voor stap toegevoegd, uitzonderingen zijn gemaakt, scripts zijn gebouwd. Het werkt totdat iemand vraagt om bewijs.

Stap 1: begin bij identiteitsbeveiliging (MFA en Conditional Access)

NIS2 verwacht dat organisaties sterke authenticatie toepassen. In Entra betekent dat in de praktijk:

  • MFA verplicht stellen voor gebruikers

  • Extra bescherming voor beheerdersaccounts

  • Risicogebaseerde toegangsregels instellen

Het probleem is dat MFA vaak “half” is ingericht. Bijvoorbeeld:

  • Alleen voor admins

  • Alleen voor externe toegang

  • Met te veel uitzonderingen

Voor compliance is consistentie belangrijker dan complexiteit. Beter een duidelijke baseline policy dan twintig losse regels die niemand meer begrijpt.

Stap 2: maak van groepen en rollen je fundament

Toegang beheren op gebruikersniveau is niet schaalbaar en niet auditvriendelijk. Toch gebeurt het nog vaak: iemand krijgt “even snel” extra rechten, een tijdelijke oplossing wordt permanent.

Onder NIS2 is dat niet houdbaar.

Een compliant Entra-inrichting werkt met:

  • Rolgebaseerde toegang

  • Functie → groep → applicatierechten

  • Standaardprofielen per rol

Zo ontstaat structuur. En structuur is wat auditors willen zien.

Stap 3: automatiseer lifecycle-beheer

Een van de grootste compliance-risico’s zit in offboarding. Accounts die blijven bestaan, rechten die blijven hangen, externe accounts die vergeten worden.

NIS2 verwacht dat toegang synchroon loopt met de werkelijkheid.

Dat betekent:

  • Account aanmaken bij start

  • Rechten aanpassen bij functiewijziging

  • Direct blokkeren bij uitdiensttreding

Handmatig beheer is hier niet betrouwbaar genoeg. Lifecycle-automatisering, bij voorkeur gekoppeld aan HR-data, is geen luxe meer, maar noodzaak.

Stap 4: zorg dat logging niet alleen bestaat, maar bruikbaar is

Entra ID genereert veel logs. Maar logs hebben alleen waarde als je ze:

  • kunt terugvinden

  • kunt filteren

  • kunt exporteren

  • kunt interpreteren

Voor NIS2 zijn vooral belangrijk:

  • Login-activiteiten

  • Wijzigingen in rechten

  • Provisioning events

  • Administratieve acties

Als je deze informatie niet eenvoudig kunt aanleveren bij audits of incidentonderzoek, voldoet je tenant functioneel niet aan de eisen.

Stap 5: richt governance in, niet alleen techniek

Een veelgemaakte fout is om NIS2 te benaderen als configuratieproject. Maar compliance draait niet alleen om instellingen maar om procesafspraken:

  • Wie mag nieuwe toegang goedkeuren?

  • Wie is eigenaar van groepen?

  • Wie controleert periodiek rechten?

  • Hoe worden uitzonderingen vastgelegd?

Zonder governance ontstaat weer wildgroei, ook al is de techniek goed ingericht.

Waarom standaard Entra vaak niet voldoende is

Voor veel organisaties blijkt dat standaard Entra-functionaliteit niet genoeg overzicht en controle biedt om NIS2 aantoonbaar te ondersteunen.

Veel voorkomende knelpunten:

  • Geen centrale lifecycle-orchestratie

  • Geen overzicht over roltoewijzingen

  • Beperkte compliance-rapportages

  • Handmatige uitzonderingen

  • Fragmentatie over meerdere applicaties

Daarom zien we steeds vaker dat organisaties een extra governance- en automatiseringslaag boven Entra inzetten.

Niet om Entra te vervangen maar om het beheersbaar, schaalbaar en auditbaar te maken.

Wat auditors uiteindelijk willen zien

Tijdens audits draait het niet om hoeveel policies je hebt. Het draait om drie simpele dingen:

  1. Is toegang logisch ingericht?

  2. Werkt het proces consistent?

  3. Kun je het aantonen?

Als je op die drie vragen “ja” kunt antwoorden, zit je goed richting NIS2.

Tot slot

NIS2 verandert Microsoft Entra ID van een technisch platform naar een compliance-kritische kerncomponent. Organisaties die nu investeren in structuur, automatisering en governance, bouwen niet alleen aan wetgeving-compliance maar ook aan een volwassen security-architectuur.

Wie wacht tot audits beginnen, is meestal te laat.

Wil je weten hoe jouw Entra-tenant ervoor staat ten opzichte van NIS2? Dan is een gerichte readiness scan vaak de snelste manier om inzicht te krijgen en prioriteiten te bepalen.

Bekijk meer van onze blogs

Insights Image

Welke Microsoft Entra logs heb je nodig voor NIS2 audits?

Insights Image

Welke Microsoft Entra logs heb je nodig voor NIS2 audits?

Insights Image

Welke Microsoft Entra logs heb je nodig voor NIS2 audits?

Insights Image

Wat is NIS2 en wat betekent dit voor Identity & Access Management?

Insights Image

Wat is NIS2 en wat betekent dit voor Identity & Access Management?

Insights Image

Wat is NIS2 en wat betekent dit voor Identity & Access Management?

Insights Image

Active Directory en Entra ID opschonen via Joinly

Insights Image

Active Directory en Entra ID opschonen via Joinly

Insights Image

Active Directory en Entra ID opschonen via Joinly

Kijken kost niets

Plan een vrijblijvende demo

In 30 minuten laat we je graag zien hoe Joinly toegevoegde waarde biedt voor de gehele organisatie.

Demo inplannen

Kijken kost niets

Plan een vrijblijvende demo

In 30 minuten laat we je graag zien hoe Joinly toegevoegde waarde biedt voor de gehele organisatie.

Demo inplannen

Kijken kost niets

Plan een vrijblijvende demo

In 30 minuten laat we je graag zien hoe Joinly toegevoegde waarde biedt voor de gehele organisatie.

Demo inplannen