Veel organisaties denken bij NIS2 vooral aan technische beveiliging: MFA, firewalls en policies. Maar tijdens audits blijkt vaak dat het echte probleem ergens anders zit: je kunt niet aantonen wat er is gebeurd.

NIS2 draait niet alleen om beveiligen, maar om bewijsvoering. Je moet kunnen laten zien wie toegang had, welke wijzigingen zijn gedaan en hoe incidenten zijn afgehandeld. In Microsoft Entra ID betekent dat één ding: je logging moet op orde zijn.

Maar welke logs zijn dan écht belangrijk?

Sign-in logs: het startpunt van elke audit

De belangrijkste bron voor auditors zijn de sign-in logs. Deze laten zien wie wanneer heeft ingelogd, vanaf welke locatie en of MFA is toegepast.

Hiermee kun je aantonen dat:

• sterke authenticatie actief is

• verdachte inlogpogingen zichtbaar zijn

• Conditional Access policies daadwerkelijk worden toegepast

Zonder deze logs kun je simpelweg niet bewijzen dat je toegangsbeveiliging werkt zoals bedoeld.

Audit logs: wie heeft wat veranderd?

Naast inloggen willen auditors weten wat er binnen je tenant verandert. Audit logs laten zien:

• wanneer gebruikers zijn aangemaakt of verwijderd

• wanneer groepslidmaatschappen wijzigen

• wanneer rollen worden aangepast

• wanneer security-instellingen veranderen

Deze logs zijn essentieel om governance aan te tonen. Ze laten zien dat wijzigingen gecontroleerd plaatsvinden en niet willekeurig gebeuren.

Provisioning logs: bewijs van lifecycle-beheer

Als je automatische provisioning gebruikt (bijvoorbeeld HR → Entra of SCIM-koppelingen), vormen provisioning logs het bewijs dat lifecycle-processen daadwerkelijk werken.

Ze tonen onder andere:

• automatische accountaanmaak

• updates van gebruikersgegevens

• deactivering bij uitdiensttreding

• synchronisatiefouten

Voor NIS2 zijn deze logs belangrijk omdat ze aantonen dat toegang automatisch meebeweegt met personeelswijzigingen.

Conditional Access logs: werkt je securitybeleid echt?

Veel organisaties hebben Conditional Access policies ingericht, maar vergeten te controleren of ze ook correct worden toegepast.

Deze logs laten zien:

• welke policy is getriggerd

• of MFA verplicht werd

• of toegang is toegestaan of geblokkeerd

Auditors gebruiken deze data om te controleren of beveiligingsregels niet alleen bestaan, maar ook daadwerkelijk worden afgedwongen.

Retentie: logs bewaren is verplicht

NIS2 vereist dat organisaties incidenten kunnen onderzoeken en achteraf kunnen reconstrueren wat er is gebeurd. Dat betekent dat logs voldoende lang beschikbaar moeten blijven.

De standaard bewaartermijn van Entra (30 dagen) is vaak onvoldoende. In de praktijk zien we dat organisaties:

• logs exporteren naar Log Analytics

• SIEM-oplossingen gebruiken

• centrale audit-omgevingen inrichten

Zonder langere retentie kun je bij audits of incidentonderzoek simpelweg niet terug in de tijd kijken.

Wat auditors uiteindelijk willen zien

Tijdens een NIS2-audit draait het niet om dashboards of mooie grafieken. Auditors stellen drie simpele vragen:

1. Kun je laten zien wie toegang had?

2. Kun je laten zien wat er is veranderd?

3. Kun je aantonen dat beveiligingsmaatregelen werken?

Als je deze vragen met Entra-logs kunt beantwoorden, zit je technisch goed.

Tot slot

Veel organisaties hebben Entra logging wel “aan staan”, maar gebruiken het niet actief voor compliance. NIS2 maakt logging geen bijzaak meer, maar een kernonderdeel van identity governance.

Wie nu investeert in goede logstructuur, centrale opslag en rapportage, voorkomt later stress tijdens audits en incidenten.

Wil je weten of jouw Entra logging voldoende is ingericht voor NIS2? Dan is een korte IAM-readiness scan vaak de snelste manier om dit inzichtelijk te maken.