In de vorige blogs hebben we laten zien waarom identity de nieuwe perimeter is, hoe je controle krijgt over toegangsrechten en hoe moderne authenticatie helpt om risico’s te verkleinen. Daarmee ligt de basis er. Toch stelt NIS2 een fundamenteel andere vraag. Het gaat niet langer alleen om wat je hebt ingericht, maar om wat je kunt aantonen. Voor veel organisaties zit precies daar de uitdaging.
Wie nog niet bekend is met die basis, leest eerst waarom identity inmiddels het centrale beveiligingsvraagstuk is in moderne organisaties in deze blog over identity: de nieuwe perimeter
Waar cybersecurity voorheen vaak als een IT-thema werd gezien, legt NIS2 de verantwoordelijkheid expliciet bij de directie. Bestuurders moeten niet alleen zorgen dat er maatregelen zijn, maar ook dat ze kunnen onderbouwen dat deze effectief zijn en actief worden beheerd.
Dat betekent dat identity en access management verschuift van een technische implementatie naar een onderwerp waar governance, risicobeheersing en rapportage samenkomen. Het bestuur moet inzicht hebben in hoe toegang is geregeld, waar risico’s zitten en hoe daarop wordt gestuurd.
Zonder dat inzicht wordt compliance al snel een papieren werkelijkheid.
| In de praktijk zien we dat veel organisaties al stappen hebben gezet. Multi-factor authentication is ingeschakeld, er zijn toegangsregels ingericht en er wordt gelogd. Op papier lijkt de basis dus aanwezig. |
Maar zodra de vraag wordt gesteld hoe dit structureel wordt beheerd, ontstaat er vaak onzekerheid. Het is niet altijd duidelijk wie verantwoordelijk is voor toegangsbeslissingen, hoe vaak rechten worden gecontroleerd of wat er gebeurt als afwijkingen worden geconstateerd.
Daarmee ontstaat een kloof tussen implementatie en aantoonbare beheersing. En juist die kloof is waar NIS2 op ingrijpt.
Binnen het NIS2-kader raakt identity aan vrijwel alle onderdelen van cybersecurity. Toegangsbeheer, monitoring en incident response zijn direct afhankelijk van hoe identiteiten zijn ingericht en beheerd.
Wanneer dat fundament niet op orde is, werkt dat door in de rest van de organisatie. Risico’s worden minder snel herkend, incidenten moeilijker herleid en verantwoordelijkheden blijven onduidelijk.
In eerdere blogs lieten we zien hoe lifecycle management helpt om structureel grip te krijgen op wie toegang heeft tot wat. Lees daar meer over in deze blog over lifecycle management in Entra ID
De benodigde technologie is in veel gevallen al beschikbaar. Organisaties werken met Microsoft 365 en beschikken over uitgebreide mogelijkheden binnen Microsoft Entra ID. Toch blijft het resultaat vaak achter.
Dat komt omdat identity zelden als één geheel wordt aangestuurd. Het raakt meerdere disciplines tegelijk. HR speelt een rol bij instroom en uitstroom, IT bij de inrichting en het beheer, security bij beleid en monitoring en de directie bij risicobeheersing. Zonder duidelijke regie ontstaat versnippering.
In zo’n situatie worden maatregelen wel genomen, maar ontbreekt samenhang. En zonder samenhang is er geen aantoonbare controle.
Voor organisaties die met NIS2 te maken krijgen, is de belangrijkste vraag niet of er iets geregeld moet worden. Die vraag is inmiddels wel beantwoord.
De vraag is of je kunt uitleggen hoe identity binnen jouw organisatie wordt beheerd, en of je dat ook kunt onderbouwen wanneer daarom wordt gevraagd.
Wil je weten waar jouw organisatie écht staat als het gaat om identity en NIS2?
In onze whitepaper Identity Governance: van risico naar regie laten we zien waar het in de praktijk misgaat, hoe je jouw huidige volwassenheid bepaalt en welke stappen nodig zijn om aantoonbaar in control te komen.
Geen checklist, maar een helder en realistisch verhaal naar structurele governance
