Beveiligingsbaselines nemen het giswerk uit configuratiebeheer door bewezen instellingen vast te leggen. De benchmarks van het Center for Internet Security (CIS) zijn wereldwijd de referentie: duizenden securityprofessionals werken samen aan een gemeenschappelijk uitgangspunt. De CIS Microsoft 365 Foundations Benchmark v3.0 (2024) bevat 159 aanbevelingen voor identiteit, apparaten, e-mail, gegevensbescherming en logging.
Voor Nederlandse overheidsorganisaties is deze benchmark bijzonder waardevol. Je wint tijd, omdat je niet zelf alle instellingen hoeft uit te zoeken; je toont tijdens audits aan dat je een internationale best practice volgt; en de overlap met de BIO maakt het eenvoudiger om aan beide kaders te voldoen. Bovendien kun je je beveiligingsniveau vergelijken met andere overheidsorganisaties.
De Nederlandse context stelt aanvullende eisen: verwerking van staatsgeheime informatie, strengere privacywetgeving en ketenafhankelijkheden. Deze gids beschrijft daarom een aanpak waarmee je de CIS Benchmark stapsgewijs invoert, zonder dat de organisatie vastloopt op gebruiksonvriendelijke maatregelen of onbeheersbare verandertrajecten.
Je krijgt een volledig beeld van hoe de 159 aanbevelingen van de CIS Microsoft 365 Foundations Benchmark zich verhouden tot BIO, NIS2 en de Nederlandse Baseline voor Veilige Cloud. We bespreken de verschillen tussen Level 1 en Level 2, het gebruik van Secure Score en CIS-CAT, het opzetten van een meetketen voor continu toezicht, het plannen van gefaseerde implementaties en het vastleggen van auditbestendige bewijslijnen.
Stabiliseer eerst de fundamentele Identity- en Access-controls voordat je Level 2 activeert. Daarmee voorkom je dat strengere policies leiden tot uitzonderingen of productieverstoringen en houd je ruimte over om pilots gecontroleerd uit te rollen. Documenteer elk besluit in het CIS-register en koppel het aan change-, communicatie- en monitoringtaken zodat geen enkele maatregel los van governance bestaat.
CIS-benchmarkopbouw: Level 1 versus Level 2
De CIS Microsoft 365 Foundations Benchmark beschrijft acht domeinen waarin identiteiten, applicatierechten, gegevensbeheer, e-mail, samenwerking en logging elkaar raken. Elke aanbeveling heeft een unieke code, een rationale, een controleprocedure en een remediatieparagraaf. Voor overheidsorganisaties vormt die structuur een gemeenschappelijke taal tussen architecten, beheerders en auditors: het is direct duidelijk welk risico je beperkt, welk Microsoft 365-onderdeel je aanpast en welke BIO-paragraaf daarmee wordt afgedekt. Door de volledige benchmark eerst te analyseren ontstaat een narratief dat context geeft aan elk domein voordat je inzoomt op individuele instellingen.
Level 1 is ontworpen als de minimale set maatregelen die elke tenant zonder discussie implementeert. Het omvat scheiding van beheerdersaccounts, verplichte meervoudige authenticatie, basale anti-phishingconfiguraties en het inschakelen van logging. Binnen de Nederlandse Baseline voor Veilige Cloud en BIO-thema 9 betekent dit dat elke organisatie documenteert welke Conditional Access-regels, Intune-profielen en Exchange-instellingen dit fundament borgen. Afwijken kan alleen via een formeel besluit waarin de CISO motiveert waarom een maatregel tijdelijk niet haalbaar is en welke compenserende controles gelden. Een Level 1-score onder de vijfennegentig procent is daarom een bestuurlijk signaal dat directe remediatie vereist.
Level 2 gaat een stap verder en adresseert scenario’s met hogere dreiging of zwaardere wetgeving. Denk aan staatsgeheime dossiers, strafrechtelijke onderzoeken, vitale infrastructuur of Omgevingswet-ketens waarin meerdere bestuurslagen samenwerken. Hier horen phishing-resistente authenticatiemethoden, klantbeheerde of dubbele encryptiesleutels, streng gereguleerde gedeelde mailboxen en diepgaande DLP-profielen bij. Deze maatregelen vragen om aanvullende licenties, PIM-processen, dedicated beheerwerkplekken en duidelijke communicatie richting gebruikerspopulaties. De benchmark beschrijft ze neutraal, maar het NBVC-framework eist dat bestuurders expliciet vastleggen waarom Level 2 wel of niet wordt toegepast en hoe restrisico’s worden verkleind wanneer je een aanbeveling uitstelt.
Het scoren van de benchmark is slechts zinvol als je cijfers verbindt aan risico’s, afhankelijkheden en capaciteit. In plaats van enkel een percentage te tonen, breng je per aanbeveling in kaart welk proces geraakt wordt, welke applicaties afhankelijk zijn, welke ketenpartners betrokken zijn en wat de verwachte doorlooptijd is. Een heatmap waarin aanbevelingen kleur krijgen op basis van BIO-thema’s helpt bestuurders prioriteren en laat zien of er voldoende vooruitgang wordt geboekt voorafgaand aan ENSIA-, NOREA- of Algemene Rekenkamer-audits. Zo verandert de benchmark van een checklist in een stuurinstrument.
Het vertalen van aanbevelingen naar concrete acties verloopt het soepelst wanneer elk team dezelfde methode hanteert. Architecten beschrijven de gewenste eindsituatie, engineers testen configuraties in een gesegmenteerde tenant, security operations bewaakt de telemetrie en het compliance office borgt documentatie en afwijkingen. Bij elke aanbeveling leg je vast welk businessprobleem je oplost, welke gebruikersteams worden geraadpleegd, hoe communicatie plaatsvindt en welk meetmoment bevestigt dat de instelling actief blijft. Daardoor voorkom je dat een controle wel op papier bestaat maar operationeel uitvalt omdat niemand eigenaarschap claimt.
Een concreet voorbeeld is het domein rond Exchange Online. De benchmark vraagt hier onder meer om geavanceerde anti-phishing, transportregels en het blokkeren van legacyprotocollen. Door die maatregelen als één verhaal te beschrijven kun je de relatie leggen met Woo-procedures, vertrouwelijke correspondentie en ketencommunicatie met partners. Je koppelt de instellingen aan dashboards in Secure Score, Defender for Office 365 en Purview, zodat bestuurders in kwartaalrapportages dezelfde indicatoren terugzien als auditors. Het laat meteen zien welke uitzonderingen lopen en wanneer ze worden herzien.
Door deze aanpak groeit de CIS-benchmark uit tot de verbindende laag tussen architectuur, operatie en governance. Teams weten wanneer ze kunnen volstaan met Level 1 en wanneer escalatie naar Level 2 gerechtvaardigd is, en bestuurders kunnen de uitkomsten zonder technische vertaalslag opnemen in hun risicobesluitvorming. Zo ontstaat een consistent verhaal dat aansluit op de Nederlandse Baseline voor Veilige Cloud en de verwachting van toezichthouders dat compliance aantoonbaar en herhaalbaar is.
Geautomatiseerde beoordeling en continu toezicht
Structuur alleen is niet genoeg; zonder continue metingen weet je niet of configuraties standhouden. Een volwassen automatiseringsstrategie combineert Microsoft Secure Score, CIS-CAT, Graph-rapportages en Sentinel-analytics tot één meetketen. Elke tool bekijkt dezelfde tenant vanuit een andere invalshoek. Door de resultaten samen te brengen in Power BI of een GRC-omgeving zie je niet alleen de score, maar ook de oorzaak van afwijkingen, de eigenaar en de tijd die is verstreken sinds de laatste correctie. Dat maakt compliance aantoonbaar en bestuurbaar.
Secure Score fungeert als thermometer omdat de verbeteracties direct gekoppeld zijn aan Microsoft 365-configuraties. Nederlandse overheden laten de standaarddashboards zelden ongewijzigd: zij verrijken de acties met de corresponderende CIS- en BIO-referenties, zodat bestuurders dezelfde nummers terugvinden in maandrapportages. Door de API te gebruiken kun je dagelijks lezen welke acties achteruitgang vertonen, bijvoorbeeld omdat een beheerder een policy heeft uitgeschakeld tijdens een incident. Een daling van meer dan vijf punten activeert automatisch een melding naar het SOC en het change board. De combinatie van real-time telemetrie en procesafspraken zorgt ervoor dat regressie binnen maximaal vijf werkdagen is hersteld.
CIS-CAT Pro vult de gaten die Secure Score niet ziet. Het hulpmiddel installeer je op een hardened beheerwerkplek met just-in-time rechten. Het logt via Graph, PowerShell en Exchange Remote PowerShell in op de tenant en vergelijkt de actuele configuratie met de benchmarkdefinities. Het rapport dat hieruit voortkomt bevat per aanbeveling een pass/fail, bewijsregels en een referentie naar remediestappen. Door het rapport direct te koppelen aan Azure DevOps of Planner ontstaan automatisch taken voor beheerteams. Veel organisaties draaien de scan maandelijks voor kernomgevingen en elk kwartaal voor satelliettenants, zodat auditors kunnen zien dat monitoring cyclisch plaatsvindt.
Policy-as-code voorkomt dat conformiteit afhankelijk blijft van handmatige controles. Azure Policy, Azure Automation, PowerShell DSC en Graph Automation enforcen configuraties zoals Conditional Access, Intune-profielen, DLP-regels of Defender-instellingen. Iedere policy bevat tevens een loggingmechanisme dat in Sentinel of een soevereine SIEM aangeeft wanneer een instelling is gewijzigd en of remediatie is uitgevoerd. Hierdoor ontstaat een gesloten lus: de policy constateert een afwijking, zet de gewenste waarde terug en levert een logregel die als bewijs kan worden gebruikt tijdens audits.
Het SOC integreert de meetinstrumenten met operationele workflows. Wanneer Secure Score een drastische wijziging detecteert, controleert Sentinel of er gelijktijdig verdachte aanmeldingen of massaal mislukte logins waren. Als dat het geval is, wordt de afwijking als incident behandeld en volgt er een rootcause-analyse. Blijkt het om reguliere configuratie te gaan, dan stuurt het compliance office een herinnering dat de wijziging moet worden vastgelegd in het CIS-register. Zo worden technische signalen meteen verbonden aan processtappen en blijft de verantwoordingslijn helder.
Neem het scenario waarin de benchmark vereist dat legacy-authenticatie volledig is uitgeschakeld. Secure Score merkt op dat in een pilottenant IMAP plots weer actief is. De pipeline creëert een Azure DevOps-werkitem, CIS-CAT bevestigt het falen van de control, een policy corrigeert de instelling en Sentinel bewaart het complete spoor. Binnen één dag kan je aantonen wie de wijziging doorvoerde, waarom dat is gebeurd, hoe snel de omgeving is hersteld en welke lessons learned zijn vastgelegd. Deze transparantie is precies wat toezichthouders verwachten.
Door automatisering te koppelen aan heldere processen en governance ontstaat een continu toezichtmechanisme dat aansluit op de Nederlandse Baseline voor Veilige Cloud. Scores zijn niet langer cosmetisch; elke beweging is herleidbaar, elke remediering wordt gedocumenteerd en elke auditor kan live meekijken hoe controles worden bewaakt. Dat geeft bestuurders vertrouwen dat compliance geen momentopname is maar een dagelijkse praktijk.
Van gap naar implementatie
Een eerste CIS-assessment levert onvermijdelijk een lijst met gaps op. In plaats van een spreadsheet met vinkjes ontwikkel je een verhaal per aanbeveling waarin duidelijk wordt welk risico optreedt zolang de maatregel ontbreekt, welke processen en ketenpartners geraakt worden en welke compliance-kaders dat risico adresseren. Het compliance office registreert elke bevinding met een risicoscore, een eigenaar en een gewenste opleverdatum. Het resultaat is een backlog die direct aansluit op verandermanagement in Azure DevOps of een PPM-tool.
Prioriteren gebeurt op twee assen: de dreiging voor de organisatie en de inspanning die nodig is om het gat te verhelpen. Level-1-aanbevelingen krijgen in principe een korte horizon en worden gefinancierd vanuit het reguliere securitybudget, omdat ze essentieel zijn voor BIO-conformiteit. Level-2-maatregelen worden geprogrammeerd in tranches, gekoppeld aan specifieke bedrijfsprocessen of projecten. Door deze systematiek vooraf vast te leggen voorkom je discussies tijdens stuurgroepen en weet iedereen waarom sommige trajecten voorrang krijgen.
Afhankelijkheden spelen een grote rol. Een organisatie die nog geen stabiele scheiding tussen beheerders- en gebruikersaccounts heeft, kan moeilijk beginnen aan streng PIM-beleid of geavanceerde Conditional Access-scenario’s. Daarom beschrijf je voor elk gap welke technologische randvoorwaarden eerst gerealiseerd moeten zijn, welke training gebruikers nodig hebben en welke leveranciers betrokken zijn. Deze inzichten worden gedeeld met het CIO-office zodat resourceplanning en licentie-inkoop synchroon lopen.
De roadmap wordt als narratief beschreven, niet als droge tabel. In de eerste maanden ligt de nadruk op identiteiten en toegang: meervoudige authenticatie, het uitschakelen van legacyprotocollen en het opzetten van een beheerproces voor Conditional Access. Zodra dat staat, verschuift de aandacht naar e-mail- en databescherming met Defender for Office 365, anti-phishing, basislabels en Purview DLP. Daarna volgen devices en zichtbaarheid met Intune, Defender for Endpoint, logpijplijnen en Sentinel. In de daaropvolgende maanden worden geavanceerde maatregelen uitgerold, zoals zero standing privilege, uitgebreide DLP, Customer Key en automatisering via runbooks. Door dit als doorlopend verhaal te communiceren begrijpen bestuurders en gebruikers wat er op elk moment verandert.
Change- en adoptieactiviteiten lopen parallel met technische implementaties. Communicatieteams ontwikkelen scenario-gedreven uitleg voor bestuurders, informatiemanagers en eindgebruikers, terwijl security awareness het waarom van strengere policies uitlegt. Elke wijziging wordt getest in een representatieve pilotgroep, waarna lessons learned worden vastgelegd in het CIS-register. Deze aanpak voorkomt verrassingen op het moment dat strictere policies in productie gaan en vermindert de kans op uitzonderingsaanvragen.
Resourceplanning is even cruciaal als techniek. Een succesvolle roadmap benoemt expliciet hoeveel uren van identity engineers, SOC-analisten, architecten en juristen nodig zijn en koppelt die aan kwartaaldoelen. Daarnaast worden budgetten voor licenties, training en externe audits vastgeprikt. Door dat niveau van detail te hanteren kunnen controllers en bestuurders tijdig besluiten nemen over extra capaciteit of uitwijkmaatregelen.
Uiteindelijk draait de roadmap om continue verbetering: elke afgeronde maatregel levert data op waarmee je de volgende stap verfijnt. Na elke fase evalueert het team hoe de maatregelen bijdragen aan de doelen van de Nederlandse Baseline voor Veilige Cloud en welke aanvullende controls nodig zijn om toekomstige wetgeving of dreigingen op te vangen. Zo blijft de organisatie in beweging en wordt compliance een integraal onderdeel van de reguliere planning- en controlcyclus.
Auditdocumentatie en rapportage
Auditors verwachten geen indrukwekkende presentatie, maar een consistent verhaal met bewijsstukken die de werkelijkheid weerspiegelen. Daarom behandelen volwassen organisaties auditvoorbereiding als een permanent proces. Het compliance office houdt een register bij waarin elke CIS-aanbeveling is gekoppeld aan een Microsoft 365-control, de verantwoordelijke eigenaar, de datum van de laatste controle en de link naar bewijsmateriaal. Het register draait doorgaans in Power BI of een GRC-platform zodat bestuurders live kunnen meekijken.
Voor elke aanbeveling wordt een digitaal dossier samengesteld dat beleid, architectuurschema’s, configuratie-exporten, screenshots, logfragmenten en testresultaten bevat. Deze dossiers worden opgeslagen in een afgeschermde SharePoint-site, gelabeld met Purview Information Protection en voorzien van een retentiebeleid dat een kwartaalreview afdwingt. Tijdens zo’n review controleert de proceseigenaar of de configuratie nog actueel is, of nieuwe functionaliteit beschikbaar kwam en of de beschreven procedure nog strookt met de praktijk. Zo voorkom je dat audits vertragen omdat teams oude screenshots of verouderde instellingen moeten zoeken.
Afwijkingen worden niet verstopt in een Excelbestand maar geregistreerd als formele besluiten. Wanneer een maatregel tijdelijk niet haalbaar is, documenteer je het restrisico, de compenserende controles en de datum waarop je opnieuw beoordeelt. Alleen de CISO of het bestuursorgaan mag zulke besluiten accorderen. Het registreren van deze besluiten in hetzelfde systeem als de bewijspakketten zorgt ervoor dat auditors meteen zien hoe volwassen de governance is en welke risico’s bewust worden gedragen.
Continu valideren is essentieel. CIS-CAT-rapporten, Secure Score-exporten, Sentinel use cases en SOC-incidenten worden automatisch opgeslagen in het dossier van de desbetreffende control. Wanneer een meting een regressie laat zien, wordt er een taak aangemaakt in Azure DevOps met een verwijzing naar het dossier. Zodra de maatregel is hersteld, uploadt het team nieuwe screenshots of logfragmenten en sluit het ticket pas nadat het compliance office de wijziging heeft gevalideerd. Deze werkwijze legt een volledig spoor vast dat elke auditor kan volgen.
Rapportages aan bestuurders gaan verder dan procentuele scores. Elk kwartaal ontvangt het CIO-overleg een narratief dat beschrijft welke maatregelen zijn afgerond, welke risico’s overblijven, welke afhankelijkheden vertraging veroorzaken en welke hulp nodig is. De rapportage verbindt cijfers aan concrete voorbeelden, zoals een pen-testbevinding die tot aanvullende Conditional Access-regels leidde of een Woo-verzoek waarvoor extra logging is ingericht. Zo wordt duidelijk welke waarde de benchmark levert voor de publieke dienstverlening.
Incidenten, changes en pen-testresultaten zijn direct gekoppeld aan het register. Wanneer het SOC een aanval onderzoekt, wordt automatisch vastgelegd welke CIS-controles zijn aangesproken en welke verbetering daaruit voortkomt. Na afloop van een oefening of crisissimulatie verwerkt het team de lessons learned in de relevante dossiers, inclusief verwijzingen naar NBVC-paragrafen, BIO-thema’s en audittrail-eisen. Hierdoor ontstaat een levend systeem in plaats van een statisch archief.
Het eindresultaat is een audit-ready organisatie: binnen enkele minuten kun je aantonen welke controls actief zijn, welke bewijzen beschikbaar zijn en welke verbeteringen lopen. Auditors hoeven geen lange interviews te houden omdat zij rechtstreeks toegang krijgen tot dossiers en dashboards. Bestuurders zien hetzelfde beeld en kunnen daardoor sneller besluiten nemen. Zo wordt compliance niet alleen aantoonbaar, maar ook een versneller van continue verbetering binnen de kaders van de Nederlandse Baseline voor Veilige Cloud.
De CIS Microsoft 365 Foundations Benchmark biedt een direct toepasbaar kader om cloudomgevingen aantoonbaar te hardenen. Door de aanbevelingen te koppelen aan BIO-paragrafen en de Nederlandse Baseline voor Veilige Cloud ontstaat een gedeelde taal tussen architecten, beheerders en bestuurders. Dat maakt het eenvoudiger om beslissingen te nemen over prioriteiten, uitzonderingen en investeringen.
Gefaseerde implementatie, automatisering en continue validatie vormen de rode draad. Secure Score, CIS-CAT, policy-as-code en Sentinel leveren meetgegevens die direct in bewijspakketten belanden. Daardoor kun je op elk moment laten zien welke maatregelen actief zijn, welke verbeteringen lopen en welke restrisico’s bewust worden geaccepteerd.
Wie nu in deze aanpak investeert, verkleint de kans op incidenten, versnelt audits en kan toekomstige benchmarkupdates sneller omzetten in concrete acties. Compliance wordt zo geen project, maar een doorlopend onderdeel van de besturing van Microsoft 365.