Compliance frameworks
Onderhouden door: Aether365 Team Doelgroep: Beveiligingsbeheerders en compliance officers Scope: Beschrijvingen van CIS, EIDSCA, CISA SCuBA en NIS2 frameworks
Aether365 toetst je Microsoft 365 tenant aan vier erkende beveiligingsframeworks. Elk framework wordt onderhouden door een andere autoriteit en heeft een ander focusgebied, bereik en doelgroep.
CIS Microsoft 365 Foundations Benchmark
Onderhouden door: Center for Internet Security (CIS) Versie: v3.0 Doelgroep: Alle organisaties die Microsoft 365 gebruiken Bereik: Accountbeveiliging, Entra ID, Exchange, Teams, SharePoint, auditlogging
CIS is de meest gebruikte M365-beveiligingsbenchmark. Het definieert een duidelijke, uitvoerbare set controles, elk met gedetailleerde implementatierichtlijnen. Controles zijn ingedeeld in Level 1 of Level 2:
| Level | Beschrijving | Wanneer toepassen |
|---|---|---|
| L1 | Basiscontroles met minimale operationele impact | Alle organisaties |
| L2 | Strengere controles die de gebruikerservaring kunnen beinvloeden | Beveiligingsgevoelige omgevingen |
Check-ID formaat: CIS.M365.{sectie}.{subsectie}.{item} - bijvoorbeeld CIS.M365.1.1.1
CIS-controles bestrijken secties 1 tot en met 9 van de benchmark, waaronder:
- Sectie 1: Identiteits- en toegangsbeheer
- Sectie 2: Microsoft Entra ID
- Sectie 3: Microsoft 365 Apps
- Sectie 4: Microsoft Teams
- Sectie 5: E-mailbeveiliging (Exchange Online)
- Sectie 6: SharePoint Online
- Sectie 7: OneDrive
- Sectie 8: Microsoft Defender
- Sectie 9: Auditlogging
EIDSCA (Entra ID Security Config Analyzer)
Onderhouden door: Microsoft en de open-sourcecommunity Doelgroep: Organisaties met significant Entra ID-gebruik Bereik: Diepgaande Entra ID-configuratie
EIDSCA richt zich specifiek op Entra ID (voorheen Azure Active Directory) en dekt gebieden die CIS niet op hetzelfde detailniveau adresseert. Belangrijke gebieden:
- Registratie van authenticatiemethoden en SSPR-beleid
- Hiaten in conditional access en dekking van basisbeleidsregels
- Privileged Identity Management (PIM)-configuratie
- Tokenlevensduur en sessiebeheer
- Gastgebruikers- en B2B-samenwerkingsinstellingen
- Vertrouwensinstellingen voor externe identiteitsproviders
EIDSCA is bijzonder nuttig als je organisatie sterk leunt op Entra ID-functies zoals Privileged Identity Management, externe samenwerking of aangepaste authenticatiestromen.
Check-ID formaat: EIDSCA.{categorie}{nummer} - bijvoorbeeld EIDSCA.PR01
CISA SCuBA M365 Security Baseline
Onderhouden door: U.S. Cybersecurity and Infrastructure Security Agency (CISA) Versie: Huidige gepubliceerde baseline Doelgroep: Amerikaanse federale instanties en organisaties die met hen samenwerken; gereguleerde sectoren Bereik: Volledige M365-productsuite
SCuBA (Secure Cloud Business Applications) is de beveiligingsbaseline van de Amerikaanse federale overheid voor cloudproductiviteitsplatformen. De structuur is per M365-product in plaats van per controlecategorie:
| Product | Controles omvatten |
|---|---|
| Microsoft Entra ID | Identiteits- en toegangsbeheer |
| Microsoft Defender for Office 365 | Bedreigingsbeveiligingsbeleid |
| Exchange Online | E-mailtransport, anti-phishing, versleuteling |
| Microsoft Teams | Externe toegang, vergaderbeleid |
| SharePoint Online en OneDrive | Delen, toegangsbeheer |
| Microsoft 365 Apps | Macrobeleid, add-inbeheer |
| Power Platform | Connectorbeleid (alleen Enterprise) |
SCuBA is relevant buiten Amerikaanse federale omgevingen. De heldere beleidsverklaringen en het geautomatiseerde testformaat maken het een bruikbare baseline voor elke organisatie die rigoureuze, onafhankelijk onderhouden richtlijnen zoekt.
Check-ID formaat: MS.{PRODUCT}.{nummer}.{subnummer} - bijvoorbeeld MS.AAD.1.1
NIS2
Onderhouden door: Europese Unie Richtlijn: EU 2022/2502 (NIS2) Doelgroep: Organisaties die actief zijn in de EU, met name exploitanten van essentiele en belangrijke entiteiten Bereik: Technische en organisatorische maatregelen onder Artikel 21
NIS2 is geen technische benchmark - het is een regelgevende richtlijn. Aether365 koppelt M365-configuratiecontroles aan de technische vereisten die NIS2 verplicht stelt onder Artikel 21, dat organisaties verplicht passende maatregelen te nemen om cyberbeveiligingsrisico's te beheersen.
NIS2-controles in Aether365 richten zich op:
| NIS2-gebied | M365-controles |
|---|---|
| Toegangsbeheer en authenticatie | MFA, geprivilegieerde toegang, conditional access |
| Incidentafhandeling | Auditlogging, meldingsbeleid, beveiligingsgebeurtenissen |
| Bedrijfscontinuiteit | Back-up- en herstelinstellingen, gegevenslocatie |
| Ketenbeveiliging | App-consentbeleid, instellingen voor externe connectors |
| Basiscyberhygiene | Verouderde authenticatie, patchgerelateerde instellingen |
NIS2 compliance-bereik
Aether365 dekt de M365-specifieke technische controles die relevant zijn voor NIS2. Volledige NIS2-compliance vereist een breder programma van technische en organisatorische maatregelen dat verder gaat dan je M365-configuratie. Aether365-resultaten vormen geen NIS2-compliancecertificering.
Frameworkvergelijking
| Dimensie | CIS | EIDSCA | CISA SCuBA | NIS2 |
|---|---|---|---|---|
| Autoriteit | CIS | Open source / Microsoft | US CISA | EU-regelgeving |
| Focus | Breed M365 | Entra ID-diepte | Product voor product | Risicogebaseerd regulatoir |
| Detailniveau | Hoog | Zeer hoog | Hoog | Gemiddeld |
| Geschikt voor EU-organisaties | Ja | Ja | Ja | Verplicht |
| Geschikt voor Amerikaanse overheid | Ja | Ja | Verplicht | Niet van toepassing |
| Geschikt voor alle organisaties | Ja | Ja | Ja | Indien EU-gereguleerd |
| Aantal controles in Aether365 | ~60 | ~40 | ~50 | ~30 |
Alle frameworks worden uitgevoerd als onderdeel van een Compliance scan. Je kunt geen individuele frameworks per scan selecteren - alle relevante controles worden samen uitgevoerd en resultaten worden getagd per framework voor filtering.