Frameworkvergelijking
Onderhouden door: Aether365 Team Doelgroep: Beveiligingsbeheerders en compliance officers Scope: Vergelijking van CIS, EIDSCA, CISA SCuBA en NIS2 frameworks
Vergelijking van de vier beveiligingsframeworks die door Aether365 worden ondersteund.
Overzicht
| CIS | EIDSCA | CISA SCuBA | NIS2 | |
|---|---|---|---|---|
| Volledige naam | CIS Microsoft 365 Foundations Benchmark | Entra ID Security Config Analyzer | Secure Cloud Business Applications M365 Baseline | EU Network and Information Systems Directive 2 |
| Gepubliceerd door | Center for Internet Security | Microsoft (open-source) | CISA (federale instantie VS) | Europese Unie |
| Primaire doelgroep | Commerciele organisaties wereldwijd | Organisaties die Entra ID gebruiken | Federale overheidsinstellingen VS | Essentiele/belangrijke entiteiten in de EU |
| Focusgebied | Brede M365-configuratie | Entra ID-identiteitsbeveiliging | M365 per product | Cyberbeveiligingsrisicobeheer |
| Aantal controles | ~100 | ~80 | ~150 | ~50 |
| Updatefrequentie | Grote releases elke 12-18 maanden | Doorlopend (GitHub) | Grote releases jaarlijks | Wetgevingscyclus |
| Licentie | Gratis te gebruiken | Open-source (MIT) | Publiek domein | EU-verordening |
CIS Microsoft 365 Foundations Benchmark
Meest geschikt voor: Organisaties die een commercieel erkende, auditwaardige baseline willen.
CIS-benchmarks zijn de de-facto standaard in commerciele beveiligingsprogramma's. De M365-benchmark omvat:
- Account en authenticatie - MFA, legacy-authenticatie, wachtwoordbeleid
- Microsoft 365 Admin Center-instellingen - gasttoegang, delen, externe samenwerking
- Exchange Online - e-mailauthenticatie (SPF, DKIM, DMARC), mailstroomregels, anti-phishing
- SharePoint Online en OneDrive - deelinstellingen, externe toegangscontroles
- Microsoft Teams - vergaderbeleid, gasttoegang, externe federatie
- Entra ID - conditional access, roltoewijzingen, beveiligingsstandaarden
Profielniveaus:
| Niveau | Beschrijving |
|---|---|
| L1 | Fundamentele controles. Eerst implementeren. Lager verstoringsrisico. |
| L2 | Hogere beveiliging. Kan planning en communicatie naar gebruikers vereisen. |
Aether365-controles vermelden het profielniveau bij elk resultaat, zodat je L1 als eerste kunt prioriteren.
EIDSCA (Entra ID Security Config Analyzer)
Meest geschikt voor: Organisaties die diepgaande identiteitsbeveiligingsdekking willen die verder gaat dan CIS biedt.
EIDSCA is mede-ontwikkeld met Microsoft-engineers en richt zich specifiek op Entra ID-configuratie. Het dekt gebieden die CIS niet of slechts gedeeltelijk behandelt:
- Privileged Identity Management (PIM) - just-in-time-toegang, rolactivatie-instellingen
- Authenticatiemethoden - FIDO2, authenticator-app-instellingen, Windows Hello
- Conditional access-beleid - apparaatcompliance, aanmeldrisico, gebruikersrisico
- Applicatiebeheer - OAuth-appmachtigingen, consentbeleid
- Beveiligingsstandaarden en baseline - Microsofts eigen baseline-aanbevelingen
- Identiteitsbeveiliging - risicobeleid, detectie van gelekte referenties
EIDSCA-controles sluiten aan bij de Secure Score-categorieen in Microsoft Entra en vullen CIS-controles aan met gedetailleerdere Entra ID-dekking.
CISA SCuBA M365 Security Baseline
Meest geschikt voor: Federale overheidsinstellingen in de VS die onder CISA-richtlijnen vallen; organisaties die uitgebreide dekking per product willen.
SCuBA (Secure Cloud Business Applications) is gestructureerd per M365-product in plaats van per beveiligingscategorie:
| Productbaseline | Dekking |
|---|---|
| AAD (Azure Active Directory) | Identiteit, MFA, conditional access |
| Exchange Online | E-mailbeveiliging, anti-phishing, mailstroom |
| Teams | Vergaderbeveiliging, gasttoegang, gegevensverlies |
| SharePoint & OneDrive | Delen, externe toegang, DLP |
| Power Platform | Beleid voor app-aanmaak, gasttoegang |
| Defender for Office 365 | ATP-beleid, safe links, safe attachments |
Elke productsectie bevat verplichte en optionele beleidsregels. Aether365 markeert optionele beleidsregels duidelijk in de resultaatdetails.
SCuBA is technisch gericht op federale overheidsinstellingen in de VS (FISMA-systemen), maar de beleidsregels zijn breed toepasbaar voor elke organisatie.
NIS2 (EU Network and Information Systems Directive 2)
Meest geschikt voor: Organisaties in de EU die essentiele of belangrijke diensten exploiteren en NIS2-compliance moeten aantonen.
NIS2 is een regelgevend framework, geen technische benchmark. Het specificeert categorieen van controles die organisaties moeten implementeren - het schrijft geen exacte configuratiewaarden voor. De NIS2-controles van Aether365 koppelen M365-configuratie aan NIS2-artikelvereisten:
| NIS2-artikel | Controlecategorie | Voorbeeld M365-controles |
|---|---|---|
| Art. 21(2)(a) | Risicobeheer | Beveiligingsbeleid, auditlogging |
| Art. 21(2)(b) | Incidentafhandeling | Waarschuwingsbeleid, auditlogretentie |
| Art. 21(2)(c) | Bedrijfscontinuiteit | Back-up, gegevensretentie-instellingen |
| Art. 21(2)(d) | Toeleveringsketenbeveiliging | Machtigingen van apps van derden |
| Art. 21(2)(e) | Acquisitiebeveiliging | Applicatieconsentbeleid |
| Art. 21(2)(f) | Toegangsbeheer | MFA, geprivilegieerde toegang, PIM |
| Art. 21(2)(g) | Cryptografie | Versleutelingsinstellingen, TLS-beleid |
| Art. 21(2)(h) | HR-beveiliging | Offboarding, beoordeling van gastaccounts |
| Art. 21(2)(i) | Authenticatie | MFA, wachtwoordbeleid, legacy-authenticatie |
Belangrijk: Het slagen voor NIS2-controles in Aether365 certificeert geen NIS2-compliance. NIS2-compliance vereist organisatorische processen, juridische beoordelingen en rapportageverplichtingen die verder gaan dan technische configuratie. De NIS2-controles van Aether365 geven je vertrouwen dat je M365-configuratie niet in strijd is met NIS2-vereisten.
Welk framework moet ik gebruiken?
Je hoeft er niet een te kiezen. Aether365 voert alle frameworks uit en presenteert de resultaten samen. Er is aanzienlijke overlap tussen frameworks - een enkele configuratie-instelling kan worden gecontroleerd door CIS, EIDSCA en CISA. Aether365 ontdubbelt overlappende controles en toont elke bevinding eenmaal met kruisverwijzingen naar elk framework dat deze dekt.
Aanbevelingen voor het startpunt:
| Situatie | Begin met |
|---|---|
| Geen eerdere ervaring met frameworks | CIS L1 - fundamenteel en breed begrepen |
| Focus op identiteitsbeveiliging | EIDSCA - diepste Entra ID-dekking |
| VS federale overheid of gerelateerd | CISA SCuBA |
| EU-regelgevingsvereiste | NIS2, vul daarna aan met CIS |
| Moet een beveiligingsaudit doorstaan | CIS - meest erkend door externe auditors |
| Uitgebreide dekking gewenst | Voer alle vier frameworks tegelijkertijd uit |
Aantal controles per framework
Aantallen varieren naarmate frameworks worden bijgewerkt. Huidige geschatte aantallen in Aether365:
| Framework | Totaal controles | Typisch slagingspercentage (MKB) | Typisch slagingspercentage (Enterprise) |
|---|---|---|---|
| CIS (L1) | ~60 | 55-70% | 70-85% |
| CIS (L1+L2) | ~100 | 45-65% | 65-80% |
| EIDSCA | ~80 | 50-65% | 65-80% |
| CISA SCuBA | ~150 | 40-60% | 60-75% |
| NIS2 | ~50 | 55-70% | 70-85% |
Slagingspercentages zijn indicatieve schattingen. Je percentage hangt sterk af van je bestaande configuratie, licenties en of je conditional access-beleid hebt ingericht.