Access governance en de audittrail als bewijs voor NIS2 en ISO 27001

Auditors vragen geen mooie woorden over toegangsbeheer, ze vragen bewijs. Wie had op 3 maart toegang tot die map, op basis van welke regel, en wanneer is dat ingegaan en weer weggevallen? Dit artikel gaat over hoe attribuut-gedreven access governance dat soort bewijs oplevert, en wat het wel en niet zegt over kaders als NIS2 en ISO 27001. Wees realistisch: een tool maakt je niet compliant, hij levert bewijs voor het toegangsdeel.

TL;DR

• ServiceChanger maakt niemand compliant en is geen certificering. Het levert bewijs dat de toegangsbeheer-onderdelen van kaders als NIS2 en ISO 27001 ondersteunt.
• Eén attribuutwaarde mapt naar een vaste set groepen en rollen in Entra ID en on-prem AD. Gelijke attributen leveren gelijke toegang op, dat is reproduceerbare least privilege.
• Elke lidmaatschapswijziging wordt vastgelegd tegen het attribuut dat hem veroorzaakte, dus je kunt reconstrueren wie wanneer welke toegang had: een wie-had-wat-wanneer audittrail.
• Relevante kaders: AVG (verantwoording over minimale toegang), ISO 27001 access control (A.5.15 en A.5.18), NIS2 (toegangsbeheer en verantwoording).
• ServiceChanger is geen access-certification of IGA-suite en geen PAM-tool. De License module meet alleen gebruik. Geen AI, geen voorspellende analyse.

Wat access governance hier precies betekent

Access governance is het vermogen om te onderbouwen waarom iemand de toegang heeft die hij heeft, en om dat over tijd te kunnen aantonen. In de praktijk valt dat uiteen in twee vragen. Wie zou welke toegang moeten hebben, en kun je laten zien dat het ook echt zo geregeld was?

ServiceChanger pakt dit aan via attributen. Een attribuutwaarde, bijvoorbeeld afdeling, functie of locatie in Entra ID, mapt naar een vaste set groeps- en rollidmaatschappen. Verandert de waarde, dan past het lidmaatschap mee. De regel is de waarheid, niet een handmatige klik in een beheerportaal. Daardoor krijgt iedereen met dezelfde attributen dezelfde toegang, en is afwijkend gedrag zichtbaar in plaats van verstopt in losse handmatige wijzigingen.

Dat is bewust een smal stuk van het governance-landschap. Het automatiseert groeps- en rollidmaatschappen in Entra ID en on-prem AD, meer niet. Het doet geen toegangscertificering, geen periodieke hercertificering en geen privileged access management.

Reproduceerbare least privilege

Least privilege is het idee dat iemand alleen de toegang heeft die het werk vereist. Het lastige deel is niet de definitie, het is het reproduceerbaar houden terwijl mensen wisselen van rol en afdeling.

Als toegang aan een attribuut hangt, kun je de uitkomst herhalen. Twee medewerkers met dezelfde functie en afdeling horen dezelfde set groepen te hebben, en dat is controleerbaar. Wijkt iemand af, dan zie je dat het attribuut niet matcht of dat er een handmatige uitzondering bestaat buiten de regels om. Voor een auditor is dat verschil het hele punt: niet "we doen aan least privilege", maar "hier is de regel, hier is wie eraan voldoet, en hier zijn de uitzonderingen".

De wie-had-wat-wanneer audittrail

Het bewijsstuk dat auditors echt willen, is de audittrail over tijd. ServiceChanger legt elke lidmaatschapswijziging vast tegen het attribuut dat hem veroorzaakte: welke gebruiker, welke groep of rol, welk attribuut en welke waarde, welke actor, tijdstempel en resultaat.

Daardoor kun je een moment in het verleden reconstrueren. Wie had op 3 maart toegang tot die financiële groep, en waarom? Het antwoord is niet "dat denken we wel", maar een herleidbare keten: de persoon had attribuutwaarde X, die mapte naar groep Y, en de wijziging ging in op dat tijdstip. Toen het attribuut wijzigde of het account op disabled ging, viel de toegang mee weg, ook gelogd. Dat is de wie-had-wat-wanneer audittrail.

Belangrijk om eerlijk te blijven: dit logt de wijzigingen die ServiceChanger zelf doet op basis van attributen. Acties die je los in Microsofts eigen tooling uitvoert, worden door Microsoft gelogd, niet hier. De audittrail is bewijs voor het attribuut-gedreven toegangsdeel, niet voor alles wat er in je tenant gebeurt.

Hoe dit bewijs levert voor NIS2 en ISO 27001

Hier is het cruciaal om precies te zijn. Geen enkele tool maakt je compliant met NIS2 of ISO 27001. Wat een attribuut-naar-groep audittrail wel doet, is bewijs aandragen voor specifieke toegangsbeheer-onderdelen van die kaders.

Voor ISO 27001 raken twee controls het meest direct: A.5.15 (toegangsbeheer) en A.5.18 (toegangsrechten, het toekennen en intrekken ervan). Een auditor wil zien dat toegang volgens beleid wordt verleend en weer ingetrokken. Een regel die zegt "deze attribuutwaarde geeft deze groepen" plus een log van elke toekenning en intrekking is precies het soort onderbouwing dat bij die controls past.

Voor NIS2, dat verplichtingen kent rond toegangsbeheer en verantwoording, geldt hetzelfde principe: je moet kunnen aantonen dat toegang beheerst verloopt en herleidbaar is. De audittrail laat zien dat wijzigingen een regel volgen en herleidbaar zijn naar een attribuut en een tijdstip.

Voor de AVG zit de relevantie in verantwoording over minimale toegang tot persoonsgegevens. Kunnen aantonen wie wanneer toegang had en op welke grond, helpt die verantwoordingsplicht te onderbouwen.

In alle drie de gevallen is de formulering hetzelfde: bewijs voor het toegangsdeel, geen certificering en geen garantie. De certificering haal je via je auditor en je volledige managementsysteem; ServiceChanger levert een herhaalbaar stuk van het bewijs.

FAQ

Maakt ServiceChanger ons compliant met NIS2 of ISO 27001? Nee. Geen tool doet dat. ServiceChanger levert bewijs voor de toegangsbeheer-onderdelen van die kaders, namelijk een reproduceerbare toegangsregel en een audittrail van toekenningen en intrekkingen. Certificering loopt via je auditor.

Is dit een IGA- of access-certification-suite? Nee. ServiceChanger doet geen toegangscertificering of periodieke hercertificering en is geen PAM-tool. Het automatiseert attribuut-gedreven groeps- en rollidmaatschappen in Entra ID en on-prem AD en logt die wijzigingen.

Kan ik exporteren wat een auditor nodig heeft? Ja. De lidmaatschapswijzigingen die ServiceChanger doet worden vastgelegd met gebruiker, groep of rol, het verantwoordelijke attribuut, actor, tijdstip en resultaat, exporteerbaar voor je administratie. Acties in Microsofts eigen tooling worden door Microsoft gelogd.

Gebruikt het AI of voorspellende analyse om risico's te scoren? Nee. Er zit geen AI of voorspellende analyse in. De regels zijn deterministisch: een attribuutwaarde mapt naar een set groepen, en dat wordt vastgelegd.

Verder lezen

• Het bredere idee achter dit alles staat op de conceptpagina access governance, digitale veiligheid en compliance.
• Toegang intrekken is de andere kant van de medaille. Hoe dat eruit ziet bij vertrek lees je in IT offboarding checklist.

Volgende stap

Wil je zien hoe de audittrail eruit ziet voor je eigen Entra ID en on-prem AD? Plan een demo en we lopen samen door een voorbeeld van wie-had-wat-wanneer.