Apparaatstatuscontroles controleren de beveiligingsstatus van elk eindpunt voordat toegang wordt verleend tot applicaties en gegevens. Voor organisaties die onder NIS2 vallen, leveren ze gedocumenteerd bewijs dat bij toegangsbeslissingen rekening wordt gehouden met de gezondheid van apparaten en niet alleen met de identiteit van gebruikers. Nu de Belgische verificatiedeadline voor CyberFundamentals is vastgesteld op april 2026, is het correct configureren van posture checks niet langer optioneel voor IT-managers die zich voorbereiden op hun eerste audit.
Deze handleiding beschrijft wat apparaatposture checks zijn, welke signalen moeten worden geëvalueerd, hoe ze stap voor stap moeten worden geconfigureerd en hoe ze overeenkomen met specifieke NIS2- en CyberFundamentals-controles. De nadruk ligt op de praktijk: u zult eindigen met een werkende configuratie en het bewijsspoor dat uw auditor verwacht.
Hoe apparaatposturecontroles voor NIS2 te configureren
- Definieer een baseline met drie verplichte signalen: OS-valuta, schijfversleuteling en apparaatregistratiestatus.
- Verbind je identity provider en synchroniseer gebruikersgroepen met rolgebaseerd toegangsbeleid.
- Maak houdingsprofielen in uw ZTNA platform, waarbij elk signaal wordt gekoppeld aan een goed- of afkeurconditie.
- Pas houdingsprofielen toe op het toegangsbeleid voor applicaties, zodat apparaten die niet aan de eisen voldoen worden geblokkeerd of beperkte toegang krijgen.
- Logboekregistratie inschakelen voor elke posture-evaluatie, inclusief de gecontroleerde signalen, het resultaat en de toegangsbeslissing.
- Exporteer rapporten over naleving van de houding en koppel ze aan uw CyberFundamentals-bewijsmateriaalpakket.
Waarom apparaatstatus belangrijker is dan identiteit alleen
Het verifiëren van een gebruikersnaam en wachtwoord, zelfs met multi-factor authenticatie, beantwoordt slechts één vraag: is dit de juiste persoon? Het zegt niets over de vraag of de laptop van die persoon een verouderd besturingssysteem heeft, geen schijfversleuteling heeft of de firewall heeft uitgeschakeld.
Volgens het Verizon Data Breach Investigations Report was uitbuiting van kwetsbaarheden verantwoordelijk voor ongeveer 20 procent van de bevestigde inbreuken in recente analyses, met een opmerkelijke stijging van jaar tot jaar. Los daarvan suggereert industrieel onderzoek dat meer dan de helft van de ransomware-incidenten in 2025 en 2026 terug te voeren is op ongepatchte of slecht onderhouden systemen. Dit zijn geen abstracte risico’s. Een werknemer met geldige referenties die verbinding maakt vanaf een gecompromitteerd apparaat, geeft een aanvaller een geverifieerd, vertrouwd toegangspunt tot je omgeving.
Apparaatposture checks dichten deze kloof. Ze evalueren de beveiligingsstatus van het eindpunt op het moment van verbinding en continu tijdens de sessie. Als het apparaat de controle niet doorstaat, wordt de toegang geweigerd of beperkt tot een lager vertrouwensbereik. Dit is het verschil tussen een Zero Trust model dat echt werkt en een model dat er alleen op papier goed uitziet. Onze Zero Trust architectuurgids beschrijft hoe posture checks passen binnen de bredere architectuur.
Wat NIS2 en CyberFundamentals verwachten van toegangscontrole
De Belgische NIS2-wet is actief sinds april 2024. Essentiële entiteiten moeten ten minste een basis of belangrijke CyberFundamentals (CyFun)-verificatie krijgen tegen 18 april 2026. Belangrijke entiteiten kunnen hetzelfde proces vrijwillig ondergaan om conformiteit aan te tonen. De CyFun 2025-editie is afgestemd op NIST CSF 2.0 en organiseert controles op basis van zes functies: Regeren, Identificeren, Beschermen, Detecteren, Reageren en Herstellen.
Controles van de apparaatstatus worden direct gekoppeld aan verschillende CyFun-besturingselementen onder de Protect-functie.
| CyFun controlegebied | Wat de auditor controleert | Hoe apparaathouding helpt |
|---|---|---|
| Toegangscontrole | Handhaving van least-privilege, toegangsbeslissingen op basis van identiteit | Posture voegt apparaatcontext toe aan elke toegangsbeslissing, niet alleen identiteit |
| Beheer van bedrijfsmiddelen | Inventaris van apparaten die toegang hebben tot het netwerk | Posture checks vereisen apparaatregistratie, waardoor een live inventarisatie ontstaat |
| Beveiliging van gegevens | Encryptie van gegevens in rust en tijdens doorvoer | Schijfversleuteling is een standaard houdingssignaal |
| Beschermende technologie | Beveiligingscontroles van eindpunten zijn actief en actueel | OS-versie, status van eindpuntbeveiliging en status van firewall zijn verifieerbare signalen |
| Configuratiebeheer | Apparaten voldoen aan een gedefinieerde beveiligingsstandaard | Postuurprofielen coderen uw baseline en dwingen deze automatisch af |
Het belangrijkste punt voor auditors is aantoonbaarheid. Een houdingscontrole die automatisch wordt uitgevoerd, elk resultaat logt en apparaten blokkeert die niet aan de eisen voldoen, levert sterker bewijs dan een beleidsdocument dat beschrijft wat er zou moeten gebeuren. Onze checklist voor NIS2-compliance omvat alle controles die je moet voorbereiden.
Welke houdingssignalen je moet controleren
Niet elk houdingssignaal weegt even zwaar. Begin met de signalen die gemakkelijk te verifiëren en moeilijk te omzeilen zijn en die direct relevant zijn voor je risicoprofiel. Later kunt u uitbreiden.
Verplichte basislijn (begin hier)
Versie van het besturingssysteem en patchniveau. Dit is het meest impactvolle signaal. Een endpoint met een OS-versie die geen beveiligingsupdates meer ontvangt, is een open doelwit. Bepaal een minimaal ondersteunde versie voor elk platform (Windows, macOS, Linux, iOS, Android) en werk de drempel elk kwartaal bij.
Schijfversleuteling. Volledige schijfversleuteling (BitLocker op Windows, FileVault op macOS) beschermt gegevens als een apparaat verloren raakt of gestolen wordt. Voor NIS2 laat dit zien dat bescherming van gegevens in rust zich uitstrekt tot de eindpuntlaag.
Registratie- of beheerstatus van het apparaat. Is het apparaat geregistreerd in uw endpoint management systeem of geregistreerd in uw ZTNA platform? Dit scheidt bekende van onbekende apparaten en geeft u een basis voor al het andere.
Aanbevolen toevoegingen (fase twee)
Status van eindpuntbeveiliging. Controleer of het apparaat actieve endpointbeveiliging heeft met actuele definities. Hiervoor is geen specifiek product nodig, maar bewijs dat het apparaat wordt verdedigd.
Schermvergrendeling en time-out voor inactiviteit. Een apparaat dat niet vergrendeld is achtergelaten in een coffeeshop is een apparaat dat iedereen kan gebruiken. Vereis een schermvergrendeling met een maximale inactiviteitstijd.
Firewall status. De lokale firewall moet ingeschakeld zijn. Dit is een lichte controle die een veelvoorkomend gat dicht.
Beveiligd opstarten. Op ondersteunde hardware voorkomt beveiligd opstarten dat rootkits en malware op opstartniveau worden geladen voordat het besturingssysteem start.
Geavanceerde signalen (fase drie)
Apparaatidentiteit op basis van certificaten. Geef apparaatcertificaten uit via uw endpoint management systeem. Dit bindt een specifiek apparaat aan een specifieke identiteit, waardoor het veel moeilijker wordt om de registratie van apparaten te vervalsen.
Jailbreak of rootdetectie. Controleer voor mobiele apparaten of het besturingssysteem is aangepast op manieren die de ingebouwde beveiligingscontroles omzeilen.
Browserversie. Verouderde browsers zijn een veel voorkomende aanvalsvector. Als je applicaties toegankelijk zijn via een webbrowser, is de browservaluta van belang.
Stapsgewijze configuratie
Deze sectie doorloopt het configuratieproces. De stappen zijn platformonafhankelijk, maar komen overeen met hoe SASE-platformen met geïntegreerde ZTNA omgaan met houding.
Stap 1: Inventariseer uw apparaten
Voordat je een enkele posture regel schrijft, moet je op een rijtje zetten wat er met je omgeving verbonden is. Verdeel apparaten in drie categorieën.
Beheerde endpoints zijn laptops en desktops die eigendom zijn van het bedrijf en geregistreerd zijn in uw endpoint management systeem. U hebt volledige controle over hun configuratie.
BYOD en persoonlijke apparaten zijn apparaten van werknemers die voor het werk worden gebruikt. Je kunt hun houding controleren, maar mogelijk kun je herstel niet direct afdwingen.
Agentless apparaten zijn printers, IoT-sensoren, vergaderruimtesystemen en industriële apparatuur. Deze kunnen geen posture agent uitvoeren. Ze hebben een andere aanpak nodig, met name inline isolatie door middel van hardware zoals NIAC appliances die hun communicatie beperken tot goedgekeurde flows. In onze gids over microsegmentatie wordt uitgelegd hoe je met deze apparaten omgaat binnen een Zero Trust-model.
Stap 2: Definieer je houdingprofielen
Maak minstens twee profielen aan.
Standaardprofiel (voor beheerde apparaten die toegang hebben tot bedrijfstoepassingen): OS-versie is actueel en wordt ondersteund. Schijfcodering is ingeschakeld. Apparaat is geregistreerd. Endpointbeveiliging is actief. Firewall is ingeschakeld.
Beperkt profiel (voor BYOD of apparaten die de standaardcontrole niet doorstaan): Alleen toegang via browser. Beperkt toepassingsgebied. Geen toegang tot gevoelige gegevensopslag. TLS-inspectie kan van toepassing zijn.
Maak voor administratieve toegang tot netwerkinfrastructuur of gevoelige systemen een derde verhoogd profiel aan dat veilige opstartverificatie, op certificaten gebaseerde apparaatidentiteit en een maximale sessieduur toevoegt.
Stap 3: Verbind uw identiteitsprovider
Apparaatstatuscontroles zijn het meest effectief in combinatie met identiteitscontext. Verbind uw identity provider (Microsoft Entra ID, Okta, Google Workspace of een andere SAML/OIDC-compatibele IdP) met uw ZTNA-platform. Synchroniseer gebruikersgroepen zodat het toegangsbeleid kan combineren wie de gebruiker is, tot welke groep hij behoort en in welke staat zijn apparaat zich bevindt. Onze gids voor integratie van identity providers behandelt de technische stappen.
Stap 4: toegangsbeleid opstellen dat verwijst naar houding
Dit is waar houding handhaving wordt, niet alleen zichtbaarheid. Definieer voor elke applicatie een toegangsbeleid dat drie voorwaarden bevat: gebruikersidentiteit (groepslidmaatschap), authenticatiesterkte (MFA-methode) en apparaathouding (aan welk profiel het apparaat moet voldoen).
Een praktisch voorbeeld voor een financiële toepassing:
| Voorwaarde | Vereiste |
|---|---|
| Gebruikersgroep | Financieel team |
| Authenticatie | Phishing-bestendige MFA |
| Apparaat | Standaardprofiel (beheerd, versleuteld, huidig OS, endpointbeveiliging actief) |
| Toegangsbereik | Alleen financiële applicatie en vereiste API’s |
| Sessie logging | Volledig controlespoor |
Als het apparaat niet slaagt voor de posture check, wordt de toegang geweigerd. De gebruiker ontvangt een herstelbericht waarin wordt uitgelegd wat er moet veranderen: het besturingssysteem bijwerken, codering inschakelen of het apparaat registreren.
Stap 5: Implementeer eerst in monitormodus
Laat je posture-beleid één tot twee weken in de monitormodus draaien. Dit betekent dat het beleid de houding evalueert en het resultaat logt, maar de toegang niet blokkeert. Bekijk de logboeken om te identificeren:
- Apparaten die zouden falen en hersteld moeten worden voor de handhaving
- Te streng beleid dat legitiem werk zou blokkeren
- Gaten in je apparaatinventaris (apparaten waar je niets vanaf wist)
Pas je profielen aan op basis van wat je leert. Ga vervolgens over op de handhavingsmodus, begin met applicaties met een laag risico en breid dit uit naar bedrijfskritische systemen over een periode van twee tot vier weken. In onze gids over veelgemaakte ZTNA-fouten lees je waarom een gefaseerde uitrol ontsporing van het project voorkomt.
Stap 6: Logging en nalevingsrapportage configureren
Elke houdingsevaluatie moet een logboekvermelding genereren met daarin: de tijdstempel, de identiteit van de gebruiker, de identificatie van het apparaat, elk gecontroleerd houdingssignaal en het resultaat ervan, het algemene resultaat geslaagd of niet geslaagd en de toegangsbeslissing (toegekend, geweigerd of beperkt).
Stream deze logs naar je SIEM of centrale logging platform. Maak twee standaardrapporten.
Wekelijks overzicht van de naleving van de houding. Toont het percentage sessies dat door de posture-controles kwam, de belangrijkste redenen voor falen en trends in de tijd.
Maandelijks toegangsbeheerrapport. Brengt de naleving van de houding in kaart met CyFun-controles, zodat auditors kunnen zien dat uw technische controles actief zijn, gemeten worden en verbeteren.
Deze rapporten worden onderdeel van uw CyberFundamentals evidence pack. Wanneer uw conformiteitsbeoordelingsinstantie (CAB) uw Protect-controles beoordeelt, kunt u aantonen dat de houding van apparaten automatisch wordt afgedwongen, centraal wordt gelogd en regelmatig wordt beoordeeld.
Omgaan met apparaten die geen agent kunnen uitvoeren
Printers, IoT-sensoren, schermen in vergaderruimten en industriële apparatuur vormen een andere uitdaging. Ze kunnen geen posture agent uitvoeren, wat betekent dat traditionele posture checks niet van toepassing zijn. Als je ze op hetzelfde netwerk laat als beheerde endpoints, creëer je precies de laterale bewegingspaden waarvan NIS2 verwacht dat je ze afsluit.
Het antwoord is inline isolatie. Plaats agentloze apparaten achter een netwerkisolatie-appliance die hun communicatie beperkt tot expliciet gedefinieerde flows. Een printer kan de printserver bereiken. Een sensor kan zijn gegevensverzamelaar bereiken. Verder niets. Dit is geen “OT-beveiliging” in de strikte zin; het is een veilige brug tussen IT en OT die agentloze middelen onder Zero Trust controle brengt.
Voor omgevingen met industriële apparatuur kunnen speciaal gebouwde industriële netwerkcontrollers de specifieke protocollen en uptime-eisen van productielijnen aan zonder de werking te verstoren. De ransomware-analyse van het ziekenhuis laat zien wat er gebeurt als agentless medische apparaten worden achtergelaten op platte netwerken.
Houdingscontroles in de praktijk: twee Belgische scenario’s
Scenario 1: Een productiebedrijf met 120 werknemers verspreid over twee locaties. Het IT-team beheert 95 Windows laptops en 15 macOS apparaten. De fabrieksvloer heeft 30 PLC’s, HMI’s en sensoren waarop geen agents kunnen draaien. Het bedrijf is geclassificeerd als een belangrijke entiteit onder NIS2.
Configuratie: Beheerde apparaten moeten voldoen aan het standaard postureprofiel (huidige Windows 11 of macOS 14+, BitLocker of FileVault ingeschakeld, endpointbeveiliging actief). Fabrieksapparatuur bevindt zich achter NIAC-appliances met flows beperkt tot het MES-systeem en updateservers. Voor beheerderstoegang tot de netwerkinfrastructuur is het verhoogde profiel met op certificaten gebaseerde apparaatidentiteit en sessietijdlimieten vereist. Alle posture logs worden naar een centrale SIEM gestreamd. De IT-manager exporteert maandelijks een compliancerapport voor de directie, waarmee wordt voldaan aan de governance-eisen van CyFun.
Scenario 2: Een MSP die 12 klanten uit het middensegment beheert vanaf één console. Elke klant heeft tussen de 30 en 200 gebruikers, een mix van beheerde en persoonlijke apparaten en verschillende compliance-eisen.
Configuratie: De MSP maakt baseline posture-profielen aan als sjablonen in de multi-tenant console. Elke klant krijgt de standaard en beperkte profielen, met de optie om klantspecifieke signalen toe te voegen (een klant in de gezondheidszorg vereist bijvoorbeeld beveiligd opstarten). Beleidssjablonen verwijzen naar de identity provider en applicatie-inventaris van de klant. Per tenant zijn dashboards beschikbaar voor het naleven van het beleid en er worden bewijzen geëxporteerd voor de auditcyclus van elke klant. De MSP kan uniforme beleidshandhaving aantonen voor zijn hele portfolio zonder afzonderlijke tools voor elke klant te beheren.
Veelgemaakte fouten met apparaathouding
Te hoge eisen stellen aan de houding op de eerste dag. Als 40 procent van je apparaten de controle niet doorstaat, krijg je te maken met een golf van supporttickets en druk om het beleid uit te schakelen. Begin met drie signalen, bewijs dat het proces werkt en leg de lat dan hoger.
Controleer de houding alleen tijdens het verbinden. Een apparaat dat compliant was toen de sessie begon, kan tijdens de sessie niet-compliant worden (bijvoorbeeld als een gebruiker de firewall uitschakelt). Continue evaluatie vangt dit op.
Persoonlijke apparaten negeren. Als je werknemers persoonlijke telefoons gebruiken om transacties goed te keuren of toegang te krijgen tot e-mail, dan maken die apparaten deel uit van je aanvalsoppervlak. Pas het beperkte profiel toe met browsergebaseerde toegang en verruimde machtigingen.
Vergeten om de basislijn te documenteren. Het profiel zelf is documentatie, maar je hebt ook een schriftelijk beleid nodig dat uitlegt waarom elk signaal is gekozen, wie het heeft goedgekeurd en wanneer het voor het laatst is herzien. Auditors kijken naar governance, niet alleen naar technologie.
Agentloze apparaten als uitzonderingen behandelen. Elk apparaat dat je buiten posture enforcement of isolatie laat, is een gat dat een auditor zal vinden en een aanvaller zal uitbuiten.
Hoe Jimber apparaathouding eenvoudig maakt
Het SASE-platform van Jimber behandelt de apparaatstatus als een ingebouwde handhavingslaag, niet als een optionele add-on. Wanneer een gebruiker verbinding maakt via Zero Trust Network Access, controleert het platform zijn identiteit, beoordeelt het de apparaatstatus aan de hand van het geconfigureerde profiel en verleent het alleen toegang tot specifieke applicaties als aan beide voorwaarden is voldaan.
Houdingssignalen worden verzameld via de Jimber agent op beheerde apparaten. Voor persoonlijke apparaten biedt browsergebaseerde toegang met beperkte rechten een gecontroleerd alternatief. Voor agentloze apparatuur biedt NIAC-hardware inline isolatie die de communicatie beperkt tot goedgekeurde flows, waardoor het gat wordt gedicht dat traditionele benaderingen openlaten.
Alle posture-evaluaties, toegangsbeslissingen en beleidswijzigingen worden bijgehouden in de enkele beheerconsole. Rapporten kunnen worden geëxporteerd voor CyFun evidence packs, worden gestreamd naar een SIEM of in realtime worden bekeken. Voor MSP’s past de multi-tenant console posturesjablonen toe op verschillende klantomgevingen met consistente handhaving en transparante rapportage.
Het resultaat is een posture check workflow die automatisch wordt uitgevoerd, het bewijsmateriaal genereert dat NIS2 vereist en beheersbaar blijft voor een klein IT-team.
Klaar om apparaatposture-controles te configureren die voldoen aan je volgende audit? Boek een demo en zie hoe posture enforcement werkt in Jimber’s single cloud-managed console.
FAQ
Vertragen apparaatcontroles de gebruikerservaring?
De evaluatie van de houding gebeurt in milliseconden tijdens de verbindingshanddruk. Gebruikers zien een naadloze aanmelding. Als hun apparaat een controle niet doorstaat, krijgen ze een duidelijk bericht waarin wordt uitgelegd wat ze moeten doen, wat sneller is dan het oplossen van problemen met een geblokkeerde VPN-verbinding.
Kan ik per applicatie verschillende houdingsvereisten afdwingen?
Ja. Voor gevoelige applicaties zoals financiële systemen of beheerconsoles is een strengere beveiliging nodig (versleuteling, veilig opstarten, identiteit op basis van certificaten). Toepassingen met een lager risico kunnen een lichtere baseline gebruiken. Dit voorkomt overblokkering terwijl sterke controles behouden blijven waar ze van belang zijn.
Wat gebeurt er als een apparaat niet meer voldoet tijdens een sessie?
Met continue houdingsevaluatie controleert het platform de toestand van apparaten opnieuw met gedefinieerde intervallen. Als een apparaat onder de vereiste basislijn komt, kan de sessie automatisch worden beperkt of beëindigd.
Hoe verhouden apparaatposture checks zich tot CyberFundamentals in België?
CyFun controles onder de Protect functie vereisen toegangscontrole, activabeheer en beschermende technologische maatregelen. Apparaat posture checks bieden geautomatiseerde handhaving en gedocumenteerd bewijs voor alle drie de gebieden. De logboeken en nalevingsrapporten komen direct overeen met wat conformiteitsbeoordelingsinstanties verwachten tijdens verificatie.
Hoe zit het met aannemers en externe gebruikers?
Pas het beperkte profiel toe met browsergebaseerde toegang, sessies met tijdsbeperking en goedkeuringsworkflows. Verhoogde verificatie vereisen voor gevoelige bronnen. Leg alle toegang vast voor auditdoeleinden. Dit voldoet aan de beveiligingsverwachtingen voor de toeleveringsketen van NIS2.
Heb ik EDR nodig om apparaatposture checks te implementeren?
EDR verdiept de zichtbaarheid van endpoints en maakt geautomatiseerde isolatie tijdens incidenten mogelijk, maar u kunt effectieve posture checks ook zonder EDR uitvoeren. Begin met OS-versie, encryptie en apparaatregistratie. Plan EDR-integratie als een toekomstige uitbreiding die telemetrie van endpoints toevoegt aan uw posture-evaluatie.
