L1 BIO 12.03.01 ISO A.8.13

Disaster Recovery Planning In Azure: Strategische Continuïteitsplanning Voor Nederlandse Overheidsorganisaties

📅 2025-01-27
⏱️ 25 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Disaster Recovery Planning vormt de strategische basis voor bedrijfscontinuïteit binnen Azure-cloudomgevingen en is een kritieke vereiste voor Nederlandse overheidsorganisaties die essentiële diensten leveren aan burgers. Een goed doordacht disaster recovery-plan beschrijft niet alleen technische herstelprocedures, maar definieert ook Recovery Time Objectives (RTO) en Recovery Point Objectives (RPO) per workload, identificeert kritieke afhankelijkheden, beschrijft escalatieprocedures en legt verantwoordelijkheden vast voor crisismanagement. Door gebruik te maken van Azure Site Recovery, Azure Backup, geo-redundante opslag en automatische failover-mechanismen kunnen organisaties aantoonbaar voldoen aan compliance-eisen zoals BIO-paragraaf 12.03, ISO 27001 control A.8.13, AVG artikel 32 en de aankomende NIS2-richtlijn. Het opstellen van een disaster recovery-plan is echter geen eenmalige activiteit, maar een continu proces waarbij scenario's regelmatig worden getest, procedures worden bijgewerkt op basis van lessen geleerd, en nieuwe workloads automatisch worden opgenomen in de herstelstrategie. Voor Nederlandse publieke organisaties die steeds meer afhankelijk zijn van digitale dienstverlening, vormt een solide disaster recovery-plan daarom de fundamentele verzekering tegen langdurige uitval, gegevensverlies en reputatieschade.

Aanbeveling
Implementeer en test een gedocumenteerd disaster recovery-plan voor alle kritieke Azure-workloads zodat herstel binnen de afgesproken RTO en RPO aantoonbaar mogelijk is en voldoet aan compliance-eisen.
Risico zonder
Critical
Risk Score
10/10
Implementatie
24u (tech: 16u)
Van toepassing op:
Azure Tenant
Azure Resources
Hybride omgevingen

Zonder een goed doordacht disaster recovery-plan lopen Nederlandse overheidsorganisaties het risico op langdurige dienstuitval bij natuurrampen, cyberaanvallen, hardwarestoringen of menselijke fouten. Wanneer een kritieke applicatie zoals een zaaksysteem, een mGBA-omgeving of een belastingdienstplatform uitvalt zonder een getest herstelplan, kan de dienstverlening aan burgers dagen of weken stilvallen. Dit leidt niet alleen tot bestuurlijke verantwoordelijkheid en mogelijke boetes van toezichthouders, maar ook tot verlies van vertrouwen bij burgers en reputatieschade die jaren kan aanhouden. Bovendien verlangen wettelijke kaders zoals de BIO-paragraaf 12.03, ISO 27001 control A.8.13, AVG artikel 32 en de aankomende NIS2-richtlijn dat organisaties aantoonbaar in staat zijn om beschikbaarheid en integriteit snel te herstellen. Zonder een gedocumenteerd en getest disaster recovery-plan mislukt iedere audit op deze onderdelen, wat kan resulteren in aanwijzingen, dwangsommen of zelfs intrekking van vergunningen. Denk aan scenario's waarbij een ransomware-aanval een volledige regio treft, waarbij een datacenterbrand alle primaire systemen vernietigt, of waarbij een configuratiefout alle databases corrupt maakt: zonder een vooraf getest herstelplan moet het crisisteam improviseren, wat leidt tot langere hersteltijden, hogere kosten en grotere risico's op fouten. Door een gestructureerd disaster recovery-plan op te stellen, regelmatig te testen en te integreren met change management-processen, bouwt men een cultuur op waarin veerkracht net zo belangrijk is als functionaliteit.

PowerShell Modules Vereist
Primary API: Azure Resource Manager, Azure Site Recovery, Azure Backup
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.RecoveryServices, Az.Resources, Az.Compute, Az.Network

Implementatie

Een solide disaster recovery-planning start met het identificeren van alle kritieke workloads, het definiëren van acceptabele RTO- en RPO-waarden per applicatie, en het documenteren van technische afhankelijkheden zoals databases, netwerkconfiguraties, identiteitsproviders en externe services. Vervolgens wordt per workload een herstelstrategie gekozen die past bij de risicoklasse: warme standby voor kritieke systemen met lage RTO, koude standby voor minder kritieke workloads, of multi-region active-active voor systemen die zero-downtime vereisen. Daarna worden technische implementaties uitgevoerd met Azure Site Recovery voor VM-replicatie, Azure Backup voor gegevensbescherming, geo-redundante opslag voor automatische failover, en Azure Traffic Manager voor intelligente verkeersroutering. Tot slot worden procedures gedocumenteerd, rollen en verantwoordelijkheden vastgelegd, communicatieplannen opgesteld, en regelmatige hersteltests gepland zodat het plan aantoonbaar werkt en blijft aansluiten bij veranderende omstandigheden. Organisaties die volwassen willen werken, automatiseren deze processen met PowerShell-scripts, integreren monitoring met Azure Monitor en Microsoft Defender for Cloud, en publiceren rapportages in hun service management-portaal zodat bestuurders realtime inzicht hebben in de staat van hun disaster recovery-capaciteiten.

Vereisten

  1. Een actief Azure-abonnement met toegang tot Azure Site Recovery, Azure Backup en geo-redundante opslagservices is noodzakelijk zodat replicatie, back-ups en automatische failover kunnen worden geconfigureerd zonder technische beperkingen. Leg in het abonnement een disaster recovery-eigenaar vast en zorg dat change- en incidentprocessen bekend zijn met de herstelstrategie. Documenteer bovendien welke resourcegroepen, abonnementen en regio's onderdeel zijn van het disaster recovery-bereik, zodat audits eenvoudig kunnen controleren of de juiste scope wordt beschermd, en stem dit overzicht af met het assetregister en het business continuity plan.
  2. Een formeel goedgekeurd business continuity plan moet bestaan waarin per kritieke workload de RTO en RPO zijn gedefinieerd, escalatieprocedures zijn beschreven, en verantwoordelijkheden zijn vastgelegd voor crisismanagement, technisch herstel en communicatie. Het plan hoort onderdeel uit te maken van het informatiebeveiligingsplan en moet minimaal jaarlijks worden herzien of direct na een incident. Gebruik een risicoclassificatie voor workloads zodat prioriteiten duidelijk zijn en resources efficiënt worden ingezet. Laat het plan goedkeuren door het managementteam en zorg dat alle betrokkenen toegang hebben tot de actuele versie.
  3. Functionele en technische beheerders hebben Contributor- of hoger rechten nodig op zowel de primaire als de disaster recovery-resources, aangevuld met Reader-rollen voor auditors, zodat herstelacties kunnen worden uitgevoerd terwijl scheiding van functies behouden blijft. Richt privileged access workstations in voor deze handelingen en log alle beheeracties via Azure Activity Logs en Defender for Cloud. Maak gebruik van just-in-time toegangsverlening zodat langdurige permanente rechten worden voorkomen en configureer break-glass accounts voor noodsituaties waarbij normale authenticatie niet beschikbaar is.
  4. Financiële dekking is nodig voor replicatiekosten, opslagkosten in de secundaire regio, en eventuele licentie- en netwerkkosten; reken op circa 50-100% van de primaire kosten voor een volledige disaster recovery-omgeving, zodat budgethouders niet verrast worden door onverwachte uitgaven. Neem deze bedragen op in meerjarenramingen en koppel ze aan cloudkostenbeheer zodat afdelingen tijdig bijsturen. Overweeg Azure Reserved Instances voor disaster recovery-resources om kosten te optimaliseren zonder flexibiliteit te verliezen.
  5. Het architectuurteam moet per workload vastleggen hoeveel gegevensverlies acceptabel is (Recovery Point Objective) en hoe snel een systeem terug online moet zijn (Recovery Time Objective), zodat technische implementaties aansluiten op bedrijfscontinuïteitsdoelstellingen. Laat deze waarden bevestigen door de proceseigenaar en leg ze vast in het Business Continuity Plan zodat er geen discussie ontstaat tijdens een incident. Documenteer ook afhankelijkheden tussen workloads zodat cascade-effecten worden begrepen en prioriteiten kunnen worden gesteld tijdens herstelacties.
  6. Organisaties hebben een gedocumenteerd testplan nodig waarin minimaal per kwartaal een representatieve herstelactie wordt gepland, inclusief rollen, testdata, evaluatiecriteria en communicatieprocedures, zodat management bewijs krijgt dat disaster recovery daadwerkelijk werkt. Gebruik een lessons-learned-sjabloon en koppel verbetermaatregelen aan werkorders of user stories. Neem ook ketentesten op waarin afhankelijkheden zoals key vaults, DNS, netwerkbeveiliging en externe services worden gecontroleerd. Test verschillende scenario's zoals regionale uitval, ransomware, of gedeeltelijke beschadiging zodat teams flexibel blijven.
  7. Monitoring- en meldingsmechanismen moeten vooraf worden gekoppeld aan het SOC of de 24/7-operators; elke replicatiefout, back-upmislukking of configuratie-afwijking moet automatisch een waarschuwing genereren die opgevolgd wordt binnen de afgesproken service levels. Definieer duidelijke escalatieroutes en meet de reactietijd zodat bestuurders kunnen vertrouwen op snelle interventies. Documenteer daarnaast welke meldingen direct rapportageplichtig zijn richting toezichthouders en zorg dat alle incidenten worden geregistreerd in het ITSM-systeem voor trendanalyse en verbetering.

Implementatie

Gebruik PowerShell-script disaster-recovery-planning.ps1 (functie Invoke-Implementation) – Gebruik dit PowerShell-script om op schaal disaster recovery-configuraties uit te rollen, replicatie in te richten, failover-mechanismen te testen en compliance te monitoren binnen meerdere abonnementen met uniforme logging en foutafhandeling..

STAP 1 beschrijft het zorgvuldig inventariseren van alle kritieke workloads en het definiëren van RTO- en RPO-waarden per applicatie. Dit vormt de basis voor alle technische keuzes en moet daarom worden uitgevoerd in samenwerking met business-eigenaren, proceseigenaren en het architectuurteam. Documenteer niet alleen de technische specificaties, maar ook de bedrijfsimpact van uitval, de afhankelijkheden tussen systemen, en de externe partijen die betrokken zijn bij herstelacties.

  1. Organiseer workshops met business-eigenaren en proceseigenaren om per kritieke workload de acceptabele uitvaltijd en het acceptabele gegevensverlies te definiëren, zodat RTO- en RPO-waarden aansluiten bij bedrijfsbehoeften en niet worden overschat of onderschat.
  2. Classificeer workloads op basis van kritikaliteit: Tier 0 voor systemen die binnen minuten moeten herstellen met minimaal gegevensverlies, Tier 1 voor systemen die binnen uren moeten herstellen, en Tier 2 voor systemen die binnen dagen kunnen herstellen. Gebruik deze classificatie om prioriteiten te stellen en resources efficiënt in te zetten.
  3. Documenteer technische afhankelijkheden zoals databases, storage accounts, key vaults, netwerkconfiguraties, DNS-records en externe API's, zodat tijdens herstelacties alle benodigde componenten worden meegenomen en cascade-effecten worden voorkomen.
  4. Identificeer externe afhankelijkheden zoals leveranciers, cloudproviders, certificeringsinstanties en communicatiediensten, en documenteer contactgegevens, escalatieprocedures en alternatieve routes zodat herstel niet wordt geblokkeerd door externe factoren.
  5. Leg de inventarisatie vast in een centraal register, koppel deze aan het assetregister en het change management-proces, en zorg dat wijzigingen automatisch worden doorgevoerd zodat het disaster recovery-plan altijd actueel blijft.

STAP 2 bestaat uit het kiezen van de juiste herstelstrategie per workload op basis van RTO, RPO, kosten en technische complexiteit. Verschillende strategieën hebben verschillende voor- en nadelen, en de keuze moet worden gemaakt in overleg met finance, security en operations teams.

  1. Kies voor warme standby wanneer workloads een lage RTO vereisen maar kosten een overweging zijn: configureer Azure Site Recovery voor continue replicatie naar een secundaire regio, houd resources in een gestopte staat om kosten te besparen, en activeer automatische failover binnen de afgesproken RTO.
  2. Kies voor koude standby wanneer workloads een hogere RTO kunnen accepteren: maak gebruik van Azure Backup voor periodieke back-ups, herstel resources op aanvraag naar een secundaire regio, en accepteer een langere hersteltijd in ruil voor lagere operationele kosten.
  3. Kies voor multi-region active-active wanneer workloads zero-downtime vereisen en kosten geen primaire beperking vormen: deploy workloads gelijktijdig in meerdere regio's, gebruik Azure Traffic Manager voor intelligente verkeersroutering, en implementeer database-replicatie voor consistente gegevens tussen regio's.
  4. Overweeg hybride strategieën waarbij verschillende componenten verschillende herstelstrategieën gebruiken: bijvoorbeeld warme standby voor databases maar koude standby voor applicatieservers, of active-active voor frontend maar warme standby voor backend.
  5. Documenteer de gekozen strategie per workload, inclusief de onderbouwing, de verwachte kosten, en de technische implementatie, zodat audits kunnen verifiëren dat keuzes intentioneel zijn gemaakt en aansluiten bij bedrijfsbehoeften.

STAP 3 richt zich op het technisch implementeren van de gekozen herstelstrategie met Azure Site Recovery, Azure Backup, geo-redundante opslag en automatische failover-mechanismen. Deze implementatie moet worden uitgevoerd volgens best practices en moet worden getest voordat deze in productie wordt genomen.

Gebruik PowerShell-script disaster-recovery-planning.ps1 (functie Invoke-Monitoring) – Het script biedt een geautomatiseerde controle op replicatiestatus, back-upstatus, failover-readiness en configuratie-compliance per workload en publiceert de resultaten naar het monitoringdashboard..

  1. Configureer Azure Site Recovery voor virtuele machines door een Recovery Services-kluis in te richten in de secundaire regio, replicatiebeleid te definiëren met de juiste RPO-instellingen, en virtuele machines te koppelen aan het replicatiebeleid zodat continue replicatie automatisch start.
  2. Activeer geo-redundante opslag voor storage accounts, databases en andere data-services zodat gegevens automatisch worden gerepliceerd naar een gekoppelde regio en beschikbaar blijven bij regionale uitval zonder handmatige interventie.
  3. Configureer Azure Traffic Manager of Azure Front Door voor intelligente verkeersroutering op basis van beschikbaarheid, latency en prestaties, zodat verkeer automatisch wordt omgeleid naar gezonde regio's wanneer de primaire regio uitvalt.
  4. Implementeer automatische failover-mechanismen met Azure Automation, Logic Apps of Azure Functions die monitoring uitvoeren, gezondheidschecks uitvoeren, en failover activeren wanneer bepaalde drempelwaarden worden overschreden, zodat herstel plaatsvindt zonder handmatige interventie.
  5. Test de implementatie grondig door gecontroleerde failover-tests uit te voeren, hersteltijden te meten, en gegevensintegriteit te verifiëren, zodat zeker is dat de technische implementatie voldoet aan de afgesproken RTO- en RPO-waarden voordat deze in productie wordt genomen.

STAP 4 valideert dat het disaster recovery-plan niet alleen technisch werkt, maar ook organisatorisch en procedureel is ingebed. Zonder duidelijke procedures, rollen en verantwoordelijkheden, en regelmatige tests, blijft disaster recovery een papieren zekerheid die faalt wanneer deze daadwerkelijk nodig is.

  1. Documenteer gedetailleerde herstelprocedures per workload, inclusief stapsgewijze instructies, verwachte doorlooptijden, benodigde rollen en rechten, en contactgegevens van betrokken partijen, zodat het crisisteam deze kan volgen zonder extra uitleg tijdens een incident.
  2. Definieer duidelijke rollen en verantwoordelijkheden voor crisismanagement, technisch herstel, communicatie en besluitvorming, en zorg dat alle betrokkenen weten wat van hen wordt verwacht en hoe zij elkaar kunnen bereiken tijdens een incident.
  3. Stel een communicatieplan op dat beschrijft hoe stakeholders worden geïnformeerd over incidenten, welke kanalen worden gebruikt voor interne en externe communicatie, en wie verantwoordelijk is voor het opstellen en goedkeuren van berichten, zodat communicatie snel en consistent verloopt.
  4. Plan minimaal per kwartaal een scenario-gestuurde test waarbij niet alleen techniek wordt getest, maar ook procedures, communicatie en besluitvorming, zodat het volledige disaster recovery-plan wordt geoefend en verbeterd op basis van lessons learned.
  5. Integreer het disaster recovery-plan met change management-processen zodat nieuwe workloads automatisch worden opgenomen in de herstelstrategie, wijzigingen in configuraties worden doorgevoerd in beide regio's, en het plan altijd actueel blijft zonder handmatige interventie.

monitoring

Gebruik PowerShell-script disaster-recovery-planning.ps1 (functie Invoke-Monitoring) – Automatiseer dagelijkse controles op replicatiestatus, back-upstatus, failover-readiness en configuratie-compliance, en integreer de resultaten met SIEM- of ITSM-workflows zodat afwijkingen altijd een opvolgtaak genereren..

  1. Controleer dagelijks in Azure Site Recovery en Azure Backup of alle replicaties en back-ups succesvol zijn afgerond en onderzoek afwijkingen direct zodat herstelpunten nooit ouder zijn dan de afgesproken RPO. Registreer elke bevinding in het ITSM-systeem en sluit deze pas wanneer de volgende run bewezen succesvol is uitgevoerd. Documenteer de oorzaak-analyse en deel deze met ontwikkelteams zodat structurele fouten al tijdens de releaseplanning worden opgelost. Gebruik tagging om kritieke systemen prioriteit te geven wanneer meerdere incidenten tegelijk optreden en leg per incident vast welke lessons learned zijn toegepast.
  2. Stel waarschuwingen in via Azure Monitor, e-mail en Microsoft Teams zodat de piketdienst onmiddellijk een melding ontvangt bij replicatiefouten, back-upmislukkingen, configuratie-afwijkingen of overschreden RPO/RTO, en verbind opvolgacties aan duidelijke runbooks. Test de meldingen maandelijks door een gecontroleerde fout te simuleren en verifieer dat alle communicatiestromen werken. Verbreed de alerting met webhook-integraties richting SIEM of SOAR zodat automatisering direct herstelacties kan starten. Evalueer per kwartaal de drempelwaarden en zorg dat deze aansluiten bij veranderende workloads en bedrijfsbehoeften.
  3. Gebruik wekelijks het overzicht van Azure Site Recovery en Azure Backup of een geautomatiseerd PowerShell-rapport om te bevestigen dat iedere kritieke workload daadwerkelijk is geconfigureerd voor disaster recovery en corrigeer afwijkingen voordat nieuwe releases live gaan. Combineer dit met Azure Resource Graph zodat ook shadow-IT resources zichtbaar worden. Publiceer de resultaten in een gedeeld dashboard zodat productowners inzicht hebben in de disaster recovery-status van hun applicaties. Neem afwijkingen op in het risicoregister totdat aantoonbaar herstel is uitgevoerd.
  4. Controleer maandelijks of RTO- en RPO-waarden nog aansluiten bij bedrijfsbehoeften en of technische implementaties nog voldoen aan deze waarden, en documenteer eventuele afwijkingen inclusief compensatiemaatregelen. Houd een overzicht bij van alle wijzigingen in RTO/RPO inclusief onderbouwing en verantwoordelijke zodat trends kunnen worden geanalyseerd. Werk dit overzicht bij in het ISMS zodat auditors een directe referentie hebben en zorg dat management deze wijzigingen goedkeurt voordat ze worden doorgevoerd.
  5. Monitor het resourceverbruik en de kosten van de disaster recovery-omgeving en vergelijk dit met begrotingen; significante groei kan wijzen op inefficiënte configuraties of ongewenste replicaties en moet daarom direct worden besproken met finance en capacity management. Visualiseer trends in Power BI zodat besluitvorming over optimalisatie wordt ondersteund. Stel drempelwaarden in die automatisch een kostendossier openen wanneer het verbruik een afgesproken percentage overschrijdt. Neem hier ook voorspellingen in op zodat toekomstige investeringen tijdig kunnen worden aangevraagd.
  6. Plan ieder kwartaal een integraal disaster recovery-test waarbij techniek, documentatie, procedures, communicatie en besluitvorming worden getest; leg bevindingen vast en voer verbeteringen direct door in beleid en scripts. Betrek naast IT ook proceseigenaren, communicatieadviseurs en crisiscoördinatoren om de volledige keten te oefenen. Wissel scenario's af, bijvoorbeeld regionale uitval, ransomware, of gedeeltelijke beschadiging, zodat teams flexibel blijven. Rapporteer doorlooptijden, herstelpercentages en lessons learned aan het directieteam.
  7. Gebruik Azure Policy en Microsoft Defender for Cloud-aanbevelingen om realtime te meten of nieuwe of gewijzigde resources voldoen aan de verplichte disaster recovery-standaard en lever rapportages aan het auditteam. Koppel deze inzichten aan het risicoregister en bespreek structurele afwijkingen in het beveiligingsoverleg. Vertaal de bevindingen naar concrete verbeteracties met eigenaar, deadline en meetmethode. Zorg dat audittrail-gegevens minimaal zeven jaar beschikbaar blijven voor forensisch onderzoek en controleer jaarlijks of de rapportage-indeling nog aansluit bij auditwensen.

Compliance en Auditing

Disaster recovery-planning is geen optionele luxe maar een harde compliance-eis binnen vrijwel alle relevante normenkaders. De CIS Azure Foundations Benchmark schrijft in control 7.3 voor dat Azure Backup moet zijn geconfigureerd, en in control 9.1 dat organisaties moeten beschikken over een gedocumenteerd disaster recovery-plan. De Baseline Informatiebeveiliging Overheid (BIO) concretiseert dit in hoofdstuk 12.03 door te eisen dat reservekopieën periodiek, gecontroleerd en beveiligd worden opgeslagen buiten de primaire productieomgeving, en in hoofdstuk 12.04 door te eisen dat herstelprocedures zijn gedocumenteerd en getest. ISO 27001:2022 control A.8.13 benadrukt bovendien dat organisaties niet alleen back-ups moeten maken, maar ook de procedures, verantwoordelijkheden en testresultaten moeten documenteren. De aankomende NIS2-richtlijn, artikel 21, verplicht aanbieders van essentiële en belangrijke diensten om maatregelen te treffen die de continuïteit garanderen, waarbij herstelvermogen na cyberincidenten expliciet wordt genoemd. Ook de AVG (artikel 32) eist dat verwerkingsverantwoordelijken technische en organisatorische maatregelen treffen om de beschikbaarheid en veerkracht van systemen te borgen; zonder een getest disaster recovery-plan is herstel van persoonsgegevens onmogelijk en voldoet men niet aan deze bepaling. Betaalkaartomgevingen vallen onder PCI-DSS eis 12.10, waarin business continuity en disaster recovery planning centraal staan. Daarnaast verwijzen sectorale normen zoals ENSIA, DigiD-beveiligingseisen en Norea IT-auditstandaarden expliciet naar gedocumenteerde disaster recovery-plannen en regelmatige tests. In audits vragen toezichthouders standaard naar disaster recovery-plannen, testverslagen, RTO/RPO-documentatie, rollen en verantwoordelijkheden, en bewijs van regelmatige tests. Een organisatie die deze bewijslast niet paraat heeft, loopt risico op aanwijzingen, dwangsommen of zelfs intrekking van vergunningen en subsidies. Aangezien de Nederlandse publieke sector steeds meer afhankelijk is van digitale dienstverlening, kan het niet aantonen van functionerende disaster recovery-capaciteiten leiden tot bestuurlijke maatregelen, politieke verantwoordelijkheid en verlies van vertrouwen bij burgers. Het opstellen, testen en monitoren van disaster recovery-plannen is daarmee een onmisbare bouwsteen om naleving van wet- en regelgeving te waarborgen. Zorg daarom dat ieder disaster recovery-plan wordt goedgekeurd door het informatiebeveiligingsberaad, dat uitzonderingen schriftelijk worden vastgelegd, en dat evidence minimaal zeven jaar wordt bewaard. Combineer technische logging met verklaringen van proceseigenaren, zodat auditors zowel harde cijfers als managementcommitment zien. Leg per test vast welke scenario's zijn geoefend, welke KPI's zijn gehaald, en welke verbeteracties zijn geformuleerd, zodat trendanalyse over meerdere jaren mogelijk wordt. Maak gebruik van Azure Policy compliance-rapporten en exporteer deze naar het ISMS, zodat auditteams real-time inzicht hebben in de status van workloads. Beschrijf in de auditkalender welke datasets wanneer worden aangeleverd en wijs een eigenaar per rapport aan zodat deadlines nooit worden gemist. Houd daarnaast een mapping bij tussen iedere control en de specifieke Azure-resources waarop deze van toepassing is, zodat nieuwe collega's snel begrijpen waar bewijs te vinden is. Plan halfjaarlijkse gesprekken met de interne auditdienst en externe toezichthouders om verwachtingen af te stemmen en te laten zien welke verbeteringen zijn doorgevoerd. Werk tenslotte met control dashboards waarin per eis een status, risiconiveau en verantwoordelijke wordt getoond, zodat bestuurders continu inzicht houden. Voeg indien nodig aanvullende contractuele clausules toe in leveranciersovereenkomsten zodat ook ketenpartners aantoonbaar dezelfde normen volgen en leg deze afspraken vast in het inkoopbeleid. Leg dit geheel vast in het jaarverslag zodat bestuurders publiekelijk verantwoording afleggen. Alleen zo kan men aantonen dat de Nederlandse Baseline voor Veilige Cloud daadwerkelijk in de praktijk wordt gebracht en dat continuïteit en rechtszekerheid aantoonbaar zijn geborgd.

Remediatie

Gebruik PowerShell-script disaster-recovery-planning.ps1 (functie Invoke-Remediation) – Dit script configureert ontbrekende disaster recovery-instellingen, activeert replicatie voor niet-beschermde workloads, corrigeert configuratie-afwijkingen en initieert onmiddellijk een eerste replicatie zodat naleving snel wordt hersteld. Het remediation-proces voert in één run een volledige ketencontrole uit: detectie van niet-beschermde workloads op basis van tag- of resourcegroepselectie, validatie van rolrechten, configuratie van Azure Site Recovery en Azure Backup, en het opnieuw toewijzen van het juiste replicatie- of back-upbeleid. Vervolgens wordt replicatie geactiveerd of herstart, worden pending jobs opgeschoond en wordt een on-demand replicatie of back-up gestart zodat er direct een vers herstelpunt beschikbaar is voor audits. Het script schrijft uitgebreide logging weg naar zowel het scherm als een Log Analytics-werkruimte, inclusief tijdstempels, betrokken resources, toegepaste policies en eventuele fouten, waardoor forensische traceerbaarheid gewaarborgd blijft. Voor productieomgevingen kan een dry-run vlag worden gebruikt die alleen rapportages genereert; hiermee kunnen beheerders de impact vooraf beoordelen en noodzakelijke onderhoudsvensters plannen. Indien er afhankelijkheden zijn, zoals Key Vault-referenties of privé-eindpunten, controleert de logica automatisch of deze bereikbaar zijn voordat er wijzigingen worden doorgevoerd. Na afloop ontvangt het SOC een samenvattende melding via webhook of e-mail zodat opvolgacties en ticketregistratie direct kunnen plaatsvinden. Het script voorziet bovendien in ingebouwde validatie van RTO- en RPO-parameters, zodat alleen beleid wordt toegepast dat voldoet aan de afgesproken eisen uit de Nederlandse Baseline voor Veilige Cloud. Herstelacties worden standaard voorzien van een change-identificatie die kan worden teruggeleid naar het CAB-dossier, waardoor governance geborgd blijft. Daarnaast worden alle aangebrachte wijzigingen gespiegeld naar een configuration management database zodat asset-, eigenaar- en impactinformatie automatisch wordt bijgewerkt. Bij fouten kan het script per resource een rollback uitvoeren waarbij de vorige configuratie wordt teruggezet en een incidentmelding wordt aangemaakt voor nadere analyse. Met parameterbestanden kunnen organisaties verschillende omgevingen (bijvoorbeeld OT, ontwikkel of productie) met één scriptversie herstellen terwijl specifieke policies, regio's en netwerkrestricties behouden blijven. Dankzij ingebouwde integratie met Azure Monitor kunnen herstelacties metrics publiceren zoals duur van de initiële replicatie, aantal herstelde workloads en resterende afwijkingen, wat helpt bij managementrapportages. Het script ondersteunt tevens staged deployments waarbij eerst een subset van workloads wordt hersteld en pas na succesvolle validatie de volledige scope wordt geactiveerd. Authenticatie verloopt via beheerde identiteiten of workloadidentiteiten, waardoor geheimen niet lokaal hoeven te worden opgeslagen en het script voldoet aan zero-trustprincipes. Daarnaast bevat het playbook een self-test modus die de belangrijkste functies doorloopt en de resultaten tegen de schema.json-validatieset houdt, zodat updates van het script eenvoudig gecontroleerd kunnen worden voordat het in productie gebruikt wordt. Voor kritieke workloads biedt het een optionele integratie met het change management-portaal waarbij automatisch een reviewtaak voor de applicatie-eigenaar wordt aangemaakt, inclusief bewijs van de uitgevoerde replicaties. Tot slot kan het script een overzichtsrapport genereren met alle aangepaste workloads, gekoppelde policies en nieuwe herstelpunten, zodat auditors in één document de volledige remedial scope kunnen beoordelen. Desgewenst kan het rapport automatisch aan het ISMS of het ENSIA-portaal worden toegevoegd zodat bewijs direct beschikbaar is voor inspecties. In combinatie met de documentatie bij het script vormt dit een volledig draaiboek voor herstel van niet-conforme disaster recovery-situaties binnen de context van de Nederlandse Baseline voor Veilige Cloud..

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Disaster Recovery Planning .DESCRIPTION CIS Azure Foundations Benchmark - Controls 7.3, 9.1 Controleert of disaster recovery-planning is geconfigureerd voor Azure-workloads. .NOTES Filename: disaster-recovery-planning.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Controls: 7.3, 9.1 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.RecoveryServices, Az.Resources, Az.Compute, Az.Network [CmdletBinding()] param( [Parameter()] [switch]$Monitoring ) $ErrorActionPreference = 'Stop' $PolicyName = "Disaster Recovery Planning" function Connect-RequiredServices { if (-not (Get-AzContext -ErrorAction SilentlyContinue)) { Connect-AzAccount -ErrorAction Stop | Out-Null } } function Test-Compliance { <# .SYNOPSIS Controleert of disaster recovery-configuraties zijn geconfigureerd voor kritieke workloads .OUTPUTS PSCustomObject met TotalVMs, VMsWithReplication, VMsWithBackup, RecoveryVaults, ComplianceStatus #> [CmdletBinding()] param() $vaults = Get-AzRecoveryServicesVault -ErrorAction SilentlyContinue $allVMs = Get-AzVM -ErrorAction SilentlyContinue $vmsWithReplication = 0 $vmsWithBackup = 0 $protectedWorkloads = 0 foreach ($vault in $vaults) { Set-AzRecoveryServicesVaultContext -Vault $vault -ErrorAction SilentlyContinue | Out-Null try { # Controleer VM replicatie via Azure Site Recovery $replicationContainers = Get-AzRecoveryServicesAsrReplicationProtectedItem -ErrorAction SilentlyContinue if ($replicationContainers) { $vmsWithReplication += $replicationContainers.Count $protectedWorkloads += $replicationContainers.Count } # Controleer VM back-ups $vmContainers = Get-AzRecoveryServicesBackupContainer -ContainerType AzureVM -ErrorAction SilentlyContinue if ($vmContainers) { $vmsWithBackup += $vmContainers.Count } } catch { Write-Verbose "Kon replicatie-containers voor vault '$($vault.Name)' niet ophalen: $_" } } # Controleer geo-redundante storage accounts $storageAccounts = Get-AzStorageAccount -ErrorAction SilentlyContinue $geoRedundantStorage = 0 foreach ($sa in $storageAccounts) { if ($sa.SkuName -like "*GRS*" -or $sa.SkuName -like "*RAGRS*" -or $sa.SkuName -like "*GZRS*" -or $sa.SkuName -like "*RAGZRS*") { $geoRedundantStorage++ } } # Controleer of VMs zijn beschermd $vmProtected = 0 foreach ($vm in $allVMs) { $isProtected = $false # Check replicatie foreach ($vault in $vaults) { Set-AzRecoveryServicesVaultContext -Vault $vault -ErrorAction SilentlyContinue | Out-Null $replicationItem = Get-AzRecoveryServicesAsrReplicationProtectedItem -ErrorAction SilentlyContinue | Where-Object { $_.FriendlyName -eq $vm.Name -or $_.FabricObjectId -eq $vm.Id } if ($replicationItem) { $isProtected = $true break } } # Check backup als geen replicatie if (-not $isProtected) { foreach ($vault in $vaults) { Set-AzRecoveryServicesVaultContext -Vault $vault -ErrorAction SilentlyContinue | Out-Null $container = Get-AzRecoveryServicesBackupContainer -ContainerType AzureVM -ErrorAction SilentlyContinue | Where-Object { $_.FriendlyName -eq $vm.Name -or $_.VirtualMachineId -eq $vm.Id } if ($container) { $isProtected = $true break } } } if ($isProtected) { $vmProtected++ } } # Bepaal compliance status $complianceStatus = "Non-Compliant" if ($vaults.Count -gt 0 -and ($vmsWithReplication -gt 0 -or $vmsWithBackup -gt 0)) { if ($allVMs.Count -eq 0 -or ($vmProtected -eq $allVMs.Count -and $allVMs.Count -gt 0)) { $complianceStatus = "Compliant" } elseif ($vmProtected -gt 0) { $complianceStatus = "Partially Compliant" } } [PSCustomObject]@{ TotalVaults = $vaults.Count TotalVMs = $allVMs.Count VMsWithReplication = $vmsWithReplication VMsWithBackup = $vmsWithBackup VMsProtected = $vmProtected GeoRedundantStorage = $geoRedundantStorage TotalStorageAccounts = $storageAccounts.Count ComplianceStatus = $complianceStatus } } try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "" -ForegroundColor White Write-Host "========================================" -ForegroundColor Cyan Write-Host $PolicyName -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host ("Recovery Services Kluizen : {0}" -f $r.TotalVaults) -ForegroundColor White Write-Host ("Totaal Virtuele Machines : {0}" -f $r.TotalVMs) -ForegroundColor White Write-Host ("VMs met Replicatie : {0}" -f $r.VMsWithReplication) -ForegroundColor White Write-Host ("VMs met Backup : {0}" -f $r.VMsWithBackup) -ForegroundColor White Write-Host ("Beschermde VMs : {0}" -f $r.VMsProtected) -ForegroundColor $(if ($r.VMsProtected -eq $r.TotalVMs -and $r.TotalVMs -gt 0) { 'Green' } else { 'Yellow' }) Write-Host ("Geo-Redundante Storage : {0}/{1}" -f $r.GeoRedundantStorage, $r.TotalStorageAccounts) -ForegroundColor $(if ($r.GeoRedundantStorage -eq $r.TotalStorageAccounts -and $r.TotalStorageAccounts -gt 0) { 'Green' } else { 'Yellow' }) Write-Host ("Compliance Status : {0}" -f $r.ComplianceStatus) -ForegroundColor $(if ($r.ComplianceStatus -eq "Compliant") { 'Green' } elseif ($r.ComplianceStatus -eq "Partially Compliant") { 'Yellow' } else { 'Red' }) if ($r.ComplianceStatus -eq "Non-Compliant") { Write-Host "" -ForegroundColor White Write-Host "[WAARSCHUWING] Disaster recovery is niet correct geconfigureerd. Configureer Azure Site Recovery of Azure Backup voor kritieke workloads." -ForegroundColor Yellow } if ($r.TotalVMs -gt 0 -and $r.VMsProtected -lt $r.TotalVMs) { Write-Host "[WAARSCHUWING] Niet alle virtuele machines zijn beschermd door disaster recovery. Configureer replicatie of back-up voor ontbrekende VMs." -ForegroundColor Yellow } if ($r.TotalStorageAccounts -gt 0 -and $r.GeoRedundantStorage -lt $r.TotalStorageAccounts) { Write-Host "[WAARSCHUWING] Niet alle storage accounts gebruiken geo-redundante opslag. Overweeg GRS of GZRS voor kritieke data." -ForegroundColor Yellow } } else { $r = Test-Compliance Write-Host "" Write-Host ("Disaster Recovery: {0} kluizen, {1}/{2} VMs beschermd ({3} replicatie, {4} backup), {5}/{6} storage accounts geo-redundant" -f ` $r.TotalVaults, ` $r.VMsProtected, ` $r.TotalVMs, ` $r.VMsWithReplication, ` $r.VMsWithBackup, ` $r.GeoRedundantStorage, ` $r.TotalStorageAccounts) } } catch { Write-Error $_ exit 1 } # ================================================================================ # Standaard Invoke-* Functions (Auto-generated) # ================================================================================ function Invoke-Implementation { <# .SYNOPSIS Implementeert de disaster recovery-configuratie #> [CmdletBinding()] param() Invoke-Remediation } function Invoke-Monitoring { <# .SYNOPSIS Controleert de huidige disaster recovery status #> [CmdletBinding()] param() $Monitoring = $true try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "" -ForegroundColor White Write-Host "========================================" -ForegroundColor Cyan Write-Host $PolicyName -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host ("Recovery Services Kluizen : {0}" -f $r.TotalVaults) -ForegroundColor White Write-Host ("Totaal Virtuele Machines : {0}" -f $r.TotalVMs) -ForegroundColor White Write-Host ("VMs met Replicatie : {0}" -f $r.VMsWithReplication) -ForegroundColor White Write-Host ("VMs met Backup : {0}" -f $r.VMsWithBackup) -ForegroundColor White Write-Host ("Beschermde VMs : {0}" -f $r.VMsProtected) -ForegroundColor $(if ($r.VMsProtected -eq $r.TotalVMs -and $r.TotalVMs -gt 0) { 'Green' } else { 'Yellow' }) Write-Host ("Geo-Redundante Storage : {0}/{1}" -f $r.GeoRedundantStorage, $r.TotalStorageAccounts) -ForegroundColor $(if ($r.GeoRedundantStorage -eq $r.TotalStorageAccounts -and $r.TotalStorageAccounts -gt 0) { 'Green' } else { 'Yellow' }) Write-Host ("Compliance Status : {0}" -f $r.ComplianceStatus) -ForegroundColor $(if ($r.ComplianceStatus -eq "Compliant") { 'Green' } elseif ($r.ComplianceStatus -eq "Partially Compliant") { 'Yellow' } else { 'Red' }) if ($r.ComplianceStatus -eq "Non-Compliant") { Write-Host "" -ForegroundColor White Write-Host "[WAARSCHUWING] Disaster recovery is niet correct geconfigureerd. Configureer Azure Site Recovery of Azure Backup voor kritieke workloads." -ForegroundColor Yellow } if ($r.TotalVMs -gt 0 -and $r.VMsProtected -lt $r.TotalVMs) { Write-Host "[WAARSCHUWING] Niet alle virtuele machines zijn beschermd door disaster recovery. Configureer replicatie of back-up voor ontbrekende VMs." -ForegroundColor Yellow } if ($r.TotalStorageAccounts -gt 0 -and $r.GeoRedundantStorage -lt $r.TotalStorageAccounts) { Write-Host "[WAARSCHUWING] Niet alle storage accounts gebruiken geo-redundante opslag. Overweeg GRS of GZRS voor kritieke data." -ForegroundColor Yellow } } else { $r = Test-Compliance Write-Host "" Write-Host ("Disaster Recovery: {0} kluizen, {1}/{2} VMs beschermd ({3} replicatie, {4} backup), {5}/{6} storage accounts geo-redundant" -f ` $r.TotalVaults, ` $r.VMsProtected, ` $r.TotalVMs, ` $r.VMsWithReplication, ` $r.VMsWithBackup, ` $r.GeoRedundantStorage, ` $r.TotalStorageAccounts) } } catch { Write-Error $_ exit 1 } } function Invoke-Remediation { <# .SYNOPSIS Herstelt de disaster recovery-configuratie naar de gewenste staat .DESCRIPTION Dit script controleert de huidige status en geeft aanwijzingen voor het configureren van disaster recovery. Voor automatische remediatie is aanvullende configuratie nodig met specifieke vault-, policy- en regio-namen. #> [CmdletBinding()] param() Write-Host "[INFO] Dit script voert een monitoring-check uit en geeft aanwijzingen voor configuratie." -ForegroundColor Yellow Write-Host "[INFO] Voor volledige remediatie: configureer eerst Recovery Services-kluizen, Azure Site Recovery en back-upbeleid via Azure Portal of Azure Policy." -ForegroundColor Yellow Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan Invoke-Monitoring }

Risico zonder implementatie

Risico zonder implementatie
Critical: Wanneer organisaties geen gedocumenteerd en getest disaster recovery-plan hebben, leidt een enkele regionale uitval, ransomware-aanval of natuurramp onmiddellijk tot langdurige dienstuitval, permanent gegevensverlies en onherstelbare reputatieschade. De organisatie kan weken uit de lucht zijn en loopt contractuele boetes, AVG-meldplichten, bestuurlijke verantwoordelijkheid en mogelijke boetes van toezichthouders op. Financiële verliezen kunnen oplopen tot miljoenen euro's door herstelkosten, noodinvesteringen, uitgestelde dienstverlening en verlies van vertrouwen. Daarnaast mislukt iedere audit op BIO, ISO 27001 en NIS2-onderdelen zodra blijkt dat er geen aantoonbaar herstelvermogen aanwezig is.

Management Samenvatting

Disaster recovery-planning levert gedocumenteerde herstelprocedures, technische implementaties met Azure Site Recovery en Azure Backup, en regelmatige tests die aantonen dat organisaties kunnen herstellen binnen afgesproken RTO en RPO. Met een investering van enkele weken planning en implementatie wordt voldaan aan CIS 7.3 en 9.1, BIO 12.03 en 12.04, ISO 27001 A.8.13, AVG artikel 32 en NIS2. Plan kwartaalgewijze tests, documenteer procedures en koppel monitoring aan het SOC om continuïteit te garanderen.