Legacy-platformen blijven in Nederlandse overheidsorganisaties bestaan omdat stabiliteit en vertrouwde processen vaak zwaarder lijken te wegen dan veiligheidsrisico’s. Applicaties op Windows Server 2008 of oude Unix-varianten draaien soms nog cruciale ketens voor burgerdiensten, vergunningverlening of waterbeheer. Ze worden amper nog gepatcht, voldoen niet aan de Nederlandse Baseline voor Veilige Cloud en sluiten slecht aan op hedendaagse monitoring met Microsoft Defender XDR of Azure Sentinel. Tegelijkertijd is vervanging ingrijpend: eigenaars vrezen verstoring van publieke dienstverlening, contractcycli zijn traag en budgetten voor modernisering concurreren met dagelijkse exploitatie. Toch groeit de technische schuld elk jaar. Kwetsbaarheden stapelen zich op, kennis verdwijnt met pensionerende specialisten en rapportages richting BIO-auditors of de Algemene Rekenkamer worden steeds lastiger onderbouwd. Deze gids helpt u de paradox te doorbreken. We combineren bestuurlijke argumentatie, architectuurprincipes en operationele maatregelen zodat legacy-modernisering niet langer een abstract eindbeeld is, maar een concreet meerjarenprogramma met tastbare veiligheidswinst.
Deze gids beschrijft hoe u legacy-risico’s objectief inventariseert, hoe u besluitvorming richting bestuurders onderbouwt met BIO- en NIS2-eisen, welke migratiepaden passen bij verschillende workloads en hoe u gedurende de transitie aantoonbare beveiligingsmaatregelen borgt. Het resultaat is een gefaseerde aanpak die zowel technische schuld als organisatorische weerstand adresseert.
Plan per niet-migreerbaar systeem een pakket met netwerkisolatie, streng beheer via Privileged Access Workstations en realtime monitoring. Een provincie wist zo een mainframe op AIX veilig te houden: dedicated enclaves, streng changebeheer en Sentinel-regels die alle sessies logden. Dat leverde direct risicoreductie op en creëerde rust om de vervanging te ontwerpen.
Legacy Security Uitdagingen: Kwetsbaarheden van Verouderde Systemen
De grootste kwetsbaarheid van een legacy-omgeving zit in het feit dat leveranciers geen patches meer leveren terwijl het dreigingslandschap blijft evolueren. Zodra Microsoft, IBM of een nicheleverancier de support beëindigt, stopt de toevoer van beveiligingsupdates. Onderzoekers en aanvallers blijven ondertussen nieuwe zwakke plekken ontdekken, waardoor de kwetsbaarheidslijst jaar na jaar groeit. Nederlandse overheidsorganisaties die nog afhankelijk zijn van Windows Server 2008, oude AIX-versies of maatwerk op Oracle 11g, zien daardoor een structurele afwijking ontstaan tussen hun controles en de eisen uit de Baseline Informatiebeveiliging Overheid (BIO) of de Nederlandse Baseline voor Veilige Cloud. Zelfs wanneer change freezes worden ingezet om stabiliteit te bewaken, verandert het feit niet dat publiek beschikbare exploitcode klaarstaat voor iedere nieuwe flaw die aan het licht komt.
Naast de afwezigheid van patches is er sprake van fundamentele incompatibiliteit met moderne security tooling. Endpoint Detection and Response-agenten, sommige Purview-connectoren of Defender for Identity-sensoren ondersteunen simpelweg geen verouderde kernels of middleware. Daardoor ontstaat een observability-gap: de systemen met het grootste risico zijn het minst zichtbaar in SIEM-rapportages, waardoor detectie van credential dumping, laterale beweging of datadiefstal grotendeels afhankelijk wordt van netwerktelemetrie. In de praktijk leidt dat tot een onevenredig hoge belasting op SOC-analisten en tot discussies met toezichthouders over de volledigheid van logging, omdat belangrijke systemen geen integrale audittrail genereren.
Ook de architecturale keuzes van oudere platformen zorgen voor extra kwetsbaarheden. Veel legacy-applicaties vertrouwen op gedeelde serviceaccounts met vaste wachtwoorden, op custom authenticatiemechanismen zonder meervoudige authenticatie of op verouderde encryptiestacks die geen moderne ciphers ondersteunen. Daardoor is segmentatie vaak oppervlakkig en is privilege-escalatie eenvoudig. Zodra een aanvaller de perimeter passeert, kan hij zich vrij bewegen richting de kroonjuwelen die vaak in dezelfde enclave staan als ontwikkel- en testomgevingen. Het ontbreken van Infrastructure as Code of geautomatiseerde configuratiebeheer betekent bovendien dat wijzigingen slecht worden bijgehouden en kwaliteitsaudits voornamelijk handmatig verlopen.
Een extra dimensie is het verlies van kennis. Architecten of programmeurs die het systeem ooit hebben gebouwd, zijn met pensioen, freelancen elders of hebben nooit gedetailleerde documentatie achtergelaten. Vierkante meters aan technische schuld concentreren zich in het hoofd van een paar functioneel beheerders. Bij incidenten is men afhankelijk van deze enkeling, terwijl escalaties naar leveranciers onmogelijk zijn omdat contracten of sourcecode ontbreken. Hierdoor duurt een forensisch onderzoek langer, is de root-cause vaak niet aantoonbaar en is het lastig om richting CISO of CIO hard te maken dat het risico daadwerkelijk is opgelost. Dit staat haaks op de audittrail- en verantwoordingseisen die de Algemene Rekenkamer en het Agentschap Telecom (voor NIS2-critische processen) stellen.
Tot slot creëert de combinatie van technische en organisatorische factoren een strategische lock-in. Bestuurders onderschatten de werkelijke TCO, omdat licenties vaak al zijn afgeschreven en de kosten voor doorontwikkeling verdekt in maatwerkcontracten zitten. Daarmee ontbreekt een zakelijke prikkel om risico’s versneld te reduceren, terwijl de maatschappelijke schade van een verstoring juist toeneemt. Het is precies deze paradox die maakt dat legacy-modernisering niet alleen een technisch traject is, maar ook een governance- en cultuurvraagstuk waarin risicobewustzijn, wettelijke plichten en publieke verwachtingen samenkomen. Pas wanneer alle stakeholders erkennen dat uitstel het risico exponentieel vergroot, ontstaat de urgentie om de moderniseringsslag echt te plannen.
Programma-architectuur: Van Inventarisatie tot Gefaseerde Migratie
Een effectieve moderniseringsroadmap begint met een volledige inventarisatie van applicaties, afhankelijkheden, data-classificaties en hostinglocaties. Organisaties die de Nederlandse Baseline voor Veilige Cloud volgen, koppelen deze inventaris direct aan de BIO-objecten en aan een risicoweging waarin dreiging, kwetsbaarheid, impact en herstelbaarheid worden gescoord. Door deze matrix vroegtijdig te bespreken in de security board ontstaat transparantie over welke systemen het grootste risico vormen op verstoring van maatschappelijke diensten of op non-compliance met NIS2. Tegelijkertijd worden de benodigde controles op het gebied van logging, identity en dataresidency al in kaart gebracht zodat men niet alleen naar technologie kijkt, maar ook naar juridische randvoorwaarden zoals de Archiefwet en AVG.
Vervolgens wordt per systeem een doelarchitectuur opgesteld. Sommige workloads lenen zich voor herplatforming naar Azure Virtual Machines met moderne images, andere vragen om volledige herbouw op PaaS-componenten, terwijl bepaalde mainframe-achtige toepassingen beter worden vervangen door SaaS-diensten uit de markt. Belangrijk is dat de architectuurkeuzes expliciet worden beoordeeld op security by design. Denk aan het standaardiseren van Zero Trust-principes, het verplicht invoeren van Conditional Access voor beheerinterfaces en het toepassen van Infrastructure as Code, zodat configuraties reproduceerbaar en controleerbaar worden. Door security architects, enterprise architects en business owners gezamenlijk de zogenaamde “to-be” scenario’s te laten tekenen, ontstaat een gedeeld beeld dat helpt om budgetrondes en aanbestedingen te versnellen.
Het programmamanagement splitst de migratie vervolgens op in waves die aansluiten bij begrotingscycli en verandercapaciteit. Elke wave bevat een mix van quick wins (bijvoorbeeld kleinere services die snel naar containers zijn te verplaatsen) en strategische trekkers (zoals een kernregistratie). Vooraf worden acceptatiecriteria gedefinieerd: geen productiecutover zonder geautomatiseerde back-up, zonder monitoring in Sentinel en zonder geformaliseerde beheerprocessen. Door deze criteria in het projectportaal en de change board vast te leggen, wordt voorkomen dat technische teams onder druk legacy-systemen live zetten voordat de beveiligingsmaatregelen op niveau zijn.
Financiële governance is een tweede succesfactor. Legacy-modernisering concurreert met nieuwe beleidsinitiatieven, dus de businesscase moet verder gaan dan licentie- of hardwarekosten. Door scenario’s uit te werken waarin de kosten van stilstand, beveiligingsincidenten en handmatige beheerinspanningen worden gekwantificeerd, ontstaat een heldere ROI. Publieke organisaties koppelen hier bovendien verplichtingen uit de Comptabiliteitswet aan: investeringen worden gefaseerd over meerdere jaren, maar de risicoverlaging moet aantoonbaar zijn. Dat betekent dat elk trancherapport laat zien hoeveel systemen zijn uitgefaseerd, hoeveel compensatiemaatregelen actief blijven en welke nieuwe controles (bijvoorbeeld automatische compliance scans in Azure Policy) zijn geïmplementeerd.
Een vaak onderschat onderdeel van de roadmap is kwaliteitsborging. Elk migratiespoor krijgt een eigen test- en acceptatiepad waarin geautomatiseerde regressietests, security scans en ketenacceptatie verplicht zijn voordat business-eigenaren een go-live tekenen. Testdata-management en data masking worden standaard ingericht zodat privacyrisico’s niet verschuiven naar de nieuwe omgeving. Bovendien wordt per wave een lessons-learned-cyclus uitgevoerd waarin projectteams, SOC en change coordinators vastleggen welke risico’s opnieuw aandacht vragen. Zo ontstaat een continue verbeterlus die de resterende trajecten versnelt en tegelijkertijd de volwassenheid van het changeproces verhoogt.
Een laatste stap in de roadmap is de voorbereiding op secure decommissioning. Zodra een applicatie is gemigreerd, worden de oude omgevingen gecontroleerd ontmanteld: data wordt geschoond volgens Archiefwet-normen, credentials en secrets worden ingetrokken, logboeken worden gearchiveerd en fysieke hardware wordt vernietigd of gecertificeerd gewist. Deze fase voorkomt dat zombiesystemen blijven draaien of dat gevoelige gegevens in vergeten tapes of SAN’s achterblijven. Door dit onderdeel expliciet in de roadmap op te nemen, wordt de cyclus gesloten en krijgt het bestuur inzicht in de daadwerkelijk vrijgespeelde middelen en de structurele risicoreductie.
Transitie-operaties: Compenserende Controles, Monitoring en Menselijke Factoren
Tussen het besluit tot modernisering en de daadwerkelijke migratie kan gemakkelijk twee tot drie jaar zitten. In die periode moeten legacy-systemen veilig blijven functioneren. Een robuust transitie-operating model combineert technische, procedurele en menselijke maatregelen. Allereerst wordt netwerksegmentatie aangescherpt: legacy-servers worden in afzonderlijke enclaves geplaatst met microsegmentatie op basis van Azure Firewall of gespecialiseerde industriële firewalls, afhankelijk van het landschap. Alleen strikt noodzakelijke protocollen worden toegestaan en verkeer wordt continu inspecteerbaar gemaakt via span-poorten naar Sentinel of Defender for IoT. Zo wordt de aanvalsoppervlakte verkleind en ontstaat toch zichtbaarheid in de SOC.
Parallel daaraan worden identity- en toegangscontroles vernieuwd. Zelfs wanneer het onderliggende platform geen moderne agent ondersteunt, kan men administrators dwingen om via Privileged Access Workstations en just-in-time rollen in Entra ID in te loggen op jump servers. Op die manier blijft credential diefstal detecteerbaar en is er een gedetailleerd auditspoor. Waar legacy-applicaties nog lokale accounts gebruiken, worden wachtwoorden gemigreerd naar een centraal vault-platform, met automatische rotatie en integratie in het incidentresponsproces. Dit sluit aan op de eisen uit artikel 32 AVG en de BIO-maatregelen voor beheersmatige toegangsbeveiliging.
Monitoring en detectie krijgen eveneens een upgrade. Omdat traditionele agents ontbreken, wordt gewerkt met packet capture, host-based logs via syslog-converters of gespecialiseerde connectors die mainframe-logs naar Sentinel sturen. Machinelearningfilters in Microsoft Defender for Cloud Apps helpen afwijkend gedrag signaleren, bijvoorbeeld wanneer een oude FTP-service plotseling grote datasets naar een onbekend IP stuurt. Elke alert wordt gekoppeld aan runbooks die precies beschrijven hoe het legacy-platform veilig kan worden onderzocht zonder productie te verstoren. Deze runbooks worden regelmatig geoefend tijdens tafel-top scenario’s, inclusief het escalatiemechanisme richting toezichthouders en het Nationaal Cyber Security Centrum wanneer meldplichten gelden.
De menselijke factor verdient minstens zoveel aandacht. Operators die al jaren hetzelfde systeem beheren, ervaren modernisering soms als dreiging voor hun baanzekerheid. Door hun expertise juist centraal te zetten in het programma – bijvoorbeeld als proceseigenaar van het nieuwe platform of als reviewer van IaC-templates – ontstaat eigenaarschap. Tegelijkertijd worden opleidingen opgezet zodat beheerders de vaardigheden ontwikkelen om met moderne cloud-native tooling te werken. Awareness-sessies leggen uit waarom de Nederlandse Baseline voor Veilige Cloud strengere eisen stelt dan de oude praktijk en hoe audits steeds vaker real-time bewijs vragen in plaats van jaarlijkse papieren controles.
Naast technische en organisatorische maatregelen wordt actief samengewerkt met leveranciers en integrators. Service Level Agreements bevatten nu bepalingen over het aanleveren van logdata, deelname aan crisisoefeningen en het versneld implementeren van mitigaties zodra een kwetsbaarheid wordt ontdekt. Waar nodig worden tijdelijke retentiecontracten afgesloten zodat kritieke kennis beschikbaar blijft tot de nieuwe oplossing stabiel draait. Dit voorkomt dat organisaties in het heetst van de transitie alsnog voor voldongen feiten staan omdat de enige legacy-expert het programma verlaat.
Tot slot moeten metrieken worden ingericht die de voortgang en effectiviteit van de tijdelijke maatregelen aantonen. Denk aan een dashboard dat laat zien hoeveel legacy-systemen nog actief zijn, welke compensaties er per systeem draaien, hoeveel incidenten in de enclave zijn gedetecteerd en hoe snel runbooks zijn uitgevoerd. Deze data voedt de maandelijkse voortgangsrapportages aan de CIO en de Chief Risk Officer. Zodra een systeem gemigreerd is, wordt het dashboard automatisch geactualiseerd en verdwijnen de compenserende controles uit de actieve monitoring. Zo blijft het programma wendbaar en kunnen bestuurders aantonen dat zowel de transitie als de dagelijkse beveiliging onder controle is.
Modernisering van legacy-systemen is geen luxeproject maar een noodzakelijke randvoorwaarde om de continuïteit van publieke dienstverlening te beschermen en te voldoen aan de Nederlandse Baseline voor Veilige Cloud, BIO en NIS2. Het alternatief – uitstel op uitstel – vergroot de kans op incidenten, vertraagt audits en maakt organisaties afhankelijk van schaarse individuen die hun kennis niet altijd kunnen of willen overdragen. Door een programmatische aanpak te kiezen, ontstaat er ritme: elke tranche levert meetbare risicoreductie op, compenserende maatregelen blijven onder regie en bestuurders zien concrete voortgang.
Belangrijk is dat veiligheid en modernisering niet los van elkaar worden gepland. Iedere migratie is een kans om Zero Trust-principes, geautomatiseerde compliance en geïntegreerde monitoring direct in de nieuwe omgeving te borgen. Tegelijkertijd blijft de bestaande omgeving aantoonbaar veilig omdat netwerkisolatie, identity-controls en runbooks professioneel worden beheerd. Zo voorkomt u dat auditors of toezichthouders de transitie beschouwen als een zwakke plek.
Wie vandaag begint met een volledige inventarisatie, een gedragen roadmap en een stevig transitie-operating model, kan binnen enkele jaren de balans omdraaien: de meeste kritieke processen draaien dan op beheersbare, ondersteunbare platformen en de overblijvende legacy vormt geen blokkerende technische schuld meer. Dat geeft ruimte om innovaties sneller door te voeren en om nieuwe wetgeving – van AI Act tot toekomstige soevereiniteitskaders – met vertrouwen tegemoet te treden.