Netwerksegmentatie is een van de meest effectieve technische maatregelen die je kunt nemen om je organisatie te beveiligen en tegelijkertijd te voldoen aan de NIS2-vereisten. Door je netwerk op te splitsen in afzonderlijke segmenten beperk je de schade die een aanvaller kan aanrichten als hij eenmaal binnen is. In plaats van vrij spel door je hele infrastructuur stuit hij op grenzen die verdere verspreiding tegenhouden.
In dit artikel doorloop je stap voor stap hoe je netwerksegmentatie inricht op een manier die aansluit bij de NIS2 compliance-eisen. Van het bepalen van je segmenten tot het valideren en documenteren van je architectuur: na het lezen van deze gids weet je precies wat je moet doen en in welke volgorde.
Bepaal welke netwerksegmenten je nodig hebt
Begin met een grondige inventarisatie van je netwerk voordat je ook maar één firewall-regel aanpast. Netwerksegmentatie inrichten zonder dit overzicht is bouwen zonder fundering. Je doel in deze stap is te begrijpen welke systemen, gebruikers en datastromen je organisatie heeft, en hoe gevoelig die zijn.
- Breng alle systemen in kaart: servers, werkstations, IoT-apparaten, productiesystemen en cloudverbindingen.
- Classificeer de gegevens die op elk systeem worden verwerkt: persoonsgegevens, financiële informatie, operationele data of publiek toegankelijke informatie.
- Identificeer welke systemen met elkaar moeten communiceren voor normale bedrijfsvoering en welke verbindingen eigenlijk niet nodig zijn.
- Groepeer systemen op basis van functie en risicoprofiel: een HR-systeem met persoonsgegevens hoort in een ander segment dan een publieke webserver.
Typische segmenten die organisaties onderscheiden zijn: een kantoornetwerk voor medewerkers, een serverzone voor interne applicaties, een DMZ voor systemen die bereikbaar zijn vanaf het internet, een beheersnetwerk voor IT-beheerders en eventueel een apart segment voor OT- of productiesystemen. Na deze stap heb je een helder beeld van welke segmenten logisch zijn voor jouw situatie. Dat overzicht vormt de basis voor alles wat volgt.
Stel toegangsbeleid per segment op
Met je segmentindeling op papier is de volgende stap het vastleggen wie en wat toegang krijgt tot elk segment. Dit toegangsbeleid is niet alleen een technisch document, het is ook een beleidsmatige verplichting onder NIS2. De richtlijn vereist aantoonbaar beleid voor toegangsbeheer als onderdeel van de zorgplicht.
- Definieer per segment welke gebruikersgroepen toegang nodig hebben en op welke manier (direct, via VPN, via een jump server).
- Pas het principe van least privilege toe: geef gebruikers en systemen alleen de minimale toegang die ze nodig hebben voor hun taak.
- Beschrijf welke communicatie tussen segmenten is toegestaan, inclusief protocol, poortnummer en richting van het verkeer.
- Leg vast hoe toegang wordt verleend, ingetrokken en gecontroleerd, inclusief de rol van multi-factorauthenticatie voor gevoelige segmenten.
Documenteer dit beleid in een toegangsmatrix: een overzicht per segment met toegestane verbindingen, verantwoordelijke eigenaren en de reden voor elke uitzondering. NIS2 vereist dat je dit soort beslissingen kunt verantwoorden tegenover toezichthouders. Een toegangsmatrix maakt die verantwoording concreet en controleerbaar. Zorg ook dat het beleid aansluit bij je bredere beveiligingsbeleid, zodat er geen tegenstrijdigheden ontstaan tussen documenten.
Implementeer technische segmentatie met firewalls en VLANs
Nu het beleid staat, vertaal je dat naar technische maatregelen. De twee meest gebruikte technieken voor netwerksegmentatie zijn VLANs (Virtual Local Area Networks) op switchniveau en firewallregels op netwerkniveau. Samen vormen ze een gelaagde verdediging die aansluit bij de risicogebaseerde benadering die NIS2 voorschrijft.
VLANs configureren
Configureer op je managed switches aparte VLANs voor elk segment dat je hebt gedefinieerd. Wijs elk VLAN een uniek ID toe en koppel de juiste switchpoorten aan het bijbehorende VLAN. Zorg dat inter-VLAN-verkeer standaard geblokkeerd is en alleen via de firewall loopt, zodat je volledige controle hebt over wat er tussen segmenten beweegt.
Firewallregels instellen
Stel op je firewall of next-generation firewall (NGFW) expliciete regels in voor elk toegestaan communicatiepad tussen segmenten. Werk op basis van een “deny all, permit by exception”-principe: alles wat niet expliciet is toegestaan, wordt geblokkeerd. Voeg logging toe aan alle regels, zodat je later kunt reconstrueren welk verkeer er heeft plaatsgevonden. Dit is niet alleen goede beveiligingspraktijk, het ondersteunt ook de meldplicht en incidentrespons die NIS2 vereist.
Controleer na implementatie of het verkeer daadwerkelijk via de firewall loopt door een eenvoudige verbindingstest uit te voeren tussen twee segmenten. Als verkeer dat geblokkeerd zou moeten zijn toch doorkomt, is er een configuratiefout in je VLAN-tagging of firewallregels. Los dit op voordat je verdergaat naar de volgende stap.
Valideer de segmentatie met een vulnerability scan of pentest
Een netwerksegmentatie die op papier klopt maar in de praktijk lekken vertoont, biedt valse zekerheid. Validatie is daarom geen optionele stap, maar een noodzakelijk onderdeel van je implementatie. Onder NIS2 wordt van organisaties verwacht dat zij aantoonbaar testen of hun beveiligingsmaatregelen effectief zijn.
- Voer een vulnerability scan uit vanuit elk segment om te controleren welke systemen in andere segmenten bereikbaar zijn.
- Vergelijk de resultaten met je toegangsmatrix: elke verbinding die de scan vindt maar niet in de matrix staat, is een afwijking die je moet onderzoeken en oplossen.
- Test specifiek op veelvoorkomende segmentatielekken: misconfigureerde trunk-poorten, firewall-regels met te brede IP-ranges, en onbedoeld doorgaand beheerverkeer.
- Overweeg een red team test waarbij een ethische hacker actief probeert segmentgrenzen te doorbreken, voor een realistischer beeld van je weerbaarheid.
Leg de bevindingen vast in een rapportage en koppel elk gevonden probleem aan een concrete actie met een eigenaar en deadline. Na het oplossen van de bevindingen voer je een hertest uit om te bevestigen dat de lekken zijn gedicht. Dit iteratieve proces, testen, verbeteren, hertesten, is precies de dynamische benadering die moderne cybersecurity vraagt en die NIS2 beoogt te stimuleren.
Documenteer en onderhoud je segmentatiearchitectuur
Netwerksegmentatie is geen eenmalig project. Systemen worden toegevoegd, applicaties veranderen en bedreigingen evolueren. Documentatie en onderhoud zorgen ervoor dat je segmentatie actueel en effectief blijft, en dat je bij een audit of incident snel kunt aantonen hoe je netwerk is ingericht.
- Stel een netwerkdiagram op dat alle segmenten, VLAN-IDs, firewallzones en toegestane verkeersstromen weergeeft en houd dit actueel bij elke wijziging.
- Leg een changemanagementproces vast: elke aanpassing aan de segmentatiearchitectuur doorloopt een beoordeling voordat deze wordt doorgevoerd.
- Plan periodieke reviews, minimaal jaarlijks, waarbij je controleert of de segmentindeling nog aansluit bij de actuele bedrijfsprocessen en het dreigingslandschap.
- Koppel de documentatie aan je bredere informatiebeveiligingsbeleid en zorg dat de eigenaren van elk segment bekend zijn en hun verantwoordelijkheid kennen.
Goede documentatie is ook een directe ondersteuning van je NIS2-verplichtingen. Bij een significant cyberincident moet je binnen 24 uur een eerste melding kunnen doen. Als je netwerktopologie goed gedocumenteerd is, kun je veel sneller bepalen welke systemen zijn geraakt en wat de impact is. Bovendien maakt actuele documentatie het eenvoudiger om toezichthouders inzicht te geven in je beveiligingsarchitectuur wanneer dat gevraagd wordt.
Hoe Q-Cyber helpt met netwerksegmentatie en NIS2
Netwerksegmentatie inrichten voor NIS2 vraagt om zowel technische kennis als beleidsmatige expertise. Wij begeleiden organisaties door dit hele traject, van de eerste inventarisatie tot de validatie en doorlopende monitoring. Concreet bieden wij:
- Gap-analyse en advies: We brengen in kaart waar jouw huidige netwerkinrichting afwijkt van de NIS2-vereisten en adviseren pragmatische stappen om dit te verbeteren.
- Beleidsschrijven: We stellen toegangsbeleid, segmentatiearchitectuur en bijbehorende procedures op die aansluiten bij de zorgplicht onder de Cyberbeveiligingswet.
- Technische validatie: Via vulnerability scans en pentests controleren we of je segmentatie in de praktijk effectief is en stellen we een concreet verbeterplan op.
- Virtuele CISO via Continuous-Q: Voor organisaties die structurele ondersteuning nodig hebben, bieden we een team van specialisten dat doorlopend meekijkt en bijstuurt.
- Onafhankelijk en transparant: We zijn niet gebonden aan softwarepartijen of leveranciers, zodat ons advies altijd in jouw belang is.
Wil je weten waar jouw organisatie staat en wat de volgende stap is? Neem contact met ons op voor een vrijblijvend gesprek.