Netwerksegmentatie is een van de meest concrete technische maatregelen die je kunt nemen om te voldoen aan de NIS2-richtlijn. Door je netwerk op te splitsen in afzonderlijke zones beperk je de schade als er toch iets misgaat: een aanvaller die toegang krijgt tot één segment kan niet zomaar doorstoten naar de rest van je systemen. Voor MKB-bedrijven die onder de NIS2 netwerk beveiliging vereisten vallen, is dit geen optionele extra maar een verwachte basisinrichting.
In deze handleiding doorloop je stap voor stap hoe je netwerksegmentatie voor NIS2 inricht: van de voorbereiding tot de documentatie die je nodig hebt bij een audit. Volg de stappen in volgorde, want elke fase bouwt voort op de vorige.
Wat je nodig hebt voordat je begint
Voordat je begint met het technisch inrichten van segmenten, moet je een aantal zaken op orde hebben. Zonder deze basis loop je het risico dat je segmentatie onvolledig is of niet aansluit op de NIS2-risicocriteria.
- Een actueel overzicht van alle apparaten, servers en applicaties in je netwerk
- Toegang tot je firewallbeheeromgeving en netwerkswitches (met VLAN-ondersteuning)
- Inzicht in welke gebruikers toegang nodig hebben tot welke systemen
- Een basisbegrip van de NIS2-verplichtingen die op jouw organisatie van toepassing zijn
- Een contactpersoon of proceseigenaar die verantwoordelijk is voor netwerkbeveiliging
Controleer ook of je organisatie beschikt over een gedocumenteerd toegangsbeleid. Als dat er nog niet is, is dit het moment om dat op te stellen. NIS2 vereist niet alleen technische maatregelen, maar ook aantoonbaar beleid eromheen. Heb je hulp nodig bij de bredere ICT-beveiliging voor MKB, dan is het verstandig om dat parallel mee te nemen.
Breng kritieke systemen en gegevensstromen in kaart
Begin met een inventarisatie van alle systemen die kritieke gegevens verwerken of essentieel zijn voor je bedrijfsprocessen. Dit vormt de basis van je segmentatiestrategie. Zonder dit overzicht weet je niet welke systemen extra bescherming nodig hebben en welke gegevensstromen je moet bewaken.
- Maak een lijst van alle servers, werkstations, IoT-apparaten en cloudkoppelingen in je netwerk.
- Markeer welke systemen persoonsgegevens, financiële data of operationeel kritieke informatie verwerken.
- Teken de gegevensstromen tussen systemen uit: wie communiceert met wie, en via welk protocol?
- Identificeer externe toegangspunten zoals VPN-verbindingen, leverancierstoegang en remote desktopoplossingen.
Na deze stap heb je een visueel of schematisch overzicht van je netwerk. Controleer of alle verbindingen die je hebt ingetekend ook daadwerkelijk noodzakelijk zijn. Onnodige verbindingen vergroten het aanvalsoppervlak en moeten worden afgesloten voordat je verder gaat.
Definieer segmenten op basis van NIS2-risicocriteria
Met je netwerkoverzicht in hand bepaal je nu welke segmenten je aanmaakt. NIS2 vraagt om een risicogebaseerde aanpak: systemen met een hoog risicoprofiel of gevoelige gegevens horen in een strikt afgeschermd segment.
Een praktische indeling voor de meeste MKB-organisaties ziet er zo uit:
- Segment 1: Kantoornetwerk voor werkstations en algemene bedrijfsapplicaties
- Segment 2: Servernetwerk voor bestandsservers, databases en interne applicaties
- Segment 3: Beheernetwerk uitsluitend toegankelijk voor IT-beheerders
- Segment 4: Gastnetwerk voor bezoekers en apparaten zonder bedrijfscertificaat
- Segment 5: OT/IoT-netwerk voor printers, camera’s, sensoren of productieapparatuur
Wijs elk systeem uit je inventarisatie toe aan een segment op basis van het risicoprofiel en de benodigde toegang. Zorg ervoor dat het beheernetwerk volledig gescheiden is van de overige segmenten. Dit is een van de meest gemaakte fouten bij netwerk segmentatie inrichten: beheerverkeer dat door het kantoornetwerk loopt creëert een direct aanvalspad naar kritieke systemen.
Configureer firewalls en toegangsregels per segment
Nu je segmenten zijn gedefinieerd, ga je ze technisch implementeren via VLANs op je switches en firewallregels tussen de zones. Dit is de meest technische stap in het proces.
VLAN-configuratie
- Maak voor elk segment een apart VLAN aan op je managed switch (bijvoorbeeld VLAN 10 voor kantoor, VLAN 20 voor servers).
- Wijs de juiste switchpoorten toe aan het bijbehorende VLAN.
- Configureer trunk-poorten tussen de switch en je firewall zodat alle VLANs via één verbinding worden doorgegeven.
Firewallregels instellen
- Stel als uitgangspunt in: alles blokkeren, tenzij expliciet toegestaan (deny-all als standaard policy).
- Definieer per segment welk verkeer naar welk ander segment is toegestaan, op basis van je gegevensstroomoverzicht.
- Beperk toegang tot het beheernetwerk tot specifieke IP-adressen of beheerwerkstations.
- Schakel logging in voor alle verkeer dat de segmentgrenzen passeert.
Controleer na de configuratie of de regels werken zoals bedoeld: probeer vanaf een werkstation in het kantoornetwerk direct een server in het servernetwerk te bereiken zonder de geautoriseerde route. Als de verbinding wordt geblokkeerd, werkt de segmentatie correct. Voor organisaties die gebruikmaken van Microsoft 365 is het ook belangrijk om de Microsoft 365 beveiliging af te stemmen op je netwerksegmentatie, zodat cloudtoegang consistent is met je on-premises beleid.
Valideer de segmentatie met penetratietests en loganalyse
Een geconfigureerd netwerk is pas betrouwbaar als je hebt getest of de segmentatie ook echt standhoudt. NIS2 verwacht aantoonbare validatie van je beveiligingsmaatregelen, en dit is het moment om dat te documenteren.
- Voer een interne penetratietest uit waarbij je probeert te bewegen tussen segmenten via bekende technieken zoals ARP-spoofing of VLAN-hopping.
- Analyseer de firewalllogs na de test: worden pogingen om segmentgrenzen te overschrijden correct gelogd en geblokkeerd?
- Controleer of beheerverkeer uitsluitend via het beheernetwerk verloopt en nergens anders zichtbaar is.
- Laat de test bij voorkeur uitvoeren door iemand die de configuratie niet zelf heeft gedaan, om blinde vlekken te vermijden.
Na de test heb je een concreet testrapport dat je kunt bewaren als bewijs van je beveiligingsmaatregelen. Dit document is waardevol bij NIS2-audits. Gebruik de bevindingen ook om eventuele gaten in je configuratie direct te dichten. Overweeg daarnaast continue monitoring en updates in te richten, zodat afwijkingen in het netwerkverkeer automatisch worden gesignaleerd.
Onderhoud en documenteer je segmentatie voor NIS2-audits
Netwerksegmentatie is geen eenmalige actie. Je netwerk verandert voortdurend: nieuwe apparaten worden toegevoegd, applicaties worden uitgerold en medewerkers krijgen andere rollen. Zonder actief onderhoud sluipt er geleidelijk rommeligheid in je segmentatie.
- Stel een reviewcyclus in: controleer minimaal elk kwartaal of de segmentindeling nog klopt met de werkelijkheid.
- Documenteer elke wijziging aan firewallregels of VLAN-configuratie, inclusief datum, reden en wie de wijziging heeft doorgevoerd.
- Houd je netwerkoverzicht actueel: voeg nieuwe systemen direct toe aan het juiste segment bij ingebruikname.
- Bewaar testrapportages, configuratiedocumentatie en beleidsversies in een centrale, beveiligde locatie.
Voor NIS2-audits is aantoonbaarheid net zo belangrijk als de maatregelen zelf. Een goed gedocumenteerde segmentatie laat zien dat je organisatie bewust en structureel werkt aan NIS2 compliance. Koppel je documentatie ook aan je bredere risicobeheerprocedures, zodat alles in samenhang wordt bijgehouden.
Hoe IT Aanspreekpunt helpt met netwerksegmentatie voor NIS2
Bovenstaande stappen geven je een solide basis, maar de praktijk is vaak complexer dan een handleiding kan beschrijven. Bij IT Aanspreekpunt helpen we MKB-organisaties concreet met het inrichten van een beveiligd bedrijfsnetwerk dat voldoet aan de NIS2-vereisten. Wat we voor je doen:
- Inventarisatie van je huidige netwerk en systemen, inclusief gegevensstroomanalyse
- Ontwerp en implementatie van een segmentatiearchitectuur passend bij jouw organisatie
- Configuratie van firewalls, VLANs en toegangsregels
- Validatie via penetratietests en loganalyse
- Doorlopende monitoring en onderhoud zodat je segmentatie actueel blijft
- Volledige documentatie die klaar is voor NIS2-audits
We ontzorgen je van begin tot eind, zodat jij je kunt focussen op je bedrijf. Wil je weten wat wij voor jouw organisatie kunnen betekenen? Neem contact met ons op voor een vrijblijvend gesprek.