Nederlands
Blog · Netwerkbeveiliging

Netwerksegmentatie voor NIS2 en ISO 27001: van compliance-eis naar praktische securitymaatregel

Netwerksegmentatie beperkt laterale beweging en beschermt kritieke systemen

De meeste bedrijfsnetwerken zijn ooit “plat” gebouwd: één groot netwerk waarin de laptop van de receptie, de boekhoudserver, de productiemachines en de back-ups elkaar allemaal kunnen bereiken. Dat is handig in beheer, maar het is precies het scenario waar een aanvaller op hoopt. Wie via één gephishte inlog of één kwetsbaar apparaat binnenkomt, kan zich vrij door het hele netwerk bewegen — van werkplek naar server naar back-up — zonder ooit een tweede drempel tegen te komen.

Netwerksegmentatie haalt die drempels terug in het netwerk. Het is tegelijk een van de meest effectieve technische maatregelen tegen ransomware én een controle die zowel NIS2 als ISO 27001 van u verwachten. In dit artikel leest u wat segmentatie is, waarom het werkt, hoe het aansluit op beide kaders, en hoe u het zó implementeert dat u het tijdens een audit ook kunt aantonen.

Wat is netwerksegmentatie?

Netwerksegmentatie is het opdelen van uw netwerk in afgescheiden zones en het bewust controleren van het verkeer tussen die zones. In plaats van één open ruimte waarin alles met alles praat, ontstaan er compartimenten met duidelijke grenzen — vergelijkbaar met brandcompartimenten in een gebouw. Een incident in één zone slaat niet automatisch over naar de rest.

In de praktijk kent segmentatie meerdere niveaus, van grof naar fijn:

  • Fysieke scheiding: aparte apparatuur of netwerken voor kritieke systemen (bijvoorbeeld een geïsoleerd OT-/productienetwerk).
  • VLAN- en subnetsegmentatie: logische zones zoals kantoor, gasten-wifi, servers, camera's en IoT, met een firewall die het verkeer op de zonegrens filtert.
  • Micro-segmentatie: fijnmazige isolatie tot op het niveau van individuele systemen of workloads, waarbij alleen expliciet toegestaan verkeer wordt doorgelaten.
  • Zero Trust-segmentatie: toegang wordt niet bepaald door de plek in het netwerk, maar per verbinding geverifieerd op identiteit, apparaat en context — het principe “nooit vertrouwen, altijd verifiëren”.

Deze aanpak sluit aan op het bredere Zero Trust-model dat het Amerikaanse NIST beschrijft in SP 800-207 (Zero Trust Architecture) en dat inmiddels de basis vormt voor veel Europese security-strategieën. Segmentatie is daarvan de netwerklaag: het maakt het idee “beperk toegang tot wat strikt noodzakelijk is” concreet en afdwingbaar.

Waarom segmentatie werkt: laterale beweging stoppen

De belangrijkste reden dat aanvallers zoveel schade aanrichten, is niet de eerste inbraak — het is wat daarna gebeurt. Na de initiële toegang bewegen aanvallers zich lateraal: ze zoeken vanuit het eerste besmette systeem naar accounts, servers en data met meer waarde. In een plat netwerk kost dat weinig moeite.

Twee cijfers uit onafhankelijk onderzoek maken duidelijk hoeveel tijd aanvallers daarvoor krijgen. Volgens het M-Trends 2025-rapport van Mandiant (Google Cloud) is de wereldwijde mediane dwell time — de periode dat een aanvaller onopgemerkt binnen is — 11 dagen. In die dagen bepaalt uw netwerkindeling of de aanvaller bij één werkplek blijft of doorstoot naar uw kroonjuwelen. Het jaarlijkse Verizon Data Breach Investigations Report laat daarnaast al jaren zien dat gestolen inloggegevens en misbruikte kwetsbaarheden de belangrijkste toegangswegen zijn — precies de scenario's waarin segmentatie de schade beperkt.

Segmentatie verkleint wat security-professionals de blast radius noemen: de reikwijdte van een incident. Ook toonaangevende overheidsrichtlijnen bevestigen dat. De Amerikaanse cyberautoriteit CISA adviseert in haar #StopRansomware Guide expliciet om netwerksegmentatie in te zetten om laterale beweging van aanvallers te belemmeren en de verspreiding van ransomware te voorkomen. Voor het MKB en organisaties met meerdere locaties, klanten of afdelingen is dat vaak het verschil tussen een geïsoleerd incident en een bedrijfsbrede uitval.

De link met NIS2 en ISO 27001

Segmentatie is niet alleen goede hygiëne — het raakt direct aan twee kaders waar steeds meer Nederlandse en Belgische organisaties aan moeten voldoen.

NIS2: passende maatregelen en toegangsbeperking

De NIS2-richtlijn (Richtlijn (EU) 2022/2555) verplicht essentiële en belangrijke entiteiten om passende technische, operationele en organisatorische maatregelen te nemen. Artikel 21 noemt onder meer risicoanalyse, beveiliging van netwerk- en informatiesystemen, toegangsbeleid en het beheersen van incidenten. NIS2 schrijft segmentatie niet letterlijk voor, maar toegangsbeperking, netwerkbeveiliging en het beperken van de impact van incidenten zijn algemeen erkende invullingen daarvan — en dat blijkt ook uit de technische implementatierichtlijn van ENISA, het Europese agentschap voor cybersecurity. Wie het risico onderbouwt en segmentatie toepast waar dat proportioneel is, laat zien dat de maatregelen “passend” zijn.

ISO 27001: Annex A maakt het concreet

ISO 27001:2022 vertaalt hetzelfde principe naar concrete beheersmaatregelen in Annex A. Vier daarvan zijn direct relevant:

  • A.8.20 – Netwerkbeveiliging: netwerken en netwerkapparatuur moeten worden beveiligd, beheerd en gecontroleerd.
  • A.8.22 – Scheiding van netwerken: groepen informatiediensten, gebruikers en systemen moeten in het netwerk van elkaar worden gescheiden. Dit is de kernmaatregel die letterlijk om segmentatie vraagt.
  • A.8.15 – Logging: gebeurtenissen worden vastgelegd, inclusief verkeer en toegang tussen zones.
  • A.8.16 – Monitoringactiviteiten: netwerken en systemen worden gemonitord op afwijkend gedrag.

Voor een auditor is de vraag niet alleen of u segmenteert, maar of de keuze voortkomt uit uw risicoanalyse en of u de werking kunt aantonen. Segmentatie is daarmee een schoolvoorbeeld van hoe NIS2 en ISO 27001 elkaar versterken: dezelfde maatregel bedient beide kaders. Zie ook onze uitleg over ISO 27001 als basis voor NIS2.

Praktische maatregelen: zo pakt u het aan

Segmentatie hoeft geen jarenlang project te zijn. Een pragmatische, risicogestuurde aanpak levert snel resultaat op:

  1. Breng verkeersstromen in kaart. U kunt niet scheiden wat u niet ziet. Begin met inzicht in welke systemen met elkaar praten en waarom.
  2. Bepaal zones op basis van risico. Denk aan: kritieke servers en data, kantoorwerkplekken, gasten-wifi, IoT/camera's, beheer/management, en back-up. Kritieke systemen krijgen de strengste grenzen.
  3. Definieer beleid per zonegrens. Standaard alles blokkeren en alleen noodzakelijk verkeer expliciet toestaan (default-deny). Dit is het segmentatie-equivalent van least privilege.
  4. Isoleer beheer en back-ups. Managementinterfaces en back-upomgevingen horen in een aparte, streng afgeschermde zone — juist die zijn het doelwit bij ransomware.
  5. Begin bij de grootste risico's. Scheid eerst gasten, IoT en kritieke servers; verfijn later richting micro-segmentatie waar het risico dat rechtvaardigt.
  6. Documenteer en herzie. Leg de zone-indeling, het beleid en de onderbouwing vast, en toets ze periodiek — ook dat is een audit-eis.

Voor kleinere organisaties sluit dit naadloos aan op de bredere basismaatregelen voor cybersecurity en op ISO 27001 voor het MKB, waar proportionaliteit centraal staat.

Logging, monitoring, audit trails en SIEM

Een zonegrens die u niet kunt zien, kunt u ook niet vertrouwen. Segmentatie en zichtbaarheid zijn onlosmakelijk verbonden: het verkeer tussen zones is juist de plek waar u aanvallers kunt betrappen op laterale beweging. Daarom vragen zowel A.8.15/A.8.16 als NIS2 om logging en monitoring.

Het NIST-document SP 800-92 (Guide to Computer Security Log Management) geldt als de referentie voor gestructureerd logbeheer: verzamel logs centraal, bescherm ze tegen manipulatie en bewaar ze lang genoeg voor onderzoek. In de praktijk betekent dit dat verkeers- en policy-logs van uw segmentatieoplossing worden doorgezet naar een SIEM (Security Information and Event Management), waar ze worden gecorreleerd met andere bronnen. Zo ontstaan bruikbare audit trails: wie deed wat, wanneer, en welk verkeer werd geblokkeerd of toegestaan. Dat is niet alleen operationeel waardevol — het is precies het bewijsmateriaal dat een auditor wil zien.

Hoe Zenarmor hierbij ondersteunt

Segmentatie staat of valt met de techniek waarmee u het verkeer tussen zones ziet en afdwingt. Een next-generation firewall met application awareness is hierbij een logische bouwsteen. Zenarmor is zo'n oplossing: het voegt next-gen firewall-functionaliteit toe aan gangbare platforms en past goed binnen een gelaagde security- en compliance-aanpak. Relevante mogelijkheden voor een segmentatiescenario zijn onder meer:

  • Zichtbaarheid van verkeer: inzicht in wélke applicaties en gebruikers over de zonegrenzen bewegen — de basis voor betekenisvolle segmentatie en voor een doordachte segmentatie-indeling.
  • Policy enforcement en applicatiecontrole: beleid afdwingen op applicatieniveau in plaats van alleen op poorten en IP-adressen — passend bij A.8.20 en A.8.22.
  • Zero Trust-principes: toegang beperken tot wat noodzakelijk is, in lijn met Zero Trust Network Access en het NIST-model.
  • Logging, audit trails en SIEM/SOAR-integratie: verkeers- en policy-gebeurtenissen exporteren naar uw SIEM voor correlatie en bewaring — de aantoonbaarheid die A.8.15/A.8.16 vragen.
  • API-automatisering en policy backup & restore: beleid als code beheren, versiebeheer voeren en herstelbaar houden, zodat wijzigingen traceerbaar en aantoonbaar zijn.
  • Multi-tenant governance: gescheiden beleid en rapportage per locatie, klant of afdeling — waardevol voor organisaties die meerdere omgevingen beheren.

Zenarmor is nadrukkelijk geen vervanging voor een compliance-traject, maar een praktische invulling van de technische laag. De governance eromheen — risicoanalyse, beleid, Statement of Applicability en aantoonbaarheid tijdens de audit — is waar Secrotec u naast de techniek begeleidt.

Conclusie

Netwerksegmentatie is een van de weinige maatregelen die tegelijk uw weerbaarheid vergroot én uw compliance vooruithelpt. Het stopt laterale beweging, verkleint de blast radius van een incident en beantwoordt concrete eisen uit ISO 27001 Annex A (A.8.20, A.8.22, A.8.15, A.8.16) en NIS2 Artikel 21. Met de juiste techniek — bijvoorbeeld een next-gen firewall zoals Zenarmor voor zichtbaarheid en policy enforcement — en de juiste governance eromheen, wordt segmentatie van een abstracte compliance-eis een tastbare, aantoonbare securitymaatregel.

Wilt u weten of uw netwerk aantoonbaar aan NIS2 en ISO 27001 voldoet? Secrotec helpt u van risicoanalyse tot audit-ready implementatie.

FAQ

Veelgestelde vragen

Korte, directe antwoorden op de meestgestelde vragen.

NIS2 noemt segmentatie niet met zoveel woorden, maar Artikel 21 verplicht passende technische en organisatorische maatregelen om netwerk- en informatiesystemen te beschermen. Netwerksegmentatie, toegangsbeperking en monitoring zijn algemeen erkende invullingen daarvan. Toezichthouders en normen als ISO 27001 verwachten dat u segmentatie toepast waar het risico dat rechtvaardigt en dat u de keuze onderbouwt vanuit uw risicoanalyse.

De meest relevante beheersmaatregelen uit ISO 27001:2022 zijn A.8.20 (Netwerkbeveiliging), A.8.22 (Scheiding van netwerken), A.8.15 (Logging) en A.8.16 (Monitoringactiviteiten). Samen vragen ze om gescheiden netwerkzones, gecontroleerd verkeer tussen zones en aantoonbare logging en monitoring van dat verkeer.

VLAN-segmentatie verdeelt het netwerk in enkele grote zones (bijvoorbeeld kantoor, gasten, servers) en filtert verkeer op de grens tussen die zones. Micro-segmentatie gaat fijnmaziger: het isoleert individuele systemen of workloads en staat alleen expliciet toegestaan verkeer toe, volgens het Zero Trust-principe “nooit vertrouwen, altijd verifiëren”. Micro-segmentatie beperkt laterale beweging sterker, maar vraagt meer inzicht in verkeersstromen.

Leg de zone-indeling, het bijbehorende beleid en de onderbouwing vanuit de risicoanalyse vast. Zorg dat firewallregels, policies en wijzigingen versiebeheer en logging kennen, en dat verkeer tussen zones gemonitord en bewaard wordt. Een centrale console met audit trails, policy backup en export naar uw SIEM levert het bewijs dat een auditor wil zien: dat de maatregel bestaat, werkt en beheerd wordt.

Is uw netwerk aantoonbaar veilig én compliant?

Plan een vrijblijvende security- & compliance-scan. Binnen één gesprek weet u waar uw segmentatie staat ten opzichte van NIS2 en ISO 27001, en wat de volgende stap is.

Vraag een scan aan

Vertrouwd door organisaties

Certe Groep Certe Assuradeuren Chatbot Soluck Wattse Nextech Muast