Is jouw netwerk klaar voor nis2?

Volgens recente Europese schattingen krijgt een aanzienlijk deel van de organisaties te maken met ernstige cyberincident-impacts die dagen tot weken kunnen nazinderen, niet door een “exotische hack”, maar door voorspelbare zwaktes zoals te brede netwerktoegang, te weinig zichtbaarheid in logs en onduidelijke verantwoordelijkheden.

NIS2 maakt dat soort zwaktes pijnlijk zichtbaar. NIS2 is niet een checklist om af te vinken, maar verwacht dat je kan aantonen wat je doet, waarom je het doet en dat het werkt. De kunst is dus niet om meer controles uit  te voeren, maar om je NIS2-aanpak te vertalen naar een netwerk dat meetbaar veiliger wordt, zonder een security luchtkasteel te bouwen dat er indrukwekkend uitziet maar toch weinig risico wegneemt.

Van compliance naar techniek: wat NIS2 in je netwerk echt raakt

Voor veel CIO’s en ondernemers voelt NIS2 eerst als governance. In de praktijk landt het snel op de NIS2 netwerkinfrastructuur. Vier thema’s komen telkens terug in audits en incidenten reviews:

• segmentatie: aanvallen afremmen door systemen logisch te scheiden
• logging en monitoring: kunnen zien wat er gebeurt, en het kunnen bewijzen achteraf
• toegangsbeheer: wie mag waar op, met welke rechten, en hoe lang
• aantoonbaarheid: documentatie, testresultaten en herhaalbare controles

Wie mikt op NIS2 compliance in het netwerk, ontdekt al snel dat “we hebben een firewall” of “we gebruiken MFA” te vaag is. Auditors en verzekeraars willen vooral weten: waar staan de grenzen, hoe worden ze afgedwongen, en hoe merk je misbruik op?

Start bij de ruggengraat: switches, gateways en de grenzen van je netwerk

Een degelijk ontwerp begint niet met policies, maar met de plekken waar verkeer daadwerkelijk wordt gestuurd en gefilterd. Switches en gateways zijn je verkeersregelaars. Als daar geen structuur zit, wordt elke NIS2-maatregel een pleister op een lekke band.

Praktische startvragen:

1. Welke netwerken bestaan er vandaag echt, niet op papier maar op de switchpoorten?
2. Hoe loopt het LAN verkeer tussen servers, productie, camera’s, wifi en kantoor?
3. Welke gateways zijn single points of failure, qua performantie en qua veiligheid?
4. Welke diensten mogen absoluut niet uitvallen, en welke moeten juist strikt afgeschermd zijn?

Connectivity Solutions ziet in bestaande omgevingen vaak dat groei organisch gebeurde: extra VLAN’s, uitzonderingen op uitzonderingen, en apparatuur die nooit bedoeld was om lang mee te gaan. Dan is netwerk aanpassen voor NIS2 niet zoiets als “nog een extra appliance”, maar eerst orde scheppen in segmenten, poorten, uplinks en beheerinterfaces.

Meer achtergrond over de rolverdeling tussen componenten vind je in het artikel De rol van firewalls en switches in een succesvol bedrijfsnetwerk.

Segmenteren zonder chaos: een haalbare netwerk segmentatie aanpak voor NIS2

Segmentatie is vaak het eerste dat men “wil”, maar het laatste dat men goed uitrolt. De valkuil is een te theoretisch schema, waardoor teams uitzonderingen beginnen te vragen tot de oorspronkelijke scheiding verdwijnt.

Een werkbare aanpak is segmentatie in lagen, met duidelijke prioriteiten:

1) Begin met prioriteiten en risicobronnen

Segmenteer eerst:

• identity en beheer: AD, IAM, managementnetwerken, back-upservers
• Operationele Technologie of productieomgevingen, waar beschikbaarheid van belang is
• IoT en “noisy” endpoints: IP-camera’s, printers, badging, building management
• externe toegang: VPN, remote support, leveranciers

Daarmee pak je de grootste kwetsbaarheid in toegangsbeheer aan. Dit is netwerk segmentatie voor NIS2 zoals auditors het graag zien: risico gestuurd en logisch te verdedigen.

2) Maak zones, geen micro-vakjes

Microsegmentatie kan zinvol zijn, maar alleen als je beheer en monitoring volwassen genoeg zijn. In veel kmo’s en middelgrote organisaties is een zone-model realistischer:

• gebruikerszone (kantoor en endpoints)
• serverzone (core applicaties)
• beheerzone (beheerinterfaces, monitoring, back-up)
• gast en BYOD (internet-only)
• IoT-zone (strikt beperkt, vaak enkel naar specifieke diensten)

3) Laat toegangsregels volgen uit processen

Een toegangscontrolemodel voor NIS2 in het netwerk werkt pas als het aansluit op wie er wat moet kunnen:

• helpdesk: remote beheer op jump hosts, niet rechtstreeks naar servers
• developers: beperkte toegang naar test, gescheiden van productie
• leveranciers: tijdsgebonden toegang, gelogd, liefst via een DMZ

Zo bouw je segmentatie die mensen niet omzeilen omdat ze anders niet kunnen werken.

Firewall- en segmentatiestrategie: minder magie, meer ontwerp

Een firewall is geen toverstaf. De juiste firewall en segmentatiestrategie draait om plaatsing, policy-kwaliteit en meetbare werking.

Denk in drie “grenzen”:

1. Perimeter: internet en externe koppelingen, met duidelijke inbound en outbound controls
2. Interne grens: scheiding tussen zones, met expliciete allow-lists
3. Beheergrens: managementinterfaces alleen bereikbaar vanuit beheerzone, liefst met extra verificatie

Let op: als je interne segmentatie alleen op de firewall “bijregelt”, creëer je vaak een performantie-knelpunt én een complex beleid dat niemand nog durft aan te passen. Een audit-proof netwerkontwerp is net het omgekeerde: policies die je kan lezen, testen en uitleggen.

Logging en monitoring: van “we bewaren logs” naar “we zien gedrag”

Logging en monitoring in het kader van NIS2 gaat niet over zoveel mogelijk data verzamelen. Het gaat over zichtbaarheid op de plekken waar het ertoe doet, met context en bewaarde data die je kan verantwoorden.

Een praktisch minimum dat vaak goed werkt:

• centrale logverzameling voor firewalls, core switches, gateways, VPN en identity
• alerting op afwijkingen: nieuwe admin accounts, vreemde VPN-locaties, veel mislukte logins, laterale scans
• tijdssynchronisatie (NTP) overal, anders zijn logs waardeloos bij incidentanalyse
• afgesproken bewaartermijnen, gekoppeld aan risico en wettelijke vereisten

Nog belangrijker: koppel monitoring aan je segmentatie. Als je zones maakt maar geen alarmsignalen hebt wanneer verkeer plots van zone A naar zone B probeert te gaan, mis je net de winst van de scheiding.

Zero Trust als praktische houding, niet als marketinglabel

Veel organisaties zeggen dat ze “Zero Trust doen”, maar bedoelen eigenlijk “we hebben MFA”. Een Zero Trust netwerk aanpak wordt pas tastbaar wanneer je deze principes toepast:

• verifieer expliciet: ook intern verkeer moet aantonen dat het mag
• geef minimale rechten: niet “omdat het altijd zo was”
• ga uit van breach: ontwerp segmenten alsof iets ooit gecompromitteerd raakt

Dat sluit mooi aan bij NIS2: je toont aan dat je niet vertrouwt op aannames, maar op gecontroleerde paden, logs en herhaalbare toegang.

Plan: een NIS2-roadmap die audits er niet op het einde bijplakt

Het voorjaar is in veel organisaties het moment waarop nieuwe ICT projecten vorm krijgen. Dat is ideaal om NIS2 niet als apart traject te behandelen, maar als kwaliteitslaag bovenop netwerkvernieuwing en performance-issues.

Een haalbaar plan voor NIS2-implementatie kan er bv. zo uitzien:

• Week 1-2: inventaris en datastromen, inclusief “shadow” netwerken en beheerpoorten
• Week 3-5: zone-model en segmentatieplan, inclusief uitzonderingen met business-reden
• Week 6-8: implementatie op switches en gateways, plus aanpassingen aan firewall policies
• Week 9-10: logging use-cases en monitoring dashboards, inclusief testincidenten
• Week 11-12: testen, certificering waar relevant, en documentatie voor aantoonbaarheid

Door test- en certificeringsmomenten vroeg in te plannen, vermijd je dat je op het einde nog snel “audit-printscreens” moet verzamelen. Dat is precies hoe je schijnveiligheid rond NIS2 vermijdt, je bouwt bewijs in het ontwerp.

Connectivity Solutions ondersteunt dit soort trajecten met projectmanagement, documentatie, testen en certificering, naast het ontwerpen en realiseren van professionele netwerken sinds 1996. 

Een kort reality-check lijstje

Gebruik deze vragen om te zien of je netwerk richting NIS2 volwassen wordt, of vooral “druk” lijkt:

• Kunnen we per zone uitleggen welke systemen erin zitten en waarom?
• Is laterale beweging beperkt, of kan een besmette laptop nog altijd “overal” naartoe?
• Zijn beheerinterfaces afgeschermd en gelogd, of bereikbaar vanaf het kantoornetwerk?
• Kunnen we binnen 24 uur aantonen wie toegang had tot wat, en wanneer?
• Hebben we tests gepland die ook echt misbruik simuleren, niet alleen een ping-test?

Als je hier vaak “ongeveer” op antwoordt, is dat geen ramp. Het betekent vooral dat je nog veel winst kan halen met structuur, niet met extra gadgets.

Slot: maak het meetbaar, dan wordt het vanzelf geloofwaardig

NIS2 dwingt je om je netwerk te behandelen als een systeem dat je kan uitleggen, controleren en verbeteren. Als je dat goed aanpakt, krijg je niet alleen betere auditresultaten, maar ook minder incidentstress, snellere troubleshooting en heldere keuzes over investeringen.

Wil je gericht stappen zetten met segmentatie, betere logging en een ontwerp dat ook in een audit overeind blijft? Neem rechtstreeks contact op via de contactpagina. We denken graag mee over een netwerk dat NIS2 aankan, zonder schijnveiligheid en zonder nodeloze complexiteit.