Wat is netwerksegmentatie en waarom is het kritiek voor fabrieken?
Netwerksegmentatie is het opdelen van uw fabrieksnetwerk in afzonderlijke zones met gecontroleerde conduits ertussen. Het doel: als een aanvaller uw kantoornetwerk binnendringt, kan hij niet doorstoten naar de productie.
IEC 62443 en de NIS2-richtlijn schrijven netwerksegmentatie voor als de eerste en belangrijkste beveiligingsmaatregel voor OT-omgevingen. Zonder segmentatie is NIS2-compliance juridisch niet haalbaar.
Waarom is een ongesegmenteerd fabrieksnetwerk zo gevaarlijk?
83%
van ransomware-aanvallen op fabrieken slaagt door flat networks, één enkel netwerksegment zonder scheiding
€47K
gemiddelde schade per security-incident in de maakindustrie, exclusief productiestilstand en reputatieschade
72 uur
gemiddelde stilstand na een succesvolle cyberaanval op een productiebedrijf, drie volle werkdagen omzetverlies
5-stappen segmentatieplan conform IEC 62443
Dit plan is toepasbaar op elk productiebedrijf met 10-100+ machines en een mix van IT- en OT-systemen.
Asset-inventarisatie
Breng alle apparaten in kaart: PLC's, SCADA-servers, HMI-panelen, IP-camera's, printers, wifi-AP's, managed en unmanaged switches. Documenteer per apparaat: IP-adres, OS-versie, functie, en welke andere apparaten het mee communiceert. Tip: gebruik een passieve netwerkscan, zo ontdekt u ook "vergeten" apparaten zonder productiestilstand.
Zone-ontwerp (Purdue-model)
Definieer beveiligingszones op basis van het Purdue Enterprise Reference Architecture-model. Minimaal 3 zones: Enterprise (IT), Manufacturing Operations (MES/Historian), en Control/Fieldbus (OT). Elke zone krijgt een eigen VLAN en beveiligingsniveau.
Conduit-regels definiëren
Bepaal welk verkeer tussen zones is toegestaan. Gebruik het deny-all, allow-by-exception principe. Voorbeeld: de MES-server mag recept-data naar de PLC sturen (OPC-UA, poort 4840), maar de PLC mag niet naar internet. Documenteer elke conduit in een firewall-matrix.
Implementatie (gefaseerd, zonder stilstand)
Installeer managed switches en industriële firewalls per zone. Werk zone-voor-zone: configureer de nieuwe zone in een testomgeving, rol uit tijdens een gepland onderhoudsstop (bijv. zaterdagochtend). Begin met de meest kritieke zone (legacy machines). Nul ongeplande stilstand als u de inventaris goed heeft gedaan.
Monitoring & documentatie
Configureer logboeken op alle firewalls en switches. Stel alerts in voor ongeautoriseerd verkeer. Documenteer het netwerk-ontwerp, de firewall-matrix en de conduit-regels, dit is het bewijs voor NIS2-compliance. Plan een jaarlijkse her-audit om te verifiëren dat de segmentatie nog intact is.
Welke valkuilen moet u vermijden bij netwerksegmentatie?
Te veel zones tegelijk
Begin met 3 zones (IT/MES/OT) en voeg later sub-zones toe. Te fijnmazig segmenteren in één keer leidt tot fouten en downtime.
"Vergeten" verbindingen
Remote-access VPN's, leveranciers-modems en wifi-gasten-netwerken worden vaak vergeten. Een ongedocumenteerde verbinding is een gat in uw segmentatie.
Unmanaged switches
Veel MKB-fabrieken gebruiken goedkope unmanaged switches. Die ondersteunen geen VLAN's en maken segmentatie onmogelijk. Vervang ze door managed switches met VLAN-ondersteuning.
Geen monitoring na implementatie
Segmentatie zonder monitoring is een papieren tijger. Als niemand een alert krijgt wanneer een apparaat uit een verkeerde zone probeert te communiceren, mist u inbraakpogingen.
Hoeveel kost netwerksegmentatie voor een productiebedrijf?
| Fase | Kosten | Toelichting |
|---|---|---|
| OT-inventarisatie | €2.000 – €5.000 | Passieve netwerkscan + documentatie van alle apparaten, verbindingen en protocollen |
| Zone-ontwerp | €2.500 – €10.000 | Purdue-model ontwerp, firewall-matrix, conduit-specificaties per zone |
| Hardware + implementatie | €3.000 – €15.000 | Managed switches, industriële firewalls, bekabeling, VLAN-configuratie, gefaseerde uitrol |
| Documentatie + overdracht | €1.000 – €5.000 | NIS2-compliant documentatie, netwerktekeningen, overdracht aan intern team |
| Totaal | €7.500 – €35.000 | Voor 50-250 FTE bedrijf met 1-3 productielocaties |
* Exclusief jaarlijkse monitoring (€5.000-15.000/jaar). De investering wordt direct terugverdiend door het vermijden van één security-incident (gemiddeld €47.000 schade).
Klaar om uw fabriek te segmenteren?
Start met een gratis NIS2 Quick Scan. Wij beoordelen uw huidige situatie en leveren een segmentatieplan op maat, zonder productiestilstand.
Check uw netwerksegmentatie
Gratis, vrijblijvend, 100% Nederlands.
Cijfers bijgewerkt: februari 2026
Geschreven door
Ritchel Akwali
Oprichter van RaconSoft met 10+ jaar ervaring in OT/IT-integratie en procesoptimalisatie in de maakindustrie.
Dit artikel is samengesteld door de experts van RaconSoft, ondersteund door geavanceerde AI-tools voor analyse en redactie.