Pentest en NIS2: bewijs in plaats van beloftes

 

Marc Ligthart

Gepubliceerd op 29-09-2025

NIS2 pentest: aantoonbare weerbaarheid in plaats van alleen compliance

Veel organisaties bereiden zich momenteel voor op NIS2 en de Nederlandse vertaling daarvan in de Cyberbeveiligingswet (Cbw). Daarbij ligt de focus vaak op beleid, processen, governance en documentatie. Maar de kern van NIS2 gaat verder dan alleen compliance op papier.

NIS2 verplicht organisaties niet alleen om cybersecuritymaatregelen te nemen, maar ook om de effectiviteit daarvan periodiek te beoordelen. Dit volgt uit artikel 21 van de NIS2-richtlijn, in het bijzonder artikel 21 lid 2 sub f over de beoordeling van de doeltreffendheid van cybersecuritymaatregelen.

Daarmee verschuift cybersecurity steeds meer van een theoretische compliance-oefening naar aantoonbare digitale weerbaarheid.

Van beleid naar aantoonbare effectiviteit

Veel organisaties beschikken inmiddels over:

  • beleidsdocumentatie;
  • MFA;
  • endpoint security;
  • logging;
  • netwerksegmentatie;
  • awareness-trainingen;
  • vulnerability scanning.

Maar de aanwezigheid van maatregelen betekent niet automatisch dat deze ook effectief zijn tegen realistische aanvalsscenario’s.

Juist daar speelt een pentest een belangrijke rol.

Maar er is een verschil tussen testen op papier en testen zoals een aanvaller denkt. Een aanvaller kiest niet de kwetsbaarheid met de hoogste score. Een aanvaller kiest de route die werkt. Soms begint die route bij een vergeten extern systeem. Soms bij een oud account. Soms bij een combinatie van kleine configuratiefouten die samen een aanvalspad vormen. Een goede pentest onderzoekt precies die routes, niet alleen de losse kwetsbaarheden.

Een pentest helpt organisaties aantonen dat beveiligingsmaatregelen niet alleen bestaan op papier, maar ook daadwerkelijk effectief zijn tegen realistische aanvalsscenario’s.

Een pentest levert diepgaand technisch bewijs over de effectiviteit van beveiligingsmaatregelen in de praktijk.

Waarom dit onder NIS2 steeds belangrijker wordt

NIS2 legt nadruk op:

  • risicobeheersing;
  • bestuurlijke verantwoordelijkheid;
  • incidentpreventie;
  • detectiecapaciteit;
  • aantoonbaarheid van maatregelen.

Toezichthouders, auditors en bestuurders kijken daardoor steeds minder naar alleen beleidsdocumentatie en steeds meer naar vragen zoals:

  • Welke systemen zijn getest?
  • Welke aanvalspaden zijn onderzocht?
  • Welke kwetsbaarheden zijn aangetoond?
  • Hoe zijn de bevindingen opgevolgd?
  • Welke verbetermaatregelen zijn daadwerkelijk doorgevoerd?

Een technische validatie zoals een pentest helpt organisaties om deze vragen concreet te onderbouwen binnen audit-, assurance- en complianceprocessen.

Een pentest is meer dan een vulnerability scan

Geautomatiseerde scans zijn waardevol, maar hebben beperkingen. Vaak tonen ze bekende kwetsbaarheden of configuratiefouten aan, zonder de daadwerkelijke impact op de organisatie inzichtelijk te maken.

Een pentest gaat verder.

Tijdens een pentest wordt onderzocht hoe een aanvaller daadwerkelijk zou proberen binnen te dringen, privileges uit te breiden of kritieke systemen te compromitteren.

Daarbij wordt onder andere gekeken naar:

  • authenticatie en sessiebeheer;
  • privilege escalation;
  • netwerksegmentatie;
  • cloudconfiguraties;
  • Active Directory-beveiliging;
  • API-beveiliging;
  • business logic flaws;
  • chained vulnerabilities;
  • aanvalspaden tussen systemen.

Hierdoor ontstaat niet alleen inzicht in losse kwetsbaarheden, maar vooral in de werkelijke impact en risico’s voor de organisatie.

Risicogebaseerd testen onder NIS2

NIS2 schrijft geen exacte frequentie of vaste vorm van pentesten voor. De invulling moet aansluiten op het risicoprofiel van de organisatie.

De diepgang en frequentie van pentests moeten aansluiten op het risicoprofiel, de sector, de dreigingen en de kritikaliteit van systemen binnen de organisatie.

Voor organisaties met:

  • bedrijfskritische processen;
  • gevoelige persoonsgegevens;
  • OT/ICS-omgevingen;
  • cloud-native infrastructuren;
  • ketenafhankelijkheden;
  • publieke dienstverlening;

neemt de noodzaak voor diepgaande technische validatie aanzienlijk toe.

Daarom kiezen veel organisaties ervoor om periodiek:

  • externe pentests;
  • interne pentests;
  • webapplicatietesten;
  • cloudassessments;
  • red teaming;
  • phishing- en social-engineeringtests;

uit te voeren als onderdeel van hun bredere cyberweerbaarheidsstrategie.

Niet alleen compliance, maar aantoonbare weerbaarheid

NIS2 draait uiteindelijk niet alleen om het voldoen aan regelgeving.

Het gaat om de vraag of organisaties cyberincidenten daadwerkelijk kunnen voorkomen, detecteren en beperken.

Een pentest vormt voor veel organisaties een belangrijk fundament voor het aantoonbaar maken van technische weerbaarheid.

Niet alleen als compliance-activiteit, maar als aantoonbare validatie van digitale weerbaarheid.

Rapportage met technische én bestuurlijke waarde

Een effectieve pentest bestaat niet alleen uit technische bevindingen.

De rapportage moet ook bruikbaar zijn voor:

  • management;
  • bestuur;
  • auditors;
  • compliance officers;
  • securityteams.

Daarom is het belangrijk dat rapportages:

  • risico’s helder prioriteren;
  • impact concreet maken;
  • context bieden;
  • opvolging ondersteunen;
  • technisch én bestuurlijk leesbaar zijn.

Een rapport dat gebruikt kan worden als onderbouwing binnen audit-, assurance- en complianceprocessen heeft daardoor aanzienlijk meer waarde dan een lijst met losse kwetsbaarheden.

Van momentopname naar structurele validatie

Cyberdreigingen veranderen continu. Cloudomgevingen wijzigen dagelijks. Nieuwe koppelingen, leveranciers en applicaties vergroten voortdurend het aanvalsoppervlak.

Daarom zien steeds meer organisaties pentesting niet langer als een eenmalige controle, maar als onderdeel van een structureel programma voor cyberweerbaarheid. Dat vraagt om continu inzicht in het aanvalsoppervlak, vulnerability management, OSINT en threat intelligence. En om specialisten die beoordelen wat in de praktijk echt misbruikt kan worden.

SECWATCH Exposure Control brengt deze onderdelen samen, zodat een pentest niet alleen een momentopname is maar het vertrekpunt van continue prioritering.

Conclusie

Onder NIS2 verschuift de focus van het uitsluitend implementeren van beveiligingsmaatregelen naar het aantoonbaar maken van de effectiviteit daarvan in de praktijk.

Een pentest biedt organisaties een concrete manier om de effectiviteit van cybersecuritymaatregelen technisch te toetsen, risico’s zichtbaar te maken en digitale weerbaarheid aantoonbaar te onderbouwen richting bestuur, auditors en toezichthouders.

Veelgestelde vragen over NIS2 en pentesting

Is een pentest verplicht onder NIS2?

NIS2 schrijft niet expliciet voor dat organisaties verplicht een pentest moeten uitvoeren. De richtlijn verlangt echter wel dat organisaties passende technische en organisatorische maatregelen nemen én de effectiviteit daarvan periodiek beoordelen. Een pentest is daarvoor één van de meest gebruikte vormen van technische validatie.

Hoe vaak moet een organisatie een pentest uitvoeren onder NIS2?

NIS2 noemt geen vaste frequentie. In de praktijk hangt dit af van het risicoprofiel, de sector, de kritikaliteit van systemen en wijzigingen binnen de omgeving. Veel organisaties kiezen voor een jaarlijkse pentest of aanvullende testen bij significante wijzigingen, nieuwe applicaties of gewijzigde infrastructuren.

Wat is het verschil tussen een pentest en een audit?

Een audit richt zich voornamelijk op beleid, processen, governance en compliance. Een pentest onderzoekt juist of beveiligingsmaatregelen technisch effectief zijn tegen realistische aanvalsscenario’s. Beide vullen elkaar aan binnen een volwassen cybersecuritystrategie.

Wat levert een pentest op binnen een NIS2-traject?

Een pentest biedt organisaties technisch inzicht in kwetsbaarheden, aanvalspaden en risico’s. Daarnaast helpt het bij het aantoonbaar onderbouwen van digitale weerbaarheid richting bestuur, auditors, klanten en toezichthouders.

Heeft u al scherp welke kwetsbaarheden vandaag echt risico vormen?

Veel organisaties beschikken over scans, tooling en rapportages. Maar welke kwetsbaarheden vormen vandaag daadwerkelijk risico in uw specifieke omgeving? En welke kunnen als eerste worden misbruikt?

Dat is de vraag waar wij mee beginnen. Wij kijken niet alleen naar wat zichtbaar is, maar naar wat een aanvaller ermee kan doen.

SECWATCH helpt organisaties bepalen welke kwetsbaarheden daadwerkelijk risico vormen, met pentesten en Exposure Control als doorlopende validatie.

Gerelateerde onderwerpen

Pentest laten uitvoeren? Waarom techniek zelden het echte probleem is

340 kwetsbaarheden gevonden. Maar welke is vandaag gevaarlijk?

Pentest en NIS2: bewijs in plaats van beloftes

SECWATCH legt focus op pentesten en 24/7 monitoring voor betere digitale weerbaarheid

SOC (Security Operations Center) opzetten: dit moet je weten!

Stappenplan NIS2-compliance

Alles wat je moet weten over website pentests en website security scans

De NIS2-richtlijn voor MKB-organisaties: Wat je moet weten

SECWATCH en Rapid7 introduceren uniek cybersecurity-aanbod

Waarom tooling echt niet altijd het beste antwoord is

Cybersecurity 2023: vijf maatregelen die je organisatie beschermen tegen de laatste ontwikkelingen

Deze snelle, effectieve security-oplossing wint rap terrein bij organisaties (en terecht!)

Het allerbeste flipping artikel over je business beschermen tegen cyberdreigingen in de zomervakantie

Dit is waarom oude kwetsbaarheden jaren later opeens een serieuze bedreiging kunnen vormen voor je netwerk en systemen

Zo bescherm je je organisatie tegen cyberdreigingen als de pleuris uitbreekt in de wereld – 12 stappen

Het ultieme stappenplan hoe herstel ik van ransomware

De Log4-shitstorm: alles wat je moet weten

Actieplan Microsoft Exchange Zero-day-kwetsbaarheden

Verwijder beheerrechten en sluit kritische kwetsbaarheden in uw organisatie uit

Onze visie op vulnerability management

iStorage CloudAshur stelt gebruik van cloud-gebaseerde gegevens veilig

SECWATCH en ESET bieden unieke combinatie van enterprise diensten én oplossingen

Vulnerability assessments en penetratietests – wat is het verschil?

Hoe makkelijk kan het zijn; gewoon door de voordeur binnen

ESET MACHINE LEARNING: AUGUR “Since 1997”

Roomser dan de Paus

SIEM, UBI en de hacker uit het verre Oosten

Industroyer: En toen ging het licht uit…

12 veelgemaakte fouten op het gebied van cybersecurity

Nieuwe DROWN-bug: HTTPS is ook niet altijd veilig

Bar Mitswa – niet iedere 13e verjaardag is leuk

Een oude GHOST steekt zijn kop weer op

SSL is zo zeker nog niet

Even bellen?

Wij zijn er als je peace of mind wil.

Bel 036 5367 573 Kopieër nummer

Telefoonnummer gekopieerd naar klembord