Marc Ligthart

Gepubliceerd op 04-06-2026

---

Een pentest laten uitvoeren begint vaak met de verwachting dat de grootste verrassing technisch is.

Organisaties die een pentest laten uitvoeren, krijgen vrijwel altijd inzicht in kwetsbaarheden, configuratiefouten en mogelijke aanvalsroutes. In de honderd pentesten die wij jaarlijks uitvoeren, is een volledig schone omgeving eerder uitzondering dan regel.

De techniek levert dus vrijwel altijd bewijs. Wat opvalt, is dat dit zelden het probleem oplost.

De meeste organisaties beschikken al over inzicht. Rapportages, dashboards en tooling zijn aanwezig. Toch leidt dat zelden tot duidelijke keuzes. Waar moet als eerste worden ingegrepen, en wat kan wachten?

Daar gaat het mis.

Sommige organisaties bestempelen alles als urgent, waardoor prioriteit verdwijnt. Lange lijsten met bevindingen worden stuk voor stuk opgepakt, of juist helemaal niet. In andere gevallen blijft de discussie hangen op technisch detailniveau, zonder dat expliciet wordt gemaakt wat de impact is op de bedrijfsvoering. Ook zien we regelmatig omgevingen waar detectie en monitoring goed zijn ingericht, maar waar geen duidelijke reactie volgt wanneer signalen binnenkomen.

Het patroon is steeds hetzelfde: er is informatie, maar geen volgorde.

Een goede penetratietest legt dat bloot. Niet door nog meer kwetsbaarheden toe te voegen, maar door samenhang zichtbaar te maken. Welke combinatie van zwakheden maakt een aanval aannemelijk? Welke bevinding heeft directe impact op de organisatie? En wat moet als eerste worden opgelost?

Die vragen bepalen de waarde van een pentest.

Dat wordt het meest zichtbaar op het moment dat een pentestrapport op bestuursniveau wordt besproken. De belangrijkste bevindingen zijn samengevat, de risico’s zijn uitgelegd in termen van impact en waarschijnlijkheid. Daarna volgt vrijwel altijd dezelfde vraag:

“Waar beginnen we?”

Die vraag lijkt eenvoudig, maar is dat niet. Het antwoord dwingt tot keuzes. Wat krijgt prioriteit, wat niet? Welk risico wordt tijdelijk geaccepteerd, en welk niet? En wie neemt daar verantwoordelijkheid voor?

PENTEST LATEN UITVOEREN: WAAR MOET U OP LETTEN?

Wie een pentest laat uitvoeren, vergelijkt vaak aanbieders op prijs, doorlooptijd of het aantal testdagen. Dat zijn relevante factoren, maar ze zeggen weinig over de uiteindelijke waarde van het onderzoek.

De eerste vraag zou moeten zijn: wat wilt u weten?

Een penetratietest voor een webapplicatie vraagt om een andere aanpak dan een interne netwerkomgeving, Microsoft 365 omgeving of cloudplatform. De juiste scope bepaalt uiteindelijk de kwaliteit van de uitkomst.

Daarnaast is het belangrijk om te kijken naar de testmethode. Wordt uitsluitend gebruikgemaakt van tooling en geautomatiseerde scans, of voert een specialist ook handmatig onderzoek uit? Juist daar worden vaak de bevindingen gevonden die een scan niet ziet.

Ook de rapportage verdient aandacht. Een goed rapport bevat niet alleen technische details, maar maakt duidelijk welke risico’s daadwerkelijk relevant zijn voor de organisatie. Voor technische teams moet helder zijn wat opgelost moet worden. Voor management en bestuur moet duidelijk zijn waarom dat belangrijk is.

Tot slot is opvolging belangrijk. Een pentest is geen doel op zich. De waarde ontstaat pas wanneer de uitkomsten leiden tot betere keuzes, gerichte verbeteringen en aantoonbare risicobeheersing.

WANNEER IS HET VERSTANDIG OM EEN PENTEST TE LATEN UITVOEREN?

Een pentest is vooral verstandig wanneer de uitkomst moet helpen bij een concreet besluit.

Bijvoorbeeld:

• een nieuwe webapplicatie of klantportaal;
• een cloudmigratie;
• een belangrijke software release;
• een audittraject;
• een NIS2 of DORA voorbereiding;
• een omgeving waarin gevoelige gegevens worden verwerkt;
• bedrijfskritische systemen die direct vanaf internet bereikbaar zijn.

Voor veel organisaties is jaarlijks testen een logisch uitgangspunt. Omgevingen die snel veranderen of een hoger risico kennen, vragen vaak om een hogere testfrequentie.

CONCLUSIE

Een pentest laten uitvoeren gaat niet alleen over techniek.

De techniek is noodzakelijk. Zonder technische diepgang is er geen betrouwbaar beeld.

Maar de echte waarde ontstaat pas wanneer duidelijk wordt wat de bevindingen betekenen, welke risico’s als eerste aandacht vragen en wie daarover besluit.

De vraag is daarom niet alleen of er kwetsbaarheden zijn.

De echte vraag is of duidelijk is waar als eerste moet worden ingegrepen.

VEELGESTELDE VRAGEN OVER PENTESTEN

Wat is het doel van een pentest?

Een pentest onderzoekt of kwetsbaarheden in systemen, applicaties of infrastructuur in de praktijk kunnen leiden tot risico voor de organisatie. De waarde zit niet alleen in het vinden van kwetsbaarheden, maar vooral in het bepalen welke risico’s prioriteit hebben en welke opvolging nodig is.

Wanneer is het verstandig om een pentest te laten uitvoeren?

Een pentest is relevant bij nieuwe applicaties, grote wijzigingen in infrastructuur of cloudomgevingen, compliance-trajecten zoals NIS2, DORA of ISO 27001 en wanneer bestuur of IT meer zekerheid wil over actuele risico’s.

Wat levert een pentest op?

Een pentest levert inzicht op in technische kwetsbaarheden, mogelijke aanvalsroutes, impact op de organisatie en prioriteiten voor opvolging.

Wat staat er in een pentestrapport?

Een professioneel pentestrapport bevat de scope, onderzoeksmethode, technische bevindingen, impactanalyse, prioritering en concrete aanbevelingen. Daarnaast bevat een goed rapport een bestuurlijke samenvatting.

Wat is het verschil tussen een kwetsbaarheidsscan en een pentest?

Een kwetsbaarheidsscan signaleert automatisch mogelijke zwakke plekken. Een penetratietest onderzoekt wat die zwakke plekken betekenen binnen de context van de organisatie en kijkt naar samenhang, impact en mogelijke aanvalsroutes.

Hoe vaak moet je een pentest uitvoeren?

Voor veel organisaties is jaarlijks testen een goed uitgangspunt. Bij bedrijfskritische applicaties, snelle ontwikkelcycli of grote wijzigingen kan vaker testen verstandig zijn.

Is een pentest verplicht onder NIS2 of DORA?

NIS2 vraagt om passende risicobeheersing en periodieke evaluatie van beveiligingsmaatregelen. DORA bevat aanvullende eisen voor financiële instellingen. Een pentest is een veelgebruikt middel om maatregelen te toetsen en risico’s aantoonbaar te maken.

Hoe kies je een geschikt pentestbedrijf?

Kijk niet alleen naar prijs of tooling. Let vooral op de kwaliteit van de scope, technische diepgang, begrijpelijkheid van de rapportage en de vertaling naar prioriteiten en risico’s.

Hoe bepaal je de juiste scope van een pentest?

De juiste scope begint bij de vraag wat u wilt weten. Pas daarna wordt bepaald welke systemen, applicaties, accounts en testvormen nodig zijn voor een waardevol onderzoek.