Marc Ligthart

Gepubliceerd op 29-09-2025

---

NIS2 pentest: aantoonbare weerbaarheid in plaats van alleen compliance

Veel organisaties bereiden zich momenteel voor op NIS2. Daarbij ligt de focus vaak op beleid, processen, governance en documentatie. Maar de kern van NIS2 gaat verder dan alleen compliance op papier.

NIS2 verplicht organisaties niet alleen om cybersecuritymaatregelen te nemen, maar ook om de effectiviteit daarvan periodiek te beoordelen. Dit volgt uit artikel 21 van de NIS2-richtlijn, in het bijzonder artikel 21 lid 2 sub f over de beoordeling van de doeltreffendheid van cybersecuritymaatregelen.

Daarmee verschuift cybersecurity steeds meer van een theoretische compliance-oefening naar aantoonbare digitale weerbaarheid.

Van beleid naar aantoonbare effectiviteit

Veel organisaties beschikken inmiddels over:

• beleidsdocumentatie;
• MFA;
• endpoint security;
• logging;
• netwerksegmentatie;
• awareness-trainingen;
• vulnerability scanning.

Maar de aanwezigheid van maatregelen betekent niet automatisch dat deze ook effectief zijn tegen realistische aanvalsscenario’s.

Juist daar speelt een pentest een belangrijke rol.

Een pentest helpt organisaties aantonen dat beveiligingsmaatregelen niet alleen bestaan op papier, maar ook daadwerkelijk effectief zijn tegen realistische aanvalsscenario’s.

Een pentest levert diepgaand technisch bewijs over de effectiviteit van beveiligingsmaatregelen in de praktijk.

Waarom dit onder NIS2 steeds belangrijker wordt

NIS2 legt nadruk op:

• risicobeheersing;
• bestuurlijke verantwoordelijkheid;
• incidentpreventie;
• detectiecapaciteit;
• aantoonbaarheid van maatregelen.

Toezichthouders, auditors en bestuurders kijken daardoor steeds minder naar alleen beleidsdocumentatie en steeds meer naar vragen zoals:

• Welke systemen zijn getest?
• Welke aanvalspaden zijn onderzocht?
• Welke kwetsbaarheden zijn aangetoond?
• Hoe zijn de bevindingen opgevolgd?
• Welke verbetermaatregelen zijn daadwerkelijk doorgevoerd?

Een technische validatie zoals een pentest helpt organisaties om deze vragen concreet te onderbouwen binnen audit-, assurance- en complianceprocessen.

Een pentest is meer dan een vulnerability scan

Geautomatiseerde scans zijn waardevol, maar hebben beperkingen. Vaak tonen ze bekende kwetsbaarheden of configuratiefouten aan, zonder de daadwerkelijke impact op de organisatie inzichtelijk te maken.

Een pentest gaat verder.

Tijdens een pentest wordt onderzocht hoe een aanvaller daadwerkelijk zou proberen binnen te dringen, privileges uit te breiden of kritieke systemen te compromitteren.

Daarbij wordt onder andere gekeken naar:

• authenticatie en sessiebeheer;
• privilege escalation;
• netwerksegmentatie;
• cloudconfiguraties;
• Active Directory-beveiliging;
• API-beveiliging;
• business logic flaws;
• chained vulnerabilities;
• aanvalspaden tussen systemen.

Hierdoor ontstaat niet alleen inzicht in losse kwetsbaarheden, maar vooral in de werkelijke impact en risico’s voor de organisatie.

Risicogebaseerd testen onder NIS2

NIS2 schrijft geen exacte frequentie of vaste vorm van pentesten voor. De invulling moet aansluiten op het risicoprofiel van de organisatie.

De diepgang en frequentie van pentests moeten aansluiten op het risicoprofiel, de sector, de dreigingen en de kritikaliteit van systemen binnen de organisatie.

Voor organisaties met:

• bedrijfskritische processen;
• gevoelige persoonsgegevens;
• OT/ICS-omgevingen;
• cloud-native infrastructuren;
• ketenafhankelijkheden;
• publieke dienstverlening;

neemt de noodzaak voor diepgaande technische validatie aanzienlijk toe.

Daarom kiezen veel organisaties ervoor om periodiek:

• externe pentests;
• interne pentests;
• webapplicatietesten;
• cloudassessments;
• red teaming;
• phishing- en social-engineeringtests;

uit te voeren als onderdeel van hun bredere cyberweerbaarheidsstrategie.

Niet alleen compliance, maar aantoonbare weerbaarheid

NIS2 draait uiteindelijk niet alleen om het voldoen aan regelgeving.

Het gaat om de vraag of organisaties cyberincidenten daadwerkelijk kunnen voorkomen, detecteren en beperken.

Een pentest vormt voor veel organisaties een belangrijk fundament voor het aantoonbaar maken van technische weerbaarheid.

Niet alleen als compliance-activiteit, maar als aantoonbare validatie van digitale weerbaarheid.

Rapportage met technische én bestuurlijke waarde

Een effectieve pentest bestaat niet alleen uit technische bevindingen.

De rapportage moet ook bruikbaar zijn voor:

• management;
• bestuur;
• auditors;
• compliance officers;
• securityteams.

Daarom is het belangrijk dat rapportages:

• risico’s helder prioriteren;
• impact concreet maken;
• context bieden;
• opvolging ondersteunen;
• technisch én bestuurlijk leesbaar zijn.

Een rapport dat gebruikt kan worden als onderbouwing binnen audit-, assurance- en complianceprocessen heeft daardoor aanzienlijk meer waarde dan een lijst met losse kwetsbaarheden.

Van momentopname naar structurele validatie

Cyberdreigingen veranderen continu. Cloudomgevingen wijzigen dagelijks. Nieuwe koppelingen, leveranciers en applicaties vergroten voortdurend het aanvalsoppervlak.

Daarom zien steeds meer organisaties pentesting niet langer als een eenmalige controle, maar als onderdeel van een structureel programma voor cyberweerbaarheid.

In combinatie met:

• monitoring;
• vulnerability management;
• incident response;
• exposure management;
• threat intelligence;

ontstaat een veel realistischer beeld van de daadwerkelijke beveiligingsstatus van de organisatie.

Conclusie

Onder NIS2 verschuift de focus van het uitsluitend implementeren van beveiligingsmaatregelen naar het aantoonbaar maken van de effectiviteit daarvan in de praktijk.

Een pentest biedt organisaties een concrete manier om de effectiviteit van cybersecuritymaatregelen technisch te toetsen, risico’s zichtbaar te maken en digitale weerbaarheid aantoonbaar te onderbouwen richting bestuur, auditors en toezichthouders.

Veelgestelde vragen over NIS2 en pentesting

Is een pentest verplicht onder NIS2?

NIS2 schrijft niet expliciet voor dat organisaties verplicht een pentest moeten uitvoeren. De richtlijn verlangt echter wel dat organisaties passende technische en organisatorische maatregelen nemen én de effectiviteit daarvan periodiek beoordelen. Een pentest is daarvoor één van de meest gebruikte vormen van technische validatie.

Hoe vaak moet een organisatie een pentest uitvoeren onder NIS2?

NIS2 noemt geen vaste frequentie. In de praktijk hangt dit af van het risicoprofiel, de sector, de kritikaliteit van systemen en wijzigingen binnen de omgeving. Veel organisaties kiezen voor een jaarlijkse pentest of aanvullende testen bij significante wijzigingen, nieuwe applicaties of gewijzigde infrastructuren.

Wat is het verschil tussen een pentest en een audit?

Een audit richt zich voornamelijk op beleid, processen, governance en compliance. Een pentest onderzoekt juist of beveiligingsmaatregelen technisch effectief zijn tegen realistische aanvalsscenario’s. Beide vullen elkaar aan binnen een volwassen cybersecuritystrategie.

Wat levert een pentest op binnen een NIS2-traject?

Een pentest biedt organisaties technisch inzicht in kwetsbaarheden, aanvalspaden en risico’s. Daarnaast helpt het bij het aantoonbaar onderbouwen van digitale weerbaarheid richting bestuur, auditors, klanten en toezichthouders.

Inzicht krijgen in de effectiviteit van uw beveiligingsmaatregelen?

Wilt u inzicht krijgen in hoe effectief uw huidige beveiligingsmaatregelen daadwerkelijk zijn in de praktijk? SECWATCH helpt organisaties met diepgaande technische validatie, pentesting en realistische aanvalssimulaties als onderdeel van een bredere cyberweerbaarheidsstrategie.