NIS2 penetratietest vereisten: wat de richtlijn echt eist (2026)
NIS2 noemt nergens letterlijk het woord "penetratietest". Toch verwacht vrijwel elke auditor er een. De richtlijn eist dat je passende technische maatregelen neemt en de effectiviteit ervan toetst, en een pentest is het standaardbewijs dat je beveiliging in de praktijk werkt. Kort gezegd: NIS2 verplicht het toetsen, en een pentest is hoe je dat aantoont.
In Nederland is NIS2 omgezet via de Cyberbeveiligingswet. Veel organisaties vallen er voor het eerst onder en hebben nog nooit een pentest gekocht. Dit artikel legt uit op wie NIS2 van toepassing is, wat de richtlijn echt vraagt over testen, en wat een NIS2-proof pentest moet dekken.
Op wie is NIS2 van toepassing?
NIS2 verdeelt organisaties in twee groepen, met dezelfde verplichtingen maar verschillend toezicht.
- Essentiele entiteiten: grotere spelers in sectoren als energie, drinkwater, gezondheidszorg, digitale infrastructuur, transport en bankwezen. Hier geldt actief, vooraf toezicht.
- Belangrijke entiteiten: onder meer post en koeriers, afvalbeheer, voedsel, productie van kritieke goederen, chemie en digitale aanbieders. Hier geldt toezicht achteraf, bij incidenten of signalen.
In de praktijk val je vaak onder NIS2 als je middelgroot of groter bent (vanaf ongeveer 50 medewerkers of 10 miljoen euro omzet) en in een aangewezen sector zit. Lever je diensten aan een organisatie die zelf onder NIS2 valt, dan kan de eis ook via de keten op jou afkomen. Twijfel je? Check de sectorlijst in de Cyberbeveiligingswet en je positie in de toeleveringsketen.
Eist NIS2 een penetratietest?
Niet met die woorden. Wel in de praktijk.
NIS2 (artikel 21) verplicht passende en evenredige technische, operationele en organisatorische maatregelen om je netwerk- en informatiesystemen te beveiligen. Daar hoort expliciet bij: beleid om de effectiviteit van die maatregelen te beoordelen. Je moet dus niet alleen maatregelen treffen, maar ook bewijzen dat ze werken.
Hoe auditors "passende maatregelen" lezen
Een auditor of toezichthouder wil zien dat je beveiliging is getoetst door een onafhankelijke partij, niet alleen op papier staat. Een penetratietest levert precies dat: een gecontroleerde aanval op je systemen die laat zien welke kwetsbaarheden een echte aanvaller zou vinden. Het rapport is je bewijslast. Het toont wat er getest is, wat er gevonden is en wat je hebt opgelost.
Een vulnerability scan alleen is meestal niet genoeg. Een scan vindt bekende zwakheden geautomatiseerd, maar laat niet zien of ze in jouw context daadwerkelijk uitbuitbaar zijn. NIS2 draait om risico, en risico toon je aan met een test die verder gaat dan een lijstje meldingen.
Wat een NIS2-pentest moet dekken
Er is geen vaste checklist in de wet, maar auditors verwachten dat de scope aansluit op jouw risicoprofiel. Concreet betekent dat doorgaans:
- Externe infrastructuur: alles wat vanaf internet bereikbaar is, zoals webservers, VPN-toegang en mailservers.
- Webapplicaties en API's: de systemen waar je klant- of bedrijfsdata doorheen loopt.
- Interne netwerk: wat een aanvaller kan bereiken zodra die binnen is, bijvoorbeeld via een phishing-mail of een gestolen wachtwoord.
- Toegang en rechten: kan iemand rechten escaleren of bij data komen die niet voor hem bedoeld is?
Frequentie en bewijs dat de auditor verwacht
NIS2 schrijft geen exacte frequentie voor. De gangbare lijn: minstens jaarlijks, en altijd na een grote wijziging aan je systemen of applicaties. Even belangrijk als de test zelf is wat je achteraf kunt overleggen. Een auditor wil een rapport met scope, methode, bevindingen met risico-inschaling, en aantoonbare opvolging. Kun je laten zien dat een gevonden kwetsbaarheid is opgelost en hertest, dan ben je goud waard.
Wil je weten wat zo'n traject kost? Lees wat een pentest kost en hoe de prijs samenhangt met je scope.
Klaar om je NIS2-test te laten scopen? Onze AI stelt in minuten een testplan op dat aansluit op de NIS2-eis.
Hoe Budget Security een NIS2-pentest scopet
Hier zit het verschil. Generieke compliance-blogs sommen de eisen op. Wij koppelen elke NIS2-eis aan wat we daadwerkelijk testen en wat je rapport aan de auditor bewijst.
Je registreert je IT-assets eenmalig. Daarna kies je het doel: in dit geval NIS2-readiness. Onze scoping-AI stelt op basis van dat doel een testplan voor: hoeveel dagen, welke diepte per onderdeel, en precies wat er getest wordt. Voeg je een dag toe, dan zie je live welk onderdeel diepere dekking krijgt. Haal je een dag weg, dan zie je precies wat er sneuvelt en of de scope je NIS2-doel nog haalt. Geen subjectieve inschatting uit een verkoopgesprek, maar objectieve scoping die de eis volgt.
Het testen zelf doen ongeveer 30 OSCP-gecertificeerde testers, met jarenlange ervaring. We hebben de kwaliteit van de premium consultancy gehouden en het leveringsmodel gemoderniseerd.
Dat leveringsmodel is het tweede stuk bewijslast. Je rapport komt niet als versleutelde PDF in een mailbox, maar in een dashboard: issue tracker, risico-inschaling per bevinding, opvolging en hertest, en de volledige geschiedenis over meerdere tests heen. Precies de aantoonbare opvolging die een NIS2-auditor wil zien. Een plek waar je je hele beveiligingsprogramma stuurt, niet een los rapport dat verdwijnt in een mappenstructuur.
De prijs (vanaf 849 euro per dag, gewoon op de site) is het gevolg van die aanpak. AI-scoping voorkomt over-scopen, het platform schrapt projectoverhead, self-serve schrapt de verkoopcyclus. Diezelfde diepte, slimmer proces, eerlijke prijs.
Boek je NIS2-pentest
Klaar om je NIS2-test te laten scopen? Onze AI stelt in minuten een testplan op dat aansluit op de NIS2-eis, en het rapport is meteen je auditbewijs.