NIS2 & DORA van kracht. EU AI Act volgt — boek een demo

Penetratietest: Professionele pentest voor DORA, NIS2 en ISO 27001

Een penetratietest onthult wat een aanvaller in uw applicatie zou vinden — voordat hij dat doet. Matproof Sentinel voert AI-gestuurde pentests uit in uren in plaats van weken, levert proof-of-exploit voor elke finding en mapt resultaten op DORA Art. 24, NIS2 Art. 21, ISO 27001 A.8.29 en NCSC-richtlijnen. Start met een gratis scan van 3 minuten of een eenmalige pentest vanaf €149.

Start gratis scan
MW
Geschreven door Malte Wagenbach
Oprichter van Matproof Security. Gespecialiseerd in AI-gestuurde penetratietests en EU-compliance (DORA, NIS2, BIO, ISO 27001).
Laatst beoordeeld: 17 mei 2026

Waarom een penetratietest in 2026 geen optie meer is

De Nederlandse Cybersecuritywet (Cbw), implementatie van NIS2, is op 1 oktober 2024 in werking getreden. De wet breidt cybersecurity-verplichtingen uit naar meer dan 8.000 nieuwe Nederlandse organisaties (vergeleken met circa 200 onder de oude Wbni). De Inspectie Justitie en Veiligheid (IJenV) is de toezichthouder voor essentiële entiteiten; voor de financiële sector geldt DNB als toezichthouder. DORA, van toepassing sinds 17 januari 2025, vereist regelmatige technische tests voor alle financiële instellingen die vallen onder Nederlandse wetgeving. Een verouderd pentest-rapport (> 12 maanden oud) is in 78 % van de B2B enterprise aanbestedingen een directe diskwalificatiegrond.

  • DORA Art. 24 (van kracht sinds 17/01/2025) vereist een gedocumenteerde, regelmatige penetratietest voor alle ICT-systemen van financiële entiteiten — voor kritieke instellingen ook als TIBER-EU / TLPT-test.
  • Cbw (Cybersecuritywet, NIS2-implementatie) van kracht sinds 1/10/2024 — IJenV kan tot €10 miljoen of 2% wereldwijde omzet boetes opleggen.
  • DNB Goede Praktijk Informatiebeveiliging (2024) vereist jaarlijkse pentests voor banken en verzekeraars.
  • ISO 27001:2022 Bijlage A 8.29 vereist gedocumenteerde « beveiligingstests in ontwikkeling en acceptatie » voor elke major release.
  • NCSC-NL adviseert in « Handreiking Cybersecuritymaatregelen » (2024) jaarlijkse penetratietests als basismaatregel voor essentiële entiteiten.
  • Cyberverzekeraars (Achmea, ASR, NN Group) vereisen sinds 2024 een pentest-bewijs voor cyberpolissen met dekking > €5 miljoen.
  • Gemiddelde kosten van een datalek voor een Nederlandse MKB-onderneming bedroegen €3,6 miljoen in 2024 (IBM Cost of a Data Breach Report).

Wat we testen in een penetratietest

  • OWASP Top 10 (2021) — volledige dekking: A01 Broken Access Control, A02 Cryptographic Failures, A03 Injection, A07 Authentication Failures
  • OWASP API Security Top 10 (2023) — API1 BOLA, API2 Broken Authentication, API4 Resource Consumption, API5 BFLA
  • Authenticatie en session management — JWT-zwakheden, cookie-flags (Secure/HttpOnly/SameSite), session-fixation, defecte wachtwoord-resets
  • Autorisatielogica — IDOR (Insecure Direct Object Reference), horizontale en verticale privilege-escalatie, multi-tenant isolatie
  • Inputvalidatie — SQL injection (klassiek + NoSQL), XSS (Reflected/Stored/DOM), SSRF, XXE, command injection
  • Configuratie — TLS/SSL (RFC 8446), security headers (HSTS, CSP, Referrer-Policy), CORS, blootgestelde admin-paden, debug endpoints
  • Bedrijfslogica — race conditions in betalingsflows, coupon/korting misbruik, quota-bypass, defecte workflow-validatie
  • Afhankelijkheden (Software Composition Analysis) — bekende CVEs in npm/PyPI/Maven, verouderde frameworks (bijv. CVE-2024-43481 Next.js, CVE-2024-43990 Django)
  • DNS-configuratie — SPF, DKIM, DMARC, CAA-records (NIS2-relevant voor email spoofing preventie)
  • Cloud-infrastructuur (Growth-plan) — IAM misconfiguraties, S3 bucket permissies, blootgestelde cloud-opslag

Voorbeeldbevinding

Hoog

Zwak JWT-algoritme geaccepteerd (HS256 met raadbaar secret)

Het authenticatie-endpoint /api/auth/login accepteert JWT-tokens ondertekend met HMAC-SHA256 (HS256). Het gedeelde secret was aanwezig in een publiek toegankelijke JavaScript-bundle (matproof.com/_next/static/chunks/auth-3f2a1.js). Een aanvaller kan geldige authenticatie-tokens ondertekenen voor willekeurige gebruikers — inclusief admin-accounts — zonder een geldig wachtwoord te kennen.

Oplossing: Migreer naar RS256 (asymmetrische ondertekening met publiek/privé-sleutelpaar). De privésleutel blijft uitsluitend op de auth-server; de publieke sleutel kan publiek verspreid worden. Verifieer expliciet het algoritme bij token-validatie (geen « alg: none » of algorithm-confusion). Als HS256 verplicht is, gebruik minimaal 256 bit entropie, rotatie elke 90 dagen, nooit blootgesteld in frontend.

Referentie: OWASP API2:2023 Broken Authentication · CWE-327 Use of a Broken or Risky Cryptographic Algorithm · RFC 7518 §3.6

Penetratietest opties vergeleken

Gratis scanMatproof SentinelTraditionele consultancy
Geautomatiseerde scan-engine✓ (3-min preview)✓ Volledige scan✗ Alleen handmatig
OWASP Top 10 dekkingGedeeltelijk✓ Volledig✓ Volledig
Proof-of-exploit bewijs✓ Per bevinding✓ Per bevinding
Regulatorische mapping (DORA/NIS2/ISO 27001)✓ Geautomatiseerd✓ Handmatig
Audit-geschikt PDF-rapport✓ Direct✓ 2–4 weken levertijd
Continue / terugkerende scans✓ Per deploy✗ Jaarlijkse opdracht
Tijd tot eerste resultaat~3 min~30 min volledige scan2–4 weken
Prijs€0Vanaf €149€8.000–€25.000
Broncode-review (SAST)✓ Growth-plan✓ In scope
API-tests (REST/GraphQL)✓ Geautomatiseerd✓ Handmatig

Penetratietest-pakketten

Losse scan
€149 eenmalig
  • 1 volledige penetratietest-scan
  • AI-geprioriteerde bevindingen met CVSS 3.1
  • Proof-of-exploit per bevinding
  • PDF-rapport (geschikt voor audit)
  • Regulatorische mapping (DORA, NIS2, ISO 27001)
Losse scan kopen
Aanbevolen
Starter
€299 / maand
  • Onbeperkt scannen (tot 3 domeinen)
  • Continue monitoring
  • CI/CD-integratie (GitHub, GitLab)
  • Alle regulatorische mappings
  • Prioriteitsondersteuning
Start met Starter
Growth
€799 / maand
  • Onbeperkt scannen + domeinen
  • Geauthenticeerde / White-Box tests
  • API- en cloud-infrastructuurtests
  • Dedicated security account manager
  • SLA responstijd 24u
Contact voor Growth

Veelgestelde vragen over de penetratietest

Wat is het verschil tussen een penetratietest en een kwetsbaarheidsscan?

Een kwetsbaarheidsscan is een geautomatiseerde, vaak op handtekeningen gebaseerde controle tegen bekende CVE's — het vindt vermelde kwetsbaarheden, maar geen logica- of configuratiefouten. Een penetratietest gaat veel dieper: het combineert geautomatiseerde tests met contextuele analyse (bij ons via AI-agents), verifieert elke finding met proof-of-exploit en dekt complexe aanvalsketens af zoals IDOR, privilege-escalatie of bedrijfslogica-fouten. Voor DORA Art. 24, NIS2 Art. 21 en ISO 27001 A.8.29 is een kwetsbaarheidsscan over het algemeen niet voldoende als bewijs.

Hoe lang duurt een penetratietest met Matproof Sentinel?

De gratis scan op matproof.com/nl/tools/pentest-scan levert eerste findings over TLS, security headers, DNS en blootgestelde paden in ~3 minuten. De volledige Sentinel-penetratietest (€149 eenmalig of in abonnement) duurt ~30-60 minuten voor een typische web-applicatie en levert een audit-klaar PDF-rapport. Ter vergelijking: klassieke adviespentests vereisen 2-4 weken doorlooptijd.

Wat kost een penetratietest in Nederland?

Bij Matproof: gratis preview, €149 voor eenmalige scan met PDF-rapport, €299/maand voor continue tests (tot 3 domeinen, CI/CD-integratie), €799/maand voor geauthenticeerde tests, onbeperkte domeinen en cloud-infrastructuur. Klassieke pentests in NL kosten typisch €8.000-25.000 per engagement, met 2-4 weken doorlooptijd. Voor TIBER-NL tests van financiële instellingen liggen kosten regelmatig op €80.000-250.000.

Welke penetratietest-leveranciers worden erkend in Nederland?

Er bestaat in NL geen staatsregistratie als pentest-leverancier. Relevante kwaliteitskenmerken zijn: OSCP/OSWE-gecertificeerde testers, lidmaatschap bij Cyberveilig Nederland, ISO 27001-gecertificeerde leveranciers, CREST-leden. Voor TIBER-NL tests (DNB-gereguleerd) moet de leverancier op de ECB-lijst van geaccrediteerde red-team-leveranciers staan. Matproof Sentinel is een AI-gestuurde pentest-platform — voor TIBER-NL gereguleerde tests bevelen wij gespecialiseerde adviesbureaus aan.

Heb ik een pentest nodig als ik al een bug-bounty heb?

Bug-bounty en pentest dekken verschillende risico's af. Een bug-bounty is een open crowdsourcing-initiatief met onvoorspelbare dekking — u betaalt per gevonden kwetsbaarheid. Een pentest is een gedefinieerd, beperkt engagement met gegarandeerde dekking van alle systemen in scope. Voor audit-bewijs (DORA, NIS2, ISO 27001) eisen auditors een gestructureerd pentest-rapport, geen bug-bounty-programma. Optimaal is de combinatie: pentest voor compliance + bug-bounty voor continue, opportunistische beveiliging.

Wat betekent « proof-of-exploit » en waarom is het belangrijk?

Proof-of-Exploit (PoE) betekent: wij tonen u niet alleen dat een kwetsbaarheid theoretisch bestaat, maar leveren de exacte request die hem uitbuit — inclusief response-snippet, screenshot of korte video. Dit elimineert false positives en maakt prioritering triviaal. Voor audit-rapporten is PoE goud waard: het toont aan de auditor dat de finding geverifieerd is, en aan uw dev-team precies waar te beginnen. Bij klassieke pentests is PoE vaak optioneel en kost extra — bij Matproof Sentinel is het standaard.

Worden mijn gegevens opgeslagen bij de pentest?

Voor de gratis preview-scan: e-mail (voor rapportlevering) en scan-resultaten worden opgeslagen in de EU (Hetzner, Falkenstein); geen persoonsgegevens van uw eindgebruikers worden verzameld. Voor de volledige Sentinel-scan: alle test-activiteiten worden in de EU verwerkt, findings worden automatisch geanonimiseerd na 90 dagen. We zijn AVG-compliant (Art. 28); een verwerkersovereenkomst (DPA) wordt op verzoek geleverd.

Wat gebeurt er als de pentest kritieke kwetsbaarheden vindt?

Bij elke Critical of High finding ontvangt u onmiddellijk een e-mail met details en een aanbevolen onmiddellijke maatregel. Het PDF-rapport bevat een geprioriteerde roadmap (CVSS 3.1-score, geschatte remediation-inspanning, regulatoire relevantie). Op verzoek ondersteunen wij bij remediation — via onze interne security-advies (inbegrepen in Growth-plan) of via gespecialiseerde partners. Na remediation kunt u een re-test starten (gratis in Starter/Growth-plannen) om te verifiëren dat de fixes werken.

Gerelateerde onderwerpen

Meer lezen — gerelateerde blogartikelen

Start met een gratis penetratietest-scan

Voer uw domein in en ontvang eerste findings over TLS, security headers, DNS en blootgestelde paden in 3 minuten. Geen login, geen creditcard.

Start gratis scan