DNB Pentest: Informatiebeveiliging Goede Praktijk 2024 en ICT-Supervisie
De Nederlandsche Bank (DNB) is de centrale toezichthouder voor financiële instellingen in Nederland en oefent prudentieel toezicht uit op banken, verzekeraars, pensioenfondsen en betalingsinstellingen. Als onderdeel van haar toezichtstaak heeft DNB de 'Goede Praktijk Informatiebeveiliging' gepubliceerd — een normenkader dat concreet invulling geeft aan de informatiebeveiligingvereisten voor onder toezicht staande instellingen. Met de inwerkingtreding van DORA op 17 januari 2025 is het DNB-toezicht op ICT-beveiliging verder verscherpt en aangevuld met de rechtstreeks werkende DORA-vereisten. DNB verwacht van alle onder toezicht staande instellingen dat zij aantoonbaar voldoen aan de beveiligingsvereisten, inclusief regelmatige penetratietesten. Deze gids legt uit wat DNB verwacht, hoe de Goede Praktijk Informatiebeveiliging 2024 is opgebouwd, en hoe u kunt aantonen dat uw beveiligingsprogramma aan de DNB-normen voldoet.
Waarom DNB-toezicht penetratietesten verwacht van financiële instellingen
DNB hanteert een risicogebaseerde toezichtaanpak: hoe hoger het ICT-risico van een instelling, hoe intensiever het toezicht en hoe hoger de verwachtingen ten aanzien van beveiligingsmaatregelen. De Goede Praktijk Informatiebeveiliging (versie 2024) is het primaire referentiedocument voor DNB's verwachtingen inzake informatiebeveiliging voor niet-DORA-plichtige instellingen (met name pensioenfondsen, middelgrote verzekeraars en kleinere betalingsinstellingen) en als aanvulling op DORA voor grotere instellingen. De Goede Praktijk Informatiebeveiliging 2024 verwijst expliciet naar penetratietesten als een van de kernmaatregelen die DNB verwacht van instellingen met significante ICT-afhankelijkheden. DNB-toezichthouders stellen bij inspecties gerichte vragen over de beveiligingstestfrequentie, de reikwijdte van testen, de kwalificaties van testers en de opvolging van bevindingen. Het ontbreken van gedocumenteerde penetratietestresultaten wordt door DNB aangemerkt als een tekortkoming in het ICT-risicobeheersingskader van de instelling. Na de invoering van DORA heeft DNB zijn toezichtcapaciteiten op ICT-risicogebied uitgebreid en is de handhavingsbereidheid toegenomen.
- DNB Goede Praktijk Informatiebeveiliging 2024: het normenkader dat concreet invulling geeft aan de informatiebeveiligingvereisten voor alle door DNB onder toezicht staande instellingen — inclusief expliciete verwijzingen naar penetratietesten als verwachte beveiligingsmaatregel.
- DNB ICT-risicobeheersingskader (DORA Art. 5-16 voor DORA-plichtige instellingen, DNB Goede Praktijk voor overige): verplichting om ICT-risico's systematisch te identificeren, beoordelen, beheersen en documenteren — penetratietesten zijn een erkend instrument voor de kwetsbaarheidsidentificatiefase.
- DNB patchmanagementvereisten: DNB verwacht van instellingen dat zij een gedocumenteerd en effectief patchmanagementproces hanteren, met prioritering op basis van risicoernst — penetratietesten leveren input voor de prioritering van patches door kwetsbaarheden te bevestigen als exploiteerbaar.
- DNB-inspecties en toetsvragen: DNB-toezichthouders stellen bij ICT-inspecties standaard vragen over penetratietesten — frequentie, reikwijdte, kwalificaties van testers, bevindingen, opvolgingstatus; het ontbreken van documentatie leidt tot aanvullende vereisten en follow-up.
- DNB ICT-risicorapporten (jaarlijks): DNB publiceert jaarlijks een ICT-risicosectorrapport met bevindingen uit de toezichtpraktijk — recente rapporten tonen consistently aan dat patchmanagement, toegangsbeheer en kwetsbaarheidsbeheer de meest voorkomende tekortkomingen zijn.
- DORA-handhaving door DNB (vanaf 17 januari 2025): voor DORA-plichtige instellingen (banken, betalingsinstellingen, verzekeraars van voldoende omvang) handhaaft DNB de rechtstreeks werkende DORA-vereisten, inclusief Art. 24 penetratietestplicht en Art. 26 TLPT — met boetebevoegdheid tot 1% dagomzet.
- Ketenaansprakelijkheid: DNB verwacht dat financiële instellingen ook van hun kritieke ICT-leveranciers adequate beveiligingsmaatregelen eisen, inclusief bewijs van penetratietesten — dit is zowel in de DNB Goede Praktijk als in DORA Art. 28 verankerd.
Wat een DNB-conform beveiligingsprogramma vereist
- ICT-risico-inventarisatie en -classificatie: volledige inventarisatie van ICT-activa, classificatie naar kriticiteit, en koppeling aan de bedrijfsprocessen die door de instelling worden ondersteund — als basis voor risicogebaseerde testprioritering conform DNB Goede Praktijk.
- Externegerichte systemen: webapplicaties, API's, VPN-gateways, e-mailinfrastructuur, online banking portals — systematische identificatie en exploitatie van kwetsbaarheden op basis van actuele CVE-databases (bijv. CISA Known Exploited Vulnerabilities Catalog).
- Authenticatie en identiteitsbeheer: MFA-implementaties, wachtwoordbeleid, beheer van bevoorrechte toegang (PAM), serviceaccounts — testen conform DNB Goede Praktijk vereisten voor toegangsbeheer en identiteitsverificatie.
- Netwerksegmentatie en perimeterbescherming: firewall-regelsets, VLAN-segmentatie, DMZ-configuratie, detectie van ongeautoriseerde netwerktoegang — conform DNB-verwachtingen voor scheiding van kritieke en niet-kritieke omgevingen.
- Patchstatus van systemen: inventarisatie van systemen met bekende niet-gepatchte CVE's, classificatie naar exploiteerbaarheid en criticaliteit — input voor het patchmanagementproces; CVE-2023-44487 (HTTP/2 Rapid Reset) en CVE-2024-3400 (PAN-OS) als voorbeelden van recent actief geëxploiteerde kwetsbaarheden.
- Logging, monitoring en detectie: verificatie dat aanvalsactiviteiten worden gelogd en gedetecteerd door de SIEM/SOC-infrastructuur van de instelling — een steeds belangrijker aandachtspunt in DNB-inspecties na toenemende ransomware-incidenten in de financiële sector.
- Beveiliging van applicaties in ontwikkeling: testen van nieuwe applicaties en wijzigingen vóór productie-introductie, conform DORA Art. 24 §3 en DNB Goede Praktijk vereisten voor beveiligingstesten in de SDLC (Software Development Life Cycle).
- Cloudbeveiliging: beoordeling van cloud-implementaties (AWS, Azure, GCP) op misconfiguraties, IAM-kwetsbaarheden, onbeveiligde opslagdiensten en onvoldoende logging — gezien de toenemende cloudadoptie in de financiële sector een prioritair aandachtsgebied in DNB-inspecties.
- Derde-aanbiederbeveiliging: beoordeling van de beveiligingscontrols van kritieke ICT-leveranciers via contractuele vereisten, beveiligingscertificaten (ISO 27001, SOC 2) en pentestverklaringen — conform DNB Goede Praktijk en DORA Art. 28.
- Incidentrespons en bedrijfscontinuïteit: testen van de effectiviteit van het incidentresponsproces, inclusief detectietijden en herstellijden — relevante input voor de Business Continuity Planning (BCP) en het ICT-risicobeheersingskader van de instelling.
Voorbeeldbevinding
Onvoldoende patchmanagement — kritieke CVE's aanwezig op externegerichte systemen
Tijdens de penetratietest zijn vijf externegerichte systemen geïdentificeerd met kritieke, niet-gepatchte kwetsbaarheden: (1) Apache HTTP Server 2.4.49 kwetsbaar voor CVE-2021-41773 (Path Traversal en Remote Code Execution, CVSS 9.8, actief geëxploiteerd); (2) Microsoft Exchange Server 2016 kwetsbaar voor CVE-2021-34473 ProxyShell (CVSS 9.8); (3) VMware vCenter Server kwetsbaar voor CVE-2021-21985 (Remote Code Execution, CVSS 9.8); (4) Cisco ASA kwetsbaar voor CVE-2023-20269 (Unauthorized Remote Access, CVSS 9.1); (5) Citrix NetScaler kwetsbaar voor CVE-2023-3519 (Heap Overflow RCE, CVSS 9.8). De aanwezigheid van meerdere kritieke, actief geëxploiteerde CVE's op externegerichte systemen duidt op een fundamentele tekortkoming in het patchmanagementproces. DNB Goede Praktijk Informatiebeveiliging vereist een gedocumenteerd, effectief patchmanagementproces met risicoprioriteringscriteria.
Oplossing: Implementeer onmiddellijk patches voor alle geïdentificeerde kritieke CVE's — prioriteit voor CVE-2021-41773 (Apache), CVE-2021-34473 (Exchange) en CVE-2023-3519 (Citrix) gezien actieve exploitatie in het wild. Voer een volledige inventarisatie uit van alle externegerichte systemen en hun patchstatus. Implementeer een formeel patchmanagementproces met gedocumenteerde SLA's: kritieke CVE's (CVSS 9.0+) binnen 72 uur; hoge CVE's (CVSS 7.0-8.9) binnen 14 dagen; medium CVE's binnen 30 dagen. Documenteer het patchmanagementproces conform DNB Goede Praktijk Informatiebeveiliging 2024 voor indiening bij DNB-inspecties.
Referentie: CVE-2021-41773 (Apache Path Traversal/RCE, CVSS 9.8) · CVE-2021-34473 ProxyShell (Exchange, CVSS 9.8) · CVE-2023-3519 (Citrix NetScaler, CVSS 9.8) · CISA Known Exploited Vulnerabilities Catalog · DNB Goede Praktijk Informatiebeveiliging 2024 §5.3 Patchmanagement · DORA Art. 24 §2
DNB pentest: vergelijking van aanpakken
| — | Gratis scan | Matproof Sentinel | Traditionele consultancy |
|---|---|---|---|
| Geautomatiseerde scan-engine | ✓ (3-min preview) | ✓ Volledige scan | ✗ Alleen handmatig |
| OWASP Top 10 dekking | Gedeeltelijk | ✓ Volledig | ✓ Volledig |
| Proof-of-exploit bewijs | ✗ | ✓ Per bevinding | ✓ Per bevinding |
| Regulatorische mapping (DORA/NIS2/ISO 27001) | ✗ | ✓ Geautomatiseerd | ✓ Handmatig |
| Audit-geschikt PDF-rapport | ✗ | ✓ Direct | ✓ 2–4 weken levertijd |
| Continue / terugkerende scans | ✗ | ✓ Per deploy | ✗ Jaarlijkse opdracht |
| Tijd tot eerste resultaat | ~3 min | ~30 min volledige scan | 2–4 weken |
| Prijs | €0 | Vanaf €149 | €8.000–€25.000 |
| Broncode-review (SAST) | ✗ | ✓ Growth-plan | ✓ In scope |
| API-tests (REST/GraphQL) | ✗ | ✓ Geautomatiseerd | ✓ Handmatig |
DNB-conforme pentestaanbiedingen
- 1 volledige penetratietest-scan
- AI-geprioriteerde bevindingen met CVSS 3.1
- Proof-of-exploit per bevinding
- PDF-rapport (geschikt voor audit)
- Regulatorische mapping (DORA, NIS2, ISO 27001)
- Onbeperkt scannen (tot 3 domeinen)
- Continue monitoring
- CI/CD-integratie (GitHub, GitLab)
- Alle regulatorische mappings
- Prioriteitsondersteuning
- Onbeperkt scannen + domeinen
- Geauthenticeerde / White-Box tests
- API- en cloud-infrastructuurtests
- Dedicated security account manager
- SLA responstijd 24u
Veelgestelde vragen over DNB informatiebeveiliging en penetratietesten
Welke instellingen vallen onder DNB-toezicht op het gebied van informatiebeveiliging?
DNB oefent prudentieel toezicht uit op: banken (kredietinstellingen) — inclusief grote Europese banken die via de ECB worden getoezicht (SSM-instellingen) waarbij DNB als nationale bevoegde autoriteit optreedt; verzekeraars (Solvency II-instellingen); pensioenfondsen; betalingsinstellingen en elektronischgeldinstellingen; clearinginstellingen en centrale effectenbewaarinstellingen. Voor de kleinste instellingen gelden vereenvoudigde supervisievereisten, maar alle DNB-onder toezicht staande instellingen zijn onderworpen aan het informatiebeveiligingsnormenkader.
Wat zijn de meest voorkomende bevindingen in DNB ICT-inspecties?
Op basis van de jaarlijkse DNB ICT-risicorapporten (2022, 2023, 2024) zijn de meest voorkomende tekortkomingen: (1) inadequaat patchmanagement — systemen met kritieke, niet-gepatchte kwetsbaarheden, met name voor legacy-systemen; (2) onvoldoende beheer van bevoorrechte toegang — gedeelde accounts, ontbrekende MFA voor beheerderstoegang, overmatige rechten; (3) inadequate netwerksegmentatie — onvoldoende scheiding tussen productie- en testomgevingen, onvoldoende scheiding van kritieke en niet-kritieke systemen; (4) onvoldoende derde-aanbiederrisicobeheer — gebrek aan contractuele beveiligingsvereisten, ontbrekende monitoring van kritieke leveranciers; (5) onvoldoende beveiligingstestprogramma — geen regelmatige penetratietesten, geen opvolging van bevindingen.
Hoe verhoudt de DNB Goede Praktijk Informatiebeveiliging 2024 zich tot DORA?
De DNB Goede Praktijk Informatiebeveiliging (GPIb) is het DNB-normenkader dat van toepassing is op instellingen die niet onder de volledige DORA-verplichtingen vallen (met name pensioenfondsen die buiten het DORA-toepassingsgebied vallen) en als aanvulling op DORA voor instellingen die wel onder DORA vallen. DORA heeft als rechtstreeks werkende verordening voorrang op de GPIb voor de sectoren die DORA bestrijkt — voor banken, betalingsinstellingen en verzekeraars van voldoende omvang zijn de DORA-vereisten leidend. De GPIb 2024 is geactualiseerd om aan te sluiten bij DORA en verwijst voor DORA-plichtige instellingen naar de DORA-verplichtingen als minimumeisen.
Hoe frequent moeten penetratietesten worden uitgevoerd om aan DNB-verwachtingen te voldoen?
DNB schrijft geen vaste frequentie voor in de GPIb — de vereiste frequentie is risicogebaseerd. In de praktijk verwacht DNB voor instellingen met significante ICT-afhankelijkheden: ten minste jaarlijkse penetratietesten voor kritieke systemen; penetratietesten na substantiële wijzigingen in kritieke systemen of architectuur; een hogere frequentie voor externegerichte systemen (ten minste halfjaarlijks voor grootvolumes-betaalplatformen). Voor DORA-plichtige instellingen gelden de DORA Art. 24 frequentie-interpretaties van DNB en EBA.
Welke documentatie moet worden bijgehouden voor DNB-inspecties?
DNB verwacht bij inspecties de volgende documentatie gerelateerd aan beveiligingstesten: penetratietestrapporten (volledige rapporten, inclusief reikwijdte, methodiek, bevindingen en aanbevelingen) voor minimaal de afgelopen twee testcycli; remediationplannen met status per bevinding (hersteld / in behandeling / geaccepteerd risico met onderbouwing); bewijs van opvolging van eerdere bevindingen; kwalificaties van de gebruikte tester (certificeringen, ervaring); testfrequentie en -planning als onderdeel van het informatiebeveiligingsprogramma. Matproof Sentinel genereert al deze documentatie-elementen automatisch.
Heeft DNB bevoegdheden om corrigerende maatregelen op te leggen bij beveiligingstekortkomingen?
Ja — DNB beschikt over uitgebreide handhavingsbevoegdheden. Voor niet-DORA-plichtige instellingen (zoals pensioenfondsen): DNB kan aanwijzingen geven (een formele instructie om tekortkomingen te herstellen), een bewindvoerder aanstellen, de vergunning intrekken, en bestuurlijke boetes opleggen. Voor DORA-plichtige instellingen: aanvullend de DORA Art. 50-sanctiebevoegdheden, waaronder boetes tot 1% van de wereldwijde dagomzet en persoonlijke aansprakelijkheid van bestuurders. DNB heeft in de afgelopen jaren diverse formele aanwijzingen gegeven aan financiële instellingen wegens onvoldoende ICT-risicobeheersing.
Moet een DNB-conform pentestprogramma specifieke methodieken volgen?
De DNB Goede Praktijk Informatiebeveiliging schrijft geen specifieke testmethodiek voor, maar beveelt aan dat de gehanteerde methodiek is gebaseerd op erkende industriestandaarden. In de praktijk accepteert DNB: OWASP Testing Guide (voor webapplicatietesten), PTES (Penetration Testing Execution Standard), NIST SP 800-115 (Technical Guide to Information Security Testing and Assessment), en voor TLPT specifiek het TIBER-NL-kader. De kwalificaties van de tester moeten aantoonbaar zijn — OSCP, CREST CPSA/CRT, of vergelijkbare industrie-erkende certificeringen.
Hoe kan Matproof helpen bij het voldoen aan DNB informatiebeveiligingsvereisten?
Matproof Sentinel is ontworpen om financiële instellingen te ondersteunen bij het aantonen van naleving van het DNB informatiebeveiligingsnormenkader: geautomatiseerde, regelmatige kwetsbaarheidsscanning van externegerichte systemen; periodieke diepgaande penetratietesten conform OWASP/PTES-methodieken; audit-ready rapporten die de documentatievereisten voor DNB-inspecties invullen; continue monitoring van patchstatus en nieuwe CVE's; remediationtracking met statusupdates per bevinding. Matproof Sentinel genereert rapportage in het formaat dat DNB-toezichthouders verwachten bij inspecties.
Meer lezen — gerelateerde blogartikelen
Voldoe aan DNB Goede Praktijk Informatiebeveiliging
Matproof Sentinel genereert audit-ready penetratietestrapporten die aansluiten bij de documentatievereisten voor DNB ICT-inspecties. Verkrijg in 3 minuten een eerste beoordeling van uw patchstatus en kwetsbaarheidsblootstelling — zonder registratie. Inclusief DNB GPIb-referenties en volledig gedocumenteerde bevindingen.
Start de DNB pentest