NIS2 & DORA van kracht. EU AI Act volgt — boek een demo

ISO 27001 Pentest Nederland: Annex A.8.29 Beveiligingstesten en NEN-EN-ISO/IEC 27001:2022

De NEN-EN-ISO/IEC 27001:2022 standaard — de nieuwe versie van ISO 27001, gepubliceerd in oktober 2022 en verplicht voor hernieuwde certificeringen per oktober 2025 — bevat Annex A controle A.8.29 'Beveiligingstesten in ontwikkeling en acceptatie' als onderdeel van het informatiebeveiligingsbeheersysteem (ISMS). Penetratietesten zijn een erkende en verwachte invulling van deze controle, aangevuld met Annex A.8.8 'Beheer van technische kwetsbaarheden'. In Nederland worden ISO 27001-certificeringen uitgegeven door geaccrediteerde certificatie-instellingen die zijn erkend door de Raad voor Accreditatie (RvA). Bij ISO 27001-audits stellen certificatieauditoren gerichte vragen over de implementatie van beveiligingstesten — het ontbreken van penetratietestaantekeningen kan leiden tot bevindingen (minor of major non-conformiteiten) die de certificering in gevaar brengen. Deze gids legt uit hoe penetratietesten bijdragen aan uw ISO 27001-ISMS, wat auditoren specifiek zoeken, en hoe u een aantoonbaar effectief beveiligingstestprogramma opzet.

Start de ISO 27001 pentest
MW
Geschreven door Malte Wagenbach
Oprichter van Matproof Security. Gespecialiseerd in AI-gestuurde penetratietests en EU-compliance (DORA, NIS2, BIO, ISO 27001).
Laatst beoordeeld: 17 mei 2026

Waarom ISO 27001:2022 penetratietesten verwacht als ISMS-component

ISO/IEC 27001:2022 heeft ten opzichte van de vorige versie (2013) een geherstructureerde Annex A ingevoerd, gebaseerd op ISO/IEC 27002:2022. De controle A.8.29 'Beveiligingstesten in ontwikkeling en acceptatie' vereist dat organisaties 'beveiligingstestprocessen definiëren en implementeren in de ontwikkelingslevenscyclus'. Aanvullend verplicht A.8.8 'Beheer van technische kwetsbaarheden' dat organisaties 'tijdig informatie verkrijgen over technische kwetsbaarheden in de gebruikte informatiesystemen, de organisatie's blootstelling aan dergelijke kwetsbaarheden beoordelen en passende maatregelen nemen om het bijbehorende risico aan te pakken'. Certificatieauditoren interpreteren deze controles als vereiste voor zowel preventieve beveiligingstesten (penetratietesten van systemen in ontwikkeling — A.8.29) als reactieve kwetsbaarheidsidentificatie (penetratietesten en kwetsbaarheidsscanning van productiesystemen — A.8.8). De ISO 27001-standaard is op een 'comply-or-explain'-basis gebaseerd: als uw organisatie ervoor kiest een Annex A-controle niet te implementeren, moet dit worden gedocumenteerd in de 'Statement of Applicability' (SoA) met expliciete rechtvaardiging. Het volledig uitsluiten van beveiligingstesten (A.8.29 of A.8.8) van de SoA is voor de meeste organisaties moeilijk te rechtvaardigen tegenover een kritische certificatieauditor.

  • ISO/IEC 27001:2022 Annex A.8.29 (Beveiligingstesten in ontwikkeling en acceptatie): verplichting om beveiligingstestprocessen te definiëren en implementeren voor systemen in ontwikkeling — penetratietesten van nieuwe applicaties vóór productie-introductie zijn een directe invulling van deze controle.
  • ISO/IEC 27001:2022 Annex A.8.8 (Beheer van technische kwetsbaarheden): verplichting om tijdig informatie over kwetsbaarheden te verkrijgen, de blootstelling te beoordelen en maatregelen te nemen — reguliere penetratietesten en kwetsbaarheidsscanning zijn erkende invullingen van deze controle voor productiesystemen.
  • NEN-EN-ISO/IEC 27001:2022: de Nederlandse adoptie van ISO/IEC 27001:2022, vastgesteld door het NEN (Nederlands Normalisatie-instituut) — de NEN-norm is identiek aan de internationale ISO-standaard; Nederlandse certificeringen worden afgegeven door RvA-geaccrediteerde certificatie-instellingen.
  • Raad voor Accreditatie (RvA): de RvA is de Nederlandse nationale accreditatieorganisatie die certificatie-instellingen accrediteert voor het uitvoeren van ISO 27001-certificatieaudits — RvA-accreditatie is een vereiste voor het uitgeven van internationaal erkende ISO 27001-certificaten.
  • ISMS-risicobehandeling: penetratietesten leveren directe input voor de risicobehandeling conform ISO/IEC 27001 §6.1.2 — kwetsbaarheden gevonden tijdens penetratietesten worden als informatiebeveiligingsrisico's gedocumenteerd en behandeld via het ISMS-risicoregister.
  • Certificatieaudit-aandachtspunten: bij ISO 27001-Stage-2-audits en herbeoordelingsaudits stellen RvA-auditoren specifiek vragen over: de frequentie van beveiligingstesten, de reikwijdte en methodiek, de behandeling van bevindingen in het risicoregister, en de opvolging van aanbevelingen.
  • Klantvertrouwen en aanbestedingsvereisten: steeds meer Nederlandse overheidsaanbestedingen en Enterprise-klantcontracten vereisen ISO 27001-certificering als hygiënefactor — een robuust beveiligingstestprogramma versterkt het certificeringsproces en het klantvertrouwen.

Wat een ISO 27001-conform beveiligingstestprogramma vereist

  • ISMS-scope en informatiebeveiligingsassets: penetratietesten van alle systemen die binnen de ISO 27001-ISMS-scope vallen — de ISMS-scope-definitie bepaalt welke systemen in scope zijn voor beveiligingstesten.
  • Externegerichte systemen en perimeter (A.8.8): webapplicaties, API's, VPN-gateways, e-mailinfrastructuur, DNS-configuratie — periodieke penetratietesten als onderdeel van het kwetsbaarheidsbeheerprogramma conform A.8.8.
  • Applicatiebeveiligingstesten (A.8.29): penetratietesten van webapplicaties conform OWASP Top 10 (2021), beveiligingstesten van API's conform OWASP API Top 10 (2023), testen van mobiele applicaties conform OWASP Mobile Top 10 — als onderdeel van het SDLC-beveiligingsproces.
  • Interne netwerkbeveiliging: segmentatie, laterale verplaatsing, Active Directory-beveiliging (CVE-2021-42278 noPac, CVE-2020-1472 Zerologon als representatieve kwetsbaarheden), beheer van bevoorrechte toegang — onderdeel van het risicobehandelingsplan.
  • Cloudbeveiliging (A.5.23 — Informatiebeveiliging bij gebruik van clouddiensten): IAM-configuraties in AWS/Azure/GCP, opslag-bucket-blootstelling, API-sleutelbeheer, logging-volledigheid — met toenemende cloudadoptie een prioritair testgebied voor ISO 27001-ISMS's.
  • Cryptografische implementaties (A.8.24 — Gebruik van cryptografie): TLS-configuraties, certificaatbeheer, sleutelopslagpraktijken, gebruik van verouderde algoritmen — testen op CVE-2023-0215 (OpenSSL) en CVE-2022-0778 (OpenSSL) als representatieve cryptografische kwetsbaarheden.
  • Toegangsbeheer en authenticatie (A.8.2 en A.8.5): MFA-implementaties, RBAC (Role-Based Access Control) configuraties, beheer van serviceaccounts, identiteitsbeheer — verificatie dat het toegangsbeleid technisch is geïmplementeerd conform de SoA.
  • Fysieke en omgevingsbeveiliging (A.7): voor organisaties met eigen datacenterruimtes — toegangscontrole, cameratoezicht, koeling- en voedingssystemen; voor colocatie-omgevingen — contractuele verificatie.
  • Documentatie voor ISMS en audittrail: alle penetratietestresultaten worden gedocumenteerd als risicobehandeling in het ISMS — bevindingen worden ingevoerd in het risicoregister, herstelacties worden bijgehouden en geverifieerd; Matproof Sentinel genereert ISO 27001-compatibele rapportage.
  • Leveranciers en derde-aanbiederbeveiliging (A.5.19 — A.5.22): beoordeling van beveiligingscontroles van kritieke leveranciers via contractuele vereisten, beveiligingscertificaten (ISO 27001, SOC 2) en pentestverklaringen — conform ISMS-leveranciersrisicobeheer.

Voorbeeldbevinding

Hoog

SQL-injectie in interne CRM-applicatie — blootstelling van klantgegevens

Tijdens de applicatielaag penetratietest van de interne CRM-webapplicatie (binnen ISMS-scope) is een SQL-injectiequetsbaarheid (OWASP A03:2021 Injection, CWE-89) geïdentificeerd in het zoekformulier. Via een time-based blind SQL-injectie-payload is de volledige database-structuur uitgelezen en zijn 45.000 klantrecords met naam, e-mailadres en bestelhistorie toegankelijk gebleken. De applicatie draait op MySQL 5.7.38, kwetsbaar voor CVE-2022-21589 (MySQL Server Read Vulnerability, CVSS 6.5). Een aanvaller met netwerktoegang tot de interne applicatie (via VPN of na initiële toegang) kan de database volledig exfiltreren. Classificatie van klantgegevens: vertrouwelijk conform ISMS-informatieclassificatiebeleid — de blootstelling vormt een informatiebeveiliging­incident dat conform het ISMS-incidentbeheerproces (A.5.26) moet worden behandeld en AVG-meldplicht vereist beoordeling.

Oplossing: Implementeer geparametriseerde queries (prepared statements) voor alle databaseinteracties — elimineer dynamische SQL-constructie volledig. Implementeer input-validatie op serverside: whitelist-validatie voor alle gebruikersinvoer. Upgrade MySQL van 5.7.38 naar MySQL 8.0.33+ (patch CVE-2022-21589). Implementeer minimale databaseprivileges voor de applicatiegebruiker — lees-/schrijftoegang alleen tot de benodigde tabellen, geen DDL-rechten. Voer een volledige codereview uit op SQL-injectiekwetsbaarheden in de gehele applicatie. Documenteer de kwetsbaarheid als informatiebeveiligingsrisico in het ISMS-risicoregister en volg het hertelplan conform de risicobehandelingsprocedure.

Referentie: CVE-2022-21589 (MySQL Server Read, CVSS 6.5) · OWASP A03:2021 Injection · CWE-89 SQL Injection · ISO/IEC 27001:2022 A.8.8 (Beheer technische kwetsbaarheden) · ISO/IEC 27001:2022 A.8.29 (Beveiligingstesten) · AVG Art. 32 §1 (technische beveiligingsmaatregelen)

ISO 27001 pentest: vergelijking van aanpakken

Gratis scanMatproof SentinelTraditionele consultancy
Geautomatiseerde scan-engine✓ (3-min preview)✓ Volledige scan✗ Alleen handmatig
OWASP Top 10 dekkingGedeeltelijk✓ Volledig✓ Volledig
Proof-of-exploit bewijs✓ Per bevinding✓ Per bevinding
Regulatorische mapping (DORA/NIS2/ISO 27001)✓ Geautomatiseerd✓ Handmatig
Audit-geschikt PDF-rapport✓ Direct✓ 2–4 weken levertijd
Continue / terugkerende scans✓ Per deploy✗ Jaarlijkse opdracht
Tijd tot eerste resultaat~3 min~30 min volledige scan2–4 weken
Prijs€0Vanaf €149€8.000–€25.000
Broncode-review (SAST)✓ Growth-plan✓ In scope
API-tests (REST/GraphQL)✓ Geautomatiseerd✓ Handmatig

ISO 27001-conforme pentestaanbiedingen

Losse scan
€149 eenmalig
  • 1 volledige penetratietest-scan
  • AI-geprioriteerde bevindingen met CVSS 3.1
  • Proof-of-exploit per bevinding
  • PDF-rapport (geschikt voor audit)
  • Regulatorische mapping (DORA, NIS2, ISO 27001)
Losse scan kopen
Aanbevolen
Starter
€299 / maand
  • Onbeperkt scannen (tot 3 domeinen)
  • Continue monitoring
  • CI/CD-integratie (GitHub, GitLab)
  • Alle regulatorische mappings
  • Prioriteitsondersteuning
Start met Starter
Growth
€799 / maand
  • Onbeperkt scannen + domeinen
  • Geauthenticeerde / White-Box tests
  • API- en cloud-infrastructuurtests
  • Dedicated security account manager
  • SLA responstijd 24u
Contact voor Growth

Veelgestelde vragen over ISO 27001 penetratietesten in Nederland

Verplicht ISO 27001:2022 penetratietesten als Annex A-controle?

ISO/IEC 27001:2022 maakt Annex A-controles niet automatisch verplicht — de organisatie bepaalt via het risicobeoordelingsproces welke controles van toepassing zijn en documenteert dit in de Statement of Applicability (SoA). Echter, Annex A.8.8 (Beheer van technische kwetsbaarheden) en A.8.29 (Beveiligingstesten in ontwikkeling en acceptatie) zijn voor de overgrote meerderheid van organisaties van toepassing. Een certificatieauditor zal een onderbouwing vragen als deze controles als 'niet van toepassing' zijn geclassificeerd. In de praktijk verwachten auditoren dat organisaties een gedocumenteerd proces hebben voor het identificeren en behandelen van technische kwetsbaarheden, waarbij penetratietesten een erkend instrument zijn.

Hoe frequent moeten penetratietesten worden uitgevoerd voor ISO 27001-compliance?

ISO/IEC 27001:2022 schrijft geen minimumfrequentie voor beveiligingstesten voor — de frequentie volgt uit de risicobehandeling. De ISO/IEC 27002:2022-implementatiegids voor A.8.8 beveelt aan: periodieke kwetsbaarheidsscanning (continue of frequente intervallen); diepgaande penetratietesten op basis van risicoanalyse en na significante wijzigingen. In de praktijk verwachten RvA-geaccrediteerde auditoren voor organisaties met hoge informatierisico's: jaarlijkse penetratietesten van kritieke systemen; kwetsbaarheidsscanning met hogere frequentie (maandelijks of continu). De frequentie moet gedocumenteerd zijn in het ISMS-beveiligingstestbeleid.

Hoe beïnvloeden penetratietestresultaten de ISO 27001 risicobehandeling?

Kwetsbaarheden gevonden tijdens penetratietesten worden behandeld als informatiebeveiligingsrisico's in het ISMS-risicobeoordelingsproces. De pentest levert directe input voor: risico-identificatie (nieuwe risico's ontdekt tijdens de test); risicobehandeling (herstelacties als risicobehandelingsopties); risicoregister-updates (status van bekende risico's verificeren); behandelingsstatus (welke risico's zijn behandeld, welke zijn geaccepteerd). Matproof Sentinel genereert rapportage die direct aansluit bij ISO 27001-risicoregistervereisten — bevindingen worden gecategoriseerd naar ISMS-risiconiveaus en gekoppeld aan Annex A-controles.

Welke documentatie verwacht een ISO 27001-auditor over penetratietesten?

Bij ISO 27001-Stage-2 of herbeoordelingsaudits verwachten auditoren: (1) een gedocumenteerd beveiligingstestbeleid (penetratietestfrequentie, reikwijdte, methodiek, vereisten aan testers); (2) penetratietestrapporten voor de afgelopen testcyclus(sen); (3) risicoregistervermeldingen voor kwetsbaarheden gevonden tijdens testen; (4) behandelingsplannen en -status voor geïdentificeerde kwetsbaarheden; (5) bewijs van hertest na herstel van kritieke bevindingen; (6) Statement of Applicability-vermelding voor A.8.8 en A.8.29 met implementatiestatus. Matproof Sentinel genereert al deze documentatie-elementen automatisch in formaten geschikt voor ISO 27001-audits.

Hoe verhoudt de overgang van ISO 27001:2013 naar ISO 27001:2022 de penetratietestverplichtingen?

ISO/IEC 27001:2022 heeft ten opzichte van 2013 de Annex A geherstructureerd: van 114 controles in 14 categorieën naar 93 controles in 4 categorieën. Voor penetratietesten zijn de belangrijkste wijzigingen: de nieuwe controle A.8.29 'Beveiligingstesten in ontwikkeling en acceptatie' is explicieter dan de oude A.14.2.8 'Systeembeveiligingstesten'; A.8.8 'Beheer van technische kwetsbaarheden' is vergelijkbaar met de oude A.12.6.1 maar uitgebreid met nadruk op actief kwetsbaarheidsbeheer. Organisaties met ISO 27001:2013-certificeringen moeten voor oktober 2025 overstappen naar de 2022-versie — dit transititieproces vereist een bijgewerkte SoA en actualisering van het ISMS-beveiligingstestbeleid.

Welke certificatie-instellingen in Nederland zijn RvA-geaccrediteerd voor ISO 27001?

De Raad voor Accreditatie (RvA) publiceert een register van geaccrediteerde certificatie-instellingen op haar website (rva.nl). Prominente RvA-geaccrediteerde certificatie-instellingen voor ISO 27001 in Nederland zijn: Bureau Veritas Certification; DNV Business Assurance; Kiwa Certification; BSI Group Netherlands; LRQA (Lloyd's Register Quality Assurance); TÜV Rheinland Nederland. RvA-accreditatie garandeert dat de certificatieaudits worden uitgevoerd conform de IAF-normen (International Accreditation Forum), waardoor de certificaten internationaal erkend worden.

Kan een ISO 27001-gecertificeerde organisatie volstaan met de certificeringsaudit als bewijs van beveiligingseffectiviteit?

Nee — ISO 27001-certificering bewijst dat het ISMS bestaat en is geïmplementeerd conform de standaard, niet dat de technische beveiligingsmaatregelen daadwerkelijk effectief zijn in het tegenhouden van aanvallen. Certificatieaudits zijn procesgericht, niet penetratietestgericht. Aanvullende beveiligingstesten zijn noodzakelijk om aan te tonen dat de ISMS-controles — inclusief technische beveiligingsmaatregelen — effectief werken in de praktijk. Toezichthouders zoals DNB (voor financiële instellingen) en sectorale toezichthouders beschouwen ISO 27001-certificering als een positief signaal maar niet als vervanging voor gecontroleerde penetratietestresultaten.

Hoe helpt Matproof bij ISO 27001-ISMS implementatie voor beveiligingstesten?

Matproof Sentinel integreert met het ISO 27001-ISMS door: geautomatiseerde kwetsbaarheidsscanning die continu input levert voor A.8.8-compliance; periodieke diepgaande penetratietesten die invulling geven aan A.8.29-vereisten; rapportage in ISO 27001-compatibel formaat — bevindingen gekoppeld aan Annex A-controles, risiconiveaus conform ISMS-risicoschaal, behandelingsaanbevelingen; documentatie die auditeurs kunnen beoordelen bij Stage-2 en herbeoordelingsaudits; integratie met risicoregisters — bevindingen exporteerbaar in formaten compatibel met gangbare GRC-tools. Matproof biedt een gratis scan aan waarmee u in 3 minuten uw initiële kwetsbaarheidsblootstelling kunt beoordelen.

Gerelateerde onderwerpen

Meer lezen — gerelateerde blogartikelen

Start uw ISO 27001-conforme beveiligingstest

Matproof Sentinel biedt penetratietesten die aansluiten bij de ISO/IEC 27001:2022 Annex A.8.29 en A.8.8 vereisten. Verkrijg in 3 minuten een eerste beoordeling van uw technische beveiligingspositie — zonder registratie. Inclusief ISO 27001-compatibele rapportage voor uw ISMS-documentatie en certificatieaudits.

Start de ISO 27001 pentest