NIS2 Pentest Nederland: Cybersecuritywet Verplichtingen voor Essentiële en Belangrijke Entiteiten
De NIS2-richtlijn (Richtlijn (EU) 2022/2555) is in Nederland geïmplementeerd via de Cybersecuritywet (Cbw), die in oktober 2024 in werking is getreden. De Cbw legt essentiële en belangrijke entiteiten in kritieke sectoren de verplichting op tot het nemen van passende en evenredige technische en organisatorische maatregelen om de risico's voor de beveiliging van hun netwerk- en informatiesystemen te beheersen. Penetratietesten vormen een kerncomponent van deze maatregelen. In Nederland houden het Ministerie van Justitie en Veiligheid (IJenV), de Rijksinspectie Digitale Infrastructuur (RDI) en sectorale toezichthouders toezicht op de naleving. Het Nationaal Cyber Security Centrum (NCSC-NL) ondersteunt de implementatie met technische richtsnoeren. Deze gids legt uit wie verplicht is, wat concreet vereist wordt en hoe een penetratietest bijdraagt aan aantoonbare Cbw-naleving.
Waarom de Cybersecuritywet penetratietesten verplicht maakt
De Cybersecuritywet is geen vrijblijvend adviesinstrument — het is een wet met directe verplichtingen en handhavingsbevoegdheden. Art. 21 Cbw, dat de kern van de beveiligingsvereisten bevat, vereist dat entiteiten 'passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico's voor de beveiliging van netwerk- en informatiesystemen die zij gebruiken voor hun activiteiten of voor het verlenen van hun diensten te beheersen en de gevolgen van incidenten voor de afnemers van hun diensten en voor andere diensten te voorkomen of tot een minimum te beperken'. Art. 21, lid 2 van de Cbw somt verplichte maatregelen op, waaronder onderdeel (g): 'praktijken op het gebied van elementaire cyberhygiëne en opleiding op het gebied van cyberbeveiliging', en onderdeel (a): 'beleid inzake risicoanalyse en beveiliging van informatiesystemen'. De NCSC-NL Handreiking NIS2 verduidelijkt dat reguliere penetratietesten en kwetsbaarhedenbeoordelingen als technische maatregelen worden beschouwd die vereist zijn om aan de beveiligingszorgplicht van Art. 21 Cbw te voldoen. De toezichthouders — RDI voor digitale infrastructuur en digitale diensten, IJenV als coördinerend ministerie — hebben aangegeven dat instellingen moeten kunnen aantonen dat zij systematisch beveiligingstesten uitvoeren en bevindingen opvolgen. Boetes voor niet-naleving van de Cbw kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet voor essentiële entiteiten.
- Cbw Art. 21 §1 en §2: verplichting tot passende en evenredige technische maatregelen voor de beveiliging van netwerk- en informatiesystemen — penetratietesten zijn een erkende invulling van deze zorgplicht voor entiteiten met hogere risiconiveaus.
- NIS2 Art. 21 §2 onderdeel (e): 'beveiliging bij verwerving, ontwikkeling en onderhoud van netwerk- en informatiesystemen, met inbegrip van de behandeling en openbaarmaking van kwetsbaarheden' — dit omvat het testen van applicaties en systemen op kwetsbaarheden.
- Cbw meldplicht (Art. 23 Cbw): significante incidenten moeten binnen 24 uur worden gemeld bij NCSC-NL of de sectoriële CSIRT — het ontbreken van bewijsstukken van reguliere penetratietesten verzwakt de positie bij incidentonderzoek.
- RDI-toezicht: de Rijksinspectie Digitale Infrastructuur houdt toezicht op aanbieders van digitale infrastructuur en digitale diensten en kan handhavend optreden bij niet-naleving van de Cbw, inclusief sancties en corrigerende maatregelen.
- NCSC-NL Handreiking NIS2: de NCSC-NL heeft richtsnoeren gepubliceerd die penetratietesten expliciteren als technische beveiligingsmaatregel in het kader van Art. 21 Cbw — deze richtsnoeren worden door toezichthouders als referentie gebruikt bij inspecties.
- Sectorale toezichthouders: naast RDI handhaven ook DNB (financiële sector — met dien verstande dat DORA prevaleert), ACM (telecom), IGJ (zorg) en andere sectorale toezichthouders de Cbw-verplichtingen in hun respectievelijke sectoren.
- Ketenverantwoordelijkheid (Art. 21 §3 Cbw): entiteiten zijn verantwoordelijk voor de beveiliging van hun toeleveringsketen — leveranciers van kritieke diensten moeten aantonen dat zij adequate beveiligingstesten uitvoeren.
Wat moet een NIS2/Cbw-conform penetratietest omvatten
- Netwerk- en informatiesystemen van essentiële diensten: identificatie en inventarisatie van alle systemen die bijdragen aan de verlening van de essentiële of belangrijke dienst als bedoeld in de Cbw-bijlagen.
- Authenticatie- en autorisatiesystemen: multi-factor authenticatie, wachtwoordbeleid, beheer van bevoorrechte accounts (PAM), single sign-on-implementaties, directory services (Active Directory / Azure AD — bekende kwetsbaarheden: CVE-2021-42278 noPac, CVE-2021-42287 samAccountName spoofing).
- Beveiliging van netwerken en segmentatie: firewallregels, VLAN-segmentatie, DMZ-configuratie, laterale verplaatsing, detectie van onbevoegde netwerktoegang — conform NCSC-NL richtsnoeren voor netwerksegmentatie.
- Kwetsbaarheden in webapplicaties conform OWASP Top 10 (2021): A01 Broken Access Control, A02 Cryptographic Failures, A03 Injection (inclusief SQL-injectie, CVE-2021-44228 Log4Shell, CVE-2022-22965 Spring4Shell), A04 Insecure Design.
- Patchmanagement en kwetsbaarheidsbeheer: inventaris van systemen met bekende CVE's, verouderde software, ongepatchte besturingssystemen — NCSC-NL CSIRT-alerters als referentie voor actief geëxploiteerde kwetsbaarheden.
- Detectie- en responscapaciteiten: logging-volledigheid, SIEM-configuratie, detectie van aanvalspatronen tijdens de test, incidentresponseprocedures — conform Art. 21 §2 onderdeel (b) Cbw 'behandeling van incidenten'.
- Beveiliging van de toeleveringsketen (Art. 21 §3 Cbw): beoordeling van beveiligingsmaatregelen van kritieke leveranciers, API-interfaces met derden, software-afhankelijkheden met bekende kwetsbaarheden (OWASP A06:2021 Vulnerable and Outdated Components).
- Continuïteit en rampenherstelaanpak (Art. 21 §2 onderdeel (c) Cbw): testen van back-up- en herstelmechanismen, verificatie van RTO/RPO-doelstellingen, beoordeling van kwetsbaarheid voor ransomware-aanvallen.
- Beveiliging van eindpunten: testen van endpoint detection and response (EDR)-oplossingen, kwetsbaarheden in werkstations en servers (CVE-2021-34527 PrintNightmare, CVE-2020-1472 Zerologon — representatief voor Active Directory-aanvalsvectoren).
- Cryptografische implementaties: beoordeling van TLS-configuraties, certificaatbeheer, sleutelopslagpraktijken, gebruik van verouderde algoritmen (SHA-1, MD5, DES) die door NCSC-NL worden afgeraden.
Voorbeeldbevinding
Active Directory Kerberoasting-aanval mogelijk — blootstelling van serviceaccountgegevens
Tijdens de interne netwerktestfase (geautoriseerde reikwijdte conform Cbw Art. 21 §2) zijn 23 serviceaccounts met Service Principal Names (SPN's) geïdentificeerd die zijn geconfigureerd met zwakke of verouderde wachtwoorden. Via een Kerberoasting-aanval (aanvalstechniek MITRE ATT&CK T1558.003) zijn TGS-tickets voor deze serviceaccounts aangevraagd en offline gedecodeerd. Drie accounts met domeinbeheerdersrechten zijn gecompromitteerd in minder dan 4 uur met standaard hardware. CVE-2022-33679 (Windows Kerberos RC4-MD4 kwetsbaarheid) verergert de exploiteerbaarheid in omgevingen die verouderde versleuteling ondersteunen. Een aanvaller met toegang tot deze accounts kan volledige laterale verplaatsing en domeincompromis uitvoeren, wat leidt tot een significant incident meldplichtig onder Art. 23 Cbw.
Oplossing: Implementeer beheerde serviceaccounts (gMSA/MSA) voor alle SPN-gekoppelde accounts om automatische wachtwoordrotatie te garanderen. Configureer 'Protected Users'-beveiligingsgroep voor alle bevoorrechte accounts om RC4-versleuteling te voorkomen. Schakel AES256-versleuteling in voor Kerberos en verwijder RC4-ondersteuning. Patch CVE-2022-33679. Voer een volledige inventaris van SPN-configuraties uit en elimineer onnodige SPN's. Documenteer de bevindingen en herstelinspanningen conform Art. 21 Cbw beveiligingszorgplicht.
Referentie: CVE-2022-33679 (Windows Kerberos RC4-MD4) · CVE-2021-42278 (samAccountName Spoofing) · MITRE ATT&CK T1558.003 Kerberoasting · CWE-521 Weak Password Requirements · Cbw Art. 21 §2 onderdeel (a) · NCSC-NL Handreiking NIS2
NIS2/Cbw pentest: vergelijking van opties
| — | Gratis scan | Matproof Sentinel | Traditionele consultancy |
|---|---|---|---|
| Geautomatiseerde scan-engine | ✓ (3-min preview) | ✓ Volledige scan | ✗ Alleen handmatig |
| OWASP Top 10 dekking | Gedeeltelijk | ✓ Volledig | ✓ Volledig |
| Proof-of-exploit bewijs | ✗ | ✓ Per bevinding | ✓ Per bevinding |
| Regulatorische mapping (DORA/NIS2/ISO 27001) | ✗ | ✓ Geautomatiseerd | ✓ Handmatig |
| Audit-geschikt PDF-rapport | ✗ | ✓ Direct | ✓ 2–4 weken levertijd |
| Continue / terugkerende scans | ✗ | ✓ Per deploy | ✗ Jaarlijkse opdracht |
| Tijd tot eerste resultaat | ~3 min | ~30 min volledige scan | 2–4 weken |
| Prijs | €0 | Vanaf €149 | €8.000–€25.000 |
| Broncode-review (SAST) | ✗ | ✓ Growth-plan | ✓ In scope |
| API-tests (REST/GraphQL) | ✗ | ✓ Geautomatiseerd | ✓ Handmatig |
Cbw-conforme pentestaanbiedingen
- 1 volledige penetratietest-scan
- AI-geprioriteerde bevindingen met CVSS 3.1
- Proof-of-exploit per bevinding
- PDF-rapport (geschikt voor audit)
- Regulatorische mapping (DORA, NIS2, ISO 27001)
- Onbeperkt scannen (tot 3 domeinen)
- Continue monitoring
- CI/CD-integratie (GitHub, GitLab)
- Alle regulatorische mappings
- Prioriteitsondersteuning
- Onbeperkt scannen + domeinen
- Geauthenticeerde / White-Box tests
- API- en cloud-infrastructuurtests
- Dedicated security account manager
- SLA responstijd 24u
Veelgestelde vragen over NIS2/Cybersecuritywet penetratietesten in Nederland
Welke organisaties vallen onder de Nederlandse Cybersecuritywet (Cbw)?
De Cbw is van toepassing op essentiële entiteiten en belangrijke entiteiten in de sectoren die zijn opgenomen in de bijlagen I en II van de NIS2-richtlijn. Bijlage I (essentiële sectoren): energie, transport, bankwezen, financiële marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur (DNS, TLD's, IXP's, cloudproviders, datacenters, CDN's), ICT-dienstverlening, ruimtevaart, overheidsdiensten. Bijlage II (andere kritieke sectoren): post- en koeriersdiensten, afvalbeheer, chemie, voedingsmiddelen, maakindustrie, digitale aanbieders (online marktplaatsen, zoekmachines, sociale media). De Cbw hanteert drempelwaarden op basis van omvang: middelgrote ondernemingen (50+ werknemers of 10 miljoen+ omzet) in deze sectoren vallen doorgaans binnen het toepassingsgebied.
Schrijft de Cybersecuritywet expliciet penetratietesten voor?
Art. 21 Cbw schrijft geen penetratietesten met zoveel woorden voor, maar vereist 'passende en evenredige technische, operationele en organisatorische maatregelen' voor de beveiliging van netwerk- en informatiesystemen. De NCSC-NL Handreiking NIS2 en de ENISA-richtsnoeren voor de implementatie van NIS2 beschouwen penetratietesten als een erkende technische maatregel voor entiteiten met een hoger risicoprofiel. Toezichthouders zoals RDI beoordelen bij inspecties of de genomen maatregelen proportioneel zijn aan het risico — voor essentiële entiteiten wordt het uitvoeren van regelmatige penetratietesten als noodzakelijk beschouwd.
Welke toezichthouder handhaaft de Cybersecuritywet voor mijn organisatie?
De handhaving is sectoraal georganiseerd: RDI (Rijksinspectie Digitale Infrastructuur) voor digitale infrastructuur en digitale dienstverleners; DNB voor financiële instellingen (hoewel DORA als lex specialis prevaleert voor financiële entiteiten); ACM voor aanbieders van elektronische communicatienetwerken en -diensten; IGJ voor de zorgsector; de Autoriteit Nucleaire Veiligheid en Stralingsbescherming (ANVS) voor nucleaire instellingen. Het Ministerie van Justitie en Veiligheid (IJenV) coördineert de algehele NIS2/Cbw-handhaving en beheert het nationale NIS2-register via NCSC-NL.
Hoe hoog zijn de boetes bij niet-naleving van de Cybersecuritywet?
Voor essentiële entiteiten kan de bevoegde toezichthouder bestuurlijke boetes opleggen van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor belangrijke entiteiten geldt een maximum van 7 miljoen euro of 1,4% van de wereldwijde jaaromzet. Naast financiële sancties kunnen toezichthouders corrigerende bevelen uitvaardigen, activiteiten tijdelijk verbieden, en bestuurders persoonlijk aansprakelijk stellen. De Cbw voorziet ook in de openbaarmaking van niet-naleving — reputatieschade kan de financiële schade overtreffen.
Binnen welke termijn moeten incidenten worden gemeld onder de Cybersecuritywet?
Art. 23 Cbw (implementatie van Art. 23 NIS2) stelt drievoudige meldtermijnen: vroege waarschuwing binnen 24 uur na het eerste bewustzijn van een significant incident aan NCSC-NL of de relevante CSIRT; incidentmelding binnen 72 uur met eerste beoordeling van de impact; eindrapport binnen 1 maand met volledige analyse, oorzaak, genomen maatregelen en gevolgen. Een 'significant incident' is een incident dat ernstige operationele verstoring veroorzaakt of financiële verliezen voor de entiteit of materiële schade voor anderen. Het hebben van gedocumenteerde penetratietestrapporten versterkt de positie bij incidentonderzoek door aan te tonen dat bekende kwetsbaarheden waren geïdentificeerd en aangepakt.
Hoe verhoudt de Cybersecuritywet zich tot de AVG/UAVG voor mijn beveiligingsprogramma?
De Cbw en de AVG (Algemene Verordening Gegevensbescherming) en UAVG (Uitvoeringswet Algemene Verordening Gegevensbescherming) zijn complementair maar niet identiek. Beide verplichten tot technische beveiligingsmaatregelen, maar met verschillende focuspunten: de Cbw richt zich op de beschikbaarheid en integriteit van netwerk- en informatiesystemen die essentiële diensten ondersteunen; de AVG/UAVG richt zich op de bescherming van persoonsgegevens. Een penetratietest dient beide doeleinden tegelijkertijd: het identificeert kwetsbaarheden die de beschikbaarheid van diensten bedreigen (Cbw) en kwetsbaarheden die persoonsgegevens in gevaar brengen (AVG Art. 32). Organisaties in scope van beide regelgevingskaders kunnen hun penetratietestinspanningen bundelen.
Moet een NIS2/Cbw pentest worden uitgevoerd door een gecertificeerde aanbieder?
De Cbw schrijft geen verplichte certificering voor penetratietestaanbieders voor als algemene vereiste — dit in tegenstelling tot DORA Art. 26 TLPT dat erkende Red Team-aanbieders vereist. Echter, de NCSC-NL Handreiking NIS2 beveelt aan dat penetratietesters relevante kwalificaties hebben (OSCP, CREST, OSCE3 of vergelijkbare industrie-erkende certificeringen) en dat de methodiek gebaseerd is op erkende kaders zoals OWASP, PTES of NIST SP 800-115. Toezichthouders verwachten bewijs van de kwalificaties van de tester als onderdeel van de pentestdocumentatie.
Hoe frequent moeten penetratietesten worden uitgevoerd onder de Cybersecuritywet?
De Cbw schrijft geen vaste minimumfrequentie voor — Art. 21 vereist 'passende' maatregelen, wat een risicogebaseerde benadering impliceert. De NCSC-NL Handreiking NIS2 beveelt aan: jaarlijkse volledige penetratietest voor essentiële entiteiten met hoge risicoprofielen; na significante wijzigingen in infrastructuur, applicaties of architectuur; na significante beveiligingsincidenten; continue kwetsbaarheidsbewaking (vulnerability scanning) als aanvulling op periodieke penetratietesten. Matproof Sentinel biedt continue monitoring gecombineerd met periodieke diepgaande penetratietesten om aan deze verwachtingen te voldoen.
Meer lezen — gerelateerde blogartikelen
Start uw Cybersecuritywet-conforme pentest
Verkrijg in 3 minuten een eerste beoordeling van uw beveiligingspositie conform Art. 21 Cbw — zonder registratie, zonder verplichtingen. Matproof Sentinel genereert een audit-ready rapport dat aantoonbaar voldoet aan de technische maatregelen die de Cybersecuritywet vereist. Inclusief NCSC-NL-referenties en volledig gedocumenteerde bevindingen.
Start de NIS2 pentest