NIS2 & DORA van kracht. EU AI Act volgt — boek een demo

TIBER-EU en TIBER-NL: Red Team Tests voor de Nederlandse Financiële Sector

TIBER-EU (Threat Intelligence-Based Ethical Red Teaming) is het Europese kader voor het uitvoeren van geavanceerde, op dreigingsinformatie gebaseerde penetratietesten bij financiële instellingen. De Europese Centrale Bank (ECB) heeft TIBER-EU in 2018 gepubliceerd; Nederland was via De Nederlandsche Bank (DNB) een van de eerste landen die het kader implementeerden met TIBER-NL, actief sinds 2019. TIBER-NL geldt als het meest volwassen TIBER-programma in Europa: DNB heeft de meeste TIBER-tests begeleid, beschikt over de meest gedetailleerde implementatierichtsnoeren en heeft het kader als basis gediend voor de uitwerking van DORA Art. 26 TLPT. Met de inwerkingtreding van DORA op 17 januari 2025 is TIBER-NL nu het primaire referentiekader voor de TLPT-verplichting op grond van Art. 26 DORA voor systeemrelevante financiële instellingen in Nederland. Deze gids legt uit wat TIBER-NL is, wie er aan deelneemt, hoe een TIBER-test is opgebouwd en hoe u zich voorbereidt.

Start de TIBER-NL voorbereiding
MW
Geschreven door Malte Wagenbach
Oprichter van Matproof Security. Gespecialiseerd in AI-gestuurde penetratietests en EU-compliance (DORA, NIS2, BIO, ISO 27001).
Laatst beoordeeld: 17 mei 2026

Waarom TIBER-NL de goudstandaard is voor financiële beveiligingstesten in Nederland

TIBER-NL is geen vrijwillig initiatief voor gevorderde instellingen — voor systeemrelevante financiële instellingen in Nederland is deelname verplicht op grond van DORA Art. 26, dat TLPT (Threat-Led Penetration Testing) oplegt aan aangewezen instellingen. DNB is de aangewezen bevoegde autoriteit die bepaalt welke instellingen een TIBER-NL-test moeten uitvoeren. De methodologie van TIBER-NL onderscheidt zich wezenlijk van een standaard penetratietest: een TIBER-test start met een Threat Intelligence-fase waarbij een gespecialiseerde Threat Intelligence Provider (TI-aanbieder) een op maat gemaakte dreigingsanalyse opstelt op basis van echte aanvalsinformatie specifiek voor de betrokken instelling — rekening houdend met haar sector, haar landschapspositie, haar kritieke functies en actuele dreigingsactoren. Op basis van deze analyse voert een Red Team Provider (RT-aanbieder) vervolgens een realistische aanvalssimulatie uit zonder voorafgaande kennisgeving aan het beveiligingsteam van de instelling, met als doel de detectie- en respons­capaciteiten van de instelling te testen. De resultaten worden door DNB gebruikt om de cyberweerstandcapaciteiten van het Nederlandse financiële systeem te beoordelen. DNB deelt geanonimiseerde bevindingen sector-breed om de algehele weerbaarheid te verbeteren.

  • DORA Art. 26 §1: TLPT-verplichting voor aangewezen systeemrelevante financiële instellingen — TIBER-NL is het referentiekader voor deze tests in Nederland; DNB wijst de betrokken instellingen aan op basis van systeemrelevantie en ICT-risicoprofiel.
  • TIBER-EU-raamwerk (ECB 2018, versie 2.0 2022): het overkoepelende Europese kader dat de methodologie, fasen, actoren en procedurele vereisten definieert voor op dreigingsinformatie gebaseerde Red Team-tests; TIBER-NL is de Nederlandse implementatie.
  • DNB TIBER-NL Implementatiegids (2019, herzien 2021 en 2023): de meest gedetailleerde nationale implementatiegids in Europa, die accrediteringscriteria voor TI- en RT-aanbieders, coördinatieprocedures met DNB, rapportagevereisten en follow-up trajecten specificeert.
  • Wederzijdse erkenning: een TIBER-NL-certificering wordt erkend door andere nationale autoriteiten in de EU — instellingen die een succesvolle TIBER-NL-test hebben voltooid, hoeven de test niet opnieuw uit te voeren voor andere jurisdicties binnen de afgesproken geldigheidsperiode.
  • Driehoeksstructuur: de TIBER-test vereist drie afzonderlijke partijen — de financiële instelling (opdrachtgever), een door DNB erkende TI-aanbieder (dreigingsanalyse) en een door DNB erkende RT-aanbieder (aanvalssimulatie); de scheiding van verantwoordelijkheden waarborgt de integriteit en onafhankelijkheid van de test.
  • Vrijwillige deelname voor niet-aangewezen instellingen: kleinere financiële instellingen die niet door DNB zijn aangewezen voor verplichte TIBER-tests kunnen vrijwillig aan het programma deelnemen — DNB moedigt dit aan als maatstaf voor proactief beveiligingsbeheer.
  • TIBER-NL als voorbereiding op DORA-compliancevereisten: het voltooien van een TIBER-NL-test levert documentatie op die rechtstreeks bijdraagt aan het aantonen van naleving van DORA Art. 26 en de bredere ICT-beveiligingstestverplichtingen van Art. 24.

Wat een TIBER-NL Red Team test omvat en hoe u zich voorbereidt

  • Fase 1 — Voorbereiding en reikwijdtedefinitie: in overleg met DNB worden de Kritieke Functies (KF's) van de instelling geïdentificeerd — de diensten waarvan de verstoring systemische gevolgen zou hebben voor het Nederlandse financiële stelsel; de reikwijdte van de test wordt gebaseerd op deze KF's.
  • Fase 2 — Threat Intelligence (TI-fase): een erkende TI-aanbieder stelt een op maat gemaakt Targeted Threat Intelligence (TTI)-rapport op, gebaseerd op open source intelligence (OSINT), technische indicatoren en sectorspecifieke dreigingsinformatie — dit rapport identificeert de meest waarschijnlijke aanvalscenario's voor de betrokken instelling.
  • Fase 3 — Red Team-aanval (RT-fase): een erkende RT-aanbieder voert de aanvalssimulatie uit op basis van het TTI-rapport, met als doelstelling het doordringen tot de kritieke functies van de instelling via realistische aanvalsvectoren — phishing, exploitatie van externegerichte systemen (CVE-gebaseerd), laterale verplaatsing, privilege-escalatie.
  • Externe perimeter: web- en API-applicaties, VPN-gateways, e-mailsystemen, externegerichte services — identificatie en exploitatie van kwetsbaarheden in publiek toegankelijke systemen (CVE-2023-44487 HTTP/2 Rapid Reset, CVE-2024-3400 PAN-OS Command Injection als voorbeelden van recent geëxploiteerde CVE's).
  • Phishing en social engineering: gerichte spear-phishing-campagnes op basis van het TTI-profiel van dreigingsactoren die specifiek op de financiële sector actief zijn; testen van e-mailfiltermechanismen, gebruikersbewustzijn en detectietijden.
  • Interne netwerktoegang en laterale verplaatsing: na succesvolle initiële toegang — beweging door het netwerk richting kritieke systemen, privilege-escalatie, exfiltratie van gesimuleerde kritieke gegevens.
  • Detectie- en responstest (purple team-fase): na de TIBER-test volgt een verplichte 'Remediation' en optionele 'Purple Team'-fase waarin het offensieve team samenwerkt met het defensieve team om detectiehiaten te identificeren en te verhelpen.
  • TIBER-voorbereiding via Matproof: voor instellingen die zich voorbereiden op een TIBER-NL-test biedt Matproof Sentinel een gapanalyse en kwetsbaarheidsbasislijn die de meest voorkomende bevindingen identificeert vóór de formele TIBER-test — hierdoor wordt de slagingskans van de TIBER-test vergroot en worden kostbare hertest-rondes geminimaliseerd.
  • Post-TIBER remediation: na de TIBER-test moeten instellingen een herstelplan indienen bij DNB — Matproof Sentinel ondersteunt de continue monitoring en verificatie van herstelinspanningen.

Voorbeeldbevinding

Kritiek

Initiële toegang via spear-phishing en exploitatie van VPN-kwetsbaarheid — TIBER-simulatie

In de Red Team-fase (TIBER-NL-simulatie) is initiële toegang verkregen via een combinatie van gerichte spear-phishing op een senior compliance-functionaris (gebaseerd op het TTI-dreigingsprofiel) en exploitatie van een ongepatchte Citrix NetScaler-kwetsbaarheid (CVE-2023-3519, CVSS 9.8 — Remote Code Execution zonder authenticatie). De Citrix-instantie was bereikbaar via internet en had de kritieke patch van juli 2023 niet ontvangen. Via de initiële voet aan de grond in de DMZ is laterale verplaatsing uitgevoerd naar het interne netwerk door middel van pass-the-hash-aanvallen op een niet-gesegmenteerd beheersnetwerk. Binnen 6 uur is toegang verkregen tot een systeem in de omgeving van een kritieke functie als gedefinieerd in de TIBER-reikwijdtedefinitie. De detectiemechanismen van de instelling detecteerden de aanval niet zelfstandig — alleen een actieve melding door het Red Team triggerde een respons.

Oplossing: Onmiddellijke patching van CVE-2023-3519 (Citrix NetScaler ADC en Gateway) en implementatie van een verplicht patchmanagementproces voor externegerichte systemen met een SLA van maximaal 72 uur voor kritieke CVE's (CVSS 9.0+). Implementeer netwerksegmentatie voor het beheersnetwerk en verhinder laterale verplaatsing via NTLM relay-bescherming en SMB-signing. Verbeter detectiemogelijkheden voor spear-phishing via DMARC/DKIM/SPF-configuratie en e-mailbeveiligingscontroles. Verhoog SIEM-alertdrempels voor laterale-verplaatsingspatronen. Documenteer bevindingen conform TIBER-NL remediationvereisten voor indiening bij DNB.

Referentie: CVE-2023-3519 (Citrix NetScaler ADC/Gateway RCE, CVSS 9.8) · MITRE ATT&CK T1566.001 Spearphishing Attachment · MITRE ATT&CK T1550.002 Pass the Hash · TIBER-EU RT-fase richtsnoeren · DORA Art. 26 §3 (TLPT-vereisten)

TIBER-NL versus standaard pentest: vergelijking

Gratis scanMatproof SentinelTraditionele consultancy
Geautomatiseerde scan-engine✓ (3-min preview)✓ Volledige scan✗ Alleen handmatig
OWASP Top 10 dekkingGedeeltelijk✓ Volledig✓ Volledig
Proof-of-exploit bewijs✓ Per bevinding✓ Per bevinding
Regulatorische mapping (DORA/NIS2/ISO 27001)✓ Geautomatiseerd✓ Handmatig
Audit-geschikt PDF-rapport✓ Direct✓ 2–4 weken levertijd
Continue / terugkerende scans✓ Per deploy✗ Jaarlijkse opdracht
Tijd tot eerste resultaat~3 min~30 min volledige scan2–4 weken
Prijs€0Vanaf €149€8.000–€25.000
Broncode-review (SAST)✓ Growth-plan✓ In scope
API-tests (REST/GraphQL)✓ Geautomatiseerd✓ Handmatig

TIBER-NL voorbereiding en pentestaanbiedingen

Losse scan
€149 eenmalig
  • 1 volledige penetratietest-scan
  • AI-geprioriteerde bevindingen met CVSS 3.1
  • Proof-of-exploit per bevinding
  • PDF-rapport (geschikt voor audit)
  • Regulatorische mapping (DORA, NIS2, ISO 27001)
Losse scan kopen
Aanbevolen
Starter
€299 / maand
  • Onbeperkt scannen (tot 3 domeinen)
  • Continue monitoring
  • CI/CD-integratie (GitHub, GitLab)
  • Alle regulatorische mappings
  • Prioriteitsondersteuning
Start met Starter
Growth
€799 / maand
  • Onbeperkt scannen + domeinen
  • Geauthenticeerde / White-Box tests
  • API- en cloud-infrastructuurtests
  • Dedicated security account manager
  • SLA responstijd 24u
Contact voor Growth

Veelgestelde vragen over TIBER-EU en TIBER-NL in Nederland

Wie is verplicht om een TIBER-NL-test uit te voeren?

DNB wijst de instellingen aan die verplicht aan TIBER-NL moeten deelnemen op basis van systeemrelevantie en ICT-risicoprofiel. In de praktijk betreft dit de grote Nederlandse banken (ING, Rabobank, ABN AMRO, de Volksbank), grote verzekeraars, betalingsinstellingen van systemisch belang en centrale marktinfrastructuren. Met de inwerkingtreding van DORA Art. 26 op 17 januari 2025 is de kring van aangewezen instellingen uitgebreid conform de DORA-criteria voor TLPT-plichtige entiteiten. DNB communiceert individueel met de betrokken instellingen over de aanwijzing.

Hoe lang duurt een TIBER-NL-test?

Een volledige TIBER-NL-test duurt doorgaans 3 tot 6 maanden. De voorbereiding en reikwijdtedefinitie neemt 4 tot 8 weken in beslag; de TI-fase (Targeted Threat Intelligence) duurt 6 tot 10 weken; de RT-fase (Red Team-aanval) duurt 8 tot 12 weken; de afsluiting, het rapport en de remediationplannen vergen nog eens 4 tot 8 weken. De totale doorlooptijd hangt af van de complexiteit van de instelling, de beschikbaarheid van de erkende aanbieders en de coördinatie met DNB.

Wat kost een TIBER-NL-test?

Een volledige TIBER-NL-test kost voor grote instellingen doorgaans tussen de 150.000 en 500.000 euro, afhankelijk van de omvang en complexiteit van de kritieke functies in de reikwijdte, het aantal locaties, de complexiteit van de IT-architectuur en de tarieven van de erkende TI- en RT-aanbieders. Kleinere instellingen die vrijwillig deelnemen kunnen vaak met een beperktere reikwijdte werken en lagere kosten realiseren. Matproof Sentinel biedt TIBER-voorbereiding — een gapanalyse en kwetsbaarheidsbasislijn — als kosteneffectieve voorfase.

Hoe verhoudt TIBER-NL zich tot DORA Art. 26 TLPT?

DORA Art. 26 verplicht systeemrelevante financiële instellingen tot het uitvoeren van TLPT (Threat-Led Penetration Testing). TIBER-NL is het door DNB aangewezen referentiekader voor deze tests in Nederland — een TIBER-NL-test voldoet derhalve aan de DORA Art. 26-verplichting. ECB, EBA en EIOPA hebben bevestigd dat TIBER-EU-gebaseerde nationale kaders de referentiestandaard zijn voor TLPT-compliance onder DORA. De frequentie is minimaal eens per drie jaar conform Art. 26 §1 DORA.

Wie zijn erkende TIBER-NL TI- en RT-aanbieders?

DNB publiceert geen volledige openbare lijst van erkende aanbieders, maar accrediteert aanbieders die voldoen aan de criteria in de DNB TIBER-NL Implementatiegids. De erkenningscriteria omvatten: aantoonbare ervaring met geavanceerde Red Team-operaties in de financiële sector, aanwezigheid van gecertificeerde professionals (OSCP, OSCE3, CREST CCSAS/CCRT of vergelijkbaar), onafhankelijkheid van de geteste instelling, adequate naleving van wet- en regelgeving inzake informatiebeveiliging. Voor de RT-fase moeten aanbieders ook een dreigingsinformatiecapaciteit aantonen of samenwerken met een erkende TI-aanbieder.

Hoe kan Matproof helpen bij TIBER-NL-voorbereiding?

Matproof biedt geen volledige TIBER-NL-tests aan — dit vereist erkende TI- en RT-aanbieders. Matproof Sentinel levert echter waardevolle TIBER-voorbereiding: een systematische kwetsbaarheidsbasislijn die de meest voorkomende bevindingen identificeert vóór de formele TIBER-test; een gapanalyse van uw beveiligingsarchitectuur ten opzichte van de verwachte TIBER-aanvalsvectoren; continue monitoring om regressies te detecteren tussen TIBER-cycli; ondersteuning bij remediationverificatie na de TIBER-test. Voor de formele TIBER-NL-test verwijzen wij u door naar door DNB erkende partners.

Worden TIBER-bevindingen gedeeld met andere instellingen of toezichthouders?

DNB hanteert een beleid van vertrouwelijkheid voor de specifieke bevindingen van individuele TIBER-tests — de resultaten worden niet openbaar gemaakt en worden niet gedeeld met andere financiële instellingen in identificeerbare vorm. DNB gebruikt geanonimiseerde, geaggregeerde inzichten om sectorale dreigingsbeelden en aanbevelingen te publiceren. De resultaten worden wel gedeeld met de ECB in het kader van de coördinatie van grensoverschrijdende TLPT-tests conform DORA Art. 26 §8.

Is TIBER-NL ook relevant voor niet-financiële organisaties?

TIBER-EU en TIBER-NL zijn specifiek ontworpen voor de financiële sector. Voor andere kritieke sectoren die onder de Cybersecuritywet (NIS2) vallen, is er geen equivalent verplicht Red Team-kader in Nederland, hoewel NCSC-NL geavanceerde penetratietesten en Red Team-oefeningen sterk aanbeveelt voor essentiële entiteiten met hoge risicoprofielen. Voor de zorgsector, energie en andere kritieke sectoren is de NCSC-NL Handreiking NIS2 het relevante referentiedocument voor beveiligingstestverplichtingen.

Gerelateerde onderwerpen

Meer lezen — gerelateerde blogartikelen

Bereid u voor op uw TIBER-NL Red Team test

Matproof Sentinel biedt een systematische voorbereiding voor uw TIBER-NL-test: kwetsbaarheidsbasislijn, gapanalyse en continue monitoring. Verkrijg in 3 minuten inzicht in uw huidige kwetsbaarheidsblootstelling — zonder registratie, zonder verplichtingen. Voor de formele TIBER-test verwijzen wij u door naar erkende partners.

Start de TIBER-NL voorbereiding