NIS2 & DORA van kracht. EU AI Act volgt — boek een demo

TLPT in Nederland: Threat-Led Penetration Testing onder DORA Art. 26 en DNB-toezicht

Threat-Led Penetration Testing (TLPT) is de meest geavanceerde en realistische vorm van penetratietesten voor financiële instellingen. Waar een standaard penetratietest bekende kwetsbaarheden identificeert, simuleert een TLPT een volledige, realistische aanval door een Red Team op basis van op maat gemaakte dreigingsinformatie — zonder dat het verdedigende team van de instelling van tevoren weet dat de aanval plaatsvindt. DORA Art. 26 heeft TLPT tot wettelijke verplichting gemaakt voor door de bevoegde autoriteit aangewezen systeemrelevante financiële instellingen. In Nederland is De Nederlandsche Bank (DNB) de bevoegde autoriteit die aanwijst welke instellingen een TLPT moeten uitvoeren. TIBER-NL is het referentiekader. Met de inwerkingtreding van DORA op 17 januari 2025 zijn de eisen geformaliseerd en uitgebreid ten opzichte van het vroegere vrijwillige TIBER-NL-programma. Deze gids legt uit wie verplicht is, welke eisen aan het TLPT en aan de aanbieders worden gesteld, en hoe u zich voorbereidt.

Start de TLPT-voorbereiding
MW
Geschreven door Malte Wagenbach
Oprichter van Matproof Security. Gespecialiseerd in AI-gestuurde penetratietests en EU-compliance (DORA, NIS2, BIO, ISO 27001).
Laatst beoordeeld: 17 mei 2026

Waarom TLPT verschilt van een standaard penetratietest en waarom het verplicht is

Een standaard penetratietest volgt een vooraf vastgestelde methodologie en reikwijdte; de instelling weet wanneer de test plaatsvindt en welke systemen worden getest; het doel is het identificeren van technische kwetsbaarheden. Een TLPT is fundamenteel anders: de aanvalsmethode is gebaseerd op echte dreigingsinformatie specifiek voor de instelling; het beveiligingsteam van de instelling wordt doorgaans niet vooraf geïnformeerd (tenzij een 'known/unknown'-variant wordt toegepast); het doel is niet alleen het vinden van kwetsbaarheden maar het testen van de volledige detectie- en responseketen van de instelling — inclusief haar vermogen om een geavanceerde, persistente aanval te detecteren, in te dammen en te herstellen. DORA Art. 26, lid 1 stelt: 'financiële entiteiten die door de bevoegde autoriteiten zijn aangewezen ... voeren ten minste om de drie jaar op dreigingsinformatie gebaseerde penetratietesten uit.' Art. 26, lid 2 vereist dat deze TLPT's worden uitgevoerd door externe testers. Art. 26, lid 3 stelt specifieke eisen aan de aanwijzing van externe testers. RTS DORA (Gedelegeerde Verordening (EU) 2024/1774) specificeert gedetailleerde technische normen voor TLPT-uitvoering, inclusief de vereisten voor het TTI-rapport en de RT-methodologie.

  • DORA Art. 26 §1: TLPT-verplichting voor aangewezen systeemrelevante financiële instellingen — ten minste eens per drie jaar; DNB wijst de betrokken instellingen aan op basis van ICT-risicoprofiel en systeemrelevantie.
  • DORA Art. 26 §2: TLPT's moeten worden uitgevoerd door externe testers; de aanwijzing van externe testers vereist goedkeuring door de bevoegde autoriteit (DNB); alleen erkende aanbieders mogen TLPT's uitvoeren.
  • DORA Art. 26 §3: vereisten voor externe testers — aantoonbare expertise in bedreigingsinformatie en Red Team-operaties, geen belangenconflicten, adequate aansprakelijkheidsdekking, erkend door de nationale bevoegde autoriteit.
  • RTS DORA Gedelegeerde Verordening (EU) 2024/1774: technische normen voor de TLPT-methodologie — vereisten voor de Targeted Threat Intelligence (TTI)-fase, de Red Team-aanvalsfase, de closingbijeenkomst en de herstelaanbevelingen.
  • TIBER-NL als referentiekader: DNB heeft bepaald dat TIBER-NL het referentiekader is voor TLPT-uitvoering in Nederland conform DORA Art. 26 — een geslaagde TIBER-NL-test voldoet aan de TLPT-verplichting.
  • Grensoverschrijdende coördinatie (Art. 26 §8 DORA): voor financiële instellingen met vestigingen in meerdere lidstaten coördineert de ECB de TLPT samen met de nationale bevoegde autoriteiten — DNB neemt deel aan dit ECB-coördinatiemechanisme.
  • Sancties bij niet-naleving (Art. 50 DORA): DNB kan bij niet-naleving van de TLPT-verplichting handhavende maatregelen nemen, inclusief boetes tot 1% van de wereldwijde dagomzet en corrigerende bevelen.

Wat een TLPT beoordeelt en hoe u zich voorbereidt

  • Targeted Threat Intelligence (TTI)-fase: een erkende TI-aanbieder stelt een dreigingsprofiel op specifiek voor uw instelling — op basis van openbare dreigingsinformatie, informatie van NCSC-NL, sectorale isac's (Information Sharing and Analysis Centers) en technische indicatoren van aanvallen gericht op vergelijkbare instellingen.
  • Kritieke functies en aanvalsoppervlak: identificatie van de kritieke functies van de instelling die de reikwijdte van de TLPT bepalen — de aanvalsoppervlakanalyse omvat externegerichte systemen, intern aanvalsoppervlak bereikbaar via externe toegangspunten, en kritieke derde-aanbiederinterfaces.
  • Externe aanvalssimulatie: exploitatie van kwetsbaarheden in publiek bereikbare systemen op basis van het TTI-profiel — webapplicaties (OWASP Top 10, inclusief CVE-gebaseerde exploitatie), VPN-gateways (CVE-2023-20269 Cisco ASA/FTD, CVE-2023-27997 FortiOS SSL-VPN), e-maildiensten.
  • Phishing en menselijke aanvalsvectoren: gerichte spear-phishing-campagnes gericht op medewerkers in functies die relevant zijn voor de kritieke functies in de reikwijdte — testen van zowel technische controles (e-mailfiltering, sandboxing) als menselijke responses.
  • Laterale verplaatsing en privilege-escalatie: na initiële toegang — beweging door het netwerk, exploitatie van Active Directory-kwetsbaarheden (CVE-2021-42278, CVE-2021-42287 noPac-aanval), laterale verplaatsing naar de omgeving van de kritieke functies.
  • Detectie en respons (Blue Team-beoordeling): een kerncomponent van de TLPT is de beoordeling van de detectie- en responseketen van de instelling — hoelang duurt het voordat aanvalsactiviteit wordt gedetecteerd, welke alertering wordt gegenereerd, en hoe snel en effectief is de respons.
  • TLPT-voorbereiding via Matproof Sentinel: Matproof biedt geen formele TLPT-diensten aan, maar levert essentiële voorbereiding — systematische kwetsbaarheidsbasislijn van uw ICT-landschap, gapanalyse ten opzichte van verwachte TLPT-aanvalsvectoren, identificatie en prioritering van kwetsbaarheden die een Red Team als eerste zal exploiteren.
  • Remediationondersteuning na TLPT: na de formele TLPT moet een herstelplan worden ingediend bij DNB — Matproof Sentinel ondersteunt de continue monitoring en verificatie van de voortgang van herstelinspanningen, zodat u bij de volgende TLPT-cyclus een verbeterde beveiligingspositie kunt aantonen.
  • Documentatie voor DNB: TLPT-resultaten worden gerapporteerd aan DNB conform de TIBER-NL-rapportagestructuur — Matproof genereert aanvullende technische documentatie die de voorbereiding en de remediationinspanningen ondersteunt.
  • Frequentie en continue bewaking: DORA Art. 26 vereist een TLPT ten minste eens per drie jaar; tussen de TLPT-cycli in ondersteunt Matproof Sentinel continue bewaking om detectie van nieuwe kwetsbaarheden te garanderen en regressies te voorkomen.

Voorbeeldbevinding

Kritiek

Exploitatie FortiGate SSL-VPN — onbevoegde toegang tot intern netwerk (TLPT-simulatie)

In de Red Team-fase van de TLPT-simulatie is CVE-2023-27997 (Fortinet FortiOS SSL-VPN Heap Buffer Overflow, CVSS 9.8) geëxploiteerd op een externegerichte FortiGate-appliance van de instelling. De appliance had firmware-versie 7.0.11, kwetsbaar voor pre-authenticatie Remote Code Execution. De exploitatie verschafte een geprivilegieerde shell op de VPN-gateway, van waaruit toegang werd verkregen tot het interne beheernetwerk. Dit netwerk was niet gescheiden van de omgeving van de als kritiek geïdentificeerde functies. Binnen 4 uur na initiële exploitatie was toegang verkregen tot een back-officepplicatie die wordt gebruikt voor de verwerking van de kritieke functie 'betaalverwerking'. De detectiemechanismen van de instelling genereerden geen alert — de VPN-gateway-logs werden niet in realtime in het SIEM geïngesteerd. De bevinding toont een combinatie van patchmanagementtekortkoming (kritieke CVE meer dan 6 maanden beschikbaar vóór de test), inadequate netwerksegmentatie en onvolledig log-beheer.

Oplossing: Onmiddellijke upgrade van FortiGate-firmware naar versie 7.0.14+ of 7.2.7+ (patchbeschikbaarheid CVE-2023-27997: juni 2023). Implementeer een verplicht patchproces voor externegerichte beveiligingsappliances met een SLA van maximaal 72 uur voor CVSS 9.0+. Implementeer netwerksegmentatie om het interne beheernetwerk te scheiden van de productieomgeving van kritieke functies. Configureer real-time log-ingestie van alle externegerichte appliances naar SIEM. Documenteer bevindingen en herstelplan conform TIBER-NL/DORA Art. 26 remediationvereisten voor indiening bij DNB.

Referentie: CVE-2023-27997 (Fortinet FortiOS SSL-VPN Heap Overflow, CVSS 9.8) · MITRE ATT&CK T1190 Exploit Public-Facing Application · MITRE ATT&CK T1021.001 Remote Desktop Protocol · DORA Art. 26 §3 TLPT-vereisten · TIBER-NL RT-fase richtsnoeren (DNB 2023)

TLPT versus standaard pentest: verschil in aanpak

Gratis scanMatproof SentinelTraditionele consultancy
Geautomatiseerde scan-engine✓ (3-min preview)✓ Volledige scan✗ Alleen handmatig
OWASP Top 10 dekkingGedeeltelijk✓ Volledig✓ Volledig
Proof-of-exploit bewijs✓ Per bevinding✓ Per bevinding
Regulatorische mapping (DORA/NIS2/ISO 27001)✓ Geautomatiseerd✓ Handmatig
Audit-geschikt PDF-rapport✓ Direct✓ 2–4 weken levertijd
Continue / terugkerende scans✓ Per deploy✗ Jaarlijkse opdracht
Tijd tot eerste resultaat~3 min~30 min volledige scan2–4 weken
Prijs€0Vanaf €149€8.000–€25.000
Broncode-review (SAST)✓ Growth-plan✓ In scope
API-tests (REST/GraphQL)✓ Geautomatiseerd✓ Handmatig

TLPT-voorbereiding en pentestaanbiedingen

Losse scan
€149 eenmalig
  • 1 volledige penetratietest-scan
  • AI-geprioriteerde bevindingen met CVSS 3.1
  • Proof-of-exploit per bevinding
  • PDF-rapport (geschikt voor audit)
  • Regulatorische mapping (DORA, NIS2, ISO 27001)
Losse scan kopen
Aanbevolen
Starter
€299 / maand
  • Onbeperkt scannen (tot 3 domeinen)
  • Continue monitoring
  • CI/CD-integratie (GitHub, GitLab)
  • Alle regulatorische mappings
  • Prioriteitsondersteuning
Start met Starter
Growth
€799 / maand
  • Onbeperkt scannen + domeinen
  • Geauthenticeerde / White-Box tests
  • API- en cloud-infrastructuurtests
  • Dedicated security account manager
  • SLA responstijd 24u
Contact voor Growth

Veelgestelde vragen over TLPT in Nederland

Welke instellingen worden door DNB aangewezen voor verplichte TLPT?

DNB wijst instellingen aan op basis van criteria die zijn uitgewerkt in de RTS DORA (Gedelegeerde Verordening (EU) 2024/1774) en de TIBER-NL-implementatiegids. De criteria omvatten: systeemrelevantie (omvang, interconnectiviteit, vervangbaarheid), ICT-risicoprofiel (mate van digitalisering, afhankelijkheid van complexe ICT-systemen), en de aard van de kritieke functies. In de praktijk betreft dit doorgaans: de vijf grootste banken (ING, Rabobank, ABN AMRO, de Volksbank, Triodos in bepaalde contexten), centrale marktinfrastructuren (Euroclear, Equens, Currence iDEAL), grote verzekeraars en betalingsinstellingen van systemisch belang.

Hoe verschilt TLPT van TIBER-NL?

TIBER-NL is het Nederlandse implementatiekader voor TLPT — de begrippen worden in de Nederlandse context vaak door elkaar gebruikt. Formeel is TLPT de generieke Europese term (geïntroduceerd door DORA Art. 26); TIBER-NL is de specifieke Nederlandse implementatie van TIBER-EU, het overkoepelende ECB-kader. Met de invoering van DORA heeft DNB bepaald dat TIBER-NL het referentiekader is voor TLPT-uitvoering in Nederland. De twee zijn daarmee voor praktische doeleinden equivalent: een TIBER-NL-test voldoet aan de DORA Art. 26 TLPT-verplichting.

Kan een TLPT ook 'known' worden uitgevoerd (het beveiligingsteam weet ervan)?

Ja — TIBER-NL voorziet in een 'known/unknown'-keuze. Bij de standaard 'unknown'-variant weet het beveiligingsteam van de instelling niet dat de TLPT plaatsvindt (hoewel de directie en een kleine kring van vertrouwenspersonen — het 'White Team' — wel op de hoogte zijn). Bij de 'known'-variant wordt het beveiligingsteam vooraf geïnformeerd. In de praktijk wordt de 'unknown'-variant sterk aanbevolen door DNB omdat deze een realistischere beoordeling geeft van de daadwerkelijke detectie- en responsecapaciteiten van de instelling. De 'known'-variant kan worden overwogen voor instellingen die voor het eerst aan een TLPT deelnemen of waarbij operationele beperkingen een 'unknown'-variant niet toelaten.

Hoe lang is een TLPT-certificering geldig?

DORA Art. 26 §1 vereist dat TLPT's ten minste eens per drie jaar worden uitgevoerd. Er is geen formele 'certificeringstermijn' — het gaat om een herhaald testproces, niet om een eenmalig bewijs van compliance. DNB kan ook tussentijdse TLPT's verordenen als de risicocontext van de instelling significant verandert, bij grote acquisities of fusies, of na significante beveiligingsincidenten. Een voltooide TIBER-NL-test wordt wel internationaal erkend: andere EU-lidstaten die TIBER-EU hebben geïmplementeerd erkennen elkaars tests, zodat een TIBER-NL-test ook geldt voor de TLPT-verplichting in andere jurisdicties.

Welke rol speelt het 'White Team' bij een TLPT?

Het White Team is een kleine groep vertrouwenspersonen binnen de financiële instelling die op de hoogte is van de TLPT en als interface fungeert tussen DNB, de TI-aanbieder, de RT-aanbieder en de instelling. Het White Team beheert de contracten met de aanbieders, coördineert de operationele aspecten van de test (zoals noodstopprocedures), en zorgt voor communicatie met DNB. Het White Team is uitdrukkelijk gescheiden van het beveiligingsteam van de instelling, dat 'unknown' blijft, zodat de test de realistische detectie- en responsecapaciteiten van de instelling meet.

Hoe bereidt u uw SIEM en SOC voor op een TLPT?

Paradoxaal genoeg mag u uw SIEM en SOC niet specifiek voorbereiden op de TLPT als die 'unknown' wordt uitgevoerd — dit zou de testresultaten vertekenen. Wat u wel kunt doen: zorg dat uw SIEM en SOC in hun normale, optimale staat verkeren vóór de test — alle logs correct geïngesteerd, alertregels up-to-date, SOAR-playbooks actueel, SOC-bezetting op normaal niveau. Matproof Sentinel kan helpen bij het identificeren van gaps in uw log-coverage en alerting-configuratie als onderdeel van de TLPT-voorbereiding, zonder de testresultaten te beïnvloeden.

Wat gebeurt er als uw instelling een TLPT niet haalt?

Er is geen formeel 'slagen' of 'zakken' voor een TLPT — de test heeft als doel inzicht te geven in de werkelijke detectie- en responsecapaciteiten van de instelling, niet om te beoordelen of de instelling 'veilig' is. DNB beoordeelt de TLPT-resultaten en het herstelplan dat de instelling opstelt. Als de bevindingen aantonen dat er fundamentele tekortkomingen zijn in de detectie- en responsecapaciteiten, kan DNB corrigerende maatregelen opleggen en een hertest vereisen. Chronische niet-verbetering of weigering om de TLPT uit te voeren kan leiden tot sancties conform Art. 50 DORA.

Hoe verhoudt TLPT zich tot continue beveiligingstesten?

TLPT en continue beveiligingstesten zijn complementair, niet alternatief. TLPT (eens per drie jaar, voor aangewezen instellingen) biedt een diepgaand, realistisch scenario-gebaseerd inzicht in de dreigingsbestendigheid van de instelling. Continue beveiligingstesten — kwetsbaarheidsscanning, regelmatige penetratietesten (DORA Art. 24), penetratietesten na significante wijzigingen — bieden doorlopend inzicht in de kwetsbaarheidsblootstelling. Matproof Sentinel is ontworpen voor deze continue laag: frequente geautomatiseerde scans aangevuld met periodieke diepgaande tests, met rapportage conform DORA Art. 24 §7.

Gerelateerde onderwerpen

Meer lezen — gerelateerde blogartikelen

Bereid u voor op uw DORA Art. 26 TLPT

Matproof Sentinel biedt systematische TLPT-voorbereiding: kwetsbaarheidsbasislijn, gapanalyse en continue monitoring conform DORA Art. 24. Verkrijg in 3 minuten inzicht in uw meest kritieke kwetsbaarheden — zonder registratie. Voor de formele TLPT verwijzen wij u door naar door DNB erkende aanbieders.

Start de TLPT-voorbereiding