Wat kost een penetratietest?

De kosten variëren van €3.000 tot €15.000+ afhankelijk van de scope, het type test (black/grey/white box) en de complexiteit van je IT omgeving. Een grey box test op een webapplicatie kost gemiddeld €4.000–€7.000. Een uitgebreide test inclusief intern netwerk, cloud en social engineering kan oplopen tot €15.000 of meer.

Is een penetratietest verplicht voor ISO 27001?

ISO 27001 schrijft een penetratietest niet letterlijk als verplichting voor. Echter, Annex A controls A.8.8 (Management van technische kwetsbaarheden) en A.8.34 (Bescherming bij audittesten) maken het in de praktijk vrijwel onmogelijk om zonder pentest aan te tonen dat je informatiebeveiliging effectief is. Certificerende instanties verwachten een actueel pentestrapport.

Wat is het verschil tussen een penetratietest en een vulnerability scan?

Een vulnerability scan is een geautomatiseerde check op bekende kwetsbaarheden — breed maar oppervlakkig. Een penetratietest gaat verder: een specialist probeert kwetsbaarheden daadwerkelijk uit te buiten om te bewijzen of ze exploiteerbaar zijn. Een pentest levert minder false positives en geeft dieper inzicht in de werkelijke risico's.

Hoe vaak moet je een penetratietest uitvoeren?

Minimaal één keer per jaar als basisfrequentie. Daarnaast bij grote wijzigingen zoals een nieuwe webapplicatie, cloudmigratie, infrastructuurwijziging of na een beveiligingsincident. Organisaties met een hoog risicoprofiel (zorg, financieel, overheid) doen het bij voorkeur halfjaarlijks.

Welk type penetratietest is het beste voor MKB?

Voor de meeste MKB bedrijven is een grey box test het beste startpunt. De pentester krijgt beperkte informatie (zoals gebruikersaccounts of netwerkdiagrammen), wat zorgt voor diepgaande resultaten zonder de kosten van een volledige white box test. Combineer dit eventueel met een black box test op je externe perimeter.

Penetratietest informatiebeveiliging ISO 27001

Q: Wat is een penetratietest?

Een penetratietest (pentest) is een gecontroleerde, geautoriseerde aanval op je IT systemen door een ethisch hacker. Het doel is kwetsbaarheden opsporen en aantonen of een aanvaller daadwerkelijk kan binnendringen. Je ontvangt een rapport met bevindingen, ernstclassificatie en concrete aanbevelingen.

Je hebt een firewall, antivirussoftware en sterke wachtwoorden. Maar weet je ook of een aanvaller daadwerkelijk binnenkomt? Bij 7 van de 10 MKB-bedrijven die wij begeleiden bij ISO 27001-certificering blijkt de eerste penetratietest kritieke kwetsbaarheden aan het licht te brengen — kwetsbaarheden die met reguliere scans niet gevonden worden. Een penetratietest is geen luxe; het is de realiteitscheck van je informatiebeveiliging.

In dit artikel lees je precies wat een penetratietest is, hoe het verschilt van een vulnerability scan, welke soorten er bestaan en wat ISO 27001 hierover eist. Je krijgt een concreet stappenplan en een checklist om direct mee aan de slag te gaan.

Wat is een penetratietest?

Een penetratietest (pentest) is een gecontroleerde, geautoriseerde aanval op je IT-systemen, netwerken of applicaties, uitgevoerd door een ethisch hacker. Het doel: kwetsbaarheden opsporen vóórdat kwaadwillenden dat doen.

Concreet simuleert een pentester de technieken, tactieken en procedures (TTP's) van echte aanvallers. Denk aan het proberen te kraken van inlogpagina's, het exploiteren van verouderde software, het onderscheppen van netwerkverkeer of het uitvoeren van social engineering. Het eindresultaat is een gedetailleerd rapport met gevonden kwetsbaarheden, de ernst ervan (vaak volgens het CVSS-framework) en concrete aanbevelingen om ze te verhelpen.

In de context van informatiebeveiliging is een penetratietest een van de meest tastbare maatregelen die je kunt nemen. Waar beleid en procedures op papier beschrijven hoe je beveiligt, toont een pentest of die maatregelen in de praktijk ook daadwerkelijk standhouden.

Penetratietest versus vulnerability scan: het verschil

Deze twee termen worden vaak door elkaar gebruikt, maar ze zijn fundamenteel anders:

Aspect	Vulnerability scan	Penetratietest
Aanpak	Geautomatiseerde tool scant op bekende kwetsbaarheden	Handmatige + geautomatiseerde test door specialist
Diepgang	Breed maar oppervlakkig	Diepgaand, met exploitatie van kwetsbaarheden
Frequentie	Maandelijks of continu	Jaarlijks of bij grote wijzigingen
Resultaat	Lijst met potentiële kwetsbaarheden	Bewijs van daadwerkelijke exploiteerbaarheid
Kosten	€500–€2.000 per scan	€3.000–€15.000+ per test
False positives	Veel	Weinig (handmatig geverifieerd)

Een vulnerability scan is vergelijkbaar met het controleren of je ramen en deuren op slot zitten. Een penetratietest is iemand inhuren die daadwerkelijk probeert in te breken — en je precies vertelt hoe hij binnenkwam.

Wij adviseren beide in te zetten: vulnerability scans als continue monitoring, en penetratietests als periodieke diepte-toets. Samen vormen ze een risicogebaseerde aanpak die past bij een volwassen ISMS.

Waarom is een penetratietest belangrijk voor informatiebeveiliging?

Een penetratietest is belangrijk omdat het de enige manier is om te bewijzen dat je beveiligingsmaatregelen ook echt werken onder druk. Beleid schrijven is stap één — testen of het standhoudt is stap twee.

Drie concrete redenen waarom een pentest onmisbaar is:

Kwetsbaarheden ontdekken die scanners missen. Geautomatiseerde tools herkennen bekende CVE's, maar missen logische fouten, misconfiguraties in bedrijfsprocessen en chained attacks (meerdere kleine zwakheden die samen een groot lek vormen).
Aantoonbare compliance. Steeds meer opdrachtgevers, verzekeraars en toezichthouders vragen om bewijs dat je beveiliging getest is. Een pentestrapport is concreet bewijs — geen praatje, maar een feit.
Prioritering van verbeteracties. Niet elke kwetsbaarheid is even urgent. Een pentest laat zien welke zwakheden daadwerkelijk uitgebuit kunnen worden, zodat je je budget en tijd besteedt aan wat er écht toe doet.

In onze praktijk zien we dat organisaties die jaarlijks een pentest laten uitvoeren, gemiddeld 40% sneller hun ISO 27001-eisen op orde hebben. Het dwingt je namelijk om kwetsbaarheden structureel aan te pakken in plaats van ze op de lange baan te schuiven.

Penetratietest en ISO 27001: wat eist de norm?

ISO 27001 schrijft geen penetratietest letterlijk voor als verplichte eis. Toch is het in de praktijk vrijwel onmogelijk om aan de norm te voldoen zonder er een uit te voeren.

De norm vraagt in Annex A (ISO 27001:2022) onder andere om:

A.8.8 – Management van technische kwetsbaarheden: je moet technische kwetsbaarheden identificeren, evalueren en passende maatregelen nemen. Een penetratietest is de meest effectieve manier om dit aantoonbaar te doen.
A.8.34 – Bescherming van informatiesystemen tijdens audittesten: dit control beschrijft specifiek hoe je testtechnieken (waaronder pentests) veilig uitvoert.
A.5.36 – Naleving van beleid, regels en normen: je moet aantonen dat beveiligingsmaatregelen correct zijn geïmplementeerd. Een pentest levert dat bewijs.

Daarnaast vraagt clausule 9.1 (Monitoring, meting, analyse en evaluatie) om het meten van de effectiviteit van je ISMS. Een penetratietest is een van de sterkste meetinstrumenten die je hebt.

Bij de ISO 27001-checklist die wij hanteren, is een actueel pentestrapport een standaard onderdeel van de auditvoorbereiding. Certificerende instanties verwachten het — ook al staat het niet met zoveel woorden in de norm.

Soorten penetratietests: black box, grey box en white box

Er zijn drie hoofdtypen penetratietests, elk met een eigen invalshoek:

Black box test

De pentester krijgt geen enkele voorkennis over je systemen. Dit simuleert een aanval door een externe hacker die je organisatie niet kent. Voordeel: realistisch scenario. Nadeel: tijdrovend en mogelijk minder diepgaand omdat de tester eerst moet verkennen.

Grey box test

De pentester krijgt beperkte informatie, zoals inloggegevens van een standaardgebruiker, netwerkdiagrammen of een lijst met IP-adressen. Dit is de meest voorkomende aanpak voor MKB-bedrijven en levert de beste verhouding tussen kosten en diepgang.

White box test

De pentester krijgt volledige toegang tot broncode, architectuurdocumentatie en beheerdersaccounts. Dit is de meest grondige aanpak, ideaal voor kritieke applicaties of als je net een nieuw systeem hebt ontwikkeld.

Ons advies voor MKB: start met een grey box test. Je krijgt diepgaande resultaten zonder het budget van een volledige white box test. Combineer dit eventueel met een black box test op je externe perimeter (website, e-mail, VPN).

Naast deze drie typen kun je penetratietests ook onderverdelen naar scope:

Netwerkpentest — interne en externe netwerkinfrastructuur
Webapplicatiepentest — OWASP Top 10 kwetsbaarheden
Social engineering — phishing, vishing, fysieke toegang
Cloudpentest — AWS, Azure, Google Cloud configuraties
Mobiele applicatiepentest — iOS/Android apps

Het penetratietest-proces in 5 stappen

Een professionele penetratietest volgt een gestructureerd proces:

Scopebepaling en planning — Samen met de pentester bepaal je welke systemen getest worden, welke methoden zijn toegestaan en wanneer de test plaatsvindt. Je tekent een autorisatieovereenkomst (Rules of Engagement). Tip: plan de test niet tijdens piekperiodes van je bedrijf.
Reconnaissance (verkenning) — De pentester verzamelt informatie over je organisatie: DNS-records, open poorten, technologieën, publiek beschikbare informatie (OSINT). Dit is vergelijkbaar met hoe een echte aanvaller te werk gaat.
Exploitatie — De pentester probeert gevonden kwetsbaarheden daadwerkelijk uit te buiten. Kan hij binnenkomen via een SQL-injectie? Kan hij rechten escaleren van gebruiker naar beheerder? Kan hij lateraal bewegen door het netwerk?
Rapportage — Je ontvangt een rapport met: een managementsamenvatting, een technisch overzicht van alle bevindingen, de ernst per kwetsbaarheid (kritiek/hoog/midden/laag) en concrete aanbevelingen voor remediatie.
Hertest — Na het doorvoeren van verbeteringen voert de pentester een hertest uit om te verifiëren dat de kwetsbaarheden daadwerkelijk zijn opgelost. Dit is een stap die veel organisaties overslaan — maar die essentieel is voor je ISMS-cyclus van continue verbetering.

Hoe vaak moet je een penetratietest laten uitvoeren?

Minimaal één keer per jaar, en daarnaast bij significante wijzigingen in je IT-omgeving. Dat is de vuistregel die wij hanteren en die ook door de meeste certificerende instanties wordt verwacht.

Concreet adviseren wij een extra pentest bij:

Lancering van een nieuwe webapplicatie of klantenportaal
Migratie naar de cloud of een nieuwe cloudprovider
Grote infrastructuurwijzigingen (nieuw netwerk, fusie/overname)
Na een beveiligingsincident
Voor verlenging van je ISO 27001-certificering

Voor organisaties met een hoog risicoprofiel (financiële dienstverlening, zorg, overheid) adviseren wij halfjaarlijkse tests gecombineerd met continue vulnerability scanning.

Wat anderen niet vertellen: de penetratietest als cultuurverandering

Dit is waar veel consultants en pentestbedrijven stoppen: rapport opleveren, factuur sturen, klaar. Maar de echte waarde van een penetratietest zit niet in het rapport zelf — het zit in wat je ermee doet.

Wij zien in de praktijk dat de beste resultaten ontstaan wanneer je het pentestrapport deelt met je team. Niet om mensen af te rekenen, maar om bewustzijn te creëren. Als een ontwikkelaar ziet dat zijn code een SQL-injectie bevat, of een systeembeheerder ontdekt dat zijn configuratie een privilege escalation mogelijk maakt, dan verandert het gesprek. Het wordt concreet. Het wordt persoonlijk.

Organisaties die pentestresultaten gebruiken als input voor security awareness training — en niet alleen als checkbox voor de auditor — bouwen een informatiebeveiligingscultuur die veel verder reikt dan welk beleidsdocument ook.

Een goede pentester kiezen: waar let je op?

Niet elke pentester levert dezelfde kwaliteit. Let bij je keuze op deze criteria:

Certificeringen: OSCP, OSCE, CEH of GPEN zijn erkende kwalificaties. OSCP is de meest praktijkgerichte en wordt in de branche als gouden standaard beschouwd.
Methodiek: vraag of ze werken volgens OWASP Testing Guide, PTES (Penetration Testing Execution Standard) of NIST SP 800-115.
Referenties: vraag naar vergelijkbare opdrachten in jouw branche.
Rapportkwaliteit: vraag een voorbeeldrapport op. Een goed rapport bevat niet alleen technische details, maar ook een heldere managementsamenvatting en geprioriteerde aanbevelingen.
Hertest inbegrepen: een professioneel pentestbedrijf biedt standaard een hertest aan na remediatie.
Aansprakelijkheidsverzekering: controleer of de pentester een beroepsaansprakelijkheidsverzekering heeft.

Penetratietest resultaten vertalen naar verbeteracties

Een pentestrapport is waardeloos als het in een la belandt. Zo vertaal je de resultaten naar concrete actie:

Prioriteer op risico, niet op hoeveelheid. Focus eerst op kritieke en hoge kwetsbaarheden die daadwerkelijk exploiteerbaar zijn. Een theoretische kwetsbaarheid zonder exploit path heeft minder urgentie.
Wijs eigenaren toe. Elke kwetsbaarheid krijgt een eigenaar die verantwoordelijk is voor de remediatie. Geen eigenaar = geen actie.
Stel deadlines. Kritiek: binnen 48 uur mitigeren, binnen 2 weken permanent oplossen. Hoog: binnen 30 dagen. Midden: binnen 90 dagen.
Registreer in je ISMS. Leg alle bevindingen en acties vast in je ISMS. Dit is niet alleen goed voor je beveiligingsproces, maar ook aantoonbaar bewijs bij je volgende audit.
Plan de hertest. Verifieer dat de oplossingen werken. Pas dan mag je de bevinding op 'afgehandeld' zetten.

Veelgemaakte fouten bij penetratietests

In onze jaren als consultant zien we steeds dezelfde fouten terugkomen:

Te beperkte scope. Alleen de website testen terwijl de grootste risico's in het interne netwerk of bij cloudconfiguraties liggen.
Geen hertest. Kwetsbaarheden 'oplossen' zonder te verifiëren dat de fix werkt. In 3 van de 10 gevallen is de eerste fix onvolledig.
Rapport niet delen. Het management ziet de samenvatting, maar de technici krijgen de details niet — of andersom.
Eenmalige exercitie. Een pentest is geen eenmalig project maar een terugkerend onderdeel van je beveiligingscyclus.
Verkeerde pentester kiezen. De goedkoopste optie levert vaak een geautomatiseerde scan met een mooi kaftje. Dat is geen pentest.
Geen autorisatie. Zonder schriftelijke autorisatie is een pentest juridisch gezien een hack. Zorg altijd voor getekende Rules of Engagement.

Direct toepasbaar: penetratietest checklist

Gebruik deze checklist om je penetratietest goed voor te bereiden:

Scope bepaald: welke systemen, netwerken en applicaties worden getest?
Type gekozen: black box, grey box of white box?
Pentester geselecteerd: op basis van certificeringen, methodiek en referenties
Autorisatie getekend: Rules of Engagement ondertekend door beide partijen
Stakeholders geïnformeerd: IT-team, management en eventueel je hosting provider
Noodprocedure afgesproken: wat gebeurt er als de test onverwachte impact heeft?
Rapportage-eisen vastgelegd: managementsamenvatting, technische details, CVSS-scores
Hertestmoment gepland: datum voor verificatie van doorgevoerde fixes
ISMS-registratie voorbereid: plek om bevindingen en acties te documenteren

Conclusie

Een penetratietest is geen formaliteit en geen checkbox — het is de meest eerlijke spiegel die je je informatiebeveiliging kunt voorhouden. Of je nu werkt aan ISO 27001-certificering of simpelweg je digitale weerbaarheid wilt versterken: een professionele pentest laat zien waar je echt staat.

Begin met het bepalen van je scope, kies een gekwalificeerde pentester en plan de test in als vast onderdeel van je jaarlijkse beveiligingscyclus. De investering betaalt zich terug in minder risico, betere compliance en — misschien het belangrijkst — vertrouwen dat je beveiliging niet alleen op papier staat.

Wil je weten hoe een penetratietest past binnen jouw informatiebeveiligingstraject? Neem contact op voor een vrijblijvend gesprek over de juiste aanpak voor jouw organisatie.

Penetratietest en informatiebeveiliging: waarom, wanneer en hoe (ISO 27001)