Terug naar blog
    Pentesting

    Penetratietesten in de EU: Wat u moet weten in 2026

    Sectricity Security TeamFebruary 17, 2026

    NIS2, DORA, de EU AI Act en ISO 27001 vereisen allemaal security testing. Deze gids legt uit wat elke verordening vraagt, waar ze overlappen en hoe u één testprogramma bouwt dat aan alle vier voldoet.

    PentestingEU AI ActNIS2DORAISO 27100

    TL;DR

    EU-regelgeving vereist nu expliciet dat organisaties hun verdediging testen, niet alleen documenteren. NIS2, DORA, de EU AI Act en ISO 27001 leggen elk security testing-verplichtingen op, maar ze verschillen in reikwijdte, methodologie en welk bewijs telt. Deze gids legt uit wat elke verordening vraagt, waar ze overlappen en hoe u één samenhangend testprogramma bouwt dat aan alle vier voldoet zonder dubbel werk.

    Waarom deze gids anders is

    Er is al veel geschreven over penetratietesten, ook op deze site. We hebben behandeld wat een pentest is en hoe het werkt, wat het kost voor verschillende scopes, hoe u voorbereidt met een scopingchecklist, en waarom jaarlijkse testing alleen voor de meeste organisaties niet meer volstaat. Deze gids herhaalt niets van dat alles.

    Wat deze gids behandelt is het regelgevingslandschap. Vier grote EU-kaders bepalen nu samen uw security testing-verplichtingen. De meeste organisaties beheren ze afzonderlijk, wat duplicatie veroorzaakt en gaten laat vallen. Deze gids laat zien hoe u ze samen leest en één programma bouwt dat alle vier dekt.

    Het EU-regelgevingslandschap voor security testing in 2026

    Vier kaders bepalen momenteel de security testing-vereisten in de EU. Elk heeft een ander toepassingsgebied, een andere toezichthouder en een andere teststandaard.

    NIS2: risicobeheer over sectoren heen

    NIS2 trad in oktober 2024 in werking in alle EU-lidstaten. De richtlijn is van toepassing op essentiële en belangrijke entiteiten in 18 sectoren, van energie en gezondheidszorg tot digitale infrastructuur en openbaar bestuur.

    Artikel 21 van NIS2 verplicht organisaties om risicobeheersmaatregelen te implementeren die de effectiviteit van hun cyberbeveiligingscontroles beoordelen. Dat is de wettelijke basis voor penetratietesten onder NIS2. De richtlijn schrijft geen specifiek testtype voor, maar nationale toezichthouders, waaronder het CCB in België en het NCSC-NL in Nederland, verwachten steeds vaker bewijs van gestructureerde, mensgestuurde security testing.

    Een gedocumenteerde penetratietest die uw kernsystemen dekt en gevolgd herstelbewijsmateriaal oplevert, is de duidelijkste manier om Article 21-compliance aan een auditor aan te tonen.

    DORA: threat-led testing voor financiële entiteiten

    De Digital Operational Resilience Act is van toepassing op financiële entiteiten in de EU: banken, verzekeraars, betalingsinstellingen, beleggingsondernemingen, aanbieders van cryptoactivadiensten en hun kritieke ICT-aanbieders. DORA is afdwingbaar sinds 17 januari 2025.

    DORA introduceert twee testniveaus:

    1. Basis ICT-testing, verplicht voor alle financiële entiteiten. Dit omvat kwetsbaarheidsbeoordelingen, gap-analyses en netwerkbeveiligingsreviews, minimaal jaarlijks uit te voeren.
    2. Threat-Led Penetration Testing (TLPT), verplicht voor significante financiële entiteiten zoals aangewezen door bevoegde autoriteiten. TLPT volgt de TIBER-EU-methodologie en moet worden uitgevoerd door gecertificeerde externe testers. Resultaten worden direct gerapporteerd aan de bevoegde autoriteit.

    TLPT is geen standaard penetratietest. Het is een gestructureerde, intelligence-gestuurde oefening die uw mensen, processen en technologie gelijktijdig test onder realistische aanvalsomstandigheden. Als u een significante financiële entiteit bent, moet de TLPT-planning ruim voor uw eerste cyclus beginnen.

    EU AI Act: security testing voor AI-systemen

    De EU AI Act trad in werking op 1 augustus 2024. De belangrijkste deadline voor hoog-risico AI-systeemvereisten is 2 augustus 2026.

    Hoog-risico AI-systemen, zoals gedefinieerd in Bijlage III van de wet, moeten worden getest op robuustheid, nauwkeurigheid en cyberveiligheid vóór ingebruikname. Artikel 15 vereist dat hoog-risico AI-systemen gedurende hun volledige levenscyclus passende niveaus van nauwkeurigheid, robuustheid en cyberveiligheid bereiken.

    Dit creëert een testingverplichting die de meeste IT-beveiligingsteams nog niet zijn tegengekomen. AI-systemen kunnen worden aangevallen via prompt injection, adversarial inputs, modelmanipulatie en data-extractie technieken. Een standaard infrastructuur pentest test deze aanvalsvectoren niet. Gespecialiseerde penetratietesten van AI-systemen wel.

    ISO 27001: controleerbare security testing

    ISO 27001:2022 is geen EU-regelgeving, maar is de dominante informatiebeveiligingsbeheerstandaard in Europa. Bijlage A-maatregel 8.8, over het beheer van technische kwetsbaarheden, en clausule 9.1, over monitoring, meting, analyse en evaluatie, vereisen beide dat organisaties regelmatig de effectiviteit van hun beveiligingscontroles testen.

    Certificeringsauditors verwachten bewijs van penetratietesting minimaal jaarlijks, met bevindingen die worden gevolgd tot aan herstel. Een pentest zonder gedocumenteerd herstelproces is een leemte in uw ISO-auditspoor.

    Waar de regelgeving overlapt en waar ze uiteenloopt

    Alle vier de kaders delen één fundamentele vereiste: ze willen bewijs dat uw controles daadwerkelijk werken, niet alleen dat ze op papier bestaan. Maar ze lopen sterk uiteen in hoe dat bewijs eruit moet zien.

    NIS2 is het breedst. De richtlijn geldt voor 18 sectoren en elke geloofwaardige, gedocumenteerde mensgestuurde pentest ondersteunt compliance. De lat is bewijs van gestructureerde testing en herstel.

    DORA is het meest voorschrijvend voor financiële entiteiten. TLPT onder TIBER-EU is gestructureerd, intelligence-gestuurd, gescoopt door de toezichthouder en gerapporteerd aan de bevoegde autoriteit. Een standaard pentest voldoet niet aan TLPT-vereisten, maar voldoet wel aan het basis ICT-testniveau van DORA.

    EU AI Act is het meest gespecialiseerd. De wet is alleen van toepassing op hoog-risico AI-systemen en vereist testing van AI-specifieke aanvalsvectoren die een standaard pentest niet dekt. De reikwijdte, methodologie en timing worden bepaald door de risicoklassificatie van het systeem.

    ISO 27001 is het meest flexibel. De standaard vereist bewijs van regelmatige testing maar schrijft geen methodologie of certificering voor. Elke gestructureerde, gedocumenteerde pentest met gevolgd herstel voldoet aan de certificeringsvereiste.

    De praktische implicatie: als u een NIS2-entiteit bent met ISO 27001-certificering, kan één goed gescopete jaarlijkse mensgestuurde pentest beide kaders tegelijkertijd afdekken. Als u een significante DORA-financiële entiteit bent, heeft u daar TLPT bovenop nodig. Als u hoog-risico AI-systemen exploiteert, heeft u gespecialiseerde AI-testing bovenop alles nodig.

    Hoe bouwt u een testprogramma

    Een testprogramma dat aan meerdere EU-kaders voldoet, hoeft niet ingewikkeld te zijn. Het moet gestructureerd zijn. Het volgende vierlagenmodel dekt het volledige regelgevingsspectrum.

    Laag 1: Continue kwetsbaarheidsbeheer

    Geautomatiseerde scans, continu of minimaal maandelijks uitgevoerd. Dit is geen penetratietesting. Het is basisonderhoud. Het vangt bekende kwetsbaarheden op voordat ze incidenten worden en biedt de baseline die een mensgestuurde pentest efficiënter maakt. Deze laag ondersteunt NIS2 Artikel 21 en de basis ICT-testingvereisten van DORA.

    Laag 2: Jaarlijkse mensgestuurde penetratietest

    Een volledig gescopete pentest door gecertificeerde ethische hackers, minimaal één keer per jaar. Dit is de kern van uw compliance-bewijs voor NIS2 en ISO 27001. Menselijke testers gaan waar geautomatiseerde scanners niet kunnen: business logic-fouten, geketende kwetsbaarheden en context-specifieke aanvalspaden die geen enkel geautomatiseerd hulpmiddel zal vinden. Bevindingen moeten worden gedocumenteerd met exploiteerbaarheid beoordelingen, bedrijfsimpact en herstelstappen.

    Laag 3: TLPT voor DORA-entiteiten

    Als u een significante financiële entiteit bent onder DORA, wordt TLPT uitgevoerd bovenop Laag 2, doorgaans om de drie jaar onder het TIBER-EU-kader. Het is intelligence-gestuurd, omvat red teaming over mensen, processen en technologie, en wordt direct gerapporteerd aan uw bevoegde autoriteit. Niet alle aanbieders van penetratietesten zijn gekwalificeerd om TLPT uit te voeren. Verifieer de certificering voordat u een opdracht geeft.

    Laag 4: Testen van AI-systemen

    Als u hoog-risico AI-systemen inzet onder de EU AI Act, heeft u gespecialiseerde testing nodig die prompt injection, adversarial inputs, data-extractie en API-beveiliging dekt. Deze laag loopt parallel aan uw standaard pentestcyclus, gescoopt specifiek voor uw AI-systemen en hun risicoklassificatie. De deadline van 2 augustus 2026 voor hoog-risico AI-vereisten maakt dit urgent voor organisaties met AI al in productie.

    Gedeelde deliverables over lagen heen

    Een goed gestructureerd programma levert bevindingen op die meerdere kaders tegelijk voeden. Hetzelfde herstelbewijsmateriaal dat voldoet aan uw NIS2-risicobeheersverplichting voedt ook uw ISO 27001-auditspoor en uw DORA basis-testingdossier. Één hersteltracker, correct bijgehouden, kan alle drie de toezichthouders bedienen.

    Veelgemaakte fouten en hoe u ze vermijdt

    De meeste compliance-gaten in security testing komen voort uit een kleine, voorspelbare reeks fouten.

    Elke verordening apart beheren. NIS2-testing, DORA-testing en ISO 27001-testing worden uitgevoerd door verschillende teams met verschillende providers die aparte rapporten produceren. Het resultaat zijn dubbele kosten en gaten waar kaders met elkaar interageren. Een geïntegreerd testprogramma elimineert beide.

    Scans verwarren met testing. Kwetsbaarheidsscanners produceren resultaten. Het zijn geen penetratietesten. Toezichthouders en certificeringsauditors kennen het verschil. Scanrapporten indienen als bewijs van penetratietesting is een compliancerisico.

    Scope die niet overeenkomt met de regelgevingsscope. Een pentest beperkt tot één webapplicatie voldoet niet aan de DORA-vereiste om operationele veerkracht over uw volledige ICT-omgeving te testen. Definieer uw scope op basis van de specifieke regelgevingsvereiste, niet op basis van wat het gemakkelijkst te testen is.

    Geen hersteltracking. Kwetsbaarheden vinden is niet genoeg. ISO 27001 clausule 10 en NIS2 Artikel 21 verwachten beiden bewijs van herstel. Een pentest zonder gevolgde opvolging laat een materiële leemte in uw auditbewijsmateriaal.

    Providers selecteren op basis van prijs alleen. TIBER-EU vereist gecertificeerde testers. EU AI Act-testing vereist gespecialiseerde expertise in AI-beveiliging. Niet elke provider heeft beide. Verifieer kwalificaties en vraag om sectorspecifieke referenties voordat u een opdracht geeft.

    Wat dit betekent voor uw organisatie in de praktijk

    Als u een NIS2-entiteit bent zonder gestructureerd testprogramma, begin dan met Laag 2: een jaarlijkse mensgestuurde pentest met gedocumenteerde scope, methodologie, bevindingen en hersteltracking. Die ene stap pakt de kern aan van uw NIS2- en ISO 27001-verplichtingen.

    Als u een financiële entiteit bent, bevestig dan of u kwalificeert als significante entiteit onder DORA. Als dat zo is, moet de TLPT-planning nu beginnen. De eerste TIBER-EU-cyclus omvat regelgevende coördinatie die langer duurt dan de meeste organisaties verwachten.

    Als u AI-systemen exploiteert die mogelijk kwalificeren als hoog-risico onder Bijlage III van de EU AI Act, is de deadline van augustus 2026 nabij. AI-security testing moet worden gescoopt en gepland voordat uw systeem in productie gaat, niet erna.

    Voor de meeste organisaties is het juiste startpunt een scopinggesprek: welke systemen vallen in scope, welke verordeningen zijn van toepassing en welk bewijs moet u produceren. Een samenhangend programma volgt daaruit.

    FAQ

    Wat is een penetratietest en waarom is het belangrijk in 2026?

    Een penetratietest is een gestructureerde beveiligingsbeoordeling waarbij gecertificeerde ethische hackers proberen kwetsbaarheden in uw systemen te vinden en te misbruiken, met dezelfde technieken en tools als echte aanvallers. In 2026 is dit belangrijk omdat NIS2, DORA, de EU AI Act en ISO 27001 allemaal bewijs vereisen dat uw beveiligingscontroles daadwerkelijk werken, niet alleen dat ze gedocumenteerd zijn.

    Welke EU-regelgeving vereist penetratietesten?

    NIS2 vereist security testing als onderdeel van risicobeheer voor essentiële en belangrijke entiteiten in 18 sectoren. DORA vereist kwetsbaarheidsbeoordelingen voor alle financiële entiteiten en Threat-Led Penetration Testing (TLPT) voor significante financiële entiteiten. De EU AI Act vereist security testing voor hoog-risico AI-systemen vóór ingebruikname. ISO 27001 vereist regelmatige testing van technische beveiligingscontroles.

    Hoe verschilt TLPT onder DORA van een standaard penetratietest?

    Een standaard penetratietest wordt gescoopt door de klant, uitgevoerd door een tester naar keuze van de klant, en het rapport blijft bij de klant. TLPT onder de TIBER-EU-methodologie is intelligence-gestuurd, omvat red teaming over mensen, processen en technologie, moet worden uitgevoerd door gecertificeerde testers, en resultaten worden direct gerapporteerd aan de bevoegde financiële autoriteit. TLPT duurt doorgaans langer, kost meer en vereist meer regelgevende coördinatie dan een standaard penetratietest.

    Hoe ziet een testprogramma met vier lagen eruit?

    Laag 1 is continue kwetsbaarheidsbeheer: geautomatiseerde scans om bekende kwetsbaarheden doorlopend op te sporen. Laag 2 is jaarlijkse penetratietest door menselijke experts die uw kern infrastructuur en applicaties testen. Laag 3 is TLPT voor significante financiële entiteiten onder DORA, uitgevoerd om de drie jaar onder TIBER-EU. Laag 4 is het testen van AI-systemen voor organisaties die hoog-risico AI-systemen inzetten onder de EU AI Act. Lagen kunnen worden gecombineerd in één rapportagekader om duplicatie te verminderen.

    Hoe kies ik een penetratietestprovider in de EU?

    Zoek een provider met gecertificeerde ethische hackers (OSCP, CEH of gelijkwaardig), een duidelijke methodologie afgestemd op uw regelgevingsverplichtingen, transparante rapportage met exploiteerbaarheid beoordelingen en remediëring guidance, ervaring in uw sector, en de mogelijkheid om TLPT uit te voeren als u een significante financiële entiteit bent onder DORA. Vraag om voorbeeldrapporten en vraag specifiek wie bevindingen valideert voordat ze u bereiken.

    Hoe vaak moet mijn organisatie een penetratietest uitvoeren?

    De meeste EU-regelgeving en kaders verwachten minimaal jaarlijkse penetratietesting. NIS2, basis DORA-testing en ISO 27001 wijzen allemaal in die richting. Significante financiële entiteiten onder DORA moeten TLPT minimaal elke drie jaar uitvoeren, bovenop de jaarlijkse testing. Snelgroeiende organisaties, organisaties die hun infrastructuur frequent wijzigen, of organisaties die een beveiligingsincident hebben gehad, moeten vaker testen overwegen. Continue beveiligingsvalidatie via een PTaaS-model is een optie voor organisaties die voortdurende zekerheid nodig hebben.

    Gerelateerde diensten en bronnen

    Sectricity levert professionele penetratietesten in België, Nederland en het Verenigd Koninkrijk. We dekken pentesting van webapplicaties, netwerkbeveiligingstesting, cloud- en API-beoordelingen en penetratietesten van AI-systemen. Voor organisaties onderworpen aan NIS2, DORA of de EU AI Act bieden we audit-ready penetratietesting afgestemd op uw specifiek regelgevingskader. Voorkeur voor continue beveiligingsvalidatie? Verken ons RedSOC PTaaS-platform of start met een gratis security scan.