Wat is een NIS2 pentest

De NIS2-richtlijn (Network and Information Security Directive 2) is Europese cybersecuritywetgeving en geldt sinds 17 oktober 2024 in alle EU-lidstaten. NIS2 vervangt de NIS-richtlijn uit 2016 en heeft een veel bredere reikwijdte. Waar NIS1 nog 7 sectoren en enkele honderden organisaties raakte, vallen er nu naar schatting meer dan 160.000 organisaties in 18 sectoren onder, waaronder veel Nederlandse bedrijven.

In Nederland wordt NIS2 omgezet via de Cyberbeveiligingswet, die naar verwachting in het tweede kwartaal van 2026 ingaat. Die wet stelt strikte eisen aan cybersecurity en kent boetes tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet voor essentiële entiteiten. Het management is daarbij persoonlijk aansprakelijk (Article 20). Een belangrijk onderdeel van NIS2 is Article 21 over maatregelen voor risicobeheer, dat via Article 21.2(g) verplicht stelt dat u pentesten laat uitvoeren.

Een NIS2 pentest is dus geen vrije keuze, maar een wettelijke verplichting voor essentiële en belangrijke entiteiten. De pentest moet aantonen dat alle maatregelen uit Article 21 goed werken, van multifactorauthenticatie en versleuteling tot de beveiliging van de toeleveringsketen en uw incident response. Het pentestrapport laat aan de nationale toezichthouder zien dat uw organisatie aan NIS2 voldoet.

Waarom en wanneer is een NIS2 pentest verplicht?

Een NIS2 pentest is een harde eis voor elke organisatie die onder de richtlijn valt. Article 21.2(g) schrijft “regular penetration testing and vulnerability assessments” voor aan essentiële en belangrijke entiteiten. NIS2 geldt voor organisaties die actief zijn in een van de 18 sectoren, zoals energie, transport, banken, gezondheidszorg en digitale infrastructuur, en die minimaal 50 werknemers, 10 miljoen euro jaaromzet of 10 miljoen euro balanstotaal hebben.

Een NIS2 pentest is verstandig in onder meer deze situaties:

• Om aan NIS2 te voldoen, omdat Article 21.2(g) regelmatige pentesten wettelijk verplicht stelt voor essentiële en belangrijke entiteiten
• Voor een inspectie door de toezichthouder, omdat het NCSC, het NCTV en sectorale toezichthouders een actueel pentestrapport verwachten
• Na een ingrijpende wijziging, zoals nieuwe belangrijke systemen, een cloudmigratie, een infrastructuurupgrade of een verandering in uw toeleveringsketen
• Na een incident, om te controleren of uw herstelmaatregelen werken en er geen nieuwe kwetsbaarheden zijn ontstaan
• Ter voorbereiding op de Cyberbeveiligingswet, die naar verwachting in het tweede kwartaal van 2026 ingaat

Laat een NIS2 pentest regelmatig uitvoeren. Voldoet u niet aan de richtlijn, dan riskeert u een boete tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet voor essentiële entiteiten, en tot 7 miljoen euro of 1,4 procent voor belangrijke entiteiten. Het management is bovendien persoonlijk aansprakelijk (Article 20) en er kunnen sancties volgen, zoals openbaarmaking en een verplichte security-audit.

Waarom kiezen voor Hackify?

• Onze ethische hackers hebben minimaal 5 jaar ervaring en 3 certificaten, met de juiste expertise per testonderdeel. Dat ligt boven het branchegebruik van 1 jaar en 1 certificaat.
  • Onze pentesters deden responsible disclosures bij onder meer Philips, Zoom, Oracle en de Politie.
  • Ze wonnen prijzen bij hackcompetities als Hack010, PVIB CTF, Hackerhotel en HackTheHague.
• Wij kennen de eisen van Article 21 en weten wat een toezichthouder als het NCSC verwacht.
• U heeft direct contact met de pentester die uw test uitvoert, zonder accountmanager ertussen.
• Een NIS2 pentest kunnen wij meestal binnen 2 tot 3 weken inplannen.
• U krijgt een heldere rapportage in het Nederlands.

Meer over onze aanpak en expertise leest u op de pagina over ons.

Plan uw NIS2 pentest

Wilt u weten hoe kwetsbaar uw essentiële of belangrijke dienst is? Neem dan vrijblijvend contact met ons op. We vertellen u graag meer over ons bedrijf en onze aanpak, en horen graag wat de scope van uw NIS2-assets is.

Elke NIS2-omgeving is anders, dus stellen wij voor elke opdracht een voorstel op maat op. Een pentest kan binnen 3 weken van start. De uitvoering duurt, afhankelijk van de complexiteit, tussen 1 en 2 weken. Plan minimaal 2 tot 3 maanden voor de invoering van de Cyberbeveiligingswet, die naar verwachting in het tweede kwartaal van 2026 ingaat, zodat er tijd is om bevindingen op te lossen en zo nodig een hertest te doen.