How long does a penetration test take?

Duration depends on the scope. A focused external network test covering a defined IP range typically takes two to five days. A web application test for a moderately complex platform runs three to seven days. A full-scope engagement covering network, applications, and social engineering can take two to four weeks. The scoping call before the test is where timeline is agreed, and it is worth being thorough there: a well-scoped test that takes longer delivers far more value than a rushed one that misses critical areas.

How much does a penetration test cost?

Pricing varies with scope, methodology, and provider. A focused external network test for a small business typically starts at around â‚¬2,000 to â‚¬4,000. A web application test for a mid-size platform ranges from â‚¬3,500 to â‚¬8,000. Larger scope engagements, red team exercises, or tests involving physical and social engineering elements can run from â‚¬10,000 upward. Be cautious of very low-cost automated offerings marketed as penetration tests: automated scanning is not manual exploitation, and the difference matters significantly when you are trying to satisfy a compliance requirement or genuinely understand your exposure.

How often should we run a penetration test?

Most compliance frameworks and industry practice point to annual testing as the baseline. PCI DSS requires at least annual external and internal network tests, plus application tests when significant changes are made. ISO 27001 expects regular testing of security controls, which most auditors interpret as at least annual. Beyond compliance minimums, a penetration test should also be run after significant infrastructure changes, after a merger or acquisition, after deploying a new application or major update, and after any security incident. The goal is to test whenever your attack surface changes meaningfully, not just to tick a calendar box.

Gids Cyberbeveiliging

Wat zijn penetratietesten en wanneer heeft uw bedrijf er een nodig?

Een penetratietest zet een professionele aanvaller tegen uw systemen voordat een echte aanvaller arriveert. In deze handleiding wordt precies uitgelegd wat pentesten inhouden, hoe deze verschilt van een kwetsbaarheidsscan, welk type uw bedrijf nodig heeft en wat u moet doen als u de resultaten eenmaal in handen heeft.

CT

Cyvra-team

Cyberbeveiliging

22 mei 2026

6 minuten lezen

Belangrijkste afhaalrestaurants

Een penetratietest simuleert een echte aanvaller; een kwetsbaarheidsscan brengt alleen bekende zwakke punten aan het licht
Externe netwerktests zijn het meest gebruikelijke startpunt voor bedrijven die nieuw zijn met beveiligingstests
Pentests zijn vereist voor ISO 27001, NIS2 (artikel 21, maatregel 6), PCI DSS en Cyber Essentials Plus
Een testrapport heeft alleen zin als u binnen een gedefinieerd herstelvenster actie onderneemt op basis van de bevindingen
Opnieuw testen na herstel bevestigt dat de oplossing heeft gewerkt; Als u dit overslaat, blijft het risico onopgelost

Wat penetratietesten eigenlijk zijn

Een penetratietest is een gestructureerde, geautoriseerde poging om uw systemen, applicaties of mensen in gevaar te brengen met behulp van dezelfde technieken die een echte aanvaller zou gebruiken. Een gekwalificeerde tester (of een team van hen) krijgt een gedefinieerde reikwijdte en doelstelling, werkt vervolgens om deze te doorbreken, elke stap te documenteren en te rapporteren over wat ze hebben gevonden. De output is geen lijst met theoretische risico's. Het is een bewijs van wat een echte aanvaller vandaag de dag met uw bedrijf kan doen.

Het woord ‘penetratie’ verwijst naar het doordringen van je verdediging, niet naar het porren ervan. Een penetratietester stopt niet als hij een zwakte ontdekt. Ze proberen het te misbruiken, privileges te escaleren, zich zijdelings door uw netwerk te verplaatsen en de meest waardevolle systemen of gegevens te bereiken waartoe ze toegang hebben. De test stopt wanneer de overeengekomen reikwijdte is uitgeput of een kritische bevinding onmiddellijke openbaarmaking aan de klant rechtvaardigt.

Penetratietesten verschillen van andere beveiligingscontroles omdat het technische expertise, creatieve probleemoplossing en een vijandige mentaliteit combineert die geautomatiseerde tools niet kunnen repliceren. De vraag van de tester is concreet: als ik hier echt schade zou proberen aan te richten, hoe ver zou ik dan kunnen komen? Een rigoureus antwoord op die vraag is de waarde van de betrokkenheid.

84%

van de cyberaanvallen maakt gebruik van bekende kwetsbaarheden die nooit zijn gepatcht

4

grote raamwerken (ISO 27001, NIS2, PCI DSS, Cyber Essentials Plus) vereisen periodieke pentests

72u

de gemiddelde tijd die een aanvaller nodig heeft om van initiële toegang over te gaan tot kritieke systeemcompromis

Het verschil tussen een pentest en een kwetsbaarheidsscan

Deze twee termen worden vaak verward, en de verwarring is van belang omdat ze zeer verschillende resultaten opleveren. Een kwetsbaarheidsscan is een geautomatiseerd proces: een tool controleert uw systemen aan de hand van een database met bekende zwakke punten, configuratiefouten en verouderde softwareversies. Het genereert een lijst met potentiële problemen, gerangschikt op ernst. De scan probeert niets te misbruiken. Het vertelt u niet of een kwetsbaarheid daadwerkelijk kan worden bereikt door een aanvaller, of deze kan worden gekoppeld aan andere zwakke punten, of wat een aanvaller ermee zou kunnen doen als hij daarin zou slagen.

Een penetratietest begint waar een kwetsbaarheidsscan eindigt. De tester beoordeelt het landschap van potentiële zwakke punten en probeert vervolgens actief misbruik te maken. Ze zoeken naar combinaties: een configuratiefout van gemiddelde ernst die, gecombineerd met een inloggegevens uit een phishing-simulatie, toegang verleent tot een financieel systeem. Geen enkele geautomatiseerde scanner vangt die keten op. Een ervaren tester doet dat wel. Penetratietests brengen regelmatig bevindingen aan het licht die organisaties verrassen die al kwetsbaarheidsscans uitvoeren: de scan somde de stukken op; de tester liet zien wat een aanvaller ervan kon bouwen.

Door voortdurend geautomatiseerde scans uit te voeren, krijgt u voortdurend inzicht in bekende zwakke punten in uw hele bedrijf. Penetratietesten, periodiek en handmatig intensief, laten zien wat een aanvaller er daadwerkelijk mee kan doen. Je hebt beide nodig, en geen van beide vervangt de ander.

Black-box-, grey-box- en white-box-testen

Black-box-testen betekent dat de tester begint zonder voorafgaande kennis van uw systemen en een externe aanvaller simuleert die alleen weet wat openbaar beschikbaar is. Het levert realistische bevindingen op over wat een buitenstaander zou kunnen bereiken, maar het duurt langer en gaat mogelijk voorbij aan interne zwakheden.

Grey-box-testen geeft de tester gedeeltelijke informatie, zoals inloggegevens op gebruikersniveau of netwerkdiagrammen, waarmee een gecompromitteerde werknemers- of aannemersaccount wordt gesimuleerd. Dit is de meest gebruikelijke benadering omdat het realisme in evenwicht brengt met efficiëntie.

Whitebox-testen biedt volledige toegang tot architectuurdocumentatie, broncode en systeemreferenties. Het is de meest grondige aanpak voor het blootleggen van diepe technische kwetsbaarheden en wordt vaak gebruikt voor beveiligingsbeoordelingen van applicaties vóór de lancering van een product.

Soorten penetratietesten

Penetratietests zijn niet one-size-fits-all. Het geschikte type hangt af van waar uw grootste blootstelling ligt en wat uw complianceverplichtingen vereisen. De meeste bedrijven beginnen met één type en breiden hun testprogramma uit naarmate hun beveiligingsvolwassenheid groeit.

Externe netwerkpenetratietesten

Dit is het meest gebruikelijke startpunt en test alles wat wordt blootgesteld aan het openbare internet: uw firewalls, VPN-gateways, e-mailservers, webgerichte services en alle andere systemen die bereikbaar zijn van buiten uw netwerk. De tester werkt van buiten uw perimeter, precies zoals een aanvaller op afstand zou doen. De bevindingen omvatten doorgaans verkeerd geconfigureerde services, blootliggende administratieve interfaces, verouderde software met bekende exploits en zwakke authenticatie op systemen voor externe toegang.

Externe netwerktesten vormen de basis voor de meeste compliance-frameworks en zijn de juiste eerste test voor organisaties die nieuw zijn met beveiligingstesten. Het beantwoordt de meest prangende vraag: kan een aanvaller via internet binnenkomen?

Penetratietesten voor webapplicaties

Als uw bedrijf een klantenportaal, een interne applicatie, een e-commerceplatform of een andere webgebaseerde dienst beheert, verdient die applicatie een eigen speciale test. Het testen van webapplicaties volgt de OWASP-methodologie, waarbij wordt gecontroleerd op injectiekwetsbaarheden (SQL, commando, LDAP), verbroken authenticatie, onveilige directe objectreferenties, verkeerde configuratie van de beveiliging, cross-site scripting en een reeks fouten in de bedrijfslogica die geautomatiseerde scanners consequent over het hoofd zien.

De tekortkomingen in de bedrijfslogica verdienen speciale vermelding. Dit zijn kwetsbaarheden die specifiek zijn voor de manier waarop uw applicatie werkt, zoals een betaalstroom die kan worden gemanipuleerd om onbeperkte kortingen toe te passen, of een accountbeheerfunctie waarmee gebruikers de gegevens van andere klanten kunnen bekijken door een URL-parameter te wijzigen. Geen enkele scanner vindt deze. Ze vereisen een tester die het beoogde gedrag van uw applicatie begrijpt en onderzoekt naar afwijkingen daarvan.

Social engineering-testen

Technische verdedigingen zijn alleen van belang als ze niet kunnen worden omzeild door uw personeel te manipuleren. Social engineering-tests beoordelen of werknemers kunnen worden misleid om inloggegevens vrij te geven, op kwaadaardige links te klikken of fysieke toegang te verlenen aan onbevoegde personen. Phishing-simulaties zijn het meest voorkomende formaat: een zorgvuldig opgestelde e-mailcampagne bootst een echte aanval na om de klikfrequenties, het aantal inzendingen van inloggegevens te meten en hoe snel het beveiligingsteam de campagne detecteert en rapporteert.

Spearphishing-tests zijn gericht op specifieke personen, doorgaans financieel personeel, leidinggevenden of IT-beheerders, met gepersonaliseerde inhoud die verwijst naar echte details over het doelwit of hun organisatie. Deze tests zijn voortdurend vernederend. Organisaties met een sterke technische beveiliging ontdekken vaak dat een overtuigende e-mail aan één persoon alles is wat een aanvaller nodig heeft.

Fysieke penetratietesten

Met fysieke tests wordt beoordeeld of een aanvaller ongeautoriseerde toegang kan krijgen tot uw pand, serverruimtes of werkstations door uw gebouw fysiek binnen te gaan. Testers proberen werknemers door beveiligde deuren te loodsen, zich voor te doen als koeriers of IT-aannemers, of toegang te krijgen tot ontgrendelde werkstations in gemeenschappelijke ruimtes. Fysieke tests komen minder vaak voor, maar zijn van cruciaal belang voor organisaties die gevoelige gegevens ter plaatse verwerken, waaronder zorgverleners, financiële instellingen en datacenterexploitanten.

Uit fysieke tests blijkt vaak dat technische beveiliging irrelevant wordt gemaakt door een staande branddeur of een receptioniste die bezoekers doorstuurt zonder de inloggegevens te controleren. De combinatie van fysieke en technische toegang is bijzonder gevaarlijk: een aanvaller die een onbeheerd werkstation in uw kantoor bereikt, heeft feitelijk uw volledige netwerkperimeter omzeild.

Wanneer uw bedrijf er een nodig heeft

Het eerlijke antwoord is: sneller dan de meeste bedrijven denken. Veel organisaties wachten tot een nalevingsaudit of een bijna-ongeluk het probleem oplost. Op dat moment zijn de bevindingen zelden beperkt tot kleine configuratiefouten. Het nuttiger kader is om penetratietesten te behandelen als een periodieke gezondheidscontrole in plaats van als een reactieve maatregel die wordt veroorzaakt door externe druk.

Er zijn specifieke omstandigheden die een duidelijke noodzaak tot testen creëren. Als uw bedrijf kaartbetalingen verwerkt, vereist PCI DSS ten minste jaarlijkse externe en interne netwerkpenetratietests, plus applicatietests na eventuele significante wijzigingen. Als u binnen het bereik van NIS2 valt (zie onze NIS2-gids voor een volledige uitleg van de reikwijdte), vereist artikel 21, maatregel 6, expliciet dat beleid de effectiviteit van uw cyberbeveiligingsmaatregelen beoordeelt door middel van regelmatige tests. ISO 27001 Annex A.8.8 en A.5.36 wijzen beide op het regelmatig testen van beveiligingscontroles als vereiste voor certificering. Cyber Essentials Plus, de belangrijkste certificering van de Britse overheid, omvat een kwetsbaarheidsbeoordelingscomponent die verder gaat dan de standaard Cyber Essentials-vragenlijst.

Een penetratietest bewijst niet dat u veilig bent. Het laat zien hoe ver een aanvaller vandaag kan komen, wat het enige startpunt is voor zinvolle verbetering.

Naast compliance is een penetratietest gerechtvaardigd voordat een nieuwe applicatie of dienst voor het publiek wordt gelanceerd, na een aanzienlijke wijziging van de infrastructuur of cloudmigratie, na een beveiligingsincident om te bevestigen dat de route van de aanvaller volledig is afgesloten, en na elke fusie of overname die nieuwe systemen in uw omgeving brengt. Nieuwe systemen hebben een onbekende geschiedenis en erfelijke kwetsbaarheden. Het testen ervan voordat u ze volledig integreert, is aanzienlijk goedkoper dan achteraf een probleem ontdekken.

Wat gebeurt er tijdens een penetratietest

De meeste professionele penetratietests volgen een gestructureerde methodologie, ongeacht de aanbieder. Als u de fasen begrijpt, kunt u uw team voorbereiden en realistische verwachtingen stellen van wat u uiteindelijk zult ontvangen.

Scoring. Voordat u met testen begint, maakt u afspraken over wat precies binnen de reikwijdte valt (welke systemen, applicaties of locaties kunnen worden getest), wat expliciet buiten de reikwijdte valt, het testvenster en de regels voor betrokkenheid. Dit omvat of u wilt dat uw IT-team op de hoogte is van de test (openlijk) of in het ongewisse blijft om ook uw detectievermogen te beoordelen (heimelijk). Alles wat hier wordt overeengekomen, wordt het contract dat de opdracht regelt.

Verkenning. De tester verzamelt zoveel mogelijk informatie over het doel voordat hij het aanraakt. Voor een externe netwerktest betekent dit DNS-opsomming, analyse van certificaattransparantielogboeken, OSINT op uw organisatie en werknemers, en het identificeren van alle internetgerichte activa. Deze fase verrast klanten vaak: testers vinden vaak vergeten subdomeinen, blootgestelde ontwikkelomgevingen of inloggegevens van werknemers gepubliceerd in dumps voor datalekken voordat er ook maar een enkel pakket naar het doel is verzonden.

Exploitatie. Met behulp van de verzamelde informatie probeert de tester actief de afgesproken reikwijdte te doorbreken. Dit is de fase die de meeste mensen zich voorstellen: het uitvoeren van exploits, pogingen om de authenticatie te omzeilen en het testen op injectiekwetsbaarheden. Een ervaren tester documenteert elke stap die ze zetten, elke opdracht die ze uitvoeren en elke vondst die ze doen. Deze documentatie maakt het eindrapport geloofwaardig en bruikbaar.

Post-exploitatie. Zodra de eerste toegang is verkregen, onderzoekt de tester hoe ver ze kunnen gaan. Kunnen ze escaleren van een standaardgebruikersaccount naar een domeinbeheerder? Kunnen ze van het ene netwerksegment naar het andere gaan? Kunnen ze gevoelige gegevensopslag of back-upsystemen bereiken? Post-exploitatie brengt de volledige ontploffingsradius van het aanvankelijke compromis in kaart en is vaak de plek waar de belangrijkste bevindingen naar voren komen.

Rapportage. De test wordt afgesloten met een gedetailleerd rapport met een samenvatting (ontworpen voor niet-technische lezers), een sectie met technische bevindingen met volledig bewijs voor elke kwetsbaarheid, een risicobeoordeling voor elke bevinding en specifieke herstelrichtlijnen. Een goed rapport vermeldt niet alleen wat er kapot is. Het legt de zakelijke impact uit in termen die een bestuurslid kan begrijpen, en het vertelt uw team precies wat ze moeten doen om elk probleem op te lossen.

Wat te doen met de resultaten

Het ontvangen van een penetratietestrapport is niet het einde van het proces. Het is het begin van de belangrijkste helft. Een rapport dat zes maanden ongelezen in een gedeelde schijf blijft staan, is erger dan helemaal geen rapport: u beschikt nu over gedocumenteerd bewijs dat er bekende kwetsbaarheden in uw omgeving bestaan, die bij een inbreuk tegen u kunnen worden gebruikt.

Begin met het beoordelen van de bevindingen. Kritieke en zeer ernstige problemen moeten binnen 24 tot 48 uur na ontvangst van het rapport worden toegewezen aan een met naam genoemde eigenaar en een hersteldeadline. Dit zijn de kwetsbaarheden waarmee een aanvaller snel materiële schade kan aanrichten. Middelmatige en lage bevindingen kunnen een langere herstelperiode volgen, maar ze moeten in uw risicoregister worden bijgehouden met duidelijke eigendoms- en streefdata, en mogen niet aan de kant worden gezet.

De sanering is pas voltooid nadat deze is geverifieerd. Een bevinding die zonder verificatie als 'vast' is gemarkeerd, is een aanname en geen feit. Het juiste proces is om het probleem te verhelpen, de oplossing intern te bevestigen en vervolgens een nieuwe test aan te vragen bij het oorspronkelijke testteam. Een hertest is doorgaans beperkt tot de specifieke aangepakte kwetsbaarheden en kost aanzienlijk minder dan de oorspronkelijke opdracht. Het overslaan van de nieuwe test is een veel voorkomende sluiproute die organisaties onzeker maakt of hun oplossingen daadwerkelijk hebben gewerkt.

Gebruik het rapport ten slotte als input voor uw bredere beveiligingsstrategie. Penetratietests onthullen patronen, niet alleen individuele bevindingen. Als meerdere bevindingen betrekking hebben op patchbeheer, wijst dat op een procesfout. Als er verschillende kwetsbaarheden zijn gevonden op systemen waarvan uw team niet wist dat ze op het internet waren aangesloten, wijst dit op een leemte in het ontdekken van activa. Door de diepere oorzaken aan te pakken, wordt voorkomen dat dezelfde soort bevindingen in het rapport van volgend jaar verschijnt.

De CREST internationale accreditatie-instantie certificeert aanbieders van penetratietesten en individuele testers, en houdt een doorzoekbare directory bij van goedgekeurde bedrijven. De NCSC publiceert richtlijnen voor het uitvoeren en uitvoeren van externe veiligheidsbeoordelingen voor organisaties die niet bekend zijn met het proces.

Veelgestelde vragen

Hoe lang duurt een penetratietest?

De duur is afhankelijk van de omvang. Een gerichte externe netwerktest die een gedefinieerd IP-bereik bestrijkt, duurt doorgaans twee tot vijf dagen. Een webapplicatietest voor een redelijk complex platform duurt drie tot zeven dagen. Een volledige opdracht met betrekking tot netwerk, applicaties en social engineering kan twee tot vier weken duren. Tijdens het scopinggesprek voorafgaand aan de test wordt overeenstemming bereikt over de tijdlijn, en het is de moeite waard om daar grondig mee om te gaan: een goed opgezette test die langer duurt, levert veel meer waarde op dan een overhaaste test waarbij kritieke gebieden worden gemist.

Hoeveel kost een penetratietest?

De prijzen variëren afhankelijk van de reikwijdte, methodologie en provider. Een gerichte externe netwerktest voor een klein bedrijf begint doorgaans bij ongeveer € 2.000,- tot € 4.000,-. Een webapplicatietest voor een middelgroot platform varieert van €3.500,- tot €8.000,-. Grotere opdrachten, Red Team-oefeningen of tests met fysieke en social engineering-elementen kunnen vanaf € 10.000,- oplopen. Wees voorzichtig met zeer goedkope geautomatiseerde aanbiedingen die op de markt worden gebracht als penetratietests: geautomatiseerd scannen is geen handmatige exploitatie, en het verschil is van groot belang als u probeert te voldoen aan een nalevingsvereiste of echt inzicht krijgt in uw blootstelling.

Hoe vaak moeten we een penetratietest uitvoeren?

De meeste nalevingskaders en praktijkpraktijken in de sector wijzen op jaarlijkse tests als uitgangspunt. PCI DSS vereist minimaal jaarlijkse externe en interne netwerktests, plus applicatietests wanneer er belangrijke wijzigingen worden aangebracht. ISO 27001 verwacht dat de beveiligingscontroles regelmatig worden getest, wat door de meeste auditors wordt geïnterpreteerd als minstens jaarlijks. Naast de nalevingsminima moet er ook een penetratietest worden uitgevoerd na aanzienlijke wijzigingen in de infrastructuur, na een fusie of overname, na de implementatie van een nieuwe applicatie of grote update, en na elk beveiligingsincident. Het doel is om te testen wanneer uw aanvalsoppervlak betekenisvol verandert, en niet alleen om een kalendervakje aan te vinken.