Terug naar blog
    Compliance

    NIS2 Penetration Testing Checklist: Wat uw auditor écht wil zien in 2026

    Sectricity Security TeamFebruary 10, 2026

    Ontdek welke penetration testing en security testing auditors écht verwachten voor NIS2 compliance in België, Nederland en de EU. Inclusief praktische checklist, audit valkuilen en concrete stappen om aantoonbaar compliant en audit-ready te worden.

    NIS2Compliance

    Als uw organisatie onder NIS2 valt, is één vraag vandaag cruciaal: Kunnen we bewijzen dat onze beveiliging effectief werkt?

    In de praktijk verwachten auditors dat u minimaal kan aantonen dat u:

    • Externe aanvallen test (zoals een echte aanvaller dat zou doen)
    • Interne risico’s test (wat kan iemand doen die al binnen is)
    • Menselijke risico’s test (phishing, social engineering)
    • Bewijs hebt dat kwetsbaarheden opgelost zijn
    • Retests uitvoert en documenteert

    Dit is vandaag de realiteit van NIS2 audits in Europa.

    TL;DR

    • NIS2 vraagt aantoonbare security testing, niet alleen policies
    • De meeste bedrijven falen op bewijs van remediation en opvolging
    • Pentesting zonder retest en opvolging is meestal audit-onvoldoende

    Waarom dit vandaag kritisch is

    NIS2 is al actief sinds oktober 2024. Veel organisaties zitten nu midden in audits of voorbereiding daarop.

    Bedrijven zoeken vandaag niet meer naar theorie. Ze zoeken naar:

    • Wat moet ik concreet doen
    • Wat moet ik kunnen tonen aan een auditor
    • Wat wordt effectief gecontroleerd

    Uit auditervaring blijkt dat organisaties vooral struikelen op bewijsvoering en opvolging, niet op het uitvoeren van testen zelf.

    Wat NIS2 praktisch betekent voor security testing

    NIS2 DomeinSecurity TestFrequentiePraktische Realiteit
    External attack surfaceExternal pentest (liefst authenticated)JaarlijksMeer bij hoge exposure
    Interne risico’sInternal pentestJaarlijksLaterale beweging en privilege escalation
    Human factorSocial engineering / phishing1-2x per jaarAwareness alleen is onvoldoende
    Audit bewijsRapportage + remediation trackingContinuRetest bewijs verwacht

    Pre-Audit Checklist (Wat u moet kunnen tonen)

    ✅ Volledige asset inventaris ✅ Risicoanalyse gekoppeld aan business impact ✅ Laatste pentest rapporten ✅ Remediation bewijs ✅ Retest resultaten ✅ Awareness bewijs ✅ Logging en monitoring bewijs

    Wat auditors verwachten van uw pentest

    Een NIS2-relevante pentest moet aantonen:

    • Echte exploiteerbare kwetsbaarheden
    • Realistische aanvalspaden
    • Business impact
    • Prioritaire remediatie acties
    • Mapping naar frameworks zoals OWASP of NIST

    Waar audits meestal mislopen

    Meest voorkomende problemen:

    ❌ Alleen een pentest rapport zonder opvolging ❌ Geen bewijs dat kwetsbaarheden opgelost zijn ❌ Geen retest bewijs ❌ Geen risico acceptatie documentatie

    Auditors zoeken concreet naar:

    ✔ Ticketing en remediation bewijs ✔ Closure bewijs ✔ Retest resultaten ✔ Management goedkeuring

    De grootste misvatting rond NIS2

    Veel organisaties denken:

    “We doen een pentest → dus we zijn compliant.”

    De realiteit is: Testen → Oplossen → Verifiëren → Documenteren → Herhalen

    Veelgestelde vragen

    Hoe vaak moet een NIS2 pentest gebeuren?

    Minimaal jaarlijks. Voor kritische systemen of omgevingen met hoge exposure is vaker testen aangewezen.

    Is vulnerability scanning voldoende voor NIS2?

    Nee. Scans tonen mogelijke risico’s, maar een pentest valideert realistische aanvalsmogelijkheden en impact. Voor audits verwacht men doorgaans meer dan alleen scanning.

    Kan je NIS2 compliant zijn zonder pentest?

    In de praktijk is dat moeilijk verdedigbaar. Security testing is nodig om aan te tonen dat technische controles effectief werken en risico’s aantoonbaar gereduceerd worden.

    Wat controleert een auditor eerst?

    Bewijs van opvolging: remediation, tickets, closure, retest resultaten en management sign-off. Niet alleen het bestaan van een rapport.

    Praktische 6-Stappen Roadmap

    1. Scope bepalen op basis van risico
    2. External en internal pentest uitvoeren
    3. Human risk testen uitvoeren
    4. Remediation uitvoeren en tracken
    5. Retest uitvoeren
    6. Audit bewijs bundelen

    Wat bedrijven in België en Nederland vaak onderschatten

    • Human risk blijft de grootste entry vector
    • Identity en SaaS aanvallen worden vaak niet getest
    • Rapportage kwaliteit bepaalt audit resultaat

    Wanneer continuous testing logischer wordt

    Continuous testing (zoals PTaaS) wordt vaak interessanter als u:

    • Veel changes heeft
    • Cloud-first werkt
    • Onder zware compliance druk staat
    • Veel leveranciers en SaaS gebruikt

    Conclusie

    NIS2 gaat niet over security tools. Het gaat over aantonen dat u risico’s onder controle hebt. Bedrijven die investeren in realistische testing en bewijsvoering slagen audits veel sneller. De rest komt in problemen zodra audits starten.

    Wilt u weten waar u vandaag staat tegenover NIS2 audit realiteit? Laat een NIS2 readiness test uitvoeren of vraag een audit gap analyse aan.