De NIS2 richtlijn stelt cybersecurity verplichtingen op voor bedrijven en organisaties die kritieke infrastructuur uitvoeren of beheren. Daarnaast zullen de zogeheten ‘belangrijke’ bedrijven en alle toeleveranciers met deze nieuwe richtlijn te maken krijgen. Dat geldt ook voor midden- en kleinbedrijven.
Een belangrijk onderdeel van de nieuwe NIS2 wetgeving is de pentest. Een pentest, of penetratietest is een beveiligingstest waarbij een tester simuleert hoe een cyberaanvaller toegang zou kunnen krijgen tot een netwerk, systeem of applicatie. Onder de nieuwe wet is het verplicht om deze tests regelmatig uit te voeren. De resultaten worden gebruikt om de beveiliging van de systemen en netwerken te verbeteren.
Kies een betrouwbare leverancier
Om de kwaliteit, betrouwbaarheid en integriteit van de dienstverlening te borgen, is door het Centrum voor Criminaliteitspreventie en Veiligheid (het CCV) het keurmerk Pentesten ontwikkeld. Dit gebeurde in samenwerking met de Nationale Politie, Digital Trust Center, Verbond van Verzekeraars, VNO-NCW / MKB-Nederland, Cyberveilig Nederland, NLdigital, CIO Platform Nederland en Online Trust Coalitie. In het certificatieschema worden kwaliteitseisen gesteld aan de praktische uitvoering van de pentest, maar ook aan de organisatie die de dienst levert. Dat betekent bijvoorbeeld dat de personen die een pentest uitvoeren daartoe zijn gekwalificeerd, en dat er een duidelijke klachtenprocedure is ingericht.
Het is belangrijk om een pentest door een betrouwbare of gecertificeerde partij uit te laten voeren omdat dit de kwaliteit en betrouwbaarheid van de uitkomsten verhoogt:
- Kwalificaties en ervaring: Een gecertificeerde tester of een bedrijf met een goede reputatie heeft over het algemeen meer kwalificaties en ervaring dan een ongecertificeerde tester of een minder bekend bedrijf. Dit betekent dat ze beter in staat zijn om kwetsbaarheden op te sporen en effectieve oplossingen aan te bieden.
- Objectiviteit: Gecertificeerde testers en bedrijven hebben doorgaans een objectieve aanpak en zijn onafhankelijk van andere belangen, zoals het verkopen van beveiligingsproducten. Dit betekent dat ze meer betrouwbare en onpartijdige resultaten kunnen bieden.
- Proces en methodologie: Een gecertificeerde tester of bedrijf volgt doorgaans een beproefde methodologie en een standaardproces om kwetsbaarheden op te sporen. Dit betekent dat ze systematisch en grondig werk verrichten en dat je verzekerd bent van een zorgvuldige analyse van je hoe jouw beveiliging ervoor staat.
Het keurmerk voor pentesten helpt je om een goede keuze te maken. Check hier het overzicht van gecertificeerde bedrijven
Heb je vragen over het keurmerk? Bekijk dan de veelgestelde vragen.