{"id":34306,"date":"2026-05-30T18:37:07","date_gmt":"2026-05-30T16:37:07","guid":{"rendered":"https:\/\/sunbytes.io\/?p=34306"},"modified":"2026-05-30T18:37:09","modified_gmt":"2026-05-30T16:37:09","slug":"nis2-penetration-testing","status":"publish","type":"post","link":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/","title":{"rendered":"NIS2 penetration testing requirements: hoe compliance met Artikel 21(2) eruitziet"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_62 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title \" >In this post<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #0d023e;color:#0d023e\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #0d023e;color:#0d023e\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/#TLDR\" title=\"TL;DR\">TL;DR<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/#Vereist_NIS2_penetration_testing\" title=\"Vereist NIS2 penetration testing?\">Vereist NIS2 penetration testing?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/#Welke_NIS2_Artikel_21-verplichtingen_vulnerability_testing_vereisen\" title=\"Welke NIS2 Artikel 21-verplichtingen vulnerability testing vereisen\">Welke NIS2 Artikel 21-verplichtingen vulnerability testing vereisen<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/#De_drie_NIS2_testing_methods_wat_elke_methode_dekt_en_wat_niet\" title=\"De drie NIS2 testing methods: wat elke methode dekt en wat niet\">De drie NIS2 testing methods: wat elke methode dekt en wat niet<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/#Vulnerability_scan_vs_DAST_vs_penetration_test_NIS2_compliance_comparison\" title=\"Vulnerability scan vs DAST vs penetration test: NIS2 compliance comparison\">Vulnerability scan vs DAST vs penetration test: NIS2 compliance comparison<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/#Hoe_vaak_moeten_NIS2-entiteiten_penetration_testing_uitvoeren\" title=\"Hoe vaak moeten NIS2-entiteiten penetration testing uitvoeren?\">Hoe vaak moeten NIS2-entiteiten penetration testing uitvoeren?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/#MIAUW_de_Nederlandse_standaard_voor_NIS2-compliant_pentests\" title=\"MIAUW: de Nederlandse standaard voor NIS2-compliant pentests\">MIAUW: de Nederlandse standaard voor NIS2-compliant pentests<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/#Wat_een_NIS2-compliant_pentest_report_moet_bevatten\" title=\"Wat een NIS2-compliant pentest report moet bevatten\">Wat een NIS2-compliant pentest report moet bevatten<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/#NCSC_guidance_voor_Nederlandse_NIS2-entiteiten\" title=\"NCSC guidance voor Nederlandse NIS2-entiteiten\">NCSC guidance voor Nederlandse NIS2-entiteiten<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/#Hoe_Sunbytes_NIS2-compliant_vulnerability_testing_levert\" title=\"Hoe Sunbytes NIS2-compliant vulnerability testing levert\">Hoe Sunbytes NIS2-compliant vulnerability testing levert<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/#FAQs\" title=\"FAQs\">FAQs<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/#Laten_we_beginnen_met_Sunbytes\" title=\"Laten we beginnen met Sunbytes\">Laten we beginnen met Sunbytes<\/a><\/li><\/ul><\/nav><\/div>\n\n<p class=\" eplus-wrapper\">NIS2 penetration testing is geen checkbox-oefening. Artikel 21 noemt niet \u00e9\u00e9n specifieke testing tool die elke entiteit moet gebruiken. Het artikel verplicht organisaties om kwetsbaarheden te behandelen en te beoordelen of hun cybersecurity\u00adrisicobeheersmaatregelen in de praktijk werken.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Dat onderscheid telt. Een vulnerability scan kan laten zien dat er een bekende zwakte bestaat. Een DAST scan kan een draaiende webapplicatie testen op veelvoorkomende issues. Een penetration test gaat verder: die controleert of zwaktes kunnen worden misbruikt, hoe ver een aanvaller kan komen en of bestaande controles de aanvalslijn stoppen.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Voor EU-bedrijven die zich voorbereiden op NIS2 is de praktische vraag: \u201cKunnen wij bewijzen wat is getest, wat faalde, wat is hersteld en welk bewijs de finding afsluit?\u201d<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Dit artikel legt uit wat <strong><a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/\" target=\"_blank\" rel=\"noreferrer noopener\">NIS2 Artikel 21<\/a><\/strong> betekent voor <strong><a href=\"https:\/\/sunbytes.io\/nl\/cybersecurity-service-provider\/vulnerability-scanning-services\" target=\"_blank\" rel=\"noreferrer noopener\">vulnerability testing<\/a><\/strong>, wanneer <strong><a href=\"https:\/\/sunbytes.io\/nl\/cybersecurity-service-provider\/penetration-testing-service\" target=\"_blank\" rel=\"noreferrer noopener\">penetration testing<\/a><\/strong> het juiste bewijsmechanisme is, wat een NIS2-ready rapport moet bevatten en hoe Nederlandse organisaties MIAUW kunnen gebruiken als nuttige referentie voor testing met auditwaarde.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"TLDR\"><\/span>TL;DR<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">NIS2 Artikel 21 vereist vulnerability handling onder Artikel 21(2)(e) en beoordeling van controle-effectiviteit onder Artikel 21(2)(f). Geautomatiseerde scans helpen bekende kwetsbaarheden te vinden, maar bewijzen niet of controles exploitatie voorkomen. Voor systemen met hoog risico kan een scoped<strong><a href=\"https:\/\/sunbytes.io\/nl\/cybersecurity-service-provider\/penetration-testing-service\" target=\"_blank\" rel=\"noreferrer noopener\"> penetration test<\/a><\/strong> sterker Artikel 21-bewijs opleveren: scope, methodologie, gevalideerde findings, remediation actions en retest results. Nederlandse organisaties kunnen <strong><a href=\"https:\/\/sunbytes.io\/nl\/cybersecurity-service-provider\/penetration-testing-service\/miauw-compliant-pentesting\/\" target=\"_blank\" rel=\"noreferrer noopener\">MIAUW<\/a><\/strong> gebruiken als praktische referentie voor penetration testing met auditwaarde.<\/p>\n\n\n\n<figure class=\" wp-block-image aligncenter size-full eplus-wrapper\"><img decoding=\"async\" width=\"1000\" height=\"467\" src=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/NIS2-penetration-testing-evidence-mapped-to-Article-21-vulnerability-testing-requirements.webp\" alt=\"NIS2 penetration testing evidence mapped to Article 21 vulnerability testing requirements\" class=\"wp-image-34297\" srcset=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/NIS2-penetration-testing-evidence-mapped-to-Article-21-vulnerability-testing-requirements.webp 1000w, https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/NIS2-penetration-testing-evidence-mapped-to-Article-21-vulnerability-testing-requirements-300x140.webp 300w, https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/NIS2-penetration-testing-evidence-mapped-to-Article-21-vulnerability-testing-requirements-768x359.webp 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><\/figure>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Vereist_NIS2_penetration_testing\"><\/span>Vereist NIS2 penetration testing?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">NIS2 verplicht organisaties om cybersecurityrisico\u2019s te beheersen met maatregelen die passend en proportioneel zijn ten opzichte van hun blootstelling. Artikel 21(2)(e) behandelt security bij aanschaf, ontwikkeling en onderhoud, inclusief vulnerability handling en disclosure. Artikel 21(2)(f) behandelt beleid en procedures om te beoordelen of cybersecurity\u00adrisicobeheersmaatregelen effectief zijn.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Dat betekent niet dat elk systeem in elke organisatie elk jaar dezelfde penetration test nodig heeft. Het betekent dat de organisatie moet kunnen aantonen dat kwetsbaarheden worden gevonden, beoordeeld en hersteld, en dat security controls werken.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Voor een intern low-risk tool kunnen vulnerability scanning en secure configuration review genoeg zijn. Voor een internet-facing application, betaalplatform, klantportal, operational technology gateway of API die gevoelige data verwerkt, is een handmatige penetration test vaak de sterkere bewijsroute.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Een goed NIS2 testing plan moet drie vragen beantwoorden:<\/p>\n\n\n<ol start=\"1\" class=\" eplus-wrapper eplus-styles-uid-5881ba\">\n<li class=\" eplus-wrapper\">Welke systemen vallen binnen scope voor Artikel 21-risico?<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Welke testing method bewijst dat het risico wordt beheerst?<\/li>\n\n\n\n<li class=\" eplus-wrapper\">Welk bewijs is voldoende voor management, auditors, klanten of toezichthouders?<\/li>\n<\/ol>\n\n\n<p class=\" eplus-wrapper\">Het antwoord kan vulnerability scanning, DAST, penetration testing, code review, configuration review of supplier testing evidence omvatten. Penetration testing wordt nodig wanneer de organisatie bewijs nodig heeft van exploitability en control effectiveness, niet alleen een lijst met bekende CVEs.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Welke_NIS2_Artikel_21-verplichtingen_vulnerability_testing_vereisen\"><\/span>Welke NIS2 Artikel 21-verplichtingen vulnerability testing vereisen<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">Artikel 21(2)(e) en Artikel 21(2)(f) zijn de twee relevante verplichtingen voor vulnerability testing.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\">Artikel 21(2)(e): vulnerability handling and disclosure<\/h3>\n\n\n\n<p class=\" eplus-wrapper\"><strong><a href=\"https:\/\/eur-lex.europa.eu\/eli\/dir\/2022\/2555\/oj\/eng\" target=\"_blank\" rel=\"noreferrer noopener nofollow\">Artikel 21(2)(e)<\/a><\/strong> vereist security bij de aanschaf, ontwikkeling en het onderhoud van netwerk- en informatiesystemen, inclusief vulnerability handling en disclosure.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">In de praktijk betekent dit dat de organisatie een herhaalbaar proces nodig heeft om kwetsbaarheden te vinden, beoordelen, prioriteren, herstellen en documenteren. Vulnerability scans ondersteunen deze vereiste omdat ze bekende zwaktes identificeren in systemen, poorten, softwareversies, packages en configuraties.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Maar scanning alleen is niet het volledige proces. De organisatie heeft ook ownership, remediation tracking, exception handling, supplier coordination en bewijs nodig dat de finding is gesloten.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Artikel 21(2)(e) beantwoordt: \u201cHebben wij een proces om kwetsbaarheden te vinden en af te handelen?\u201d<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\">Artikel 21(2)(f): control effectiveness assessment<\/h3>\n\n\n\n<p class=\" eplus-wrapper\"><a href=\"https:\/\/eur-lex.europa.eu\/eli\/dir\/2022\/2555\/oj\/eng\" target=\"_blank\" rel=\"noreferrer noopener nofollow\">Artikel 21(2)(f) <\/a>vereist beleid en procedures om de effectiviteit van cybersecurity\u00adrisicobeheersmaatregelen te beoordelen.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Hier wordt penetration testing relevanter. Een scan kan detecteren dat een zwakte bestaat. Een penetration test controleert of die zwakte kan worden misbruikt ondanks de controles die de aanval zouden moeten voorkomen of beperken.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Een access control-regel kan bijvoorbeeld in beleid bestaan. Een penetration test kan laten zien of privilege escalation nog steeds mogelijk is. Een web application firewall kan geconfigureerd zijn. Een penetration test kan laten zien of deze de relevante aanvalslijn blokkeert. Logging kan zijn ingeschakeld. Een penetration test kan laten zien of de incident trail de juiste events vastlegt.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Artikel 21(2)(f) beantwoordt: \u201cKunnen wij bewijzen dat onze controles werken onder realistische aanvalsomstandigheden?\u201d<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Als uw team nog alle 10 Artikel 21-maatregelen in kaart brengt, start dan met de bredere <strong><a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-article-21-requirements-explained\/\" target=\"_blank\" rel=\"noreferrer noopener\">NIS2 Article 21 security requirements guide <\/a><\/strong>voordat u de testing scope vernauwt.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"De_drie_NIS2_testing_methods_wat_elke_methode_dekt_en_wat_niet\"><\/span>De drie NIS2 testing methods: wat elke methode dekt en wat niet<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">NIS2 specificeert de uitkomst: vulnerability handling en control effectiveness. Het schrijft niet \u00e9\u00e9n tool voor.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Daarom telt de testing method. Een vulnerability scan, DAST scan en penetration test hebben allemaal een rol, maar zijn niet onderling uitwisselbaar.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Een bruikbaar testing plan begint met het scheiden van drie taken:<\/p>\n\n\n\n<p class=\" eplus-wrapper\">\u25cf Bekende kwetsbaarheden vinden.<br>\u25cf Applicatiegedrag testen terwijl het systeem draait.<br>\u25cf Bewijzen of een aanvaller zwaktes kan misbruiken en controles kan omzeilen.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Wanneer die taken door elkaar lopen, overschatten bedrijven vaak wat hun scanrapport bewijst. Het rapport kan bruikbaar zijn voor Artikel 21(2)(e), maar zwak voor Artikel 21(2)(f).<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Vulnerability_scan_vs_DAST_vs_penetration_test_NIS2_compliance_comparison\"><\/span>Vulnerability scan vs DAST vs penetration test: NIS2 compliance comparison<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\" wp-block-table eplus-wrapper\"><table class=\"has-fixed-layout\"><thead><tr><th>Testing type<\/th><th>Wat het is<\/th><th>Welke NIS2 Artikel 21-maatregel het ondersteunt<\/th><th>Beperking \u2014 wat het niet dekt<\/th><\/tr><\/thead><tbody><tr><td>Vulnerability scan<\/td><td>Geautomatiseerde scan van bekende CVEs, exposed services, poorten, softwareversies en misconfiguraties. Veelgebruikte tools zijn Nessus, Qualys en OpenVAS.<\/td><td>Ondersteunt Artikel 21(2)(e) door bekende kwetsbaarheden te helpen identificeren. Ondersteunt ook risicoanalyse wanneer findings worden geprioriteerd.<\/td><td>Kan kwetsbaarheden niet combineren, business logic niet testen, attack paths niet valideren of bewijzen of controles exploitatie stoppen.<\/td><\/tr><tr><td>DAST<\/td><td>Dynamic Application Security Testing op een draaiende webapplicatie of API. Kan issues detecteren zoals XSS, SQL injection, weak authentication flows en API exposure.<\/td><td>Ondersteunt Artikel 21(2)(e) voor application vulnerability handling. Kan Artikel 21(2)(f) deels ondersteunen voor application control checks.<\/td><td>Dekt geen volledig infrastructuurrisico, supplier exposure, handmatige attack chains of complexe authorization flaws zonder menselijke validatie.<\/td><\/tr><tr><td>Penetration test<\/td><td>Human-led gesimuleerde aanval binnen een gedefinieerde scope. Test exploitability, attack paths en of controles werken onder realistische omstandigheden.<\/td><td>Sterke ondersteuning voor Artikel 21(2)(e) en Artikel 21(2)(f), vooral voor high-risk systems.<\/td><td>Is point-in-time, afhankelijk van scope en geen vervanging voor doorlopend vulnerability management. Een smalle scope laat out-of-scope systems ongetest.<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Vulnerability scan vs DAST vs penetration test<\/figcaption><\/figure>\n\n\n\n<p class=\" eplus-wrapper\">NIS2 testing methods vullen elkaar aan. Een vulnerability scan helpt bekende issues te vinden; een penetration test is sterker bewijs wanneer de organisatie control effectiveness moet aantonen.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Een veelgemaakte compliancefout is een scanresultaat behandelen als bewijs dat controles werken. Dat is het niet. Een scan kan laten zien dat een server een patch mist. De scan kan niet laten zien of een aanvaller dat issue kan combineren met zwak toegangsbeheer, slechte segmentatie en exposed credentials om gevoelige data te bereiken. Gebruik voor de technische fases van scoping, exploitation, reporting en retesting de volledige <strong><a href=\"https:\/\/sunbytes.io\/nl\/blog\/de-complete-gids-voor-penetratie-testing-voorbedrijven\/\" target=\"_blank\" rel=\"noreferrer noopener\">penetration testing methodology guide<\/a><\/strong> als verdiepende referentie.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Voor NIS2-bewijs moet de testmethode passen bij het risico van het systeem. Hoe meer blootgesteld of bedrijfskritisch het systeem is, hoe meer de organisatie moet verschuiven van geautomatiseerde detectie naar gevalideerd bewijs van exploitability.<\/p>\n\n\n\n<figure class=\" wp-block-image aligncenter size-full eplus-wrapper\"><img decoding=\"async\" width=\"1000\" height=\"667\" src=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/Vulnerability-scan-vs-DAST-vs-penetration-test.webp\" alt=\"Vulnerability scan vs DAST vs penetration test\" class=\"wp-image-34295\" srcset=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/Vulnerability-scan-vs-DAST-vs-penetration-test.webp 1000w, https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/Vulnerability-scan-vs-DAST-vs-penetration-test-300x200.webp 300w, https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/Vulnerability-scan-vs-DAST-vs-penetration-test-768x512.webp 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><\/figure>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Hoe_vaak_moeten_NIS2-entiteiten_penetration_testing_uitvoeren\"><\/span>Hoe vaak moeten NIS2-entiteiten penetration testing uitvoeren?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">NIS2 legt geen vaste penetration testing cadence op voor elke entiteit. De veiligere formulering van de vereiste is: testing frequency moet risicogebaseerd, gedocumenteerd en bijgewerkt zijn wanneer de omgeving verandert.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Voor veel essential en important entities is een jaarlijkse penetration test voor high-risk systems een praktische bewijsbasislijn. Daarmee laat de organisatie zien dat zij niet alleen vertrouwt op historische scanresultaten. Het geeft management ook jaarlijks zicht op exploitability, remediation status en residual risk.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Jaarlijkse testing is niet genoeg wanneer er een grote wijziging plaatsvindt. Een gerichte test moet worden overwogen na wijzigingen zoals:<\/p>\n\n\n\n<p class=\" eplus-wrapper\">\u25cf een nieuwe internet-facing application,<br>\u25cf een grote cloud migration,<br>\u25cf een nieuw customer portal of API,<br>\u25cf een significante identity and access management-wijziging,<br>\u25cf onboarding van een critical supplier platform,<br>\u25cf grote architecture changes die segmentatie of data flow be\u00efnvloeden.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Een praktische cadence kan er zo uitzien:<\/p>\n\n\n\n<figure class=\" wp-block-table eplus-wrapper\"><table class=\"has-fixed-layout\"><thead><tr><th>Trigger of entity context<\/th><th>Praktische penetration testing cadence<\/th><th>Vulnerability scan cadence<\/th><th>Bewijs om te bewaren<\/th><\/tr><\/thead><tbody><tr><td>High-risk internet-facing systems<\/td><td>Minimaal jaarlijks, op basis van risico en scope<\/td><td>Maandelijks of per kwartaal, afhankelijk van blootstelling<\/td><td>Scope, findings, remediation plan, retest evidence<\/td><\/tr><tr><td>Important business systems met gevoelige data<\/td><td>Jaarlijks of na grote wijziging<\/td><td>Per kwartaal of halfjaarlijks<\/td><td>Risk acceptance, scan results, remediation tracking<\/td><\/tr><tr><td>Nieuwe applicatie of major release<\/td><td>Gerichte test v\u00f3\u00f3r of kort na release<\/td><td>Scan v\u00f3\u00f3r release en na remediation<\/td><td>Test report, release decision, unresolved risk sign-off<\/td><\/tr><tr><td>Supplier-operated system binnen scope<\/td><td>Review supplier test evidence jaarlijks of bij verlenging<\/td><td>Vraag supplier scan of assurance evidence op waar relevant<\/td><td>Supplier report summary, exceptions, follow-up actions<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Een praktische cadence<\/figcaption><\/figure>\n\n\n\n<p class=\" eplus-wrapper\">NIS2 testing cadence moet risicogebaseerd zijn. Jaarlijkse testing is een praktische basislijn voor high-risk systems, geen universeel juridisch minimum.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">De cadence moet worden gedocumenteerd in een beleid of security testing plan. Het plan moet aangeven welke systemen worden getest, welke methode wordt gebruikt, wie eigenaar is van remediation en wanneer retesting plaatsvindt.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Als een toezichthouder, sectorauthoriteit, klantcontract of cyber insurance requirement een strengere cadence stelt, moet die vereiste de algemene basislijn overrulen.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"MIAUW_de_Nederlandse_standaard_voor_NIS2-compliant_pentests\"><\/span>MIAUW: de Nederlandse standaard voor NIS2-compliant pentests<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">Voor Nederlandse organisaties is <strong><a href=\"https:\/\/sunbytes.io\/nl\/cybersecurity-service-provider\/penetration-testing-service\/miauw-compliant-pentesting\/\" target=\"_blank\" rel=\"noreferrer noopener\">MIAUW<\/a><\/strong> een nuttige methodologiereferentie wanneer penetration testing auditwaarde moet hebben. MIAUW staat voor Methodiek voor Informatiebeveiligingsonderzoek met Audit Waarde, of Methodology for Information Security Research with Audit Value.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">De formulering telt. MIAUW moet niet worden gepresenteerd als NIS2-certificering. Het maakt een bedrijf niet vanzelf compliant. De waarde is dat het helpt om de test zo te structureren dat de uitkomst makkelijker te valideren, herhalen en presenteren is als bewijs.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Een MIAUW-style aanpak is nuttig voor NIS2 omdat Artikel 21(2)(f) niet alleen gaat over securitywerk uitvoeren. Het gaat om beoordelen of risicobeheersmaatregelen effectief zijn. Dat vereist traceability.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Een pentest met auditwaarde moet laten zien:<\/p>\n\n\n\n<p class=\" eplus-wrapper\">\u25cf wat is getest,<br>\u25cf wat is uitgesloten,<br>\u25cf welke methodologie is gebruikt,<br>\u25cf welke findings zijn gevalideerd,<br>\u25cf welk bewijs de finding ondersteunt,<br>\u25cf welke remediation vereist is,<br>\u25cf of de remediation opnieuw is getest.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Dat verschilt van een los \u201cethical hacker report\u201d waarin de scope onduidelijk is, severity scoring subjectief is en de klant het bewijs\u00adpad later niet kan reconstrueren.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Voor Nederlandse entiteiten die zich voorbereiden op de Cyberbeveiligingswet kan MIAUW procurement- en securityteams helpen om betere vragen te stellen voordat zij een test laten uitvoeren:<\/p>\n\n\n\n<p class=\" eplus-wrapper\">\u25cf Maakt het rapport scope en exclusions expliciet?<br>\u25cf Gebruiken findings een consistente scoringmethode zoals CVSS?<br>\u25cf Bevat het rapport exploit evidence waar exploitatie mogelijk was?<br>\u25cf Worden retest results gedocumenteerd?<br>\u25cf Is het rapport bruikbaar voor management en auditors, niet alleen voor engineers?<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Download voor de volledige <strong><a href=\"https:\/\/sunbytes.io\/nl\/miauw-conforme-pentest-checklist\/\" target=\"_blank\" rel=\"noreferrer noopener\">MIAUW-methodologiedetails<\/a><\/strong> onze checklist om te zorgen dat uw penetration tests voldoen aan het MIAUW framework, inconsistenties aanpakken en cybersecurity controls verbeteren.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Heeft u een security baseline nodig voordat u een volledige NIS2 penetration test laat uitvoeren? Start met <strong><a href=\"https:\/\/sunbytes.io\/nl\/cybersecurity-service-provider\/cybercheck\/\" target=\"_blank\" rel=\"noreferrer noopener\">CyberCheck<\/a><\/strong> als uw team nog niet zeker weet welke systemen het meeste risico dragen, welke gaps eerst moeten worden hersteld of welk bewijs al ontbreekt.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Wat_een_NIS2-compliant_pentest_report_moet_bevatten\"><\/span>Wat een NIS2-compliant pentest report moet bevatten<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">Een NIS2-ready penetration test report moet meer doen dan kwetsbaarheden opsommen. Het moet bewijs opleveren dat Artikel 21-risk management, interne governance, customer due diligence en remediation planning ondersteunt.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Een sterk rapport bevat zeven onderdelen.<\/p>\n\n\n\n<figure class=\" wp-block-image size-large eplus-wrapper\"><img decoding=\"async\" width=\"1024\" height=\"576\" src=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/07-elementen-van-een-NIS2-conform-penetratietest-rapport-1024x576.webp\" alt=\"07 elementen van een NIS2-conform penetratietest-rapport\" class=\"wp-image-34311\" srcset=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/07-elementen-van-een-NIS2-conform-penetratietest-rapport-1024x576.webp 1024w, https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/07-elementen-van-een-NIS2-conform-penetratietest-rapport-300x169.webp 300w, https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/07-elementen-van-een-NIS2-conform-penetratietest-rapport-768x432.webp 768w, https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/07-elementen-van-een-NIS2-conform-penetratietest-rapport-1536x864.webp 1536w, https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/07-elementen-van-een-NIS2-conform-penetratietest-rapport.webp 1672w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">07 elementen van een NIS2-conform penetratietest-rapport<\/figcaption><\/figure>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\">1. Scope statement<\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Het rapport moet aangeven wat wel en niet is getest. Dit omvat systemen, applicaties, APIs, IP ranges, user roles, environments, leveranciers en testbeperkingen.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Out-of-scope systems tellen. Als een kritieke payment API of identity provider is uitgesloten, moet het rapport dat benoemen. Anders kan management aannemen dat er dekking is die de test niet heeft geleverd.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\">2. Methodology used<\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Het rapport moet de testing methodology of het framework benoemen. Voor Nederlandse organisaties kan MIAUW worden gebruikt als referentie voor testing met auditwaarde. Voor application testing kunnen OWASP WSTG of OWASP API Security Testing guidance ook relevant zijn.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">De methodology section mag niet decoratief zijn. Deze moet uitleggen hoe testing is gepland, uitgevoerd en gedocumenteerd.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\">3. Findings with severity scoring<\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Elke finding moet severity, affected asset, exploit conditions en business impact bevatten. CVSS kan helpen om technische severity te standaardiseren, maar het rapport moet ook business priority uitleggen.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Een medium technical finding kan high priority worden als deze een public system, critical supplier connection of sensitive data flow raakt.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\">4. Exploitation evidence<\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Voor Artikel 21(2)(f) is dit het belangrijkste deel van het rapport. De organisatie heeft bewijs nodig dat laat zien of controles werkten.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Bruikbaar bewijs kan bestaan uit screenshots, logs, request\/response examples, proof-of-concept steps, affected user roles, access paths of attack chain diagrams. Gevoelig bewijs moet zorgvuldig worden behandeld en onder access control worden opgeslagen.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\">5. Remediation recommendations<\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Een goed rapport vertelt het team wat eerst moet worden hersteld. Findings moeten worden gegroepeerd op severity, exploitability en business impact.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Het remediation-overzicht moet specifiek genoeg zijn voor engineering-, infrastructure-, security- en managementteams om owners toe te wijzen. \u201cFix access control\u201d is niet genoeg. \u201cRestrict role X from endpoint Y and add server-side authorisation check before release Z\u201d is actiegericht.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\">6. Retest results<\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Retesting sluit de bewijsloop. Zonder retest results kan de organisatie laten zien dat een finding is gerapporteerd, maar niet dat deze is hersteld.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Voor NIS2-bewijs bewaart u de oorspronkelijke finding, remediation action, owner, target date en retest result samen. Critical en high findings mogen niet open blijven staan als tickets zonder einddatum en zonder gedocumenteerd besluit.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\">7. Executive summary<\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Het rapport moet een management summary bevatten die risico uitlegt in zakelijke termen. Deze moet benoemen wat is getest, wat de belangrijkste findings waren, wat open blijft en welk besluit management moet nemen.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Deze summary kan ook Artikel 20 governance evidence ondersteunen, omdat management bodies genoeg informatie nodig hebben om toezicht te houden op cybersecurityrisico. Voor leiderschapsverantwoordelijkheden buiten het test report: zie hoe NIS2 Article 20 <strong><a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-managementverantwoordelijkheid\/\" target=\"_blank\" rel=\"noreferrer noopener\">management accountability<\/a><\/strong> security evidence koppelt aan board-level oversight.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Deze records moeten in het bredere <strong><a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-evidence-pack\/\" target=\"_blank\" rel=\"noreferrer noopener\">NIS2 evidence pack<\/a><\/strong> worden opgenomen, samen met risk decisions, remediation tracking en management approval records.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"NCSC_guidance_voor_Nederlandse_NIS2-entiteiten\"><\/span>NCSC guidance voor Nederlandse NIS2-entiteiten<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\">Voor Nederlandse organisaties is de Cyberbeveiligingswet de nationale implementatieroute voor NIS2. Op het moment van publicatie op 29 mei 2026 had de Tweede Kamer de Cyberbeveiligingswet goedgekeurd en zat het voorstel in het proces bij de Eerste Kamer. Nederlandse overheidsbronnen adviseerden organisaties om niet te wachten tot de wet in werking treedt voordat zij zich voorbereiden.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Die timing be\u00efnvloedt hoe dit artikel gelezen moet worden. Nederlandse entiteiten moeten penetration testing niet behandelen als een last-minute auditactiviteit. Een praktische manier om die last-minute druk te vermijden is eerst een <strong><a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-gap-analyse\/\" target=\"_blank\" rel=\"noreferrer noopener\">NIS2 gap analysis<\/a><\/strong> uitvoeren en de resultaten daarna gebruiken om te bepalen welke systemen scanning, DAST, penetration testing of supplier evidence nodig hebben. De test cre\u00ebert alleen waarde als er genoeg tijd is om findings te herstellen en critical issues opnieuw te testen v\u00f3\u00f3r customer due diligence, supervisory review of board reporting.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">De expertblog van NCSC over penetration testing wijst ook op een praktisch probleem: penetration testing kan in verschillende contexten verschillende dingen betekenen. Zonder duidelijke scoping- en rapportageverwachtingen kan een test moeilijk vergelijkbaar, moeilijk te auditen en moeilijk bruikbaar worden voor managementbesluiten.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">MIAUW is relevant in die Nederlandse context omdat het een meer gestructureerde manier biedt om penetration testing in te kopen en te documenteren. Voor NIS2-voorbereiding is die structuur het punt. De organisatie heeft bewijs nodig dat later kan worden gereviewd, niet alleen technische findings die in een PDF blijven staan.<\/p>\n\n\n\n<h2 class=\" wp-block-heading eplus-wrapper\"><span class=\"ez-toc-section\" id=\"Hoe_Sunbytes_NIS2-compliant_vulnerability_testing_levert\"><\/span>Hoe Sunbytes NIS2-compliant vulnerability testing levert<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\" eplus-wrapper\"><strong><a href=\"https:\/\/sunbytes.io\/nl\/\" target=\"_blank\" rel=\"noreferrer noopener\">Sunbytes<\/a><\/strong> helpt EU-bedrijven om van een onduidelijke security posture naar evidence-backed remediation te gaan. Voor NIS2 penetration testing is de eerste stap vaak geen full-scope test. Het is een baseline: welke systemen tellen, welke risico\u2019s zijn al bekend, welk bewijs bestaat en welke gaps moeten eerst worden hersteld.<\/p>\n\n\n\n<p class=\" eplus-wrapper\">Daar past CyberCheck. CyberCheck is een baseline + gap + roadmap assessment. Het helpt teams hun huidige security posture te begrijpen, prioriteitsgaps te identificeren en te bepalen wat diepere testing nodig heeft. Het helpt te bepalen waar een penetration test zich op moet richten en welk bewijs de organisatie moet voorbereiden.<\/p>\n\n\n\n<h3 class=\" wp-block-heading eplus-wrapper\">Why Sunbytes?<\/h3>\n\n\n\n<p class=\" eplus-wrapper\">Sunbytes is een Nederlands technologiebedrijf met hoofdkantoor in Nederland en een delivery hub in Vietnam. Al 15 jaar helpen wij klanten wereldwijd met Transform \u00b7 Secure \u00b7 Accelerate \u2014 strategie omzetten in betrouwbare delivery, met security ingebouwd in de manier waarop systemen worden ontworpen, getest en onderhouden.<\/p>\n\n\n<ul class=\" eplus-wrapper eplus-styles-uid-8a70a9\">\n<li class=\" eplus-wrapper\"><strong><a href=\"https:\/\/sunbytes.io\/nl\/cybersecurity-service-provider\/\" target=\"_blank\" rel=\"noreferrer noopener\">CyberSecurity Solutions<\/a><\/strong>: Sunbytes helpt security- en compliancerisico\u2019s te verlagen via praktische security services, CyberCheck baseline assessments en compliance readiness support. Voor NIS2 Artikel 21 geeft CyberCheck teams een duidelijk startpunt: huidige security baseline, prioriteitsgaps en een roadmap voor wat eerst moet worden hersteld v\u00f3\u00f3r diepere testing of bewijsvoorbereiding.<\/li>\n\n\n\n<li class=\" eplus-wrapper\"><strong><a href=\"https:\/\/sunbytes.io\/nl\/tech-services\/\" target=\"_blank\" rel=\"noreferrer noopener\">Digital Transformation Solutions<\/a><\/strong>: Sunbytes helpt bedrijven digitale producten te bouwen en moderniseren met senior engineering teams voor custom development, QA\/testing, maintenance en support. Voor NIS2 readiness telt dit, omdat penetration testing findings vaak terugleiden naar deliverywerk: onveilige architecture decisions, zwak toegangsbeheer, ontbrekende testdekking, slechte logging of technical debt die in de product backlog moet worden opgelost.<\/li>\n\n\n\n<li class=\" eplus-wrapper\"><strong><a href=\"https:\/\/sunbytes.io\/nl\/human-resource-services\/\" target=\"_blank\" rel=\"noreferrer noopener\">Accelerate Workforce Solutions<\/a><\/strong>: Sunbytes helpt bedrijven capability en capaciteit op te schalen via recruitment en workforce support wanneer groei dat vraagt. Wanneer penetration testing gaps blootlegt die extra engineering-, QA-, security- of documentatiecapaciteit vereisen, kan Accelerate Workforce Solutions teams helpen de juiste ondersteuning toe te voegen zonder remediation te vertragen.<\/li>\n<\/ul>\n\n\n<p class=\" eplus-wrapper\">Als uw team wil begrijpen waar uw NIS2 testing evidence vandaag staat, <strong><a href=\"https:\/\/sunbytes.io\/nl\/cybersecurity-service-provider\/cybercheck\/\" target=\"_blank\" rel=\"noreferrer noopener\">start dan met CyberCheck<\/a><\/strong>: baseline, gap en roadmap v\u00f3\u00f3r diepere testing decisions.<\/p>\n\n\n<div\n    class=\"block-faq row justify-content-lg-center \"\n    id=\"block_aa1d76f2cd0483a3c5e8103431bb17cb\"\n  >\n    <div class=\"col-lg-10\">\n      <h2 class=\"block-faq__title\"><span class=\"ez-toc-section\" id=\"FAQs\"><\/span>FAQs<span class=\"ez-toc-section-end\"><\/span><\/h2>\n      <div class=\"block-faq__content\" id=\"faq-accordion\">\n                              <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-0\" aria-expanded=\"false\" aria-controls=\"faq-0\">\n                Is een jaarlijkse vulnerability scan voldoende voor NIS2?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-0\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p>Nee, niet voor elk systeem. Een vulnerability scan ondersteunt Artikel 21(2)(e), omdat deze helpt bekende kwetsbaarheden te identificeren. De scan bewijst niet dat controles exploitatie voorkomen. Voor high-risk systems kan een penetration test sterker bewijs leveren voor Artikel 21(2)(f).<\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-1\" aria-expanded=\"false\" aria-controls=\"faq-1\">\n                Hoe vaak moeten wij een penetration test uitvoeren voor NIS2?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-1\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p>NIS2 stelt geen universele cadence vast. Een praktische basislijn is om high-risk systems minimaal jaarlijks en na grote wijzigingen te testen. De exacte cadence moet gebaseerd zijn op exposure, system criticality, sector guidance, customer requirements en de risk assessment van de organisatie.<\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-2\" aria-expanded=\"false\" aria-controls=\"faq-2\">\n                Voldoet een MIAUW-based penetration test aan NIS2?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-2\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p>MIAUW certificeert NIS2 compliance niet op zichzelf. Het helpt penetration testing zo te structureren dat scope, evidence, scoring en reporting makkelijker te valideren zijn. Voor Nederlandse organisaties kan dat het rapport bruikbaarder maken voor NIS2 evidence en supervisory discussions.<\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-3\" aria-expanded=\"false\" aria-controls=\"faq-3\">\n                Wat is het verschil tussen CyberCheck en een volledige NIS2 penetration test?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-3\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p><a href=\"https:\/\/sunbytes.io\/nl\/cybersecurity-service-provider\/cybercheck\/\" target=\"_blank\" rel=\"noopener\"><strong>CyberCheck<\/strong><\/a> is een baseline + gap + roadmap assessment. Het helpt current posture, priority gaps en next actions te identificeren voordat een volledige <a href=\"https:\/\/sunbytes.io\/cybersecurity-service-provider\/penetration-testing-service\/\" target=\"_blank\" rel=\"noopener\"><strong>penetration test<\/strong><\/a> wordt scoped. Een volledige penetration test gaat dieper in op exploitability binnen een gedefinieerde scope. Als uw team nog niet weet waar het eerst moet testen, is CyberCheck het praktische startpunt.<\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-4\" aria-expanded=\"false\" aria-controls=\"faq-4\">\n                Wat moeten wij bewaren na een penetration test?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-4\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p>Bewaar het volledige rapport, scope, methodology, findings, exploit evidence, remediation tracking, risk acceptance decisions en retest results. Sla deze samen op als \u00e9\u00e9n evidence package. Alleen het rapport is zwakker dan een volledig spoor dat laat zien wat is gevonden, wat is hersteld en wat open blijft.<\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-5\" aria-expanded=\"false\" aria-controls=\"faq-5\">\n                Moeten wij elk systeem testen?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-5\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p>Nee. Testing moet risicogebaseerd zijn. Start met systemen die internet-facing, business-critical, gekoppeld aan gevoelige data of gebruikt door kritieke leveranciers zijn. Documenteer waarom lower-risk systems zijn behandeld met lichtere testing methods zoals scanning, configuration review of supplier evidence.<\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                                        <div class=\"block-faq__item\">\n              <div class=\"block-faq__question\" role=\"button\" data-toggle=\"collapse\" data-target=\"#faq-6\" aria-expanded=\"false\" aria-controls=\"faq-6\">\n                Kan DAST een penetration test vervangen?\n                <span class=\"block-faq__icon\"><\/span>\n              <\/div>\n              <div id=\"faq-6\" class=\"block-faq__answer collapse\" data-parent=\"#faq-accordion\">\n                <div class=\"block-faq__inner\"><p>DAST kan application security testing ondersteunen, vooral voor web applications en APIs. Het vervangt handmatige penetration testing niet volledig wanneer de organisatie attack chains, business logic flaws, authorization issues of control effectiveness over meerdere systemen moet valideren.<\/p>\n<\/div>\n              <\/div>\n            <\/div>\n                        <\/div>\n    <\/div>\n  <\/div>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" id=\"contact\" class=\"contact wp-block-spacer eplus-wrapper\"><\/div>\n\n\n<section\n    class=\"conversion-form \"\n    id=\"block_95bbff06df82150dffd6118ae8663d16\"\n    style=\"background-image: url(https:\/\/sunbytes.io\/app\/uploads\/2018\/05\/background-network-1.png)\"\n  >\n    <div class=\"container\">\n      <div class=\"row justify-content-md-center\">\n        <div class=\"col-md-10 col-lg-8\">\n          <div class=\"conversion-form__inner\">\n            <div class=\"col-12 col-sm-10 offset-sm-1\">\n              <h2 class=\"conversion-form__title\"><span class=\"ez-toc-section\" id=\"Laten_we_beginnen_met_Sunbytes\"><\/span>Laten we beginnen met Sunbytes<span class=\"ez-toc-section-end\"><\/span><\/h2>\n                              <p>Laat ons uw eisen voor het team weten en wij nemen meteen contact met u op.<\/p>\n                                            <script type=\"text\/javascript\">var gform;gform||(document.addEventListener(\"gform_main_scripts_loaded\",function(){gform.scriptsLoaded=!0}),window.addEventListener(\"DOMContentLoaded\",function(){gform.domLoaded=!0}),gform={domLoaded:!1,scriptsLoaded:!1,initializeOnLoaded:function(o){gform.domLoaded&&gform.scriptsLoaded?o():!gform.domLoaded&&gform.scriptsLoaded?window.addEventListener(\"DOMContentLoaded\",o):document.addEventListener(\"gform_main_scripts_loaded\",o)},hooks:{action:{},filter:{}},addAction:function(o,n,r,t){gform.addHook(\"action\",o,n,r,t)},addFilter:function(o,n,r,t){gform.addHook(\"filter\",o,n,r,t)},doAction:function(o){gform.doHook(\"action\",o,arguments)},applyFilters:function(o){return gform.doHook(\"filter\",o,arguments)},removeAction:function(o,n){gform.removeHook(\"action\",o,n)},removeFilter:function(o,n,r){gform.removeHook(\"filter\",o,n,r)},addHook:function(o,n,r,t,i){null==gform.hooks[o][n]&&(gform.hooks[o][n]=[]);var e=gform.hooks[o][n];null==i&&(i=n+\"_\"+e.length),gform.hooks[o][n].push({tag:i,callable:r,priority:t=null==t?10:t})},doHook:function(n,o,r){var t;if(r=Array.prototype.slice.call(r,1),null!=gform.hooks[n][o]&&((o=gform.hooks[n][o]).sort(function(o,n){return o.priority-n.priority}),o.forEach(function(o){\"function\"!=typeof(t=o.callable)&&(t=window[t]),\"action\"==n?t.apply(null,r):r[0]=t.apply(null,r)})),\"filter\"==n)return r[0]},removeHook:function(o,n,t,i){var r;null!=gform.hooks[o][n]&&(r=(r=gform.hooks[o][n]).filter(function(o,n,r){return!!(null!=i&&i!=o.tag||null!=t&&t!=o.priority)}),gform.hooks[o][n]=r)}});<\/script>\n                <div class='gf_browser_gecko gform_wrapper gravity-theme gform-theme--no-framework' data-form-theme='gravity-theme' data-form-index='0' id='gform_wrapper_11' ><div id='gf_11' class='gform_anchor' tabindex='-1'><\/div><form method='post' enctype='multipart\/form-data' target='gform_ajax_frame_11' id='gform_11'  action='\/nl\/wp-json\/wp\/v2\/posts\/34306#gf_11' data-formid='11' novalidate> \r\n <input type='hidden' class='gforms-pum' value='{\"closepopup\":false,\"closedelay\":0,\"openpopup\":false,\"openpopup_id\":0}' \/>\n                        <div class='gform-body gform_body'><div id='gform_fields_11' class='gform_fields top_label form_sublabel_below description_below'><div id=\"field_11_12\" class=\"gfield gfield--type-text gfield--input-type-text gfield--width-full hidden_label gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_12\" ><label class='gfield_label gform-field-label' for='input_11_12'>Uw naam<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_text'><input name='input_12' id='input_11_12' type='text' value='' class='large'    placeholder='Uw naam' aria-required=\"true\" aria-invalid=\"false\"   \/> <\/div><\/div><div id=\"field_11_2\" class=\"gfield gfield--type-text gfield--input-type-text gfield--width-half hidden_label gfield_contains_required field_sublabel_below gfield--no-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_11_2\" ><label class='gfield_label gform-field-label' for='input_11_2'>Organization<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_text'><input name='input_2' id='input_11_2' type='text' value='' class='large'    placeholder='Organisatie' aria-required=\"true\" aria-invalid=\"false\"   \/> <\/div><\/div><div id=\"field_11_16\" class=\"gfield gfield--type-text gfield--input-type-text gfield--width-half gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_16\" ><label class='gfield_label gform-field-label' for='input_11_16'>Functietitel<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_text'><input name='input_16' id='input_11_16' type='text' value='' class='large'    placeholder='Functietitel' aria-required=\"true\" aria-invalid=\"false\"   \/> <\/div><\/div><div id=\"field_11_3\" class=\"gfield gfield--type-email gfield--input-type-email gfield--width-half hidden_label gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_3\" ><label class='gfield_label gform-field-label' for='input_11_3'>Email<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_email'>\n                            <input name='input_3' id='input_11_3' type='email' value='' class='large'   placeholder='E-mailadres' aria-required=\"true\" aria-invalid=\"false\"  \/>\n                        <\/div><\/div><div id=\"field_11_13\" class=\"gfield gfield--type-phone gfield--input-type-phone gfield--width-half field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_13\" ><label class='gfield_label gform-field-label' for='input_11_13'>Phone<\/label><div class='ginput_container ginput_container_phone'><input name='input_13' id='input_11_13' type='tel' value='' class='large'  placeholder='Telefoonnummer'  aria-invalid=\"false\"   \/><\/div><\/div><div id=\"field_11_17\" class=\"gfield gfield--type-select gfield--input-type-select gfield--width-full gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_17\" ><label class='gfield_label gform-field-label' for='input_11_17'>Land<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_select'><select name='input_17' id='input_11_17' class='large gfield_select'    aria-required=\"true\" aria-invalid=\"false\" ><option value='' selected='selected' class='gf_placeholder'>Land<\/option><option value='Australia\/New Zealand (ANZ)' >Australia\/New Zealand (ANZ)<\/option><option value='Canada' >Canada<\/option><option value='Germany' >Germany<\/option><option value='Hong Kong' >Hong Kong<\/option><option value='Netherlands' >Netherlands<\/option><option value='Singapore' >Singapore<\/option><option value='United Kingdom' >United Kingdom<\/option><option value='United States of America' >United States of America<\/option><option value='Vietnam' >Vietnam<\/option><option value='Anders...' >Anders&#8230;<\/option><\/select><\/div><\/div><div id=\"field_11_11\" class=\"gfield gfield--type-select gfield--input-type-select gfield--width-full gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_11\" ><label class='gfield_label gform-field-label' for='input_11_11'>Requirements<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_select'><select name='input_11' id='input_11_11' class='large gfield_select'    aria-required=\"true\" aria-invalid=\"false\" ><option value='' selected='selected' class='gf_placeholder'>Waar heeft u interesse in?<\/option><option value='Maatwerk Software ontwikkeling' >Maatwerk Software ontwikkeling<\/option><option value='Dedicated specialisten' >Dedicated specialisten<\/option><option value='Cybersecurity diensten' >Cybersecurity diensten<\/option><option value='HR Diensten' >HR Diensten<\/option><option value='Anders...' >Anders&#8230;<\/option><\/select><\/div><\/div><div id=\"field_11_18\" class=\"gfield gfield--type-select gfield--input-type-select gfield--width-full gfield_contains_required field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_18\" ><label class='gfield_label gform-field-label' for='input_11_18'>Hoe heb je over ons gehoord?<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/label><div class='ginput_container ginput_container_select'><select name='input_18' id='input_11_18' class='large gfield_select'    aria-required=\"true\" aria-invalid=\"false\" ><option value='' selected='selected' class='gf_placeholder'>Hoe heb je over ons gehoord?<\/option><option value='LinkedIn' >LinkedIn<\/option><option value='Clutch' >Clutch<\/option><option value='Newsletter' >Newsletter<\/option><option value='Doorverwijzing' >Doorverwijzing<\/option><option value='Zoekmachine (Google, Bing, etc)' >Zoekmachine (Google, Bing, etc)<\/option><option value='Email' >Email<\/option><option value='Anders...' >Anders&#8230;<\/option><\/select><\/div><\/div><div id=\"field_11_19\" class=\"gfield gfield--type-textarea gfield--input-type-textarea gfield--width-full field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_19\" ><label class='gfield_label gform-field-label' for='input_11_19'>Aanvullende informatie over uw verzoek.<\/label><div class='ginput_container ginput_container_textarea'><textarea name='input_19' id='input_11_19' class='textarea large'    placeholder='Aanvullende informatie over uw verzoek.'  aria-invalid=\"false\"   rows='10' cols='50'><\/textarea><\/div><\/div><fieldset id=\"field_11_7\" class=\"gfield gfield--type-checkbox gfield--type-choice gfield--input-type-checkbox hidden_label contact-form__agree mb-0 gfield_contains_required field_sublabel_below gfield--no-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_11_7\" ><legend class='gfield_label gform-field-label screen-reader-text gfield_label_before_complex' ><span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/legend><div class='ginput_container ginput_container_checkbox'><div class='gfield_checkbox' id='input_11_7'><div class='gchoice gchoice_11_7_1'>\n\t\t\t\t\t\t\t\t<input class='gfield-choice-input' name='input_7.1' type='checkbox'  value='Ik geef Sunbytes toestemming om telefonisch of per e-mail contact op te nemen.'  id='choice_11_7_1'   \/>\n\t\t\t\t\t\t\t\t<label for='choice_11_7_1' id='label_11_7_1' class='gform-field-label gform-field-label--type-inline'>Ik geef Sunbytes toestemming om telefonisch of per e-mail contact op te nemen.<\/label>\n\t\t\t\t\t\t\t<\/div><\/div><\/div><\/fieldset><fieldset id=\"field_11_14\" class=\"gfield gfield--type-checkbox gfield--type-choice gfield--input-type-checkbox hidden_label contact-form__agree gfield_contains_required field_sublabel_below gfield--no-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_11_14\" ><legend class='gfield_label gform-field-label gfield_label_before_complex' >Untitled<span class=\"gfield_required\"><span class=\"gfield_required gfield_required_text\">(Vereist)<\/span><\/span><\/legend><div class='ginput_container ginput_container_checkbox'><div class='gfield_checkbox' id='input_11_14'><div class='gchoice gchoice_11_14_1'>\n\t\t\t\t\t\t\t\t<input class='gfield-choice-input' name='input_14.1' type='checkbox'  value='Ik ga akkoord met &lt;a href=&quot;https:\/\/sunbytes.io\/general-terms-and-conditions\/&quot;&gt;de algemene voorwaarden &lt;\/a&gt;'  id='choice_11_14_1'   \/>\n\t\t\t\t\t\t\t\t<label for='choice_11_14_1' id='label_11_14_1' class='gform-field-label gform-field-label--type-inline'>Ik ga akkoord met <a href=\"https:\/\/sunbytes.io\/general-terms-and-conditions\/\">de algemene voorwaarden <\/a><\/label>\n\t\t\t\t\t\t\t<\/div><\/div><\/div><\/fieldset><div id=\"field_11_15\" class=\"gfield gfield--type-captcha gfield--input-type-captcha gfield--width-full d-none field_sublabel_below gfield--no-description field_description_below hidden_label gfield_visibility_visible\"  data-js-reload=\"field_11_15\" ><label class='gfield_label gform-field-label' for='input_11_15'>Captcha<\/label><div id='input_11_15' class='ginput_container ginput_recaptcha' data-sitekey='6LeTwBcdAAAAAKDurfTYCHGQQNGUBiDURxfjNI3V'  data-theme='light' data-tabindex='-1' data-size='invisible' data-badge='bottomright'><\/div><\/div><div id=\"field_11_20\" class=\"gfield gfield--type-honeypot gform_validation_container field_sublabel_below gfield--has-description field_description_below gfield_visibility_visible\"  data-js-reload=\"field_11_20\" ><label class='gfield_label gform-field-label' for='input_11_20'>Phone<\/label><div class='ginput_container'><input name='input_20' id='input_11_20' type='text' value='' autocomplete='new-password'\/><\/div><div class='gfield_description' id='gfield_description_11_20'>Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.<\/div><\/div><\/div><\/div>\n        <div class='gform_footer top_label'> <input type='submit' id='gform_submit_button_11' class='gform_button button' value='Verstuur!'  onclick='if(window[\"gf_submitting_11\"]){return false;}  if( !jQuery(\"#gform_11\")[0].checkValidity || jQuery(\"#gform_11\")[0].checkValidity()){window[\"gf_submitting_11\"]=true;}  ' onkeypress='if( event.keyCode == 13 ){ if(window[\"gf_submitting_11\"]){return false;} if( !jQuery(\"#gform_11\")[0].checkValidity || jQuery(\"#gform_11\")[0].checkValidity()){window[\"gf_submitting_11\"]=true;}  jQuery(\"#gform_11\").trigger(\"submit\",[true]); }' \/> <input type='hidden' name='gform_ajax' value='form_id=11&amp;title=&amp;description=&amp;tabindex=0&amp;theme=gravity-theme' \/>\n            <input type='hidden' class='gform_hidden' name='is_submit_11' value='1' \/>\n            <input type='hidden' class='gform_hidden' name='gform_submit' value='11' \/>\n            \n            <input type='hidden' class='gform_hidden' name='gform_unique_id' value='' \/>\n            <input type='hidden' class='gform_hidden' name='state_11' value='WyJbXSIsImMzZmY3ZDRjNjM0NWY0MGNlNjVlNjMzNWJlZThmMWVlIl0=' \/>\n            <input type='hidden' class='gform_hidden' name='gform_target_page_number_11' id='gform_target_page_number_11' value='0' \/>\n            <input type='hidden' class='gform_hidden' name='gform_source_page_number_11' id='gform_source_page_number_11' value='1' \/>\n            <input type='hidden' name='gform_field_values' value='' \/>\n            \n        <\/div>\n                        <p style=\"display: none !important;\" class=\"akismet-fields-container\" data-prefix=\"ak_\"><label>&#916;<textarea name=\"ak_hp_textarea\" cols=\"45\" rows=\"8\" maxlength=\"100\"><\/textarea><\/label><input type=\"hidden\" id=\"ak_js_1\" name=\"ak_js\" value=\"218\"\/><script>document.getElementById( \"ak_js_1\" ).setAttribute( \"value\", ( new Date() ).getTime() );<\/script><\/p><\/form>\n                        <\/div>\n\t\t                <iframe style='display:none;width:0px;height:0px;' src='about:blank' name='gform_ajax_frame_11' id='gform_ajax_frame_11' title='Dit iframe bevat de vereiste logica om Ajax aangedreven Gravity Forms te verwerken.'><\/iframe>\n\t\t                <script type=\"text\/javascript\">\n\/* <![CDATA[ *\/\n gform.initializeOnLoaded( function() {gformInitSpinner( 11, 'https:\/\/sunbytes.io\/app\/plugins\/gravityforms\/images\/spinner.svg', true );jQuery('#gform_ajax_frame_11').on('load',function(){var contents = jQuery(this).contents().find('*').html();var is_postback = contents.indexOf('GF_AJAX_POSTBACK') >= 0;if(!is_postback){return;}var form_content = jQuery(this).contents().find('#gform_wrapper_11');var is_confirmation = jQuery(this).contents().find('#gform_confirmation_wrapper_11').length > 0;var is_redirect = contents.indexOf('gformRedirect(){') >= 0;var is_form = form_content.length > 0 && ! is_redirect && ! is_confirmation;var mt = parseInt(jQuery('html').css('margin-top'), 10) + parseInt(jQuery('body').css('margin-top'), 10) + 100;if(is_form){jQuery('#gform_wrapper_11').html(form_content.html());if(form_content.hasClass('gform_validation_error')){jQuery('#gform_wrapper_11').addClass('gform_validation_error');} else {jQuery('#gform_wrapper_11').removeClass('gform_validation_error');}setTimeout( function() { \/* delay the scroll by 50 milliseconds to fix a bug in chrome *\/ jQuery(document).scrollTop(jQuery('#gform_wrapper_11').offset().top - mt); }, 50 );if(window['gformInitDatepicker']) {gformInitDatepicker();}if(window['gformInitPriceFields']) {gformInitPriceFields();}var current_page = jQuery('#gform_source_page_number_11').val();gformInitSpinner( 11, 'https:\/\/sunbytes.io\/app\/plugins\/gravityforms\/images\/spinner.svg', true );jQuery(document).trigger('gform_page_loaded', [11, current_page]);window['gf_submitting_11'] = false;}else if(!is_redirect){var confirmation_content = jQuery(this).contents().find('.GF_AJAX_POSTBACK').html();if(!confirmation_content){confirmation_content = contents;}setTimeout(function(){jQuery('#gform_wrapper_11').replaceWith(confirmation_content);jQuery(document).scrollTop(jQuery('#gf_11').offset().top - mt);jQuery(document).trigger('gform_confirmation_loaded', [11]);window['gf_submitting_11'] = false;wp.a11y.speak(jQuery('#gform_confirmation_message_11').text());}, 50);}else{jQuery('#gform_11').append(contents);if(window['gformRedirect']) {gformRedirect();}}jQuery(document).trigger(\"gform_pre_post_render\", [{ formId: \"11\", currentPage: \"current_page\", abort: function() { this.preventDefault(); } }]);                if (event.defaultPrevented) {                return;         }        const gformWrapperDiv = document.getElementById( \"gform_wrapper_11\" );        if ( gformWrapperDiv ) {            const visibilitySpan = document.createElement( \"span\" );            visibilitySpan.id = \"gform_visibility_test_11\";            gformWrapperDiv.insertAdjacentElement( \"afterend\", visibilitySpan );        }        const visibilityTestDiv = document.getElementById( \"gform_visibility_test_11\" );        let postRenderFired = false;                function triggerPostRender() {            if ( postRenderFired ) {                return;            }            postRenderFired = true;            jQuery( document ).trigger( 'gform_post_render', [11, current_page] );            gform.utils.trigger( { event: 'gform\/postRender', native: false, data: { formId: 11, currentPage: current_page } } );            if ( visibilityTestDiv ) {                visibilityTestDiv.parentNode.removeChild( visibilityTestDiv );            }        }        function debounce( func, wait, immediate ) {            var timeout;            return function() {                var context = this, args = arguments;                var later = function() {                    timeout = null;                    if ( !immediate ) func.apply( context, args );                };                var callNow = immediate && !timeout;                clearTimeout( timeout );                timeout = setTimeout( later, wait );                if ( callNow ) func.apply( context, args );            };        }        const debouncedTriggerPostRender = debounce( function() {            triggerPostRender();        }, 200 );        if ( visibilityTestDiv && visibilityTestDiv.offsetParent === null ) {            const observer = new MutationObserver( ( mutations ) => {                mutations.forEach( ( mutation ) => {                    if ( mutation.type === 'attributes' && visibilityTestDiv.offsetParent !== null ) {                        debouncedTriggerPostRender();                        observer.disconnect();                    }                });            });            observer.observe( document.body, {                attributes: true,                childList: false,                subtree: true,                attributeFilter: [ 'style', 'class' ],            });        } else {            triggerPostRender();        }    } );} ); \n\/* ]]> *\/\n<\/script>\n\n                          <\/div>\n          <\/div>\n        <\/div>\n      <\/div>\n    <\/div>\n  <\/section>\n","protected":false},"excerpt":{"rendered":"<p>NIS2 penetration testing is geen checkbox-oefening. Artikel 21 noemt niet \u00e9\u00e9n specifieke testing tool die elke entiteit moet gebruiken. Het artikel verplicht organisaties om kwetsbaarheden te behandelen en te beoordelen of hun cybersecurity\u00adrisicobeheersmaatregelen in de praktijk werken. Dat onderscheid telt. Een vulnerability scan kan laten zien dat er een bekende zwakte bestaat. Een DAST scan &hellip; <a href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/\">Read more<\/a><\/p>\n","protected":false},"author":15,"featured_media":34299,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"editor_plus_copied_stylings":"{}","footnotes":""},"categories":[18,110],"tags":[],"acf":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v21.9 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>NIS2 penetration testing requirements: hoe compliance met Artikel 21(2) eruitziet | Sunbytes<\/title>\n<meta name=\"description\" content=\"NIS2 penetration testing uitgelegd: wanneer scans niet genoeg zijn, welk Artikel 21-bewijs u moet bewaren en hoe u testing scoped.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/\" \/>\n<meta property=\"og:locale\" content=\"nl_NL\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"NIS2 penetration testing requirements: hoe compliance met Artikel 21(2) eruitziet | Sunbytes\" \/>\n<meta property=\"og:description\" content=\"NIS2 penetration testing uitgelegd: wanneer scans niet genoeg zijn, welk Artikel 21-bewijs u moet bewaren en hoe u testing scoped.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/\" \/>\n<meta property=\"og:site_name\" content=\"Tech and Talent Solutions - Sunbytes\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/sunbytes\/\" \/>\n<meta property=\"article:published_time\" content=\"2026-05-30T16:37:07+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-05-30T16:37:09+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/NIS2-penetration-testing-requirements-what-Article-212-compliance-looks-like.webp\" \/>\n\t<meta property=\"og:image:width\" content=\"1200\" \/>\n\t<meta property=\"og:image:height\" content=\"628\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/webp\" \/>\n<meta name=\"author\" content=\"Uyen Pham\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@sunbytes\" \/>\n<meta name=\"twitter:site\" content=\"@sunbytes\" \/>\n<meta name=\"twitter:label1\" content=\"Geschreven door\" \/>\n\t<meta name=\"twitter:data1\" content=\"Uyen Pham\" \/>\n\t<meta name=\"twitter:label2\" content=\"Geschatte leestijd\" \/>\n\t<meta name=\"twitter:data2\" content=\"14 minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Organization\",\"name\":\"Sunbytes\",\"url\":\"https:\/\/sunbytes.io\/nl\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"nl\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/sunbytes.io\/app\/uploads\/2021\/10\/cropped-sunbytes-favicon.png\",\"contentUrl\":\"https:\/\/sunbytes.io\/app\/uploads\/2021\/10\/cropped-sunbytes-favicon.png\",\"width\":512,\"height\":512,\"caption\":\"Sunbytes\"},\"image\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.facebook.com\/sunbytes\/\",\"https:\/\/twitter.com\/sunbytes\",\"https:\/\/www.linkedin.com\/company\/sunbytes\/\",\"https:\/\/www.linkedin.com\/company\/sunbytes-talent-solutions\/\"],\"knowsAbout\":[\"HR Solutions\",\"Payroll service\",\"EOR service\",\"Tech services\",\"Security services\"]},{\"@type\":\"Article\",\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/\"},\"author\":{\"name\":\"Uyen Pham\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/b83af19a3936b115f738a143c24bf4f2\"},\"headline\":\"NIS2 penetration testing requirements: hoe compliance met Artikel 21(2) eruitziet\",\"datePublished\":\"2026-05-30T16:37:07+00:00\",\"dateModified\":\"2026-05-30T16:37:09+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/\"},\"wordCount\":2840,\"commentCount\":0,\"publisher\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/#organization\"},\"articleSection\":[\"Blog\",\"Cyberbeveiliging\"],\"inLanguage\":\"nl\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/\",\"url\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/\",\"name\":\"NIS2 penetration testing requirements: hoe compliance met Artikel 21(2) eruitziet | Sunbytes\",\"isPartOf\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/#website\"},\"datePublished\":\"2026-05-30T16:37:07+00:00\",\"dateModified\":\"2026-05-30T16:37:09+00:00\",\"description\":\"NIS2 penetration testing uitgelegd: wanneer scans niet genoeg zijn, welk Artikel 21-bewijs u moet bewaren en hoe u testing scoped.\",\"breadcrumb\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/#breadcrumb\"},\"inLanguage\":\"nl\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/sunbytes.io\/nl\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Blog\",\"item\":\"https:\/\/sunbytes.io\/nl\/blog\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"Cyberbeveiliging\",\"item\":\"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/\"},{\"@type\":\"ListItem\",\"position\":4,\"name\":\"NIS2 penetration testing requirements: hoe compliance met Artikel 21(2) eruitziet\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#website\",\"url\":\"https:\/\/sunbytes.io\/nl\/\",\"name\":\"Sunbytes -Transform \u00b7 Secure \u00b7 Accelerate\",\"description\":\"Sunbytes is een bedrijf dat IT-personeelsuitbreiding en dedicated team ontwikkelaars op afstand aanbiedt\",\"publisher\":{\"@id\":\"https:\/\/sunbytes.io\/nl\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/sunbytes.io\/nl\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"nl\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/b83af19a3936b115f738a143c24bf4f2\",\"name\":\"Uyen Pham\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"nl\",\"@id\":\"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/31d5b4e1e1c2acb5adfbb5994df49738?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/31d5b4e1e1c2acb5adfbb5994df49738?s=96&d=mm&r=g\",\"caption\":\"Uyen Pham\"}}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"NIS2 penetration testing requirements: hoe compliance met Artikel 21(2) eruitziet | Sunbytes","description":"NIS2 penetration testing uitgelegd: wanneer scans niet genoeg zijn, welk Artikel 21-bewijs u moet bewaren en hoe u testing scoped.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/","og_locale":"nl_NL","og_type":"article","og_title":"NIS2 penetration testing requirements: hoe compliance met Artikel 21(2) eruitziet | Sunbytes","og_description":"NIS2 penetration testing uitgelegd: wanneer scans niet genoeg zijn, welk Artikel 21-bewijs u moet bewaren en hoe u testing scoped.","og_url":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/","og_site_name":"Tech and Talent Solutions - Sunbytes","article_publisher":"https:\/\/www.facebook.com\/sunbytes\/","article_published_time":"2026-05-30T16:37:07+00:00","article_modified_time":"2026-05-30T16:37:09+00:00","og_image":[{"width":1200,"height":628,"url":"https:\/\/sunbytes.io\/app\/uploads\/2026\/05\/NIS2-penetration-testing-requirements-what-Article-212-compliance-looks-like.webp","type":"image\/webp"}],"author":"Uyen Pham","twitter_card":"summary_large_image","twitter_creator":"@sunbytes","twitter_site":"@sunbytes","twitter_misc":{"Geschreven door":"Uyen Pham","Geschatte leestijd":"14 minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Organization","name":"Sunbytes","url":"https:\/\/sunbytes.io\/nl\/","logo":{"@type":"ImageObject","inLanguage":"nl","@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/logo\/image\/","url":"https:\/\/sunbytes.io\/app\/uploads\/2021\/10\/cropped-sunbytes-favicon.png","contentUrl":"https:\/\/sunbytes.io\/app\/uploads\/2021\/10\/cropped-sunbytes-favicon.png","width":512,"height":512,"caption":"Sunbytes"},"image":{"@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/sunbytes\/","https:\/\/twitter.com\/sunbytes","https:\/\/www.linkedin.com\/company\/sunbytes\/","https:\/\/www.linkedin.com\/company\/sunbytes-talent-solutions\/"],"knowsAbout":["HR Solutions","Payroll service","EOR service","Tech services","Security services"]},{"@type":"Article","@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/#article","isPartOf":{"@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/"},"author":{"name":"Uyen Pham","@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/b83af19a3936b115f738a143c24bf4f2"},"headline":"NIS2 penetration testing requirements: hoe compliance met Artikel 21(2) eruitziet","datePublished":"2026-05-30T16:37:07+00:00","dateModified":"2026-05-30T16:37:09+00:00","mainEntityOfPage":{"@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/"},"wordCount":2840,"commentCount":0,"publisher":{"@id":"https:\/\/sunbytes.io\/nl\/#organization"},"articleSection":["Blog","Cyberbeveiliging"],"inLanguage":"nl","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/","url":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/","name":"NIS2 penetration testing requirements: hoe compliance met Artikel 21(2) eruitziet | Sunbytes","isPartOf":{"@id":"https:\/\/sunbytes.io\/nl\/#website"},"datePublished":"2026-05-30T16:37:07+00:00","dateModified":"2026-05-30T16:37:09+00:00","description":"NIS2 penetration testing uitgelegd: wanneer scans niet genoeg zijn, welk Artikel 21-bewijs u moet bewaren en hoe u testing scoped.","breadcrumb":{"@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/#breadcrumb"},"inLanguage":"nl","potentialAction":[{"@type":"ReadAction","target":["https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/nis2-penetration-testing\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/sunbytes.io\/nl\/"},{"@type":"ListItem","position":2,"name":"Blog","item":"https:\/\/sunbytes.io\/nl\/blog\/"},{"@type":"ListItem","position":3,"name":"Cyberbeveiliging","item":"https:\/\/sunbytes.io\/nl\/blog\/cyberbeveiliging\/"},{"@type":"ListItem","position":4,"name":"NIS2 penetration testing requirements: hoe compliance met Artikel 21(2) eruitziet"}]},{"@type":"WebSite","@id":"https:\/\/sunbytes.io\/nl\/#website","url":"https:\/\/sunbytes.io\/nl\/","name":"Sunbytes -Transform \u00b7 Secure \u00b7 Accelerate","description":"Sunbytes is een bedrijf dat IT-personeelsuitbreiding en dedicated team ontwikkelaars op afstand aanbiedt","publisher":{"@id":"https:\/\/sunbytes.io\/nl\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/sunbytes.io\/nl\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"nl"},{"@type":"Person","@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/b83af19a3936b115f738a143c24bf4f2","name":"Uyen Pham","image":{"@type":"ImageObject","inLanguage":"nl","@id":"https:\/\/sunbytes.io\/nl\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/31d5b4e1e1c2acb5adfbb5994df49738?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/31d5b4e1e1c2acb5adfbb5994df49738?s=96&d=mm&r=g","caption":"Uyen Pham"}}]}},"_links":{"self":[{"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/posts\/34306"}],"collection":[{"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/comments?post=34306"}],"version-history":[{"count":5,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/posts\/34306\/revisions"}],"predecessor-version":[{"id":34314,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/posts\/34306\/revisions\/34314"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/media\/34299"}],"wp:attachment":[{"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/media?parent=34306"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/categories?post=34306"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sunbytes.io\/nl\/wp-json\/wp\/v2\/tags?post=34306"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}