Pentesten worden vaak gevraagd door klanten, DORA-ketenpartijen en certificerende instellingen. Een PDF alleen is onvoldoende — auditors willen scope, bevindingen, CAP en her-test zien.
Wat auditors wél accepteren
- scope en rules of engagement afgestemd op ISMS-scope;
- bevindingen gekoppeld aan risico’s of Annex A-controls;
- corrective actions met eigenaar, deadline en verificatie;
- her-test of aanvaarding van rest-risico door management review.
Veelgemaakte fouten
Jaarlijks dezelfde generieke test zonder delta. Kritieke bevindingen accepted risk zonder bestuurlijk besluit. Pentest buiten change- en patchproces — geen ticket-opvolging.
Leg pentest in controleplan en audit evidence hub.
In 2026 vragen DORA-klanten en certificerende instellingen om pentest-scope die expliciet kritieke diensten en API’s dekt — niet alleen het externe perimeter. Documenteer scope-afstemming met de klant of auditor vóór de test start.
Kritieke en high findings moeten traceerbaar zijn naar tickets met status gesloten of expliciet geaccepteerd risico in management review. Steekproef: auditor pikt één finding en volgt de keten tot verificatie.
Plan her-test of compensating controls wanneer fixes niet tijdig kunnen. Rest-risico zonder bestuurlijk besluit is een veelvoorkomende bron van major non-conformities bij surveillance.
Pentest als onderdeel van het ISMS
Plan pentests in hetzelfde ritme als interne audit en risicoherziening — niet ad hoc wanneer een klant erom vraagt. Leg in het controleplan vast welke scope minimaal gedekt moet zijn (extern, applicatie, API) en hoe bevindingen worden geprioriteerd.
Gebruik CVSS of een interne ernstsschaal consistent: auditors willen zien dat critical findings binnen afgesproken termijn worden opgelost of formeel geaccepteerd. Screenshots van tickets met sluitingsdatum zijn sterker bewijs dan een samenvattende slide.
Bespreek pentestresultaten in management review, niet alleen in IT-overleg. Bestuur moet rest-risico kunnen uitleggen — dat is vooral relevant wanneer her-test buiten het auditvenster valt.
Bewaar rules of engagement en scope-afstemming met opdrachtgever of auditor. Bij DORA- en enterprise-contracten verschilt gewenste scope soms van wat u standaard test; leg die afwijkingen vast vóór de test start.
Vraag pentesters om bevindingen te taggen met Annex A-referenties waar mogelijk — dat versnelt CAP-koppeling en surveillance. Bewaar ook wat niet in scope was en waarom; auditors toetsen of scope past bij risico’s en contracten.
Let op: dit artikel is educatief en vervangt geen juridisch, privacy- of auditorisch advies voor uw specifieke situatie.