NIS2 · ENSIA · BIO

Penetratietest voor Gemeentes, NIS2-compliant.

Burgerportalen en interne gemeentelijke applicaties zijn doelwit én verplichting. Resync levert een handmatige penetratietest met een rapport dat direct bruikbaar is voor ENSIA, BIO-toetsing en richting de toezichthouder. Voor het volledige pentestaanbod, inclusief scope-categorieën en prijsmodel, bekijkt u de overzichtspagina.

NIS2-conforme rapportage Bruikbaar in ENSIA Hertest inbegrepen Vaste prijs
⚡ NIS2 komt eraan, ook voor gemeentes

Gemeentes zijn als "essentiële entiteit" expliciet opgenomen in de Cyberbeveiligingswet, de Nederlandse NIS2-implementatie die naar verwachting op 15 augustus 2026 in werking treedt. Daarmee wordt de bestuurlijke aansprakelijkheid wettelijk vastgelegd. Aantoonbare technische verificatie, zoals een penetratietest, wordt zo de norm in plaats van een vrijblijvende optie.

Controleer uw verplichting →
NIS2 in de context van de gemeente

Wat de wet werkelijk vraagt.

NIS2 (Network and Information Security Directive 2) is in Nederland geïmplementeerd via de Cyberbeveiligingswet. Gemeentes vallen als "essentiële entiteit" onder het zwaarste regime. De wet vraagt vier dingen die direct relevant zijn voor pentesting:

  • Passende technische maatregelen, aantoonbaar, niet alleen op papier
  • Periodieke beoordeling van effectiviteit van die maatregelen
  • Risicoanalyse op basis van actuele dreiging
  • Bestuurlijke aansprakelijkheid, wethouders en gemeentesecretarissen zijn persoonlijk aansprakelijk bij verzuim

Een onafhankelijke penetratietest is in de praktijk de meest robuuste manier om aantoonbaar te voldoen aan punt 1 en 2. Het rapport van Resync is opgebouwd zodat het direct gebruikt kan worden binnen ENSIA-zelfevaluaties, BIO-toetsing en in NIS2-incidentmeldingen richting Nationaal Cyber Security Centrum (NCSC).

Wist u dat

De gemeentegrootte bepaalt niet of NIS2 van toepassing is, voor gemeentes geldt de verplichting onafhankelijk van inwoneraantal. Kleine en middelgrote gemeentes hebben dezelfde verplichting als de G4.

Scope

Wat Resync test in gemeentelijke omgevingen.

Burgerportalen & "Mijn gemeente"

eHerkenning-koppelingen, IDOR op BSN-gebaseerde resources, dossierinzage en aanvraagflows.

Aanvraag- en vergunningssystemen

Omgevingsvergunningen, subsidieaanvragen, WMO-formulieren. Vaak met bijlage-uploads en gevoelige metadata.

Interne medewerker­applicaties

Zaaksystemen, basisregistraties (BRP, BAG, BRK), DSO-koppelingen en mid-office componenten.

Publieke websites

De gemeentewebsite zelf, raadsinformatiesystemen, e-mailcampagnes en formulieren, vaak primaire aanvalspaden.

Externe ketenkoppelingen

Diginetwerk, Haal Centraal, omgevingsdienst-integraties en gemeenschappelijke regelingen.

Cloud & SaaS-leveranciers

Configuratie van leveranciersomgevingen (Azure tenants, M365, gespecialiseerde SaaS) en SSO-aansluitingen.

Het rapport

Direct bruikbaar in ENSIA en richting toezicht.

Het rapport is opgebouwd uit drie blokken, geschikt voor zowel college, raad als CISO/IBO:

  • Bestuurlijke samenvatting, 1 pagina, leesbaar voor wethouder of gemeentesecretaris
  • NIS2/BIO-mapping, bevindingen gekoppeld aan BIO-thema's en NIS2-categorieën
  • Technisch detail, reproductiestappen, screenshots, prioriteit en herstelpad voor ontwikkelteam
  • Hertest-verklaring, na patching, als formeel bewijs van herstel
Eerder geleverd

Bij een Nederlandse gemeente leverde Resync een NIS2-conforme rapportage op, inclusief hertest-bewijs. Het rapport is gebruikt in het ENSIA-zelfevaluatieproces en als bewijsstuk richting de Rijksinspectie Digitale Infrastructuur (RDI), zonder aanvullende vragen.

Veelgestelde vragen

Vragen vanuit gemeentes.

Is een pentest verplicht onder NIS2?
NIS2 vraagt aantoonbare technische maatregelen en periodieke verificatie. Een pentest is geen letterlijke verplichting, maar wel het standaardbewijs, vooral in combinatie met ENSIA en BIO-toetsing. Zonder aantoonbare verificatie riskeren bestuurders persoonlijke aansprakelijkheid.
Hoe gaan jullie om met gegevens uit de BRP?
Standaard wordt getest in een acceptatie-omgeving met synthetische data. Indien productie noodzakelijk is, geldt een strikte regel: geen export, geen logging van persoonsgegevens, alle data-fragmenten worden na afronding aantoonbaar vernietigd. NDA en verwerkersovereenkomst zijn standaard.
Past een pentest in de planning richting ENSIA?
Ja. Doorlooptijd van intake tot afgerond rapport is doorgaans 1 tot 3 weken. Voor de ENSIA-deadline (jaarlijks rond mei/juni) kunt u zonder probleem in Q1/Q2 plannen. Hoe eerder u start, hoe meer tijd er overblijft voor herstel en hertest.

Aantoonbaar NIS2-conform, zonder gedoe.

Eén gesprek over scope, ENSIA-context en planning. Offerte met vaste prijs binnen één werkdag, gratis intake, hertest inbegrepen.

Plan gratis intake → Terug naar home
NIS2-conform rapport Past in ENSIA Hertest inbegrepen
Gratis intake aanvragen →