Is een penetratietest verplicht voor gemeentes onder NIS2?

NIS2 verplicht gemeentes om aantoonbaar passende technische en organisatorische maatregelen te nemen tegen cybersecurity-risico's. Een penetratietest is geen letterlijke verplichting, maar is in de praktijk het standaardbewijs van technische verificatie — vooral richting de toezichthouder en bij ENSIA-rapportages.

Wat valt onder een DigiD-koppelingaudit?

Aansluiting op DigiD vereist een jaarlijkse audit met een ICT-beveiligingsassessment (TPM, gebaseerd op de DigiD-norm Logius). Een pentest van de DigiD-koppeling, omliggende applicatie en bijbehorende processen is daarin het standaardonderdeel.

Past het rapport binnen ENSIA?

Ja. Het rapport is gestructureerd zodat het direct bruikbaar is binnen ENSIA-zelfevaluaties, BIO-toetsing en richting de CISO/IBO van de gemeente.

NIS2 · DigiD · ENSIA · BIO

Penetratietest voor Gemeentes — NIS2-compliant.

Burgerportalen, DigiD-koppelingen en interne applicaties zijn doelwit én verplichting. Resync levert een handmatige penetratietest met een rapport dat direct bruikbaar is voor ENSIA, BIO-toetsing en richting de toezichthouder.

Plan gratis intake → Wat zegt NIS2?

✓ NIS2-conforme rapportage ✓ Bruikbaar in ENSIA ✓ Hertest inbegrepen ✓ Vaste prijs

⚡ NIS2 is van kracht — ook voor gemeentes

Gemeentes zijn als "essentiële entiteit" expliciet meegenomen in de Cyberbeveiligingswet (NIS2-implementatie). Bestuurlijke aansprakelijkheid is wettelijk vastgelegd. Aantoonbare technische verificatie — zoals een penetratietest — is geen optie meer, maar verwachting.

Check uw verplichting →

NIS2 in de context van de gemeente

Wat de wet werkelijk vraagt.

NIS2 (Network and Information Security Directive 2) is in Nederland geïmplementeerd via de Cyberbeveiligingswet. Gemeentes vallen als "essentiële entiteit" onder de zwaarste regie. De wet vraagt vier dingen die direct relevant zijn voor pentesting:

Passende technische maatregelen — aantoonbaar, niet alleen op papier
Periodieke beoordeling van effectiviteit van die maatregelen
Risicoanalyse op basis van actuele dreiging
Bestuurlijke aansprakelijkheid — wethouders en gemeentesecretarissen zijn persoonlijk aansprakelijk bij verzuim

Een onafhankelijke penetratietest is in de praktijk de meest robuuste manier om aantoonbaar te voldoen aan punt 1 en 2. Het rapport van Resync is opgebouwd zodat het direct gebruikt kan worden binnen ENSIA-zelfevaluaties, BIO-toetsing en in NIS2-incidentmeldingen richting Nationaal Cyber Security Centrum (NCSC).

Wist u dat

De gemeentegrootte bepaalt niet of NIS2 van toepassing is — voor gemeentes geldt de verplichting onafhankelijk van inwoneraantal. Kleine en middelgrote gemeentes hebben dezelfde verplichting als de G4.

DigiD & aansluitvoorwaarden

De DigiD-audit als terugkerend ritme.

Elke organisatie die op DigiD aansluit moet jaarlijks een ICT-beveiligingsassessment (TPM) laten uitvoeren op basis van de DigiD-norm van Logius. Een penetratietest van de aangesloten applicatie en omliggende infrastructuur is daarvan vrijwel altijd onderdeel.

Wat een DigiD-pentest doorgaans dekt

SAML/OIDC-koppeling, signature validation en metadata-trust
Sessie-overdracht na inlog — race conditions en fixation
Autorisatie binnen de burgerapplicatie (welk BSN ziet welke data)
Logging en monitoring conform DigiD-eisen
Bescherming tegen geautomatiseerde aanvallen op de loginflow

Resync werkt nauw samen met de auditor (TPM-houder) zodat het pentestrapport één-op-één aansluit op de DigiD-normbevindingen. Geen losse rapporten die elkaar tegenspreken — één coherent dossier.

Scope

Wat Resync test in gemeentelijke omgevingen.

Burgerportalen & "Mijn gemeente"

DigiD/eHerkenning-koppelingen, IDOR op BSN-gebaseerde resources, dossierinzage en aanvraagflows.

Aanvraag- en vergunningssystemen

Omgevingsvergunningen, subsidieaanvragen, WMO-formulieren. Vaak met bijlage-uploads en gevoelige metadata.

Interne medewerkerapplicaties

Zaaksystemen, basisregistraties (BRP, BAG, BRK), DSO-koppelingen en mid-office componenten.

Publieke websites

De gemeentewebsite zelf, raadsinformatiesystemen, e-mailcampagnes en formulieren — vaak primaire aanvalspaden.

Externe ketenkoppelingen

Diginetwerk, Haal Centraal, omgevingsdienst-integraties en gemeenschappelijke regelingen.

Cloud & SaaS-leveranciers

Configuratie van leveranciersomgevingen (Azure tenants, M365, gespecialiseerde SaaS) en SSO-aansluitingen.

Het rapport

Direct bruikbaar in ENSIA en richting toezicht.

Het rapport is opgebouwd uit drie blokken — geschikt voor zowel college, raad als CISO/IBO:

Bestuurlijke samenvatting — 1 pagina, leesbaar voor wethouder of gemeentesecretaris
NIS2/BIO-mapping — bevindingen gekoppeld aan BIO-thema's en NIS2-categorieën
Technisch detail — reproductiestappen, screenshots, prioriteit en herstelpad voor ontwikkelteam
Hertest-verklaring — na patching, als formeel bewijs van herstel

Eerder geleverd

Bij een Nederlandse gemeente leverde Resync een NIS2-conforme rapportage op, inclusief hertest-bewijs. Het rapport is gebruikt in het ENSIA-zelfevaluatieproces en als bewijsstuk richting de Rijksinspectie Digitale Infrastructuur (RDI) — zonder aanvullende vragen.

Veelgestelde vragen

Vragen vanuit gemeentes.

Is een pentest verplicht onder NIS2?

NIS2 vraagt aantoonbare technische maatregelen en periodieke verificatie. Een pentest is geen letterlijke verplichting, maar wel het standaardbewijs — vooral in combinatie met ENSIA en BIO-toetsing. Zonder aantoonbare verificatie loopt de gemeente persoonlijke bestuurlijke aansprakelijkheid.

Werkt Resync samen met onze TPM-auditor?

Ja. Bij DigiD-aansluitingen wordt het pentestrapport zo opgebouwd dat het direct aansluit op de DigiD-normbevindingen van de TPM-houder. Geen tegenstrijdige bevindingen, één coherent auditdossier.

Hoe gaan jullie om met gegevens uit de BRP?

Standaard wordt getest in een acceptatie-omgeving met synthetische data. Indien productie noodzakelijk is, geldt een strikte regel: geen export, geen logging van persoonsgegevens, alle data-fragmenten worden na afronding aantoonbaar vernietigd. NDA en verwerkersovereenkomst zijn standaard.

Past een pentest in de planning richting ENSIA?

Ja. Doorlooptijd van intake tot afgerond rapport is doorgaans 1 tot 3 weken. Voor de ENSIA-deadline (jaarlijks rond mei/juni) kunt u zonder probleem in Q1/Q2 plannen. Eerder gestart = meer tijd voor remediatie en hertest.

Aantoonbaar NIS2-conform, zonder pijn.

Eén gesprek over scope, ENSIA-context en planning. Vaste prijs offerte binnen één werkdag, gratis intake, hertest inbegrepen.

Plan gratis intake → Terug naar home

✓ NIS2-conform rapport ✓ Past in ENSIA ✓ Hertest inbegrepen

Gerelateerd

Penetratietest voor Gemeentes — NIS2-compliant.

Wat de wet werkelijk vraagt.

De DigiD-audit als terugkerend ritme.

Wat een DigiD-pentest doorgaans dekt

Wat Resync test in gemeentelijke omgevingen.

Burgerportalen & "Mijn gemeente"

Aanvraag- en vergunningssystemen

Interne medewerker­applicaties

Publieke websites

Externe ketenkoppelingen

Cloud & SaaS-leveranciers

Direct bruikbaar in ENSIA en richting toezicht.

Vragen vanuit gemeentes.

Aantoonbaar NIS2-conform, zonder pijn.

Andere sectorpagina's & diensten

Web Applicatie Pentest

Pentest voor zorginstellingen

NIS2 en gemeentes

Interne medewerkerapplicaties