Het rijk sluit in 2026 een raamovereenkomst voor pentesten waarbij bijna alle ministeries, diverse Hoge Colleges van Staat en enkele zelfstandige bestuursorganen verplicht zijn MIAUW te gebruiken.
Dat schrijft staatssecretaris Van Marum (Digitalisering) in een brief aan de Tweede Kamer. De eisen en voorwaarden in de overeenkomst zijn gebaseerd op de Methodiek voor Informatiebeveiligingsonderzoek met Audit Waarde, ontwikkeld door experts uit het veld, onder leiding van cybersecurity-expert Brenno de Winter.
De aanleiding is een motie van Kamerlid Jesse Six Dijkstra (NSC) die eind december 2024 unaniem werd aangenomen. Daarin wees hij erop dat bij pentesten voorzienbare beveiligingsfouten over het hoofd worden gezien en dat er te weinig controle is op de kwaliteit ervan.
Markt functioneert niet goed
De aanleiding voor de motie ligt in een fundamenteel probleem: de pentest-markt functioneert niet goed. “Pentestaanbieders leveren rapporten waarvan de kwaliteit sterk varieert en die onderling niet te vergelijken zijn,” zegt jurist Victor de Pous, die samen met De Winter aan MIAUW werkte. “Opdrachtgevers krijgen feitelijk een zwarte doos. Ze kunnen niet controleren of ze krijgen waar ze voor betalen. Terwijl bestuurders wél op basis van die pentest moeten beslissen of hun beveiliging op orde is.”
Het probleem zit volgens De Winter in de vaagheid van wat een pentest precies inhoudt. Leveranciers claimen vaak dat hun aanpak uniek is, maar dat maakt het voor opdrachtgevers onmogelijk te controleren of ze krijgen waar ze voor betalen. “Als een organisatie gehackt wordt, kun je niet volhouden dat je de beveiliging had getest ‘met magie’. Hoe durf je dat te zeggen tegen slachtoffers van een datalek? Het is volkomen respectloos.”
Tegen leveranciers die hun methodes geheimhouden is De Winter glashelder. “Leveranciers moeten gewoon vertellen wat ze precies hebben gedaan. We tolereren die vaagheid niet meer.”
Pentesten missen cruciale zwakheden
De gevolgen van die vaagheid zijn in de praktijk regelmatig pijnlijk zichtbaar. Gemeente Hof van Twente liet in 2020 een pentest uitvoeren. De dienst waarlangs de aanvallers inbraken, was wel in scope maar volgens de rapportage niet actief. Openbare scanbronnen toonden in diezelfde periode echter meerdere keren aan dat de dienst wél bereikbaar was. De ransomware-aanval die volgde versleutelde alle systemen. De gemeente draaide zelf op voor de 4,2 miljoen euro schade. De Winter schreef destijds een duidingsrapport over de hack. “De burgemeester kreeg de schuld. Hoe kun je die vrouw dit verwijten als het pentest-rapport niet helder maakte wat wel en niet getest was? Daar heb ik echt van wakker gelegen. Als sector laten we onze klanten in de steek door niet transparant te zijn over wat we precies doen.”
Ook bij DigiNotar in 2011 bleek achteraf dat alle acht certificaatautoriteit-servers waren gecompromitteerd, terwijl security toch echt een kerncompetentie had moeten zijn. “Als je dat gewoon fatsoenlijk had getest, had je gezien dat je zoveel versies achterliep,” zegt De Winter. Bij Equifax hetzelfde verhaal.
Sommige pentestbedrijven voeren aan dat standaardisatie hun creativiteit zou beperken, waardoor juist de slimste aanvalsmethoden onontdekt blijven. De Winter is daar niet van overtuigd. “Vraag ze eens om een voorbeeld te geven van een kwetsbaarheid die niet in OWASP staat. Dan krijg je nooit een fatsoenlijk antwoord.” In elke volwassen industrie is kwaliteitscontrole vanzelfsprekend, betoogt hij. “In de luchtvaart wordt ook niet gediscussieerd of vliegtuigmotoren volgens een vast protocol moeten worden gecontroleerd. Ik stap niet in een vliegtuig waar het motoronderhoud creatief is uitgevoerd.”
Transparantie en reproduceerbaarheid
MIAUW is een open standaard die transparantie en reproduceerbaarheid afdwingt. Pentesten moeten voortaan aantonen wat er precies is getest, met welke methode en met welk resultaat. Een onafhankelijke auditor controleert of het proces goed is doorlopen en stelt daar een procesverbaal van op. De methodiek verwijst naar bestaande open standaarden zoals OWASP, MASTG/WSTG en CIS-benchmarks. “We hebben het wiel niet opnieuw uitgevonden. We harken het alleen maar bij elkaar,” zegt De Winter. “We gaan eindelijk volwassen worden met beveiliging en genormeerd werken.”
Dat procesverbaal is juridisch cruciaal, legt jurist Victor de Pous uit. Op grond van de NIS2-richtlijn, die in Nederland wordt omgezet in de Cyberbeveiligingswet, zijn bestuurders persoonlijk aansprakelijk voor cybersecurity. MIAUW biedt juridische bescherming tegen verwijtbaarheid. “Het helpt je aantonen dat je op bestuurlijk niveau geïnformeerde beslissingen hebt genomen,” zegt De Pous. Veel reguliere pentesten leveren volgens De Pous wel technische inzichten, maar zijn juridisch wassen neuzen. “Hoewel ze technisch-inhoudelijk sterk kunnen zijn, zijn ze vaak methodologisch ongedocumenteerd en bieden ze geen toetsbare verklaringen over volledigheid, reikwijdte en reproduceerbaarheid. Dat fundamentele verschil maakt dat je ze niet kunt gebruiken als bewijsmiddel.”
Het procesverbaal dat de auditor bij MIAUW opstelt, is wél juridisch bruikbaar in rechtszaken, bij toezicht of in audits. “Dankzij de reproduceerbaarheid kunnen organisaties in juridische procedures overtuigend aantonen wat precies is getest, hoe het is getest en met welk resultaat,” aldus De Pous.
CCV-keurmerk schiet tekort
Er bestaan al keurmerken voor pentesten, zoals het CCV-keurmerk Pentesten. Maar dat krijgt kritiek van pentestbedrijven zelf. In een openhartige blogpost schrijft pentestbedrijf Securify dat ze zich “gegijzeld” voelen. Het bedrijf stelt dat het CCV vooral naar proces kijkt – is er een klachtenprocedure, zijn rollen intern vastgelegd – maar niet naar daadwerkelijke kwaliteit van de pentest zelf. Het bedrijf wijst er ook op dat er geen eis is dat CCV-auditors zelf pentestervaring hebben. “Dit maakt het uiterst moeilijk om inhoudelijk te beoordelen of pentest daadwerkelijk goed is uitgevoerd.”
Die vaagheid heeft gevolgen. Bij Hof van Twente bleek uit het NFIR-onderzoeksrapport dat de pentest het kritieke IP-adres had gemist – terwijl dat wél in de scope zat. MIAUW maakt zo’n situatie lastiger: als precies vastligt wat er getest is en hoe, wordt vaagheid als excuus onmogelijk.
Of de rijksimplementatie die heldere eisen ook krijgt, is de vraag. De Winter en de marktexperts die MIAUW ontwikkeldenwaren alleen bij de marktconsultatie betrokken, daarna niet meer. Van Marum schrijft in zijn brief dat MIAUW is “doorontwikkeld om beter tegemoet te komen aan behoeftes van opdrachtgevers”. Die formulering verbaast De Winter. “Hij is juist al geschreven voor opdrachtgevers. Ik weet niet wat je daar aan zou willen doorontwikkelen.” Wat er precies is aangepast sinds de consultatie, weet hij niet. “Ik weet niet wat de uiteindelijke versie is.”
Zijn zorg is concreet: dat de methodiek verwatert. Om dat tegen te gaan, komt stichting LibreKAT, de organisatie die De Winter oprichtte voor open-source beveiligingstools, met checklists waarmee organisaties en Kamerleden kunnen toetsen of pentesten écht volgens MIAUW zijn uitgevoerd. “Wij maken inzichtelijk wat je mist als je bepaalde onderdelen weglaat,” aldus De Winter. Die strategie is bewust gekozen. “Wij gaan Kamerleden actief helpen met beoordelen pentesten. Als je dingen anders doet dan in internationale standaarden staat, is dat niet handig.”
Van Marum schrijft ook dat er “overheidsbreed geprofiteerd kan worden van kennis die met pentesten wordt opgedaan”. Nu gebeurt dat nauwelijks: als een pentest een kwetsbaarheid ontdekt in software die door meerdere organisaties wordt gebruikt, blijft die informatie vaak binnen de muren van één opdrachtgever. De Winter zou dat graag anders zien. “Als je op een gegeven moment op een product iets vindt, zou het heel mooi zijn als je dat dan nu ook eens een keer fatsoenlijk gaat afwikkelen. Net zoals in de luchtvaart: daar wordt een zwakheid industriebreed uitgedragen en opgelost. Alle partijen die dat onderdeel gebruiken worden gewaarschuwd en kunnen meteen actie ondernemen.” Zijn kernboodschap: “Een pentest is een beginpunt, niet een eindpunt. Veiligheid ontstaat met heel structureel, elke keer consciëntieus ermee bezig zijn.”
Methodiek kan miljoenen besparen
Voor gemeenten en andere decentrale overheden kan MIAUW aanzienlijke kostenbesparingen opleveren. Nu worden dezelfde software-producten vaak meerdere keren getest zonder dat organisaties van elkaar weten wat al is onderzocht. “Het DigiD-assessment is daar natuurlijk een groot voorbeeldvan,” zegt De Winter. “Iedere keer worden daar dezelfde dingen getest bij een gemeente, omdat gemeente A niet weet dat buurgemeente B dezelfde software gebruikt.”
Met MIAUW kun je producten écht testen – niet alleen de configuratie. De methodiek dwingt af dat het product zelf wordt getest, los van beveiligingsmaatregelen eromheen. “Je mag dus bijvoorbeeld geen applicatie firewall hebben tijdens de test,” legt De Winter uit. “Want je test het product, niet de applicatie firewall. Die kun je los testen, maar in eerste instnatie wil je het softwareproduct getest hebben.” Pas als een product op die manier is getest en een auditor daar een procesverbaal van heeft opgesteld, kunnen andere organisaties volstaan met een test van hun specifieke implementatie.
De kostenbesparing ontstaat doordat pentesten volgens MIAUW structureel en reproduceerbaar worden uitgevoerd. Voor gemeenten met krappe budgets kan dat het verschil betekenen tussen wel of niet investeren in beveiliging.
Hoewel de raamovereenkomst alleen voor het rijk geldt, verwachten zowel De Winter als De Pous een spiegeleffect naar gemeenten, provincies en private sector. De Pous: “Waarom zou je er als private sector niets mee doen? Dat zou heel dom zijn, het is een goede standaard.” De Winter verwacht ook dat software-leveranciers de audit-rapportage gaan gebruiken om aan al hun klanten te kunnen laten zien dat een product geen grote gebreken heeft. Ook voor bedrijven die hetzelfde softwareproduct gebruiken, kan dat kostenbesparingen opleveren; ze hoeven niet allemaal exact dezelfde producttest nog eens uit te voeren.
De raamovereenkomst komt volgens Van Marum “ergens in 2026” beschikbaar. De Pous hoopt dat dit samenvalt met de Cyberbeveiligingswet, die na vertraging komend jaar eindelijk in werking moet treden. “Ik hoop van ganser harte dat dit nog voor de zomer zal zijn.”