Wat kost een pentest? Prijsindicatie voor Nederlandse bedrijven
De eerlijke waarheid over pentest-prijzen
Als u googelt op “wat kost een pentest”, vindt u bedragen van €2.000 tot €100.000+. Dat is niet heel behulpzaam. In dit artikel leggen wij transparant uit welke factoren de prijs bepalen, zonder verkooppraatje.
Factoren die de prijs bepalen
1. Type pentest
| Type | Typische duur | Prijsindicatie |
|---|---|---|
| Webapplicatie pentest | 3-5 dagen | €6.000 – €12.000 |
| Netwerkpenetratietest (intern) | 3-5 dagen | €6.000 – €15.000 |
| Active Directory assessment | 5-10 dagen | €10.000 – €25.000 |
| Phishing assessment | 2-5 dagen | €4.000 – €10.000 |
| Cloud / M365 review | 3-5 dagen | €6.000 – €12.000 |
| Red team engagement | 10-20+ dagen | €20.000 – €50.000+ |
Bovenstaande bedragen zijn exclusief BTW en indicatief. De daadwerkelijke kosten hangen af van de specifieke scope.
2. Scope en complexiteit
De scope bepaalt het grootste deel van de prijs:
- Aantal systemen - 1 webapplicatie testen kost minder dan een volledig netwerk met 500 werkstations
- Aantal gebruikersrollen - Een applicatie met 2 rollen is sneller getest dan eentje met 8 verschillende rechtenstructuren
- Technologie - Standaard technologieën (Windows AD, Apache) vs. maatwerk applicaties
- Omgevingscomplexiteit - Een flat network vs. een gesegmenteerd enterprise netwerk
3. Duur
De meeste pentests duren 3 tot 10 werkdagen. Het dagtarief van een ervaren pentester in Nederland ligt typisch tussen de €1.500 en €2.500 per dag.
4. Type aanpak
- Black box - De pentester weet niets. Realistisch, maar tijdrovender.
- Grey box - De pentester krijgt beperkte informatie (accounts, architectuurtekening). Efficiënter en vaker gekozen.
- White box - Volledige toegang tot broncode en documentatie. Het meest grondig.
Grey box is voor de meeste organisaties de beste balans tussen kosten en diepgang.
Waar betaalt u eigenlijk voor?
Een pentest is geen geautomatiseerde scan. U betaalt voor:
- Expertise - Ervaren specialisten die denken als aanvallers
- Handmatig werk - Business logic fouten, chained exploits, creatieve aanvalspaden
- Vooronderzoek - Reconnaissance van uw aanvalsoppervlak
- Rapportage - Een helder rapport op zowel technisch als managementniveau
- Bespreking - Persoonlijke presentatie van de resultaten
Wat u NIET krijgt bij een goedkope “pentest”
Pas op voor aanbieders die voor €1.000-2.000 een “pentest” aanbieden. Vaak krijgt u dan:
- Een geautomatiseerde scan (Nessus, OpenVAS) zonder handmatig werk
- Een generiek rapport zonder context voor uw organisatie
- Geen scopingmeeting of bespreking
- Geen pentester, maar een tool
Dat is geen pentest. Dat is een vulnerability scan met een duur prijskaartje.
Hoe kunt u kosten besparen?
- Scherpe scope - Definieer vooraf precies wat getest moet worden
- Grey box aanpak - Geef de pentester basisinformatie, dat bespaart tijd
- Regelmatig testen - Jaarlijkse pentests zijn efficiënter dan eenmalige grote engagements
- Combineer diensten - Een netwerkpentest + phishing assessment tegelijk is efficiënter dan apart
Wat levert een pentest op?
De ROI van een pentest is lastig in euro’s uit te drukken, maar overweeg:
- De gemiddelde schade van een ransomware-aanval in Nederland bedraagt €270.000 (bron: MSb)
- Een datalek kost gemiddeld €4,35 miljoen wereldwijd (bron: IBM Cost of a Data Breach 2025)
- NIS2-boetes kunnen oplopen tot €10 miljoen of 2% van de jaaromzet
Een pentest van €10.000 die een kritieke kwetsbaarheid vindt is daarmee een van de beste investeringen in uw informatiebeveiliging.
Conclusie
Een goede pentest kost geld, maar het voorkomt dat u veel meer kwijt bent aan een daadwerkelijk incident. Investeer in kwaliteit, niet in de laagste prijs.
Wilt u een eerlijke inschatting voor uw organisatie? Plan een vrijblijvend gesprek. Wij brengen alvast uw externe aanvalsoppervlak in kaart, zonder verplichtingen.
Wilt u weten hoe kwetsbaar uw organisatie is?
Plan een vrijblijvend gesprek. Wij brengen alvast uw externe aanvalsoppervlak in kaart.