TL;DR: Een penetratietest zoekt systematisch naar technische kwetsbaarheden binnen een afgebakende scope. Red teaming simuleert een realistische aanval op uw volledige organisatie, inclusief mensen en processen, om te testen of uw verdediging een gerichte dreiging detecteert en stopt. Voor de meeste Vlaamse KMO’s is een pentest het logische vertrekpunt. Red teaming wordt pas zinvol wanneer u al een volwassen detectie- en response-apparaat heeft.
Uw IT-manager vraagt om een pentest. Uw CISO of security-adviseur noemt red teaming. En ergens in het gesprek valt ook de term purple teaming. Drie termen, drie prijskaartjes, en voor veel bedrijven een onduidelijke keuze. Toch is het verschil cruciaal: de verkeerde test op het verkeerde moment levert een rapport op dat niemand iets mee kan, of erger, een vals gevoel van veiligheid.
In dit artikel legt Cyberplan het verschil helder uit, met concrete besliscriteria, kostenranges en de Belgische regelgevende context. Zodat u na het lezen weet welke aanpak bij uw organisatie past.
| Criterium | Penetratietest | Red teaming |
|---|---|---|
| Scope | Afgebakend: specifieke systemen, IP-adressen of applicaties | Breed: mensen, processen én technologie |
| Doel | Kwetsbaarheden catalogiseren en technische hygiëne valideren | Detectie- en responscapaciteit testen onder realistische druk |
| Duur | 1 tot 3 weken per engagement | 4 tot 8 weken, soms meerdere maanden |
| Kennisgeving | IT-team is vooraf volledig geïnformeerd | Alleen een minimale “White Cell” (directie) weet ervan |
| Technieken | Kwetsbaarheidsscans, handmatige exploitatie, configuratietesten | Phishing, vishing, fysieke infiltratie, op maat gemaakte malware, C2-kanalen |
| Output | Technisch rapport met kwetsbaarheden en remediatiestappen | Aanvalsnarratief, logboek van de verdediging, strategische procesaanbevelingen |
| Kosten | €2.500 tot €20.000 (afhankelijk van scope) | €30.000 tot €150.000+ |
| Voor wie | KMO’s en middelgrote bedrijven die hun basishygiëne willen valideren | Grote ondernemingen met een operationeel SOC en volwassen detectie |
Wat is een penetratietest?
Een penetratietest (of pentest) is een gestructureerde, tijdsgelimiteerde evaluatie waarbij ethische hackers proberen zoveel mogelijk technische kwetsbaarheden te vinden binnen een vooraf afgesproken perimeter. Denk aan specifieke servers, een webapplicatie, uw Microsoft 365-omgeving of uw volledige netwerk. Het primaire doel: bekende risico’s wegnemen vóórdat een kwaadwillende ze exploiteert.
De pentest richt zich op de technische laag. Uw IT-team is doorgaans vooraf geïnformeerd en werkt nauw samen met de testers. Het resultaat is een gedetailleerd rapport met een gecatalogiseerde lijst van kwetsbaarheden, risicoklassificaties (CVSS-scores) en concrete remediatiestappen. Dat rapport is direct bruikbaar als bewijsstuk voor NIS2-conformiteit, ISO 27001 of een cyberverzekering.
Afhankelijk van hoeveel informatie de tester vooraf krijgt, onderscheidt men een black box, grey box of white box pentest. Bij een black box test start de pentester zonder enige voorkennis, net als een externe aanvaller. Bij white box krijgt het team volledige toegang tot architectuurdocumentatie en broncode. Grey box zit daar tussenin en is in de praktijk de meest gebruikte aanpak.
Wat is red teaming?
Red teaming overstijgt de puur technologische perimeter. Het is een holistische, op dreigingsinformatie gebaseerde simulatie waarbij de tactieken, technieken en procedures (TTP’s) van échte aanvalsgroepen worden nagebootst. Waar een pentest vraagt “welke systemen zijn kwetsbaar?”, stelt een red team de vraag: “kan een gerichte aanvaller zijn doel bereiken, en merkt uw verdediging het op?”
Volgens het TIBER-EU-framework van de Europese Centrale Bank omvat red teaming drie domeinen: technologie, mensen én processen. De aanvallers zetten geavanceerde phishing in, proberen fysieke infiltratie, bouwen op maat gemaakte malware en opereren wekenlang onder de radar. Het interne verdedigingsteam (het “blue team”) weet niet dat de test plaatsvindt en opereert blind.
De output is geen spreadsheet met kwetsbaarheden, maar een chronologisch aanvalsnarratief: wanneer drong het team binnen, hoe bewoog het zich lateraal door het netwerk, welke detectiesystemen sloegen aan en welke niet? Dat levert strategische procesaanbevelingen op die veel verder gaan dan “patch deze server”.
De vijf concrete verschillen tussen red teaming en pentesting
Scope en afbakening
Bij een pentest definieert u vooraf precies wát getest wordt. Een externe perimeter, een specifieke webapplicatie, uw interne netwerk. Die afbakening maakt de test beheerbaar en de resultaten vergelijkbaar met eerdere tests.
Red teaming kent vrijwel geen scopebeperkingen. Het aanvalsteam mag alles inzetten dat een echte aanvaller ook zou gebruiken: technische exploits, social engineering, fysieke toegangspogingen tot het kantoor, misleiding van medewerkers via telefoon (vishing). Alleen destructieve acties zijn uitgesloten.
Doel en aanpak
Een pentest catalogiseert kwetsbaarheden. Het doel is volledigheid: zo veel mogelijk zwakke plekken vinden en documenteren. Een red team-oefening test uw detectie- en responscapaciteit. Het doel is niet om alle kwetsbaarheden te vinden, maar om te bewijzen of uw organisatie een gerichte aanval tijdig detecteert, vertraagt en neutraliseert.
Dat verschil in doelstelling bepaalt ook de aanpak. Pentesters werken methodisch en transparant. Red teamers opereren in stealth en proberen juist onzichtbaar te blijven, precies zoals een echte aanvaller dat zou doen.
Technieken en methoden
De pentest-toolkit bestaat voornamelijk uit technische middelen: kwetsbaarheidsscans, handmatige exploitatie van bekende CVE’s, configuratietesten, en brute force-pogingen. Alles gericht op de IT-infrastructuur.
Red teams combineren techniek met mensgerichte aanvallen. Geavanceerde phishing-campagnes op maat, voice phishing (vishing), fysieke infiltratie met social engineering, op maat gemaakte malware en Command-and-Control-kanalen die detectie ontwijken. Volgens het Mandiant M-Trends 2026-rapport vormen software-exploits met 32% nog steeds de belangrijkste initiële toegangspoort, maar voice phishing is gestegen naar 11% en is zelfs verantwoordelijk voor 23% van alle cloudspecifieke compromitteringen.
Duur en kosten
Een pentest duurt typisch één tot drie weken. De kosten in de Belgische markt variëren van €2.500 voor een eenvoudige externe perimeterscan tot €20.000 of meer voor een uitgebreide webapplicatietest met meerdere API’s en rollen.
Een red team-engagement duurt vier tot acht weken en kost doorgaans tussen €30.000 en €150.000. Die factor 10x tot 50x weerspiegelt de inzet van meerdere subteams, wekenlange voorbereiding en stealth-operaties. Op uurbasis rekenen ervaren red team-consultants in Europa tussen €150 en €250 per uur.
Output en deliverables
Na een pentest ontvangt u een gedetailleerd technisch rapport met per kwetsbaarheid een risicoklassificatie, reproduceerstappen en remediatie-aanbevelingen. Dit rapport is direct bruikbaar voor uw IT-team en als bewijsstuk bij audits.
Na een red team-oefening ontvangt u een aanvalsnarratief dat chronologisch beschrijft hoe het team binnendrong, welke paden het volgde en welke detectiemechanismen wel of niet reageerden. Daarnaast volgt een logboek van de verdediging en strategische aanbevelingen voor procesverbeteringen. De waarde zit niet in een lijst kwetsbaarheden, maar in het inzicht of uw organisatie als geheel functioneert onder druk.
Wanneer kiest u voor een pentest?
Een penetratietest is de juiste keuze wanneer u uw technische basishygiëne wilt valideren of verbeteren. Volgens het maturiteitsmodel van het SANS Institute vallen de meeste beveiligingsprogramma’s in niveau 1 (Initial) of niveau 2 (Developing), waarbij kwetsbaarheidsbeoordelingen en afgebakende pentests de aangewezen testvorm zijn.
Concreet is een pentest het logische vertrekpunt wanneer:
Uw bedrijf nog geen gestructureerd cybersecurityprogramma heeft en wil weten waar de gaten zitten. Een cybersecurity-audit levert de routekaart, een pentest valideert de technische staat.
U moet voldoen aan NIS2-vereisten. De Belgische NIS2-wet eist dat entiteiten hun cyberrisico’s beheren op basis van een “all-hazards”-benadering en de effectiviteit van hun maatregelen regelmatig evalueren en testen. Voor de meeste KMO’s die onder NIS2 vallen, volstaat een periodieke pentest om aan deze testverplichting te voldoen.
Uw cyberverzekering of een grote klant om een extern testrapport vraagt. Een pentestrapport met CVSS-scores en remediatiestappen is het standaard bewijsstuk.
U een specifiek systeem wilt testen na een grote wijziging, migratie of nieuwe release. Denk aan een nieuwe webapplicatie, een cloudmigratie naar Azure of AWS, of een overstap naar een nieuw ERP-systeem.
Wanneer kiest u voor red teaming?
Red teaming wordt pas zinvol wanneer uw organisatie een volwassen beveiligingsprogramma heeft. Volgens het SANS-maturiteitsmodel is niveau 4 (Advanced) het startpunt voor red team-oefeningen: u beschikt over een operationeel Security Operations Center (SOC), een centraal logmanagementsysteem (SIEM of EDR) en een getraind incident response-team.
Zonder deze fundamenten heeft een blinde aanvalssimulatie weinig zin. Zoals de offensieve specialist RedSecLabs het verwoordt: een organisatie die onvoldoende voorbereid is, kan overweldigd raken door zelfs eenvoudige aanvallen. Een red team-oefening zou dan enkel bevestigen dat u binnendringers niet detecteert, zonder dat u de capaciteit heeft om de complexe bevindingen op te lossen.
Voor een typische Vlaamse KMO met 50 tot 250 medewerkers is een traditionele red team-oefening in de regel niet zinvol. Organisaties binnen deze schaalgrenzen beschikken vrijwel nooit over een eigen SOC of dedicated incident response-teams. Een regelmatige pentest, eventueel aangevuld met purple teaming (zie hieronder), is de aangewezen weg om uw cyberhygiëne stapsgewijs te verbeteren.
Red teaming is wél relevant voor grotere Belgische ondernemingen en organisaties in de financiële sector die onder DORA vallen, of voor bedrijven die hun volwassen detectie-apparaat willen valideren tegen realistische dreigingsscenario’s.
Purple teaming: het beste van beide werelden?
Purple teaming doorbreekt de strikte scheiding tussen aanval en verdediging. Het is geen apart team, maar een collaboratieve werkvorm waarbij offensieve specialisten en defensieve analisten (uw interne IT-team of externe SOC-provider) in real-time samenwerken.
De dynamiek is concreet: de aanvallers kondigen vooraf aan welke specifieke techniek ze gaan inzetten, bijvoorbeeld credential dumping via LSASS. Ze voeren de aanval uit, waarna de verdedigers direct in hun SIEM- of EDR-console controleren of de actie gedetecteerd werd. Als er geen waarschuwing is gegenereerd, werken beide partijen samen om de detectielogica aan te scherpen en de test te herhalen totdat de aanvalstechniek succesvol wordt geblokkeerd. Volgens TrustedSec versnelt purple teaming de detectie-engineering door offensieve inzichten te koppelen aan defensieve tuning in real-time.
Voor Vlaamse KMO’s met 50 tot 250 werknemers is purple teaming in de praktijk een betere strategische investering dan een blinde red team-oefening. De voordelen zijn concreet:
De directe educatieve waarde is hoog. IT-beheerders die cybersecurity naast hun reguliere taken beheren, leren tijdens de sessies direct hoe moderne aanvallers denken en handelen. Dat verhoogt competenties sneller dan het lezen van een technisch rapport.
De kosten zijn beheersbaar. Een purple team-sessie kan worden gecomprimeerd tot gerichte workshops van enkele dagen, waardoor de totale projectkosten lager liggen dan bij een langdurig red team-engagement.
Er zijn geen operationele risico’s. Omdat de oefening transparant en gecoördineerd verloopt, is de kans op onbedoelde downtime nihil.
Het resultaat is onmiddellijk bruikbaar. Waar een red team-rapport vaak een waslijst aan complexe problemen oplevert, resulteert een purple team-sessie in concreet verbeterde detectieregels en geoptimaliseerde configuraties.
Eerlijkheid gebiedt te zeggen dat purple teaming ook een stevige tijdsinvestering vraagt van uw IT-team. Gedurende de hele sessie moet uw team hands-on aanwezig zijn. Voor KMO’s met een chronisch onderbezet IT-team kan die actieve participatie juist een grotere drempel vormen dan een pentest die volledig autonoom door een externe partij wordt uitgevoerd.
Red teaming en compliance: NIS2, DORA en TIBER
De Belgische regelgeving maakt een belangrijk onderscheid in testvereisten, afhankelijk van het type organisatie.
Onder NIS2 (Belgische wet van 26 april 2024, in werking sinds 18 oktober 2024) moeten zowel essentiële als belangrijke entiteiten passende beveiligingsmaatregelen treffen en de effectiviteit ervan regelmatig testen. De wet maakt echter geen expliciete melding van een verplichte red team-oefening. Voor de meeste KMO’s die onder NIS2 vallen, volstaat het uitvoeren van periodieke penetratietesten. Essentiële entiteiten moeten tegen april 2027 een volledige CyFun Essential-verificatie of ISO 27001-certificering bezitten, waarvoor regelmatige pentests een standaardvereiste zijn.
Onder DORA (Digital Operational Resilience Act, van toepassing sinds januari 2025) gelden aanzienlijk strengere eisen. Geselecteerde significante financiële instellingen zijn verplicht om minimaal elke drie jaar een Threat-Led Penetration Test (TLPT) uit te voeren. Ondanks de misleidende naam “penetration testing” gaat TLPT methodologisch om een volwaardige red team-oefening op live productiesystemen, inclusief een voorafgaande dreigingsanalysefase en een blinde aanvalsfase. Na afronding is een verplichte purple team-sessie voorgeschreven.
Het TIBER-BE-programma, beheerd door de Nationale Bank van België, is het operationele kader om aan DORA TLPT te voldoen. De NBB bevestigt de onderlinge compatibiliteit van TLPT en TIBER-EU.
Wat betekent dit concreet? Als u een Vlaamse KMO bent die onder NIS2 valt: een jaarlijkse pentest volstaat in de meeste gevallen om aan uw testverplichting te voldoen. Als u een financiële instelling bent die onder DORA valt en door uw toezichthouder is aangeduid voor TLPT: dan is een volwaardige red team-oefening volgens het TIBER-BE-framework verplicht.
Wat kost red teaming vergeleken met een pentest?
De kostenranges weerspiegelen het verschil in doorlooptijd, expertise en diepgang. Onderstaande tabel toont marktconforme tarieven in de Belgische en bredere Europese markt:
| Testvorm | Kostenrange | Kenmerken |
|---|---|---|
| Pentest: externe perimeter | €2.500 tot €7.000 | Gericht op publiek toegankelijke IP-adressen en poorten |
| Pentest: intern netwerk | €4.500 tot €9.000 | Vaak op locatie, brengt interne escalatiepaden in kaart |
| Pentest: webapplicaties | €3.500 tot €20.000+ | Sterk afhankelijk van het aantal API’s, endpoints en rollen |
| Red team-engagement | €30.000 tot €150.000+ | Holistische simulatie met meerdere subteams |
Vlaamse KMO’s kunnen de kosten voor pentests aanzienlijk verlagen via VLAIO-subsidies. Sinds februari 2026 is de KMO-portefeuille exclusief voorbehouden aan cybersecurity-adviestrajecten, waaronder eenmalige pentests en audit-advisering. Kleine ondernemingen ontvangen 45% subsidie, middelgrote ondernemingen 35%, tot een jaarlijks maximum van €7.500. Belangrijk: de subsidieaanvraag moet uiterlijk 14 kalenderdagen na de start van de prestaties worden ingediend.
Aanvullend biedt VLAIO de Cybersecurity Verbetertrajecten aan, met trajecten van €7.100 tot €39.900 en tot 50% subsidie. In de praktijk zijn de budgettaire kaders van deze trajecten te krap voor een volwaardige red team-simulatie. Ze zijn daardoor vooral bruikbaar voor pentests, audits en basisbeveiligingsadvies.
Let op: repetitieve of structurele pentests (zoals doorlopende Pentesting as a Service of kwartaalscans) zijn expliciet uitgesloten van de KMO-portefeuille, omdat VLAIO deze als operationele bedrijfskosten beschouwt. Dat creëert een spanning met NIS2, dat juist vraagt om continue en regelmatige validatie.
Veelgestelde vragen over red teaming en pentesting
Is red teaming verplicht onder NIS2?
Nee. De Belgische NIS2-wet verplicht entiteiten om de effectiviteit van hun beveiligingsmaatregelen regelmatig te evalueren en te testen, maar schrijft geen specifieke red team-oefening voor. Voor de meeste KMO’s volstaat een periodieke pentest om aan deze verplichting te voldoen.
Kan een KMO met 100 medewerkers baat hebben bij red teaming?
In de regel niet. Zonder een operationeel SOC, SIEM en een dedicated incident response-team mist u de fundamenten om de complexe bevindingen van een red team-oefening op te lossen. Een pentest, eventueel aangevuld met purple teaming, levert meer waarde op.
Wat is het verschil tussen red teaming en TLPT onder DORA?
TLPT (Threat-Led Penetration Testing) onder DORA is methodologisch een volwaardige red team-oefening op live productiesystemen, inclusief een voorafgaande dreigingsanalysefase en een verplichte purple team-sessie na afloop. Het TIBER-BE-framework van de NBB dient als operationeel kader.
Hoe vaak moet ik een pentest laten uitvoeren?
Voor IT-infrastructuur is een jaarlijkse pentest de gangbare best practice. Webapplicaties test u best voor elke grote release en na significante wijzigingen. Onder NIS2 wordt regelmatig testen verwacht als onderdeel van uw risicobeheermaatregelen.
Is purple teaming goedkoper dan red teaming?
Ja, aanzienlijk. Een purple team-sessie kan worden gecomprimeerd tot gerichte workshops van enkele dagen, waardoor de kosten een fractie bedragen van een langdurig red team-engagement. De investering in tijd van uw interne IT-team is echter hoger, omdat zij actief deelnemen gedurende de hele sessie.
Welke certificeringen moet een pentest- of red team-provider hebben?
Voor pentesters zijn OSCP (Offensive Security Certified Professional), CEH (Certified Ethical Hacker) en GPEN (GIAC Penetration Tester) de industriestandaarden. Red team-operators vereisen geavanceerdere kwalificaties zoals CRTO (Certified Red Team Operator), OSEP (Offensive Security Experienced Penetration Tester) of CCSAM (CREST Certified Simulated Attack Manager). Bij het kiezen van een pentest bedrijf is het verificeren van deze certificeringen een van de eerste stappen.
Conclusie: de juiste keuze voor uw bedrijf
De keuze tussen een pentest en red teaming is geen kwestie van prestige, maar van maturiteit. Een pentest catalogiseert technische kwetsbaarheden en valideert uw basishygiëne. Red teaming test of uw volledige organisatie een gerichte aanval detecteert en afslaat. Purple teaming combineert de educatieve waarde van beide in een samenwerkingsvorm die bijzonder geschikt is voor KMO’s die hun detectie willen verbeteren zonder de kosten en complexiteit van een volledig red team-engagement.
Voor de meeste Vlaamse KMO’s met 50 tot 250 medewerkers is het pad helder: begin met een pentest om te weten waar u staat. Bouw vervolgens aan uw detectie- en responsecapaciteit. En wanneer die fundamenten staan, overweeg dan purple teaming om uw verdediging scherp te houden.
Wilt u weten welke testmethode het beste bij uw organisatie past? Plan een vrijblijvend kennismakingsgesprek en ontdek samen met onze OSCP- en CISSP-gecertificeerde specialisten welke aanpak uw bedrijf de meeste waarde oplevert.
