TL;DR: Een pentestrapport bevat vijf onderdelen: een management samenvatting, scope en methodologie, een overzicht van bevindingen met CVSS-scores, technische details met bewijs (proof-of-concept), en concrete herstelaanbevelingen. De CVSS-score bepaalt de ernst (0 tot 10), maar de prioriteit hangt af van uw specifieke bedrijfscontext. Focus eerst op kwetsbaarheden met de hoogste reële impact en plan een hertest om te bewijzen dat de oplossingen werken.
Waarom uw pentestrapport meer aandacht verdient
U hebt geïnvesteerd in een penetratietest. Na enkele weken ontvangt u een PDF van tientallen pagina’s, vol technische termen, scoretabellen en screenshots. De verleiding is groot om het document door te sturen naar uw IT-team en verder te gaan met de orde van de dag.
Dat is precies wat u niet moet doen. Een pentestrapport is geen eindpunt, maar het startpunt van een gericht verbetertraject. Dit artikel leert u hoe u het rapport leest, de bevindingen prioriteert en het document inzet als strategisch instrument voor uw organisatie. Van CVSS-scores tot hertestplanning: na dit artikel weet u wat elk onderdeel betekent en wat u ermee doet.
De vijf onderdelen van een professioneel pentestrapport
Een kwalitatief pentestrapport volgt een vaste structuur die is ontworpen om zowel technische als niet-technische lezers te bedienen. Die structuur is gebaseerd op internationale standaarden zoals PTES (Penetration Testing Execution Standard) en de OWASP Testing Guide.
1. Management samenvatting (executive summary) Dit deel is geschreven voor bestuurders en zaakvoerders. Het beschrijft in begrijpelijke taal wat er getest is, wat de belangrijkste risico’s zijn en wat de aanbevolen vervolgstappen zijn. Een goede samenvatting spreekt niet over “SQL-injectie” maar over “het risico op ongeautoriseerde toegang tot uw klantendatabase.” Volgens onderzoek van Pentera leest 68% van de besluitvormers uitsluitend de executive summary. Zorg dat die sectie de aandacht krijgt die ze verdient.
2. Scope en methodologie Dit deel beschrijft exact welke systemen, netwerken of applicaties zijn getest, welke testmethode is gebruikt (black box, grey box of white box) en volgens welk framework de test is uitgevoerd. Dit is belangrijk om te begrijpen wat wél en wat niet getest is.
3. Overzicht van bevindingen Een visueel dashboard met het totale aantal kwetsbaarheden, ingedeeld op ernst (critical, high, medium, low, informational). Dit overzicht geeft u in één oogopslag een beeld van de algehele beveiligingsstatus.
4. Gedetailleerde technische bevindingen Elk gevonden risico wordt apart beschreven: wat het probleem is, hoe de pentester het heeft ontdekt, welke CVSS-score het krijgt, en wat het bewijs (proof-of-concept) is. Die proof-of-concept, vaak afgekort als PoC, is het onomstotelijke bewijs dat de kwetsbaarheid daadwerkelijk is misbruikt. Rapporten zonder PoC’s neigen meer naar een geautomatiseerde scan dan naar een echte pentest.
5. Herstelaanbevelingen Bij elke bevinding hoort een concreet advies: welke patch, configuratiewijziging of architectuuraanpassing het probleem oplost. Sterke rapporten bevatten ook strategische aanbevelingen die verder gaan dan individuele kwetsbaarheden.
CVSS-scores begrijpen: wat betekenen de cijfers?
Het Common Vulnerability Scoring System (CVSS) drukt de ernst van elke kwetsbaarheid uit in een score van 0,0 tot 10,0. Inmiddels werken de meeste pentesters met CVSS v4.0, dat nauwkeuriger scoort dan de voorganger v3.1 door beter rekening te houden met de impact op achterliggende systemen.
De scores vertalen zich naar vijf ernstcategorieën:
| Ernstniveau | Score | Wat het betekent | Verwachte actie |
|---|---|---|---|
| Critical | 9,0 tot 10,0 | Onmiddellijk gevaar, vaak op afstand misbruikbaar zonder inloggegevens | Binnen 48 uur aanpakken |
| High | 7,0 tot 8,9 | Ernstig risico op datadiefstal of systeemovername | Binnen 1 week oplossen |
| Medium | 4,0 tot 6,9 | Beperkt risico, vereist vaak authenticatie of complexe interactie | Binnen 30 dagen verhelpen |
| Low | 0,1 tot 3,9 | Minimale directe impact, kan dienen als opstapje | Binnen 90 dagen oppakken |
| Info | 0,0 | Geen direct risico, wel een best-practice aanbeveling | Bij volgende onderhoudscyclus |
Een veelgemaakte fout is uitsluitend kijken naar de basisscore. CVSS v4.0 onderscheidt vier metrikengroepen: Base (de technische ernst), Threat (wordt de kwetsbaarheid actief misbruikt in het wild?), Environmental (hoe belangrijk is het getroffen systeem voor úw organisatie?) en Supplemental (aanvullende context). Een kwetsbaarheid met een basisscore van 9,3 kan dalen naar 5,4 als uw organisatie compenserende maatregelen heeft zoals netwerksegmentatie of een Web Application Firewall. Omgekeerd kan een lage score stijgen als de kwetsbaarheid rechtstreeks toegang biedt tot uw Active Directory.
Vraag uw pentest partner altijd om context bij de scores. Een getal zonder uitleg is een gemiste kans.
De meest voorkomende bevindingen bij Vlaamse KMO’s
Op basis van internationale pentest-rapporten en marktdata uit 2025 en 2026 (waaronder Rapid7’s “Under the Hoodie” en Pentera’s “State of Pentesting”) tekenen zich duidelijke patronen af bij middelgrote bedrijven. Vlaamse KMO’s met 50 tot 250 werknemers werken vaak met een hybride infrastructuur waarin legacy systemen gekoppeld zijn aan cloudoplossingen, wat unieke risico’s creëert.
De kwetsbaarheden die het vaakst opduiken:
Zwakke of hergebruikte wachtwoorden en ontbrekende multifactorauthenticatie (MFA) staan consequent bovenaan. Het CCB bevestigt dat identiteit de nieuwe perimeter is geworden: aanvallers loggen vaker in dan dat ze inbreken. Daarnaast zijn verouderde software zonder beveiligingspatches, onjuist geconfigureerde cloudomgevingen (met name Microsoft 365), en ontbrekende netwerksegmentatie terugkerende bevindingen. Bij applicatietests verschijnen cross-site scripting (XSS) en SQL-injectie nog altijd in de OWASP Top 10.
Een apart aandachtspunt is de toename van business logic flaws: kwetsbaarheden die geen technische bug zijn, maar een fout in de bedrijfslogica. Denk aan een webshop waar een kortingscode via API-manipulatie kan worden gewijzigd van 10% naar 100%. Dit soort bevindingen vindt u uitsluitend in rapporten van pentesters die handmatig testen, niet in geautomatiseerde scans.
Van rapport naar actie: hoe prioriteert u de kwetsbaarheden?
Geconfronteerd met tientallen bevindingen treedt bij veel IT-managers een verlamming op. Waar begin je? De CVSS-score alleen is onvoldoende als leidraad. Effectieve prioritering combineert drie factoren:
1. Exploiteerbaarheid: wordt de kwetsbaarheid actief misbruikt door aanvallers? CISA publiceert een Known Exploited Vulnerabilities (KEV) catalogus die u als referentie kunt gebruiken. Een kwetsbaarheid op die lijst verdient onmiddellijke aandacht, ongeacht de CVSS-score.
2. Bedrijfsimpact: wat zijn de gevolgen als deze kwetsbaarheid wordt misbruikt? Een kritieke kwetsbaarheid op een testsysteem is minder urgent dan een medium-kwetsbaarheid op uw ERP-systeem met klantgegevens.
3. Aanvalspositie: is het systeem bereikbaar via internet of alleen intern? Extern bereikbare kwetsbaarheden vormen per definitie een hoger risico.
Een praktisch prioriteringskader in vier niveaus:
| Prioriteit | Kenmerken | Aanbevolen deadline |
|---|---|---|
| Urgent (Tier 0) | Actief misbruikt, kritiek systeem, internet-facing | Binnen 24 tot 48 uur |
| Hoog (Tier 1) | Exploit beschikbaar, gevoelige data, beperkte barrières | Binnen 7 dagen |
| Medium (Tier 2) | Theoretisch misbruikbaar, intern systeem, geen actieve dreiging | Binnen 30 tot 60 dagen |
| Laag (Tier 3) | Moeilijk misbruikbaar, geen directe bedrijfsimpact | Binnen 90 dagen |
Niet elke kwetsbaarheid vereist een patch. Bij legacy systemen die niet meer geüpdated kunnen worden, past u compenserende maatregelen toe: extra netwerksegmentatie, strengere toegangscontrole of monitoring via een SIEM-oplossing.
Het hertestproces: waarom opvolging essentieel is
De pentest eindigt niet bij het rapport. De meest kritieke fase is de validatie via een hertest (retest). Zonder hertest hebt u geen objectief bewijs dat de kwetsbaarheden daadwerkelijk zijn verholpen. Uit marktgegevens blijkt dat circa 15% van de organisaties slechts 10% of minder van de ernstige bevindingen oplost na de eerste test. Dat is een blinde vlek die directies zich niet kunnen veroorloven.
Een hertest verloopt in drie stappen. Eerst lost uw IT-team de bevindingen op volgens het prioriteringskader. Vervolgens plant u een hertest bij uw pentest partner, typisch twee tot zes weken na de eerste remediatie. De hertest focust specifiek op de eerder gevonden kwetsbaarheden en controleert of de oplossingen effectief zijn én of ze geen nieuwe zwakke plekken hebben geïntroduceerd.
Het hertestrapport is een addendum op het oorspronkelijke rapport. Samen vormen ze een krachtig dossier: het eerste document toont de gevonden risico’s, het tweede bewijst dat uw organisatie die risico’s heeft weggenomen. Die combinatie is bijzonder waardevol bij audits en conformiteitsbeoordelingen.
Uw pentestrapport als NIS2-bewijsstuk
Met de Belgische NIS2-wetgeving (Wet van 26 april 2024) is cybersecurity voor middelgrote bedrijven in kritieke sectoren niet langer vrijblijvend. Essentiële entiteiten moeten regelmatig een conformiteitsbeoordeling ondergaan, en het CyberFundamentals framework van het CCB verwijst expliciet naar technische verificatie van beveiligingscontroles.
Een kwalitatief pentestrapport dient als concreet bewijs voor meerdere doeleinden. Voor NIS2-compliance toont het aan dat uw organisatie passende technische maatregelen neemt om risico’s te beheersen. Voor ISO 27001 ondersteunt het controle A.8.8 (Management of Technical Vulnerabilities). Cyberverzekeraars vragen in 93% van de gevallen om aanvullende beveiligingsinformatie, en een pentestrapport met hertest is daarbij een sterk document. Tot slot vragen grote klanten onder NIS2 steeds vaker een samenvatting van het pentestrapport van hun leveranciers als onderdeel van supply chain audits.
Bewaar uw pentestrapporten minimaal drie jaar. Ze vormen samen met het hertestrapport de audittrail die aantoont dat uw organisatie structureel werkt aan risicobeheersing.
Waar herkent u een ondermaats rapport?
Niet elk document met de titel “pentestrapport” biedt dezelfde waarde. Let op deze waarschuwingssignalen:
Het rapport bevat uitsluitend geautomatiseerde scanresultaten zonder handmatige validatie. Bevindingen missen proof-of-concept of reproduceerstappen. De management samenvatting is te technisch of ontbreekt volledig. Er worden geen CVSS-scores of risicoclassificaties gebruikt. De herstelaanbevelingen zijn generiek (“update uw software”) in plaats van specifiek voor uw omgeving. Het rapport beschrijft geen aanvalsketen (attack chain): hoe individuele kwetsbaarheden samen leiden tot een grotere compromittering.
Kwaliteitsverschil zit in menselijke intelligentie. Een geautomatiseerde scanner vindt ontbrekende beveiligingsheaders, maar alleen een ervaren pentester ontdekt dat via een API-manipulatie volledige klantdata toegankelijk zijn. Wie de juiste pentest partner selecteert, investeert in rapporten die strategische waarde leveren.
Veelgestelde vragen over pentestresultaten
Hoelang duurt het voordat ik mijn pentestrapport ontvang?
De meeste pentest bedrijven leveren het eindrapport binnen vijf tot tien werkdagen na afronding van de test. Bij kritieke bevindingen (CVSS 9,0 of hoger) ontvangt u doorgaans een tussentijdse melding zodat u direct kunt handelen.
Moet ik alle bevindingen uit het rapport oplossen?
Niet noodzakelijk. Focus op de bevindingen met de hoogste combinatie van exploiteerbaarheid en bedrijfsimpact. Informational bevindingen zijn best-practice adviezen die u bij een volgende onderhoudscyclus kunt meenemen. Documenteer bewust welke risico’s u accepteert en waarom.
Kan ik mijn pentestrapport delen met klanten of partners?
Deel nooit het volledige technische rapport. Dat bevat een gedetailleerde kaart van uw kwetsbaarheden. Deel in plaats daarvan de management samenvatting of vraag uw pentest partner om een “Letter of Attestation”: een verklaring dat de test is uitgevoerd en dat kritieke bevindingen zijn verholpen.
Hoe vaak moet ik een pentest laten uitvoeren?
Een jaarlijkse pentest op uw kernsystemen is de gangbare best practice. Daarnaast is een extra test aangewezen na grote infrastructuurwijzigingen, een migratie naar de cloud of de lancering van een nieuwe applicatie. Onder NIS2 verwachten auditoren periodieke technische tests als onderdeel van uw risicobeheersmaatregelen. Lees meer over de ideale pentestfrequentie.
Wat is het verschil tussen een pentestrapport en een vulnerability scan rapport?
Een vulnerability scan levert een geautomatiseerde lijst van mogelijke kwetsbaarheden op. Een pentestrapport gaat verder: het bevat bewijs van daadwerkelijke exploitatie, analyse van aanvalsketens en contextuele risicobeoordeling. Alleen een pentestrapport toont wat een aanvaller werkelijk kan bereiken. Meer over dit verschil leest u hier.
Een rapport in mensentaal maakt het verschil
Het verschil tussen een pentestrapport dat in de la belandt en een rapport dat tot actie leidt, zit in de vertaling van techniek naar bedrijfstaal. Bij Cyberplan leveren de 22 gecertificeerde ethische hackers (OSCP, CISSP, CEH, CISM) rapporten die technisch diepgaand zijn voor uw IT-team én voorzien van een heldere management samenvatting die ook niet-technische bestuurders begrijpen. Inclusief concrete prioriteiten, een remediatie-roadmap en ondersteuning bij de hertest.
Wilt u weten hoe uw huidige beveiligingsniveau ervoor staat? Boek een vrijblijvend kennismakingsgesprek en ontdek hoe een professionele pentest uw organisatie sterker maakt.
