Pentesten voor elke mbo-instelling

Bij een pentest geeft een instelling een (meestal externe) partij de opdracht om haar beveiliging te testen. Het resultaat is dat de instelling een goed beeld krijgt van de effectiviteit van de genomen beveiligingsmaatregelen. We weten dat veel mbo-instellingen al bekend zijn met pentesten. Maar lang niet alle mbo-instellingen voeren periodiek een pentest uit.  

Aanbesteding pentesten 

Samen met SURF zijn we daarom een aanbesteding gestart voor het leveren van pentesten voor mbo-instellingen. We willen hiermee alle instellingen de gelegenheid bieden om ervaring met pentesting op te doen. Voor de scholen die het al periodiek doen, is dit een mooie kans om eventuele overige zwakke punten te laten pentesten.  

De aanbesteding is inmiddels afgerond. We hebben de opdracht gegund aan 6 partijen:

1. Sogeti Nederland B.V.
2. KPMG Advisory
3. Deloitte Risk Advisory B.V.
4. Secura B.V.
5. Ordina Nederland B.V.
6. REQON B.V.

Daarbij hebben we afgesproken dat we de uit te voeren pentesten verdelen tussen deze zes leveranciers. Vanuit het programma verzorgen we de coördinatie en planning van de pentesten. 

Scope en spelregels

Alle mbo-instellingen krijgen vanuit het programma Cyberveiligheid tweemaal een pentest aangeboden ter waarde van 6.000 euro exclusief BTW.* Daarvan kunnen ze in de periode tussen 1 september 2024 en 1 september 2027 gebruikmaken. Tussen de opleverdatum van pentest 1 en de opdrachtdatum van pentest 2 dienen ten minste 6 maanden te zitten.

Bij deze pentesten kunnen mbo-instellingen zelf de scope en afbakening bepalen. De ene instelling kan de test dus inzetten om de complete IT-omgeving te controleren, terwijl een andere de pentest gebruikt voor het toetsen van specifieke applicaties of een specifiek netwerk. Na de uitvoering van de pentest stelt de leverancier een rapport van bevindingen op. Hierin staan ook aanbevelingen voor verbetering van de geteste onderdelen. Scholen kunnen hiermee aan de slag om een cybersecuritymaatregelen verder aan te scherpen.  

Instellingen kunnen zelf aanvullende opdrachten aan een pentestleverancier verstrekken, om een grote scope of diepgang van de pentest te hanteren. Dit is echter wel op eigen kosten. 

Processtappen

1. De mbo-instelling doet een verzoek voor een gesubsidieerde pentest bij MBO Digitaal.
2. MBO Digitaal beoordeelt de rechtmatigheid van het verzoek.
3. Vanuit MBO Digitaal wordt -indien gewenst- ondersteuning geboden bij het formuleren van de opdracht vanuit de mbo-instelling.
4. MBO Digitaal wijst de leverancier toe en levert de documenten aan. Het betreft:
   · De Nadere Overeenkomst (ondertekening mbo-instelling – leverancier)
   · Het model Plan van aanpak (ondertekening mbo-instelling – leverancier)
   · De model Verwerkersovereenkomst (ondertekening mbo-instelling – leverancier)
   · De model Offerte (ondertekening leverancier – MBO Raad)
   · De model Verklaring van oplevering (ondertekening mbo-instelling – leverancier)
5. De offerte wordt door de leverancier en de mbo-instelling getekend en retour gestuurd naar MBO Digitaal. Deze offerte bevat alle informatie die benodigd is voor de verantwoording van de subsidie.
6. Na afronding van de pentest wordt de verklaring van oplevering getekend door de leverancier en de mbo-instelling.
7. De leverancier kan nu de factuur naar de MBO Raad sturen, vergezeld van de getekende verklaring van oplevering.

* Sommige mbo-instellingen zijn via een aanbesteding exclusief gebonden aan een vaste pentestleverancier. Bijvoorbeeld omdat ze hebben meegedaan aan een eerdere pentestaanbesteding. Deze instellingen kunnen daardoor pas na afloop van het contract de pentesten vanuit het programma Cyberveiligheid ontvangen. Zo zijn een aantal mbo-instellingen vanuit een eerdere SURF-aanbesteding (Pentesting 2) gehouden aan hun eigen leverancier tot 25 november 2025. Deze instellingen krijgen daarom twee pentesten na die datum. Twijfel je hierover of zijn er vragen? Neem dan contact met ons op!