Een penetratietest (pentest) kost in België doorgaans tussen €2.500 en €25.000, afhankelijk van het type test, de scope en de complexiteit van uw omgeving. Via de VLAIO KMO-portefeuille recupereert u als kleine onderneming tot 45% van de investering, en via een Cybersecurity Verbetertraject zelfs tot 50%. Zo betaalt u voor een pentest van €5.000 effectief slechts €2.500 tot €2.750.
U overweegt een pentest voor uw bedrijf en wilt weten wat dat kost. Een logische vraag, maar het antwoord is genuanceerd: de prijs van een pentest hangt af van wat u precies laat testen, hoe complex uw omgeving is en welke certificeringen de testers meebrengen. Dit artikel geeft u transparante marktranges voor de Belgische markt, legt uit welke factoren de prijs bepalen en toont hoe Vlaamse subsidies de investering tot 50% verlagen.
Wat kost een pentest in België? Prijsoverzicht per type
De prijs van een pentest wordt voor een groot deel bepaald door het type test. Hieronder vindt u de marktranges die in 2026 gangbaar zijn bij professionele Belgische cybersecuritybedrijven. Het gaat om handmatige pentests uitgevoerd door gecertificeerde ethische hackers, niet om geautomatiseerde scans.
| Type pentest | Typische prijsrange | Doorlooptijd |
|---|---|---|
| Infrastructure pentest (extern) | €2.500 – €7.500 | 1 – 2 weken |
| Infrastructure pentest (intern) | €4.500 – €15.000 | 1 – 3 weken |
| Web application pentest | €3.500 – €25.000 | 1 – 3 weken |
| Mobile app pentest | €3.000 – €20.000 | 2 – 3 weken |
| API pentest | €3.000 – €15.000 | 1 – 2 weken |
Een externe infrastructure pentest (het testen van uw internet-geëxponeerde systemen) is doorgaans de meest betaalbare optie, terwijl een uitgebreide webapp pentest met complexe gebruikersrollen en API-koppelingen aan de bovenkant van het spectrum zit.
Deze ranges zijn indicatief. De exacte investering hangt af van uw specifieke scope en complexiteit. Een bedrijf met vijf externe IP-adressen betaalt uiteraard anders dan een organisatie met een complexe SaaS-omgeving met tientallen API-endpoints.
6 factoren die de prijs van een pentest bepalen
Wanneer u offertes vergelijkt, is het belangrijk te begrijpen waarom prijzen variëren. Deze zes factoren verklaren het verschil.
1. Scope: hoeveel test u?
De scope, het aantal IP-adressen, URL’s, applicaties en gebruikersrollen, is de primaire kostenfactor. Het testen van twee gebruikersrollen op rechtenescalatie vergt aanzienlijk minder tijd dan het doorlichten van twintig rollen met complexe autorisatieregels. Een gedetailleerd scopegesprek vooraf voorkomt verrassingen op de factuur.
2. Complexiteit van de omgeving
Een eenvoudige bedrijfswebsite met tien pagina’s is fundamenteel anders dan een SaaS-platform met betalingsintegraties, rolgebaseerde toegangscontroles en koppelingen met externe systemen. Hoe meer bedrijfslogica, hoe meer testwerk.
3. Type test: black box, grey box of white box
Bij een black box test werkt de ethische hacker zonder voorkennis, zoals een echte aanvaller. Bij een grey box test (de meest voorkomende vorm in België) krijgt de tester beperkte informatie, zoals inloggegevens. Dit levert doorgaans de beste verhouding tussen diepgang en investering op. Een white box test, waarbij de tester ook de broncode analyseert, is het meest grondig maar verhoogt het budget met €5.000 tot €15.000.
4. Compliance-eisen
Moet het pentest-rapport voldoen aan specifieke eisen voor NIS2, ISO 27001 of PCI-DSS? Dan is vaak extra documentatie, een specifiek rapportageformat of een formele validatie nodig. Dit vraagt extra tijd en verhoogt de prijs.
5. Hertest: inbegrepen of apart?
Na een pentest wilt u weten of de gevonden kwetsbaarheden effectief zijn opgelost. Sommige aanbieders rekenen voor een hertest €2.000 tot €5.000 extra, terwijl anderen dit in het totaalpakket opnemen. Vraag hier altijd expliciet naar bij het vergelijken van offertes.
6. Certificeringen van het team
Een team met OSCP-gecertificeerde testers (Offensive Security Certified Professional) biedt meer diepgang dan een team dat vooral op geautomatiseerde tools leunt. Gecertificeerde ethische hackers werken doorgaans aan uurtarieven tussen €125 en €200. Dat is duurder, maar de kwaliteit van de bevindingen en de bruikbaarheid van het rapport zijn navenant hoger.
Vlaamse subsidies die uw pentest tot 50% goedkoper maken
Wat dit artikel onderscheidt van elke Nederlandse prijsvergelijking: in Vlaanderen betaalt de overheid mee aan uw pentest. Er zijn twee subsidiemechanismen die u kunt combineren.
KMO-portefeuille (verhoogd tarief voor cybersecurity)
Sinds 1 februari 2026 is de adviessubsidie van de KMO-portefeuille exclusief voorbehouden voor cybersecurity. Een pentest uitgevoerd door een geregistreerde dienstverlener, met een schriftelijk adviesrapport als resultaat, komt in aanmerking. Kleine ondernemingen (minder dan 50 werknemers) ontvangen 45% subsidie, middelgrote ondernemingen (50 tot 249 werknemers) 35%. Het maximale subsidiebedrag is €7.500 per jaar.
VLAIO Cybersecurity Verbetertrajecten
Voor een integrale aanpak biedt VLAIO verbetertrajecten aan waarbij de overheid 50% van de kosten draagt. Deze trajecten omvatten een technische analyse, een actieplan en begeleiding bij de implementatie. De prijzen variëren van €7.100 (START-pakket) tot €39.900 (PLUS-pakket).
Rekenvoorbeeld: wat betaalt u effectief?
Een infrastructure pentest voor een bedrijf met 75 medewerkers kost €5.000.
Via de KMO-portefeuille (45% voor kleine onderneming): u betaalt €2.750
Via een Verbetertraject (50% subsidie): u betaalt €2.500
Als erkend VLAIO-dienstverlener begeleidt Cyberplan u ook bij de subsidieaanvraag.
Meer informatie over de subsidietrajecten leest u in ons artikel over het VLAIO Cybersecurity Verbetertraject.
Is een pentest de investering waard? De ROI-berekening
Een pentest kost €3.000 tot €15.000. Maar wat kost het als u het niet doet?
Volgens het IBM Cost of a Data Breach Report 2025 bedragen de gemiddelde kosten van een datalek in de Benelux ongeveer $5,9 miljoen (circa €5,4 miljoen). Voor Vlaamse KMO’s liggen de bedragen uiteraard lager, maar zelfs een beperkt incident brengt snel €50.000 tot €200.000 aan directe kosten met zich mee: forensisch onderzoek, herstelwerk, omzetverlies door downtime en eventuele boetes.
Onder NIS2 riskeren essentiële entiteiten bovendien administratieve boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet. De Belgische NIS2-wet verplicht organisaties expliciet om “passende en evenredige technische en organisatorische maatregelen” te nemen, waaronder het testen van de effectiviteit van die maatregelen.
Een pentest kost een fractie van wat een incident kost. En na subsidie wordt die fractie nog kleiner. Wie de jaarlijkse kosten wil inschatten, kan onze gids over pentest-frequentie raadplegen.
Waar moet u op letten bij pentest-offertes?
Niet elke pentest is gelijkwaardig. Een offerte van €1.500 voor het testen van uw volledig netwerk? Vraag door. De kans is groot dat het een geautomatiseerde vulnerability scan betreft die als pentest wordt verkocht. Het verschil tussen een echte pentest en een vulnerability scan is fundamenteel: een scan detecteert bekende kwetsbaarheden, een pentest probeert ze daadwerkelijk uit te buiten en ontdekt ook logische fouten die geen scanner vindt.
Checklist voor een degelijke pentest-offerte:
- Scope helder gedefinieerd. Welke systemen, applicaties en netwerken worden getest? Hoeveel IP-adressen en URL’s vallen binnen scope?
- Certificeringen van de testers vermeld. Vraag naar OSCP, CREST of gelijkwaardige certificeringen. Dat garandeert dat uw test wordt uitgevoerd door professionals, niet door een junior met een scannertool.
- Hertest inbegrepen of apart geprijsd. U wilt na de remediëring weten of de kwetsbaarheden effectief zijn gedicht.
- Rapportage in begrijpelijke taal. Een technisch rapport voor uw IT-team is essentieel, maar een managementsamenvatting in mensentaal is minstens zo belangrijk. U moet als zaakvoerder of bestuurder begrijpen wat de bevindingen betekenen voor uw bedrijf.
Twijfelt u hoe u het juiste pentest-bedrijf selecteert? Lees dan onze gids over hoe u een pentest-bedrijf in België kiest.
Veelgestelde vragen over pentest kosten
Wat kost een pentest in België?
Een professionele pentest kost in België doorgaans tussen €2.500 en €25.000, afhankelijk van het type test en de complexiteit van uw omgeving. Een externe infrastructure pentest start rond €2.500, terwijl een uitgebreide webapp pentest met complexe bedrijfslogica tot €25.000 kan oplopen.
Kan ik subsidie krijgen voor een pentest?
Ja. Via de VLAIO KMO-portefeuille ontvangen kleine ondernemingen 45% en middelgrote ondernemingen 35% subsidie op cybersecurity-advies, inclusief pentests. Via een VLAIO Cybersecurity Verbetertraject is zelfs 50% subsidie mogelijk.
Is een dure pentest beter dan een goedkope?
Niet automatisch, maar een opvallend lage prijs is wel een waarschuwingssignaal. Een pentest van €1.500 voor een volledig bedrijfsnetwerk is bijna zeker een geautomatiseerde scan, geen handmatige test. Kijk naar de certificeringen van het team, de scope-afbakening en of een hertest is inbegrepen.
Hoe vaak moet ik een pentest laten uitvoeren en wat kost dat per jaar?
De meeste bedrijven laten minstens jaarlijks een pentest uitvoeren, en vaker na grote wijzigingen aan hun IT-omgeving. Op jaarbasis komt dat neer op een investering van €3.000 tot €15.000, waarvan u via subsidies 35% tot 50% kunt recupereren.
Dekt mijn cyberverzekering de kosten van een pentest?
De meeste cyberverzekeringen dekken de kosten van een pentest niet als preventieve maatregel. Wel vereisen steeds meer verzekeraars een recent pentest-rapport als voorwaarde voor dekking of voor gunstigere premies. Een pentest kan dus indirect uw verzekeringskosten verlagen.
Wat is het verschil in prijs tussen een black box en een white box pentest?
Een black box pentest (zonder voorkennis) en een grey box pentest (met beperkte informatie) vallen doorgaans in dezelfde prijscategorie. Een white box pentest, waarbij ook de broncode wordt geanalyseerd, kost €5.000 tot €15.000 meer vanwege de extra analysetijd.
Wilt u weten wat een pentest voor uw specifieke situatie kost? Onze OSCP-gecertificeerde pentesters bespreken graag uw scope en leveren een transparante offerte. Plan een vrijblijvend gesprek.
