IT Security 13 min leestijd 5 juli 2026 IT Compliance Jobs

Offensive Security: pentester, red teamer en ethical hacker — de rollen achter DORA TLPT en NIS2

Waar het Security Operations Center de digitale muren bewaakt, is er ook een team dat betaald wordt om er juist overheen te klimmen. Dat is offensive security: de aanvallende kant van cybersecurity, waar professionals als een aanvaller denken en handelen om zwakke plekken te vinden vóór de echte kwaadwillenden dat doen. In de IT-securityvacatures op IT Compliance Jobs komt dit terug in functies als Penetration Tester, Ethical Hacker, Red Team Operator, Application Security Tester, Security Researcher en Offensive Security Consultant. Samen vormen zij het red team — de tegenhanger van het defensieve blue team.

In deze gids leggen we uit wat offensive security precies is, wat het verschil is tussen pentesten en red teaming, welke rollen erin werken en met welke methodiek. We laten zien hoe regelgeving als DORA (met verplichte Threat-Led Penetration Testing), TIBER-NL en de NIS2/Cyberbeveiligingswet de vraag naar dit talent opstuwen, waar de juridische grenzen liggen, en hoe het carrièrepad — met certificeringen en salarissen — eruitziet. Liever meteen kijken? Bekijk de actuele IT-securityvacatures in Nederland.

Wat is offensive security?

Offensive security (ook wel offensieve of aanvallende security) is het vakgebied waarin securityprofessionals de rol van de aanvaller aannemen om de verdediging van een organisatie te toetsen. Het uitgangspunt is even eenvoudig als krachtig: je leert een systeem pas echt kennen door het te proberen te breken. Door met dezelfde technieken te werken als criminele hackers — maar met toestemming, binnen een afgesproken kader en met een rapport als eindproduct — brengen zij kwetsbaarheden aan het licht die een papieren risicoanalyse nooit had gevonden.

Het is het spiegelbeeld van defensieve security. Waar een security architect de verdediging ontwerpt, de CISO en het CISO Office het beleid bepalen en het SOC de aanvallen probeert te zien en te stoppen, is het offensive team er om die hele keten onder realistische druk te zetten. De securitywereld vat dat samen in kleuren:

  • Blue team. De verdedigers: het SOC, incident response, detection engineering. Zij bewaken, detecteren en reageren.
  • Red team. De aanvallers: pentesters en red teamers die de verdediging actief op de proef stellen.
  • Purple team. Rood en blauw die gestructureerd samenwerken: het red team valt aan terwijl het blue team live meekijkt, zodat detectie en respons meteen worden verbeterd.

Belangrijk: offensive security is geen vrijbrief om te hacken. Het onderscheidende kenmerk van een ethical hacker is dat hij of zij uitsluitend werkt binnen een expliciete opdracht en scope. Zonder die toestemming is precies hetzelfde handelen strafbaar — iets waar we verderop in dit artikel uitgebreid op terugkomen.

Pentesten, red teaming en bug bounty: het cruciale onderscheid

Buitenstaanders gooien “pentesten”, “red teaming” en “hacken” graag op één hoop, maar in de vacatures zijn het verschillende disciplines met verschillende doelen. Het verschil begrijpen is de eerste stap om te weten welke rol bij je past.

Aanpak Doel Typisch kenmerk
Penetration test Zoveel mogelijk kwetsbaarheden vinden binnen een afgebakende scope Breedte en volledigheid; blue team weet meestal dat de test loopt
Red teaming Eén concreet doel bereiken zoals een echte aanvaller zou doen Diepte en realisme; verdedigers weten van niets (stealth)
Purple teaming Detectie en respons verbeteren door samen te werken Rood en blauw live naast elkaar; kennisoverdracht
Bug bounty Kwetsbaarheden melden tegen beloning Doorlopend, door een brede community van onderzoekers

Kort samengevat: een pentest is als een grondige APK-keuring van een afgebakend onderdeel — een webapplicatie, een netwerk, een cloudomgeving of een mobiele app. Een red team-oefening lijkt op een geënsceneerde overval: een klein team probeert met minimale voorkennis, en zonder dat de verdedigers het weten, een vooraf bepaald “kroonjuweel” te bemachtigen. Daarmee test red teaming niet alleen de techniek, maar vooral of de mensen en processen — de detectie en respons van het blue team — in de praktijk werken. Precies om die reden staat red teaming centraal in de zwaardere compliance-testen die we hieronder bespreken.

De rollen binnen offensive security

Offensive security is geen enkele functie, maar een specialisme met een eigen ladder en zijpaden. Hieronder lopen we de rollen langs die je in de vacatures tegenkomt, van instap tot eindverantwoordelijke. Titels verschillen per werkgever, maar dit is het palet.

1. Junior Penetration Tester — de instap

De Junior Penetration Tester is voor velen de toegangspoort tot het vak. Je draait mee in opdrachten onder begeleiding van een senior, leert de standaardtools kennen, voert afgebakende tests uit (vaak op webapplicaties of interne netwerken) en leert vooral hoe je bevindingen helder en reproduceerbaar vastlegt in een rapport. In vacatures zie je dit terug als Junior Pentester, Junior Ethical Hacker en Security Analyst (Offensive). Een sterke basis in netwerken, Linux en scripting is hier belangrijker dan jarenlange ervaring.

2. Penetration Tester / Ethical Hacker — de kern van het vak

De Penetration Tester (of Ethical Hacker) voert zelfstandig complete opdrachten uit: van scoping en uitvoering tot rapportage en de nabespreking met de klant. Deze professional schakelt tussen netwerk-, web-, cloud- en soms fysieke tests, kent aanvalstechnieken diepgaand en kan een kwetsbaarheid niet alleen aantonen maar ook het bedrijfsrisico ervan uitleggen. In vacatures: Penetration Tester, Ethical Hacker, Security Consultant (Offensive) en Pentester Infrastructure.

3. Application / Web Security Tester (AppSec) — de code in

De Application Security Tester specialiseert zich in software: webapplicaties, API's en mobiele apps. Deze rol grenst aan secure development en DevSecOps en vraagt begrip van code, niet alleen van infrastructuur. De OWASP Top 10 en de OWASP-testgidsen zijn hier het dagelijkse referentiekader. In vacatures: Application Security Engineer, Web Application Pentester, AppSec Specialist en Secure Code Reviewer. Deze specialisatie sluit direct aan op de bredere rol van de security engineer.

4. Red Team Operator — de simulatie van een echte aanval

De Red Team Operator opereert op het scherpst van het vak. In plaats van een brede scan voert deze specialist een doelgerichte, gesimuleerde aanval uit die soms weken duurt: initiële toegang verkrijgen (vaak via phishing of social engineering), onopgemerkt blijven, rechten verhogen en zich lateraal door het netwerk bewegen richting het doel — terwijl het blue team niet weet dat het een oefening is. Kennis van EDR-evasion, Active Directory-aanvallen en command-and-control-frameworks is hier essentieel. In vacatures: Red Team Operator, Red Team Specialist en Adversary Simulation Consultant.

5. Security Researcher / Exploit Developer — de diepte in

De Security Researcher zoekt naar onbekende kwetsbaarheden (zero-days) in software, hardware of protocollen en ontwikkelt soms de exploits die aantonen dat een fout écht misbruikt kan worden. Dit is het meest technische, onderzoeksgerichte deel van offensive security, met raakvlakken met reverse engineering en bijdragen aan Coordinated Vulnerability Disclosure. In vacatures: Security Researcher, Vulnerability Researcher en Exploit Developer.

6. Red Team Lead / Principal — de leiding

Aan het hoofd van een offensive team staat de Red Team Lead, Principal Security Consultant of Head of Offensive Security. Deze stuurt het team aan, bewaakt de kwaliteit en de veiligheid van de opdrachten, onderhoudt de klantrelatie en vertaalt technische bevindingen naar bestuurlijke aanbevelingen — vaak in afstemming met de CISO. Het is het logische eindstation voor wie inhoudelijk is doorgegroeid en affiniteit heeft met leidinggeven. In vacatures: Red Team Lead, Principal Penetration Tester en Manager Offensive Security.

Op zoek naar een rol in offensive security?

Of je nu Penetration Tester, Ethical Hacker, Red Team Operator, Application Security Specialist of Security Researcher wilt worden — op IT Compliance Jobs vind je de nieuwste IT-securityvacatures bij banken, verzekeraars, overheden, energiebedrijven en gespecialiseerde security-dienstverleners.

Bekijk alle IT-securityvacatures

De compliance-motor: waarom de vraag naar offensive talent groeit

Offensive security is de afgelopen jaren van “nice to have” naar “wettelijke verplichting” opgeschoven. Drie ontwikkelingen jagen de vraag naar pentesters en red teamers structureel aan — en ze vormen precies het snijvlak van security en compliance waar dit platform om draait.

DORA en Threat-Led Penetration Testing (TLPT)

Voor de financiële sector is de belangrijkste aanjager de DORA-verordening (Digital Operational Resilience Act). DORA verplicht significante financiële entiteiten om periodiek een Threat-Led Penetration Test (TLPT) uit te voeren: een geavanceerde, op dreigingsinformatie gebaseerde red team-test op de live productieomgeving. De hoofdregel is dat zo'n TLPT ten minste eens per drie jaar plaatsvindt. Welke entiteiten hieronder vallen, bepaalt de toezichthouder aan de hand van vastgestelde criteria. TLPT test niet of een systeem “kwetsbaarheden” heeft, maar of de organisatie een realistische aanval daadwerkelijk detecteert en afslaat.

TIBER-NL en TIBER-EU als raamwerk

Een TLPT wordt uitgevoerd volgens het TIBER-EU-raamwerk (Threat Intelligence-Based Ethical Red teaming). Dat raamwerk heeft Nederlandse wortels: De Nederlandsche Bank (DNB) ontwikkelde in 2016 TIBER-NL om financiële instellingen gecontroleerd aan geavanceerde, gesimuleerde aanvallen bloot te stellen. Vanwege de bewezen effectiviteit nam de Europese Centrale Bank TIBER-NL in 2018 over als basis voor het Europese TIBER-EU-raamwerk. Een instelling kan zo'n test niet “halen” of “zakken”: het doel is inzicht krijgen in de sterke en zwakke plekken. Voor red teamers en threat-intelligence-specialisten heeft dit een hele nichemarkt aan gespecialiseerde opdrachten gecreëerd.

NIS2 en de Cyberbeveiligingswet

Buiten de financiële sector zorgt de NIS2-richtlijn en de Cyberbeveiligingswet voor een bredere impuls. Essentiële en belangrijke organisaties moeten hun beveiligingsmaatregelen aantoonbaar toetsen, waaronder via kwetsbaarheidsanalyses en security testing. Voor veel organisaties — van energiebedrijven tot zorginstellingen — betekent dit dat een periodieke pentest onderdeel wordt van hun jaarlijkse securitycyclus. Datzelfde geldt voor normkaders als ISO 27001 en de PCI DSS, die expliciet om regelmatige penetration tests vragen.

De methodiek: hoe een offensive opdracht verloopt

Professioneel pentesten en red teamen is geen ongeorganiseerd “proberen tot iets lukt”, maar volgt herkenbare fasen en erkende raamwerken. De gemeenschappelijke gereedschapskist bestaat onder meer uit:

  • PTES (Penetration Testing Execution Standard). Beschrijft de fasen van een pentest, van pre-engagement en informatievergaring tot exploitatie en rapportage.
  • OWASP. Voor de webkant onmisbaar: de OWASP Top 10 (de meest voorkomende kwetsbaarheden), de Web Security Testing Guide en de ASVS-verificatiestandaard.
  • MITRE ATT&CK. Het wereldwijde naslagwerk van aanvalstactieken en -technieken — dezelfde taal die het SOC gebruikt, waardoor rood en blauw elkaar begrijpen.
  • TIBER-EU en OSSTMM. Voor respectievelijk intelligence-gedreven red teaming en gestructureerde, meetbare securitytests.

Een opdracht doorloopt grofweg deze stappen: scoping en toestemming (wat mag wel en niet, vastgelegd in de rules of engagement), reconnaissance (informatie verzamelen), scanning en enumeration, exploitatie (de kwetsbaarheid daadwerkelijk misbruiken om toegang te tonen), post-exploitatie (wat kan een aanvaller nu bereiken?) en ten slotte de rapportage. Dat laatste is geen bijzaak: het rapport — met heldere bevindingen, risico-inschatting en concrete aanbevelingen — is het echte eindproduct waarvoor de klant betaalt. Kunnen schrijven en presenteren is daarom een kernvaardigheid, geen extraatje.

Legaal en ethisch: mag je zomaar hacken?

Dit is het punt waarop offensive security fundamenteel verschilt van elke andere IT-rol: de kern van het werk is zonder de juiste afspraken gewoon strafbaar. In Nederland stelt artikel 138ab van het Wetboek van Strafrecht (computervredebreuk) het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk strafbaar. De wet maakt op zichzelf géén onderscheid tussen goede en kwade bedoelingen: ook een hacker met de beste intenties dringt in beginsel wederrechtelijk binnen.

Wat het verschil maakt, is toestemming en kader. Ethisch hacken is verantwoord op twee manieren:

  • In opdracht (pentest/red team). Er is een schriftelijke opdracht met een duidelijke scope en rules of engagement: welke systemen, welke technieken, welke tijden, en wat te doen bij een echte crisis. Binnen die grenzen vervalt de wederrechtelijkheid.
  • Via Coordinated Vulnerability Disclosure (CVD). Steeds meer organisaties hebben een CVD-beleid (voorheen “responsible disclosure”) waarin ze onderzoekers uitnodigen kwetsbaarheden te melden onder afgesproken voorwaarden. Het NCSC heeft hiervoor een Leidraad Coordinated Vulnerability Disclosure opgesteld. Wie zich aan zo'n beleid houdt — niet meer doet dan nodig, geen data steelt en netjes meldt — ontneemt in de praktijk de wederrechtelijkheid aan zijn handelen, en organisaties spreken daarin vaak af geen aangifte te doen.

Voor wie het vak in wil, is de les eenvoudig maar hard: scope is heilig. Buiten de afgesproken lijnen kleuren betekent niet alleen een boze klant, maar een potentieel strafbaar feit. Professionaliteit, discretie en integriteit zijn in dit vak geen soft skills maar bestaansvoorwaarden.

Opleiding, certificeringen en skills

Offensive security is toegankelijk voor doorstromers met een sterke technische basis — denk aan systeembeheer, netwerken, development of een SOC-achtergrond. Anders dan bij veel compliancerollen weegt aantoonbare praktijkervaring hier extra zwaar: hands-on labs, Capture the Flag-competities (CTF's), een thuislab en een portfolio van (geoorloofde) bevindingen zeggen recruiters vaak meer dan een diploma. De gevraagde certificeringen zijn wel duidelijk herkenbaar:

  • CompTIA PenTest+ en PNPT (Practical Network Penetration Tester) — toegankelijke, praktijkgerichte instapcertificeringen. De PNPT staat bekend om zijn realistische examen mét klantpresentatie.
  • OSCP (Offensive Security Certified Professional) — nog altijd de belangrijkste praktijkcertificering en de facto standaard voor het middenniveau.
  • OSEP, OSWE en OSED — de gevorderde Offensive Security-lijn, met respectievelijk focus op evasion en Active Directory, webexploitatie en exploit-ontwikkeling.
  • CRTO en CRTP — gewild voor red teaming en Active Directory-aanvalsketens, de meest gescreende vaardigheid in het huidige offensive-hiringlandschap.
  • GIAC GPEN / GWAPT / GXPN — zwaarwegend in gereguleerde sectoren, net als de CREST-lijn (CPSA → CRT → CCT), die in veel formele pentestopdrachten als kwaliteitsmerk geldt.
  • CEH (Certified Ethical Hacker) — breed bekend en soms als vinkje in vacatures gevraagd, al hechten praktijkmensen meer waarde aan hands-on certificeringen.

Naast techniek tellen de zachte vaardigheden zwaar: helder rapporteren, een bevinding kunnen vertalen naar bedrijfsrisico, en de integriteit om binnen de scope te blijven. Voor wie richting management groeit, komen bredere certificeringen als CISSP en CISM in beeld.

Wat verdient een offensive-security-professional?

Salarissen lopen uiteen, afhankelijk van specialisatie, certificering, sector en regio (de Randstad en de financiële sector betalen doorgaans bovengemiddeld). Onderstaande bandbreedtes geven een indicatie voor Nederland in 2026 (bruto jaarsalaris bij een werkgever):

Rol Niveau Indicatie salaris
Junior Penetration Tester Instap €40.000 – €55.000
Penetration Tester / Ethical Hacker Medior €55.000 – €80.000
Senior Pentester / Red Team Operator Senior €80.000 – €110.000
Security Researcher / Exploit Developer Specialist €85.000 – €120.000
Red Team Lead / Principal Leiding €100.000 – €135.000+

Ervaren specialisten werken bovendien vaak als zzp'er of consultant. Dagtarieven voor gecertificeerde pentesters en red teamers liggen doorgaans tussen de €800 en €1.400, met uitschieters daarboven voor schaarse specialismen als TIBER/TLPT-red teaming. Bedragen zijn indicatief; certificeringen als OSCP, OSEP en CREST hebben een merkbaar effect op de bovenkant van de bandbreedte.

Wat dit betekent voor jouw carrière

Offensive security is een van de meest gewilde en best betaalde specialismen binnen cybersecurity — en dankzij DORA, NIS2 en aanverwante regelgeving blijft de vraag structureel groeien. Een typisch pad ziet er zo uit:

  • Instappen: als Junior Penetration Tester, vaak vanuit systeembeheer, development of een SOC-rol, ondersteund door een OSCP of PNPT en een sterk thuislab.
  • Specialiseren: richting web/application security, infrastructuur, red teaming of onderzoek & exploit-ontwikkeling — kies de kant die bij je past.
  • Doorgroeien: naar senior, red team lead of principal, of de overstap maken naar aangrenzende vakgebieden zoals security architect, Technology Risk of uiteindelijk CISO.

De grote kracht van dit vak is dat je leert denken als een aanvaller — een perspectief dat elke verdediger, architect en bestuurder scherper maakt. Wie rood en blauw allebei begrijpt, is in vrijwel elke securityrol goud waard. Bekijk de actuele IT-securityvacatures en de bredere vacatures in IT-compliance en security om te zien welke rollen werkgevers vandaag aanbieden.

Veelgestelde vragen over offensive security

Wat is offensive security?

Offensive security is de aanvallende kant van cybersecurity: professionals denken en handelen als een aanvaller om zwakke plekken te vinden vóór echte kwaadwillenden dat doen. Het is het werk van het red team, tegenover het defensieve blue team (het SOC). Onder offensive security vallen onder meer penetration testing (pentesten), red teaming, application security testing, exploit-onderzoek en purple teaming. Het doel is niet om schade aan te richten, maar om de verdediging aantoonbaar te toetsen en te verbeteren, altijd binnen een vooraf afgesproken opdracht en scope.

Wat is het verschil tussen een penetration test en red teaming?

Een penetration test (pentest) onderzoekt zo volledig mogelijk de kwetsbaarheden binnen een afgebakende scope, zoals een webapplicatie, een netwerk of een cloudomgeving; breedte en volledigheid staan voorop en het blauwe team weet meestal dat de test loopt. Red teaming bootst juist een echte, doelgerichte aanval na: een klein team probeert met minimale voorkennis en zonder dat de verdedigers het weten een concreet doel te bereiken (bijvoorbeeld toegang tot een betaalsysteem). Red teaming test niet alleen de techniek, maar vooral of de detectie en respons van de organisatie in de praktijk werken.

Is ethisch hacken in Nederland legaal?

Hacken is in Nederland strafbaar als computervredebreuk (artikel 138ab Wetboek van Strafrecht) wanneer je opzettelijk en wederrechtelijk binnendringt in een systeem. De wet maakt op zichzelf geen onderscheid tussen goede en kwade bedoelingen. Ethisch hacken is daarom alleen verantwoord binnen een opdracht met een schriftelijke toestemming en een duidelijke scope (rules of engagement), of via een Coordinated Vulnerability Disclosure-beleid van de organisatie. Wie zich aan de spelregels van zo'n CVD-beleid houdt, ontneemt in de praktijk de wederrechtelijkheid aan zijn handelen; het NCSC heeft hiervoor een leidraad opgesteld.

Welke certificeringen heb je nodig als pentester of red teamer?

De OSCP (Offensive Security Certified Professional) geldt nog altijd als de belangrijkste praktijkcertificering voor de instap en het middenniveau. Voor de instap zijn ook CompTIA PenTest+ en de PNPT (Practical Network Penetration Tester) populair. Wie doorgroeit richting red teaming kijkt naar OSEP, CRTO en CRTP (Active Directory- en evasion-diepgang) of OSWE voor de webkant. In gereguleerde sectoren tellen GIAC-certificeringen (GPEN, GWAPT, GXPN) en de CREST-lijn (CPSA, CRT, CCT) zwaar. Praktijkervaring — aantoonbaar via hands-on labs, CTF's of een portfolio — weegt in de meeste vacatures minstens zo zwaar als een diploma.

Wat verdient een pentester of red teamer in Nederland?

Een junior penetration tester verdient in Nederland doorgaans tussen € 40.000 en € 55.000 bruto per jaar. Een medior pentester of ethical hacker zit grofweg op € 55.000 - € 80.000 en een senior pentester of red team operator op € 80.000 - € 110.000. Een red team lead, principal of security researcher kan boven de € 100.000 tot € 135.000 uitkomen. Ervaren specialisten werken daarnaast vaak als zzp'er of consultant tegen dagtarieven die doorgaans tussen € 800 en € 1.400 liggen. Bedragen zijn indicatief en variëren per sector, certificering en regio.