Delen op:
Wat we in twee uur vonden:
120 minuten in de productieomgeving
1 USB aangesloten zonder tussenkomst
0× aangesproken tijdens onze aanwezigheid (3 rondes) onopgemerkt door het kantoor gelopen
Een fysieke penetratietest in het Nederlandse middensegment.
Met expliciete toestemming van de raad van bestuur en IT voerden we begin 2026 een fysieke veiligheidstest uit bij een Nederlandse marktleider. Binnen twee uur betraden we de productieomgeving, sloten we een USB aan, liepen we drie keer door het kantoor en vertrokken weer zonder dat iemand vroeg wie we waren.
Geen netwerkscan. Geen exploit. Geen alarm. Alleen een gesprek op bestuursniveau dat niet langer kon worden uitgesteld. Het volledige rapport zet uiteen wat we vonden, waarom dit van belang is onder NIS2, en wat een gestructureerde aanpak daadwerkelijk oplevert.
Wat u binnenin vindt
Wat we observeerden. Een chronologisch verslag van de test, gebaseerd op twee sessies van twee uur op één dag. Inclusief de momenten waarop iets had moeten worden opgemerkt en dat niet gebeurde. Geschreven voor iedereen in uw bestuurskamer: geen jargon, geen veronderstelde voorkennis, geen securitytheater.
Waarom dit ertoe doet. De vertaling van fysieke observatie naar bestuursimplicaties: NIS2-zorgplicht, aansprakelijkheid in de toeleveringsketen, het ransomwarepad, reputatierisico. Geplaatst naast cijfers uit het World Economic Forum Global Risks Report 2026, die laten zien dat onze bevindingen geen geïsoleerd incident zijn, maar een patroon dat de internationale gemeenschap nu formeel volgt.
Wat een gestructureerde reactie oplevert. Vier fasen van onze methode, gedreven door resultaat: Assess, Design, Deliver, Embed. Wat u in elke fase ontvangt, op welk tijdspad, en hoe dit meetbaar wordt voor uw bestuur.
