Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

TIBER

Processen

Threat Intell Based Ethical Redteaming. Programma waarin (financiële) instellingen testen hoe weerbaar ze zijn tegen geavanceerde cyberaanvallen. Dit gebeurt met testaanvallen, die zijn gebaseerd op realistische dreiging.

TIBER staat voor Threat Intelligence-Based Ethical Red Teaming en is een raamwerk voor het uitvoeren van geavanceerde, intelligence-gestuurde red team tests op financiele instellingen en andere vitale organisaties. Het framework is oorspronkelijk ontwikkeld door De Nederlandsche Bank (DNB) als TIBER-NL en later door de Europese Centrale Bank (ECB) overgenomen als TIBER-EU. Het doel is om de cyberweerbaarheid van organisaties te testen door realistische aanvalsscenario's na te bootsen op basis van actuele dreigingsinformatie. Zo ontdek je hoe goed je detectie- en responscapaciteiten daadwerkelijk presteren tegen echte dreigingen in je productieomgeving.

Het bijzondere aan TIBER is dat het verder gaat dan traditionele beveiligingstests. Waar een penetratietest zoekt naar technische kwetsbaarheden in een afgebakende scope, simuleert een TIBER-test een volledige aanvalscampagne zoals een statelijke actor of georganiseerde cybercrimineel die zou uitvoeren. Dit omvat social engineering, technische exploitatie, laterale beweging en pogingen tot data-exfiltratie, allemaal gebaseerd op actuele threat intelligence over je specifieke organisatie. Het is daarmee de meest realistische test van cyberweerbaarheid die beschikbaar is voor de financiele sector en andere vitale organisaties in Nederland en Europa.

Hoe werkt TIBER? Stappen

Een TIBER-test volgt een gestructureerd proces in drie hoofdfasen. De eerste fase is de voorbereidingsfase, waarin de scope wordt bepaald en een onafhankelijke threat intelligence-leverancier wordt ingeschakeld. Deze leverancier analyseert het dreigingslandschap specifiek voor de te testen organisatie en stelt een Targeted Threat Intelligence Report op. Dit rapport beschrijft welke dreigingsactoren de organisatie waarschijnlijk zouden aanvallen, welke technieken ze gebruiken en welke systemen ze als eerste zouden targeten. De toezichthouder is betrokken bij het vaststellen van de scope en valideert het dreigingsrapport voordat de testfase begint.

In de testfase voert een gespecialiseerd red team de daadwerkelijke aanval uit. Het red team gebruikt de threat intelligence om realistische aanvalsscenario's te ontwikkelen en uit te voeren tegen de productieomgeving van de organisatie. TIBER-tests worden uitgevoerd op live systemen zonder dat de verdedigingsteams (blue team) hiervan op de hoogte zijn, wat het fundamenteel onderscheidt van reguliere pentests. De test duurt typisch 10 tot 12 weken voor de aanvalsfase en omvat technieken als spearphishing, technische exploitatie, privilege escalation en pogingen tot laterale beweging door het netwerk naar kritieke systemen en data.

De derde fase is de afsluitingsfase met een verplichte purple team sessie. Het red team en blue team lopen samen de bevindingen door in een gestructureerde replay van de aanval. Het red team deelt welke technieken succesvol waren en waar ze werden gedetecteerd of geblokkeerd. Het blue team analyseert waarom detectie op bepaalde punten faalde of slaagde en welke verbeteringen mogelijk zijn in hun monitoring en respons. Het resultaat is een concreet verbeterplan met geprioriteerde maatregelen en een duidelijke tijdlijn voor implementatie. In januari 2025 publiceerde de ECB bijgewerkte richtlijnen voor TIBER-EU red team testrapporten en purple teaming best practices, volledig afgestemd op de DORA-vereisten voor threat-led penetration testing.

Wanneer voer je TIBER uit?

TIBER-tests zijn primair bedoeld voor financiele instellingen, marktinfrastructuren en andere organisaties in de vitale sector. Onder DORA (Digital Operational Resilience Act) zijn bepaalde financiele entiteiten verplicht om threat-led penetration testing (TLPT) uit te voeren, waarbij TIBER-EU het officieel erkende raamwerk is. DNB heeft TIBER-NL al langer als verwachting opgenomen in het toezicht op systeemrelevante instellingen. Het raamwerk is inmiddels geadopteerd in meer dan twintig Europese landen, waaronder Duitsland, Frankrijk, Belgie, Italie en de Scandinavische landen.

Je voert een TIBER-test uit wanneer je wilt valideren of je organisatie bestand is tegen gerichte aanvallen van geavanceerde dreigingsactoren. Het is geen test die je jaarlijks routinematig uitvoert zoals een vulnerability scan. TIBER-tests vinden typisch elke twee tot drie jaar plaats en worden aangevuld met andere testvormen zoals pentests, tabletop exercises en ransomware simulaties. In november 2025 publiceerde de ECB een TIBER-EU SSM Implementation Guide die specifiek beschrijft hoe significante instellingen onder het Europees bankentoezicht TIBER-tests moeten implementeren, uitvoeren en rapporteren aan hun toezichthouder.

Naast de verplichte toepassing in de financiele sector groeit de interesse in TIBER-achtige tests ook in andere sectoren. Energiebedrijven, telecombedrijven en overheidsorganisaties passen vergelijkbare threat intelligence-gestuurde testmethodieken toe om hun weerbaarheid te evalueren. De Nederlandse overheid stimuleert het gebruik van TIBER-methodiek als onderdeel van de Nationale Cybersecurity Strategie, wat de relevantie van het framework buiten de traditionele financiele sector vergroot.

Wat kost TIBER?

TIBER-tests behoren tot de duurste vormen van beveiligingstesten vanwege de intensiteit, duur en specialistische expertise die vereist is. De totale kosten liggen typisch tussen 200.000 en 500.000 euro per test, afhankelijk van de scope en complexiteit van de organisatie. Dit bedrag is verdeeld over de threat intelligence-fase (30.000 tot 80.000 euro), de red team-fase (120.000 tot 300.000 euro) en de afsluitingsfase inclusief rapportage en purple teaming (30.000 tot 80.000 euro).

De doorlooptijd van een volledige TIBER-test is 6 tot 9 maanden van start tot afsluiting, inclusief voorbereiding, uitvoering en rapportage. Factoren die de prijs beinvloeden zijn de omvang van de organisatie, het aantal te testen kritieke functies, de complexiteit van de IT-infrastructuur en de mate waarin internationale componenten betrokken zijn. Ondanks de hoge kosten levert een TIBER-test unieke inzichten op die andere testvormen niet bieden: het is de enige methode die de volledige kill chain test in een realistische productiesetting en tegelijkertijd de effectiviteit van je detectie- en responscapaciteiten meet tegen aanvalstechnieken die daadwerkelijk tegen je organisatie ingezet zouden worden door dreigingsactoren met de capaciteiten en motivatie om je te targeten.

Veelgestelde vragen over TIBER

Wat is het verschil tussen TIBER en een penetratietest?

Een penetratietest richt zich op het vinden van technische kwetsbaarheden in een afgebakende scope en testomgeving. TIBER test de volledige aanvalsketen inclusief social engineering, fysieke toegang en detectiecapaciteiten op productiesystemen. TIBER wordt uitgevoerd zonder medeweten van het blue team, wat een realistischer beeld geeft van de werkelijke weerbaarheid.

Is TIBER verplicht voor alle financiele instellingen?

Niet voor alle. Onder DORA zijn systeemrelevante financiele entiteiten verplicht tot threat-led penetration testing op basis van TIBER-EU. DNB bepaalt welke instellingen in aanmerking komen op basis van hun systeemrelevantie en het potentiele impact van een verstoring op de stabiliteit van het financiele systeem als geheel.

Wie mag een TIBER-test uitvoeren?

Alleen gekwalificeerde en door de toezichthouder erkende threat intelligence-leveranciers en red team-aanbieders mogen TIBER-tests uitvoeren. De toezichthouder stelt eisen aan ervaring, certificeringen en geheimhouding en houdt een register bij van goedgekeurde partijen die aan alle kwaliteitscriteria voldoen.

Hoe verschilt TIBER-NL van TIBER-EU?

TIBER-NL was het oorspronkelijke Nederlandse framework dat als basis diende voor TIBER-EU. De methodologische kern is gelijk, maar TIBER-EU biedt een geharmoniseerd raamwerk voor wederzijdse erkenning van testresultaten tussen Europese toezichthouders. Sinds de inwerkingtreding van DORA is TIBER-EU het leidende framework geworden voor alle Europese lidstaten.

Wat gebeurt er als het red team kritieke systemen verstoort?

Het red team opereert onder strikte rules of engagement die vooraf zijn afgestemd met de organisatie en toezichthouder. Er zijn noodprocedures en escalatiepaden gedefinieerd voor onvoorziene situaties. Het doel is nooit verstoring maar het testen van detectie en respons. Bij onvoorziene risico's wordt de test direct opgeschort via het afgesproken communicatiekanaal.

Vind een specialist voor TIBER via Pentesting aanbieders op IBgidsNL.