Um bei der Auswahl von IT-Sicherheitsdienstleistern zu unterstützen, hat das BSI als neutrale staatliche Stelle ein Zertifizierungsverfahren für IT-Sicherheitsdienstleister entwickelt. Die beauftragten IT-Sicherheitsdienstleister müssen sich durch Zuverlässigkeit und Unabhängigkeit sowie Fachkompetenz und Qualität der Dienstleistung auszeichnen. Ziel der Zertifizierung des IT-Sicherheitsdienstleisters ist somit die Sicherstellung der Vertrauenswürdigkeit und Kompetenz. Die Grundlage jeder Dienstleistung sind qualifizierte und kompetente Mitarbeiter.

Penetrationstests sind auf die individuelle Situation der getesteten Institution abzustimmen und somit nur in begrenztem Umfang standardisierbar. Bei einem Penetrationstest kann deshalb nur bis zu einem gewissen Grad nach einem starren Muster vorgegangen werden. Deshalb sollte die Durchführung von Penetrationstests von Experten vorgenommen werden, die über langjährige Erfahrung im Bereich der IT-Sicherheit und als Penetrationstester verfügen.