Kantyra Kantyra

← Alle artikelen

Algemeen

Hoe bestuur je kwetsbaarheden als CISO?

Alain Rees · 12-07-2026 · 11 min leestijd

Kwetsbaarhedenbeheer is het doorlopende proces waarmee je organisatie zwakheden in haar systemen ontdekt, beoordeelt, herstelt en daarover verantwoording aflegt. Als CISO ben je niet degene die de kwetsbaarheden zelf verhelpt, maar degene die zorgt dat het proces werkt, dat de juiste dingen als eerste worden aangepakt en dat het restrisico bij de juiste persoon ligt. In dit artikel lees je hoe je kwetsbaarhedenbeheer bestuurt in plaats van uitvoert, welk beleid en welke stuurgetallen daarbij horen, en hoe je het aantoonbaar maakt.

In het kort

  • Kwetsbaarhedenbeheer is een doorlopend proces, geen losse scan of een eenmalige opschoning.
  • Als CISO stuur en verantwoord je het proces, terwijl de IT-operatie het uitvoert.
  • Je prioriteert risicogebaseerd, dus niet elke kwetsbaarheid krijgt dezelfde aandacht.
  • Je legt hersteltermijnen per ernst vast en beheert bewust de uitzonderingen daarop.
  • Je maakt het beheer aantoonbaar met een register, met stuurgetallen en met verantwoording aan het bestuur.
  • Het valt samen met de vier fasen van het Kantyra-model: signaleren, beoordelen, oplossen en aantonen.

Wat kwetsbaarhedenbeheer inhoudt

Kwetsbaarhedenbeheer gaat over het beheersen van de zwakheden waarlangs een aanvaller binnen kan komen. Die zwakheden komen uit verschillende bronnen. Denk aan geautomatiseerde scans, aan pentesten, aan meldingen van leveranciers, aan dreigingsinformatie en aan meldingen van buitenaf.

Het proces bestaat uit een paar vaste stappen. Je identificeert kwetsbaarheden, je beoordeelt hoe ernstig ze in jouw context zijn, je wijst het herstel toe aan een eigenaar, je verhelpt ze binnen een termijn, en je controleert of het herstel echt heeft gewerkt. Dat klinkt eenvoudig, maar in de praktijk stromen er zoveel kwetsbaarheden binnen dat de kunst zit in het beheersen van dat geheel, niet in het oplossen van één afzonderlijke melding.

Sturen of uitvoeren, de rol van de CISO

De IT-operatie voert het werk uit. Zij draait de scans, houdt zelf bij welke kwetsbaarheden bekend worden en installeert de bijbehorende patches zodra die beschikbaar zijn. Die verantwoordelijkheid ligt daar terecht, want de IT-operatie kent de systemen en beheert ze dagelijks. Het is alleen niet jouw rol.

Als CISO bestuur je het proces. Je stelt het beleid vast, je bepaalt hoe snel welke ernst moet worden hersteld, je zorgt dat elke kwetsbaarheid een eigenaar heeft, en je bewaakt dat het geheel werkt. Waar de IT-operatie naar afzonderlijke systemen kijkt, kijk jij naar het proces als geheel, naar de trend en naar het restrisico.

Je wilt bovendien tijdig op de hoogte zijn van de belangrijke kwetsbaarheden, nog voordat ze uitgroeien tot een incident of een escalatie. Niet om ze zelf te herstellen, maar om te kunnen sturen, om het bestuur te kunnen informeren en om in te grijpen als een kritieke kwetsbaarheid blijft liggen.

De IT-operatie is dus verantwoordelijk voor het herstellen, en jij bent verantwoordelijk voor de zekerheid dat het herstellen ook echt en op tijd gebeurt. Die rollen houd je gescheiden, want anders wordt het een slager die zijn eigen vlees keurt.

Waarom kwetsbaarhedenbeheer een bestuurlijke verantwoordelijkheid is

Kwetsbaarheden ontstaan voortdurend, en een systeem dat vandaag veilig is, kan morgen kwetsbaar zijn door een nieuw ontdekte zwakheid. Kwetsbaarhedenbeheer is daarom geen project met een einddatum, maar een doorlopende verantwoordelijkheid.

Die verantwoordelijkheid is ook aantoonbaar belegd. De norm ISO 27001 vraagt expliciet dat je technische kwetsbaarheden beheerst, en de zorgplicht uit de Cyberbeveiligingswet vraagt passende maatregelen die je moet kunnen onderbouwen. Een toezichthouder of een klant wil niet horen dat je scant, maar zien dat je kritieke kwetsbaarheden binnen een afgesproken termijn herstelt en dat je het restrisico bewust beheert. Dat aantoonbaar maken is precies jouw taak.

Het beleid voor kwetsbaarhedenbeheer

Een beleid voor kwetsbaarhedenbeheer maakt van losse acties een bestuurbaar proces. Het legt de spelregels vast waaraan de hele organisatie zich houdt. Een goed beleid beschrijft in elk geval de volgende punten:

  • de reikwijdte, dus welke systemen en bronnen onder het proces vallen;
  • de rollen en verantwoordelijkheden, met een duidelijke scheiding tussen sturen en uitvoeren;
  • de manier waarop je de ernst van een kwetsbaarheid bepaalt;
  • de hersteltermijnen per ernst, zodat vaststaat hoe snel iets moet zijn opgelost;
  • de procedure voor uitzonderingen en het bewust aanvaarden van restrisico;
  • de wijze waarop je meet en aan het bestuur rapporteert.

Zonder dit beleid wordt kwetsbaarhedenbeheer een kwestie van goede bedoelingen, waarbij de urgentste kwetsbaarheden verdwijnen in de waan van de dag.

Risicogebaseerd prioriteren in plaats van alles tegelijk

De grootste valkuil is dat je organisatie verdrinkt in kwetsbaarheden. Een gemiddelde omgeving levert er zoveel op dat je onmogelijk alles tegelijk kunt herstellen. De oplossing is niet harder werken, maar scherper prioriteren.

Als CISO zorg je dat de prioritering risicogebaseerd is. Een technische ernstscore, bijvoorbeeld op basis van CVSS, is daarbij slechts een startpunt. Wat echt telt, is de combinatie van die score met het belang van het getroffen systeem en met de vraag of de kwetsbaarheid in de praktijk daadwerkelijk wordt misbruikt. Een middelmatige kwetsbaarheid op een kritiek systeem dat aan het internet hangt, verdient meer aandacht dan een zware kwetsbaarheid op een afgeschermd systeem zonder impact.

Jouw rol is niet om elke afzonderlijke kwetsbaarheid te wegen, maar om het afwegingskader vast te stellen waarmee de organisatie dat consequent doet. Zo voorkom je dat het volume leidend wordt in plaats van het risico.

Hersteltermijnen en het beheer van uitzonderingen

Een werkbaar proces heeft duidelijke hersteltermijnen per ernst. Je legt bijvoorbeeld vast dat een kritieke kwetsbaarheid binnen enkele dagen wordt hersteld en een lage binnen een ruimere periode. Die termijnen geven de IT-operatie richting en geven jou een meetlat om op te sturen.

Minstens zo belangrijk is wat je doet als herstel niet op tijd lukt. Soms kan een kwetsbaarheid niet meteen worden verholpen, bijvoorbeeld omdat een leverancier nog geen oplossing heeft. Dan moet er een bewuste, tijdelijke risicoaanvaarding komen, vastgelegd en goedgekeurd door de juiste eigenaar, met een datum waarop je het opnieuw beoordeelt. Als CISO bewaak je juist dit punt, want zonder dat beheer worden uitzonderingen stille, permanente risico's die niemand meer ziet.

Meten en verantwoorden

Je kunt alleen sturen op wat je meet. Als CISO gebruik je een beperkte set stuurgetallen om het proces te bewaken en om er aan het bestuur over te rapporteren. Bruikbare stuurgetallen zijn onder meer:

  • het aantal open kwetsbaarheden, uitgesplitst naar ernst;
  • de gemiddelde hersteltijd, en het verloop daarvan over de tijd;
  • het percentage kwetsbaarheden dat binnen de afgesproken termijn is hersteld;
  • het aantal achterstallige kritieke kwetsbaarheden;
  • de dekkingsgraad, dus welk deel van je systemen daadwerkelijk in beeld is.

Deze cijfers vertaal je naar een bestuurlijk verhaal. Het bestuur hoeft geen lijst met kwetsbaarheden te zien, maar wil weten of de organisatie grip heeft, of de trend de goede kant op gaat en of er risico's zijn die aandacht vragen. Zo maak je van een technisch onderwerp een bestuurlijk gesprek.

Van losse meldingen naar samenhangend beheer

Je kunt kwetsbaarheden niet besturen als ze verspreid zitten over scanrapporten, e-mails en losse bestanden. De basis is daarom een kwetsbaarhedenregister, oftewel een actueel en centraal overzicht van elke kwetsbaarheid, met de ernst, het getroffen systeem, de eigenaar, de hersteltermijn, de status en de eventuele risicoaanvaarding.

In Kantyra is dat register het bevindingenregister. Je registreert een kwetsbaarheid als bevinding met de bron Kwetsbaarhedenscan of CVE, boven de drempel die je zelf kiest, zodat je stuurt op wat ertoe doet en het register geen scanneruitvoer wordt. Per bevinding leg je de ernst, het getroffen bedrijfsmiddel, de eigenaar, de hersteltermijn en de hertestdatum vast, en bovenaan het register toont het blootstellingsbeeld hoeveel kwetsbaarheden open zijn, hoeveel hoog of kritiek, en hoeveel er door een incident zijn misbruikt.

Vanuit dat register lopen de lijnen naar de rest van je beheersing. Een achterstallige kritieke kwetsbaarheid is een risico dat in je risicoregister thuishoort; koppel je de bevinding aan een risico, dan zet Kantyra automatisch een herbeoordelingstaak klaar. Buit een incident de kwetsbaarheid uit, dan koppel je het incident aan de bevinding en krijgt het herstel automatisch voorrang. Kan een kwetsbaarheid niet op tijd worden verholpen, dan leg je het restrisico vast als een uitzondering met vier-ogen-goedkeuring en een einddatum. Een register van je systemen is de voorwaarde vooraf, want zonder een actueel overzicht van je bedrijfsmiddelen mis je de kwetsbaarheden die erop zitten. Zo sluit kwetsbaarhedenbeheer direct aan op je informatiebeveiliging en risicomanagement (ISMS) in lijn met ISO 27001, zodat het een vast onderdeel van je beveiliging wordt in plaats van een losse activiteit.

Waar zit kwetsbaarhedenbeheer in het Kantyra-model?

Net als pentesten valt kwetsbaarhedenbeheer niet in één fase van het Kantyra-model te vangen: het is de cyclus van het model, toegepast op de zwakheden in je systemen. Maar als CISO ligt je zwaartepunt niet onderaan.

Het signaleren laat je grotendeels aan de IT-operatie: de scans en de pentests brengen de zwakheden in beeld, en boven je drempel registreer je ze. Bij beoordelen ligt een groot deel van jouw werk: je weegt risicogebaseerd, met de technische ernst als startpunt en het belang van het systeem en het daadwerkelijke misbruik als doorslaggevende factor, en de zwaarste escaleer je naar het risicoregister. In oplossen stel je het beleid en de hersteltermijnen vast, bewaak je het herstel en beheer je de bewuste risicoaanvaardingen. En in aantonen ligt het sluitstuk van jouw rol: de managementrapportage bundelt de stuurgetallen, van open per ernst en de achterstallige en misbruikte kwetsbaarheden tot de gemiddelde hersteltijd, het percentage binnen de termijn en de trend van maand tot maand, als verantwoording aan het bestuur.

Kwetsbaarhedenbeheer naast de vier fasen van het Kantyra-model: de kwetsbaarheden in beeld brengen hoort bij signaleren, het risicogebaseerd wegen en prioriteren bij beoordelen, het beleid en het herstel binnen de termijn bij oplossen, en de stuurgetallen en de verantwoording bij aantonen

De IT-operatie is vooral bezig met signaleren en oplossen; jij stuurt op de hele cyclus en legt daarover verantwoording af. Dat is het verschil tussen kwetsbaarheden verhelpen en kwetsbaarheden beheersen.

Werk je met losse documenten of met een GRC-platform?

Je kunt je beleid, je stuurgetallen en je kwetsbaarheden in losse bestanden bijhouden, en als start is dat verdedigbaar. Maar als CISO loop je al snel tegen de grenzen aan. Losse bestanden geven geen actueel overzicht, geen betrouwbare trend en geen bewijs voor het bestuur of de toezichthouder.

In een GRC-platform beheer je het beleid, het kwetsbaarhedenregister en de opvolging als gekoppelde overzichten binnen één omgeving. Elke kwetsbaarheid heeft een eigenaar, een status en een termijn, de achterstallige kwetsbaarheden vallen meteen op, en de stuurgetallen rekenen zichzelf uit, zodat je op ernst en hersteltijd stuurt in plaats van op onderbuikgevoel.

Met Kantyra bestuur je kwetsbaarhedenbeheer in dezelfde omgeving als je ISMS. Je legt het beleid vast als beleidsdocument, je houdt het blootstellingsbeeld op ernst en hersteltermijn bij, en je beheert de uitzonderingen als bewuste risicoaanvaardingen. De managementrapportage vertaalt dat naar de stuurgetallen voor het bestuur, met de gemiddelde hersteltijd, het percentage binnen de termijn en de trend, in lijn met ISO 27001. Zo verschuif je van losse meldingen naar aantoonbare sturing.

In vijf stappen kwetsbaarhedenbeheer inrichten

  1. Stel het beleid vast. Leg de reikwijdte, de rollen, de hersteltermijnen en de verantwoording vast.
  2. Scheid sturen van uitvoeren. Beleg de uitvoering bij de IT-operatie en de sturing en verantwoording bij de CISO-functie.
  3. Richt de prioritering risicogebaseerd in. Combineer de technische ernst met het belang van het systeem en het daadwerkelijke misbruik.
  4. Meet en rapporteer. Kies een beperkte set stuurgetallen en breng die terug tot een bestuurlijk verhaal.
  5. Beheer alles in samenhang. Koppel het kwetsbaarhedenregister aan je risicoregister, je verbeteracties en je ISMS.

Veelgestelde vragen over kwetsbaarhedenbeheer

Wat is het verschil tussen kwetsbaarhedenbeheer en patchen? Patchen is één manier om een kwetsbaarheid te herstellen. Kwetsbaarhedenbeheer is het hele proces eromheen, van het ontdekken en prioriteren tot het herstellen, verifiëren en verantwoorden. Patchen is uitvoering, beheer is sturing.

Is kwetsbaarhedenbeheer een taak van IT of van de CISO? Van beide, maar in een andere rol. De IT-operatie voert het herstel uit, terwijl de CISO het proces stuurt, de prioritering bepaalt en verantwoording aflegt. Die scheiding voorkomt dat dezelfde partij haar eigen werk beoordeelt.

Moet je elke kwetsbaarheid oplossen? Nee. Je prioriteert risicogebaseerd. Sommige kwetsbaarheden herstel je meteen, andere aanvaard je bewust en tijdelijk als restrisico, mits dat is vastgelegd en goedgekeurd door de juiste eigenaar.

Hoe snel moet je een kritieke kwetsbaarheid herstellen? Dat leg je vast in je beleid. Voor kritieke kwetsbaarheden is een korte termijn gebruikelijk, zeker als het systeem aan het internet hangt of daadwerkelijk wordt misbruikt. Het gaat erom dat de termijnen per ernst vaststaan en dat je erop stuurt.

Hoe toon je aan dat je kwetsbaarheden beheerst? Met een vastgesteld beleid, een actueel kwetsbaarhedenregister, een set stuurgetallen en een periodieke rapportage aan het bestuur. Samen laten die zien dat je grip hebt en dat het restrisico bewust is belegd.

Aan de slag met kwetsbaarhedenbeheer in Kantyra

Wil je kwetsbaarhedenbeheer besturen in plaats van achter meldingen aan te lopen? Met Kantyra houd je je beleid, je kwetsbaarhedenregister en je opvolging gekoppeld bij, in lijn met ISO 27001. Zo stuur je op ernst en hersteltermijn, laat de managementrapportage de stuurgetallen en de trend voor het bestuur zien, en beheer je de uitzonderingen bewust. Vraag een demo aan en ontdek hoe je kwetsbaarhedenbeheer bovenop je bestaande ISMS inricht.


Kantyra is een Nederlands ISMS- en GRC-platform waarmee organisaties hun informatiebeveiliging, risicomanagement en naleving aantoonbaar beheren, in lijn met normen als ISO 27001 en ISO 22301 en met wetgeving als de AVG, de Cyberbeveiligingswet en de AI-verordening.

Zien hoe dit in Kantyra werkt?

In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.

Plan een demo

Meer in de fase Algemeen