Alain Rees · 12-07-2026 · 11 min leestijd
Kwetsbaarhedenbeheer is het doorlopende proces waarmee je organisatie zwakheden in haar systemen ontdekt, beoordeelt, herstelt en daarover verantwoording aflegt. Als CISO ben je niet degene die de kwetsbaarheden zelf verhelpt, maar degene die zorgt dat het proces werkt, dat de juiste dingen als eerste worden aangepakt en dat het restrisico bij de juiste persoon ligt. In dit artikel lees je hoe je kwetsbaarhedenbeheer bestuurt in plaats van uitvoert, welk beleid en welke stuurgetallen daarbij horen, en hoe je het aantoonbaar maakt.
In het kort
- Kwetsbaarhedenbeheer is een doorlopend proces, geen losse scan of een eenmalige opschoning.
- Als CISO stuur en verantwoord je het proces, terwijl de IT-operatie het uitvoert.
- Je prioriteert risicogebaseerd, dus niet elke kwetsbaarheid krijgt dezelfde aandacht.
- Je legt hersteltermijnen per ernst vast en beheert bewust de uitzonderingen daarop.
- Je maakt het beheer aantoonbaar met een register, met stuurgetallen en met verantwoording aan het bestuur.
- Het valt samen met de vier fasen van het Kantyra-model: signaleren, beoordelen, oplossen en aantonen.
Kwetsbaarhedenbeheer gaat over het beheersen van de zwakheden waarlangs een aanvaller binnen kan komen. Die zwakheden komen uit verschillende bronnen. Denk aan geautomatiseerde scans, aan pentesten, aan meldingen van leveranciers, aan dreigingsinformatie en aan meldingen van buitenaf.
Het proces bestaat uit een paar vaste stappen. Je identificeert kwetsbaarheden, je beoordeelt hoe ernstig ze in jouw context zijn, je wijst het herstel toe aan een eigenaar, je verhelpt ze binnen een termijn, en je controleert of het herstel echt heeft gewerkt. Dat klinkt eenvoudig, maar in de praktijk stromen er zoveel kwetsbaarheden binnen dat de kunst zit in het beheersen van dat geheel, niet in het oplossen van één afzonderlijke melding.
De IT-operatie voert het werk uit. Zij draait de scans, houdt zelf bij welke kwetsbaarheden bekend worden en installeert de bijbehorende patches zodra die beschikbaar zijn. Die verantwoordelijkheid ligt daar terecht, want de IT-operatie kent de systemen en beheert ze dagelijks. Het is alleen niet jouw rol.
Als CISO bestuur je het proces. Je stelt het beleid vast, je bepaalt hoe snel welke ernst moet worden hersteld, je zorgt dat elke kwetsbaarheid een eigenaar heeft, en je bewaakt dat het geheel werkt. Waar de IT-operatie naar afzonderlijke systemen kijkt, kijk jij naar het proces als geheel, naar de trend en naar het restrisico.
Je wilt bovendien tijdig op de hoogte zijn van de belangrijke kwetsbaarheden, nog voordat ze uitgroeien tot een incident of een escalatie. Niet om ze zelf te herstellen, maar om te kunnen sturen, om het bestuur te kunnen informeren en om in te grijpen als een kritieke kwetsbaarheid blijft liggen.
De IT-operatie is dus verantwoordelijk voor het herstellen, en jij bent verantwoordelijk voor de zekerheid dat het herstellen ook echt en op tijd gebeurt. Die rollen houd je gescheiden, want anders wordt het een slager die zijn eigen vlees keurt.
Kwetsbaarheden ontstaan voortdurend, en een systeem dat vandaag veilig is, kan morgen kwetsbaar zijn door een nieuw ontdekte zwakheid. Kwetsbaarhedenbeheer is daarom geen project met een einddatum, maar een doorlopende verantwoordelijkheid.
Die verantwoordelijkheid is ook aantoonbaar belegd. De norm ISO 27001 vraagt expliciet dat je technische kwetsbaarheden beheerst, en de zorgplicht uit de Cyberbeveiligingswet vraagt passende maatregelen die je moet kunnen onderbouwen. Een toezichthouder of een klant wil niet horen dat je scant, maar zien dat je kritieke kwetsbaarheden binnen een afgesproken termijn herstelt en dat je het restrisico bewust beheert. Dat aantoonbaar maken is precies jouw taak.
Een beleid voor kwetsbaarhedenbeheer maakt van losse acties een bestuurbaar proces. Het legt de spelregels vast waaraan de hele organisatie zich houdt. Een goed beleid beschrijft in elk geval de volgende punten:
Zonder dit beleid wordt kwetsbaarhedenbeheer een kwestie van goede bedoelingen, waarbij de urgentste kwetsbaarheden verdwijnen in de waan van de dag.
De grootste valkuil is dat je organisatie verdrinkt in kwetsbaarheden. Een gemiddelde omgeving levert er zoveel op dat je onmogelijk alles tegelijk kunt herstellen. De oplossing is niet harder werken, maar scherper prioriteren.
Als CISO zorg je dat de prioritering risicogebaseerd is. Een technische ernstscore, bijvoorbeeld op basis van CVSS, is daarbij slechts een startpunt. Wat echt telt, is de combinatie van die score met het belang van het getroffen systeem en met de vraag of de kwetsbaarheid in de praktijk daadwerkelijk wordt misbruikt. Een middelmatige kwetsbaarheid op een kritiek systeem dat aan het internet hangt, verdient meer aandacht dan een zware kwetsbaarheid op een afgeschermd systeem zonder impact.
Jouw rol is niet om elke afzonderlijke kwetsbaarheid te wegen, maar om het afwegingskader vast te stellen waarmee de organisatie dat consequent doet. Zo voorkom je dat het volume leidend wordt in plaats van het risico.
Een werkbaar proces heeft duidelijke hersteltermijnen per ernst. Je legt bijvoorbeeld vast dat een kritieke kwetsbaarheid binnen enkele dagen wordt hersteld en een lage binnen een ruimere periode. Die termijnen geven de IT-operatie richting en geven jou een meetlat om op te sturen.
Minstens zo belangrijk is wat je doet als herstel niet op tijd lukt. Soms kan een kwetsbaarheid niet meteen worden verholpen, bijvoorbeeld omdat een leverancier nog geen oplossing heeft. Dan moet er een bewuste, tijdelijke risicoaanvaarding komen, vastgelegd en goedgekeurd door de juiste eigenaar, met een datum waarop je het opnieuw beoordeelt. Als CISO bewaak je juist dit punt, want zonder dat beheer worden uitzonderingen stille, permanente risico's die niemand meer ziet.
Je kunt alleen sturen op wat je meet. Als CISO gebruik je een beperkte set stuurgetallen om het proces te bewaken en om er aan het bestuur over te rapporteren. Bruikbare stuurgetallen zijn onder meer:
Deze cijfers vertaal je naar een bestuurlijk verhaal. Het bestuur hoeft geen lijst met kwetsbaarheden te zien, maar wil weten of de organisatie grip heeft, of de trend de goede kant op gaat en of er risico's zijn die aandacht vragen. Zo maak je van een technisch onderwerp een bestuurlijk gesprek.
Je kunt kwetsbaarheden niet besturen als ze verspreid zitten over scanrapporten, e-mails en losse bestanden. De basis is daarom een kwetsbaarhedenregister, oftewel een actueel en centraal overzicht van elke kwetsbaarheid, met de ernst, het getroffen systeem, de eigenaar, de hersteltermijn, de status en de eventuele risicoaanvaarding.
In Kantyra is dat register het bevindingenregister. Je registreert een kwetsbaarheid als bevinding met de bron Kwetsbaarhedenscan of CVE, boven de drempel die je zelf kiest, zodat je stuurt op wat ertoe doet en het register geen scanneruitvoer wordt. Per bevinding leg je de ernst, het getroffen bedrijfsmiddel, de eigenaar, de hersteltermijn en de hertestdatum vast, en bovenaan het register toont het blootstellingsbeeld hoeveel kwetsbaarheden open zijn, hoeveel hoog of kritiek, en hoeveel er door een incident zijn misbruikt.
Vanuit dat register lopen de lijnen naar de rest van je beheersing. Een achterstallige kritieke kwetsbaarheid is een risico dat in je risicoregister thuishoort; koppel je de bevinding aan een risico, dan zet Kantyra automatisch een herbeoordelingstaak klaar. Buit een incident de kwetsbaarheid uit, dan koppel je het incident aan de bevinding en krijgt het herstel automatisch voorrang. Kan een kwetsbaarheid niet op tijd worden verholpen, dan leg je het restrisico vast als een uitzondering met vier-ogen-goedkeuring en een einddatum. Een register van je systemen is de voorwaarde vooraf, want zonder een actueel overzicht van je bedrijfsmiddelen mis je de kwetsbaarheden die erop zitten. Zo sluit kwetsbaarhedenbeheer direct aan op je informatiebeveiliging en risicomanagement (ISMS) in lijn met ISO 27001, zodat het een vast onderdeel van je beveiliging wordt in plaats van een losse activiteit.
Net als pentesten valt kwetsbaarhedenbeheer niet in één fase van het Kantyra-model te vangen: het is de cyclus van het model, toegepast op de zwakheden in je systemen. Maar als CISO ligt je zwaartepunt niet onderaan.
Het signaleren laat je grotendeels aan de IT-operatie: de scans en de pentests brengen de zwakheden in beeld, en boven je drempel registreer je ze. Bij beoordelen ligt een groot deel van jouw werk: je weegt risicogebaseerd, met de technische ernst als startpunt en het belang van het systeem en het daadwerkelijke misbruik als doorslaggevende factor, en de zwaarste escaleer je naar het risicoregister. In oplossen stel je het beleid en de hersteltermijnen vast, bewaak je het herstel en beheer je de bewuste risicoaanvaardingen. En in aantonen ligt het sluitstuk van jouw rol: de managementrapportage bundelt de stuurgetallen, van open per ernst en de achterstallige en misbruikte kwetsbaarheden tot de gemiddelde hersteltijd, het percentage binnen de termijn en de trend van maand tot maand, als verantwoording aan het bestuur.
De IT-operatie is vooral bezig met signaleren en oplossen; jij stuurt op de hele cyclus en legt daarover verantwoording af. Dat is het verschil tussen kwetsbaarheden verhelpen en kwetsbaarheden beheersen.
Je kunt je beleid, je stuurgetallen en je kwetsbaarheden in losse bestanden bijhouden, en als start is dat verdedigbaar. Maar als CISO loop je al snel tegen de grenzen aan. Losse bestanden geven geen actueel overzicht, geen betrouwbare trend en geen bewijs voor het bestuur of de toezichthouder.
In een GRC-platform beheer je het beleid, het kwetsbaarhedenregister en de opvolging als gekoppelde overzichten binnen één omgeving. Elke kwetsbaarheid heeft een eigenaar, een status en een termijn, de achterstallige kwetsbaarheden vallen meteen op, en de stuurgetallen rekenen zichzelf uit, zodat je op ernst en hersteltijd stuurt in plaats van op onderbuikgevoel.
Met Kantyra bestuur je kwetsbaarhedenbeheer in dezelfde omgeving als je ISMS. Je legt het beleid vast als beleidsdocument, je houdt het blootstellingsbeeld op ernst en hersteltermijn bij, en je beheert de uitzonderingen als bewuste risicoaanvaardingen. De managementrapportage vertaalt dat naar de stuurgetallen voor het bestuur, met de gemiddelde hersteltijd, het percentage binnen de termijn en de trend, in lijn met ISO 27001. Zo verschuif je van losse meldingen naar aantoonbare sturing.
Wat is het verschil tussen kwetsbaarhedenbeheer en patchen? Patchen is één manier om een kwetsbaarheid te herstellen. Kwetsbaarhedenbeheer is het hele proces eromheen, van het ontdekken en prioriteren tot het herstellen, verifiëren en verantwoorden. Patchen is uitvoering, beheer is sturing.
Is kwetsbaarhedenbeheer een taak van IT of van de CISO? Van beide, maar in een andere rol. De IT-operatie voert het herstel uit, terwijl de CISO het proces stuurt, de prioritering bepaalt en verantwoording aflegt. Die scheiding voorkomt dat dezelfde partij haar eigen werk beoordeelt.
Moet je elke kwetsbaarheid oplossen? Nee. Je prioriteert risicogebaseerd. Sommige kwetsbaarheden herstel je meteen, andere aanvaard je bewust en tijdelijk als restrisico, mits dat is vastgelegd en goedgekeurd door de juiste eigenaar.
Hoe snel moet je een kritieke kwetsbaarheid herstellen? Dat leg je vast in je beleid. Voor kritieke kwetsbaarheden is een korte termijn gebruikelijk, zeker als het systeem aan het internet hangt of daadwerkelijk wordt misbruikt. Het gaat erom dat de termijnen per ernst vaststaan en dat je erop stuurt.
Hoe toon je aan dat je kwetsbaarheden beheerst? Met een vastgesteld beleid, een actueel kwetsbaarhedenregister, een set stuurgetallen en een periodieke rapportage aan het bestuur. Samen laten die zien dat je grip hebt en dat het restrisico bewust is belegd.
Wil je kwetsbaarhedenbeheer besturen in plaats van achter meldingen aan te lopen? Met Kantyra houd je je beleid, je kwetsbaarhedenregister en je opvolging gekoppeld bij, in lijn met ISO 27001. Zo stuur je op ernst en hersteltermijn, laat de managementrapportage de stuurgetallen en de trend voor het bestuur zien, en beheer je de uitzonderingen bewust. Vraag een demo aan en ontdek hoe je kwetsbaarhedenbeheer bovenop je bestaande ISMS inricht.
Kantyra is een Nederlands ISMS- en GRC-platform waarmee organisaties hun informatiebeveiliging, risicomanagement en naleving aantoonbaar beheren, in lijn met normen als ISO 27001 en ISO 22301 en met wetgeving als de AVG, de Cyberbeveiligingswet en de AI-verordening.
In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.
Plan een demoEen losse pentest levert een rapport op, maar pas een gestructureerde aanpak levert waarde. Dit artikel behandelt het pentestbeleid, de pentestkalender, het rapport en de opvolging, en laat zien waarom een pentest vooral een signaal is dat door de vier fasen van het Kantyra-model moet lopen.
De AVG stelt regels aan het verwerken van persoonsgegevens en draait om één kerngedachte: de verantwoordingsplicht. Dit artikel behandelt de grondbeginselen, de zes grondslagen, de rechten van betrokkenen en de datalekmeldplicht, en laat zien hoe de naleving samenvalt met de vier fasen van het Kantyra-model.
De AI-verordening werkt risicogebaseerd: hoe groter het risico van een AI-systeem, hoe zwaarder de eisen. Dit artikel behandelt de vier risiconiveaus, je rol als aanbieder of gebruiksverantwoordelijke, de tijdlijn en de AI-geletterdheidsplicht, en laat zien hoe de naleving samenvalt met de vier fasen van het Kantyra-model.