Wat is het verschil tussen kwetsbaarheidsbeheer en kwetsbaarheidsscanning?

Kwetsbaarheidsscanning is één stap binnen kwetsbaarheidsbeheer — het is het geautomatiseerde proces van het ontdekken van bekende zwakheden. Kwetsbaarheidsbeheer is het volledige levenscyclusprogramma dat scanning, risicobeoordeling, prioritering, herstel, verificatie, rapportage en governance omvat. Scannen zonder beheer creëert ruis zonder risicovermindering.

Hoe vaak moeten kwetsbaarheidsscans worden uitgevoerd?

Best practice is om geauthenticeerde netwerkscans minimaal wekelijks uit te voeren, externe scans minimaal maandelijks en applicatiescans (DAST/SAST) als onderdeel van de CI/CD-pijplijn. Veel complianceframeworks vereisen minimaal driemaandelijkse scans, maar de trend gaat richting continue scanning. Kritieke infrastructuur moet dagelijks worden gescand.

Wat zijn typische herstel-SLA's voor kwetsbaarheden?

Gebruikelijke SLA's gebaseerd op CVSS-ernst: Kritiek (CVSS 9.0-10.0) binnen 24-72 uur, Hoog (7.0-8.9) binnen 7-14 dagen, Gemiddeld (4.0-6.9) binnen 30-60 dagen en Laag (0.1-3.9) binnen 90 dagen. Deze moeten worden gedocumenteerd in uw kwetsbaarheidsbeleid en worden bijgehouden als compliancebewijs.

Wat is CVSS en hoe wordt het gebruikt?

Het Common Vulnerability Scoring System (CVSS) is een gestandaardiseerd framework voor het beoordelen van de ernst van beveiligingskwetsbaarheden op een schaal van 0-10. CVSS v4.0 is de huidige versie. Hoewel CVSS een basisernstscore biedt, moeten organisaties dit combineren met dreigingsintelligentie, assetkriticiteit en bedrijfscontext voor risicogebaseerde prioritering.

Welke complianceframeworks vereisen kwetsbaarheidsbeheer?

ISO 27001 (A.8.8 — Technisch kwetsbaarheidsbeheer), SOC 2 (CC7.1 — Detectie van wijzigingen), NIS2 (Artikel 21 — Omgang met en openbaarmaking van kwetsbaarheden), DORA (Artikel 9 — ICT-kwetsbaarheidsbeheer) en PCI DSS (Vereiste 11 — Regelmatig kwetsbaarheidstesten) vereisen allemaal formele kwetsbaarheidsbeheerprogramma's.

Wat is het verschil tussen een kwetsbaarheid en een exploit?

Een kwetsbaarheid is een zwakheid die potentieel kan worden uitgebuit. Een exploit is de daadwerkelijke techniek of code die wordt gebruikt om misbruik te maken van een kwetsbaarheid. Niet alle kwetsbaarheden hebben bekende exploits, daarom is risicogebaseerde prioritering die uitbuitbaarheid overweegt effectiever dan alles repareren op basis van alleen CVSS-score.

Hoe gaan we om met kwetsbaarheden die we niet onmiddellijk kunnen oplossen?

Documenteer een risico-uitzondering met een formeel risicoacceptatieproces. Neem de kwetsbaarheidsdetails op, de zakelijke rechtvaardiging voor de uitzondering, compenserende maatregelen die zijn getroffen, een herbeoordelingsdatum en goedkeuring van de risico-eigenaar. Houd alle uitzonderingen bij in een risicoregister en beoordeel ze driemaandelijks. Dit is cruciaal auditbewijs.

Kwetsbaarheidsbeheer: de complete gids voor beveiligings- en complianceteams

Published 8 mrt 2026

By Emre Salmanoglu

Kwetsbaarheidsbeheer: de complete gids voor beveiligings- en complianceteams

Q: Wat is kwetsbaarheidsbeheer?

Kwetsbaarheidsbeheer is het continue proces van het identificeren, classificeren, prioriteren, herstellen en rapporteren van beveiligingskwetsbaarheden in uw IT-omgeving. Het gaat verder dan eenvoudig scannen — een volwassen programma omvat asset-inventarisatie, risicogebaseerde prioritering, herstel-SLA's, uitzonderingsafhandeling en continue monitoring.

Leer hoe u een kwetsbaarheidsbeheerprogramma opbouwt dat voldoet aan ISO 27001, SOC 2, NIS2 en DORA. Behandelt scanning, prioritering, herstel-SLA's en auditbewijs.

kwetsbaarheidsbeheer

kwetsbaarheidsscanning

patchbeheer

CVE

compliance

Wat is kwetsbaarheidsbeheer?

Kwetsbaarheidsbeheer is het continue, systematische proces van het identificeren, evalueren, behandelen en rapporteren van beveiligingskwetsbaarheden in het gehele technologielandschap van een organisatie. Het transformeert ruwe kwetsbaarheidsgegevens in daadwerkelijke risicovermindering.

Een volwassen programma gaat ver voorbij het uitvoeren van een scanner — het omvat assetontdekking, risicogebaseerde prioritering, herstelworkflows, uitzonderingsafhandeling, metriekentracking en compliancerapportage.

De levenscyclus van kwetsbaarheidsbeheer

Fase	Activiteiten	Belangrijkste resultaten
1. Assetontdekking	Een volledige, actuele inventaris bijhouden van alle hardware, software en cloud-assets	Assetregister met criticiteitsbeoordelingen
2. Kwetsbaarheidsidentificatie	Geauthenticeerde scans uitvoeren, adviezen beoordelen, dreigingsfeeds monitoren	Ruwe kwetsbaarheidsbevindingen
3. Prioritering	Scoren op basis van CVSS + assetkriticiteit + uitbuitbaarheid + bedrijfscontext	Geprioriteerde herstelwachtrij
4. Herstel	Patchen, configureren, upgraden of compenserende maatregelen toepassen	Gesloten kwetsbaarheden, wijzigingsregistraties
5. Verificatie	Opnieuw scannen om oplossingen te bevestigen, compenserende maatregelen valideren	Verificatiebewijs
6. Rapportage	Dashboardmetrieken, trendanalyse, compliancerapportages	Management- en auditrapporten
7. Governance	Beleidsbeoordeling, SLA-aanpassingen, volwassenheidsbeoordeling van het programma	Bijgewerkt beleid, procesverbeteringen

Kwetsbaarheidscoring en prioritering

CVSS-ernstniveaus

Ernst	CVSS-score	Typische herstel-SLA	Voorbeelden
Kritiek	9.0 – 10.0	24-72 uur	Code-uitvoering op afstand, authenticatie-bypass
Hoog	7.0 – 8.9	7-14 dagen	Privilege-escalatie, SQL-injectie
Gemiddeld	4.0 – 6.9	30-60 dagen	Cross-site scripting, informatieblootstelling
Laag	0.1 – 3.9	90 dagen	Kleine configuratieproblemen, bugs met lage impact
Informatief	0.0	Best effort	Best practice-aanbevelingen

Risicogebaseerde prioritering

CVSS alleen is onvoldoende. Combineer deze factoren voor effectieve prioritering:

Factor	Beschrijving	Gewicht
CVSS-basisscore	Intrinsieke ernst van de kwetsbaarheid	Basislijn
Uitbuitbaarheid	Bestaat er een bekende exploit? Wordt deze actief uitgebuit? (CISA KEV-catalogus)	Hoog
Assetkriticiteit	Hoe belangrijk is het getroffen systeem voor de bedrijfsvoering?	Hoog
Blootstelling	Is de asset internetgericht of alleen intern?	Gemiddeld
Gegevensgevoeligheid	Welk classificatieniveau van gegevens verwerkt het?	Gemiddeld
Compenserende maatregelen	Zijn er al beperkende maatregelen aanwezig?	Bijstellend

Scantypes

Scantype	Doel	Frequentie	Tools
Netwerkkwetsbaarheidsscan	Bekende CVE's ontdekken in OS en services	Minimaal wekelijks	Nessus, Qualys, Rapid7 InsightVM
Geauthenticeerde scan	Diepgaande scan met systeemreferenties voor nauwkeurige resultaten	Wekelijks	Idem, met referenties
Webapplicatiescan (DAST)	Draaiende webapps testen op OWASP Top 10	Per release + maandelijks	OWASP ZAP, Burp Suite, Acunetix
Statische analyse (SAST)	Broncode analyseren op kwetsbaarheden	Elke commit (CI/CD)	SonarQube, Checkmarx, Semgrep
Software composition analysis (SCA)	Kwetsbare open-source-afhankelijkheden identificeren	Elke build	Snyk, Dependabot, Grype
Container-imagescan	Container-images scannen op bekende CVE's	Elke build + registerscan	Trivy, Grype, Prisma Cloud
Cloudconfiguratiescan	Cloudinfrastructuur controleren op misconfiguraties	Continu	CSPM-tools, Prowler
Infrastructure as Code-scan	IaC-sjablonen scannen vóór implementatie	Elke commit	Checkov, tfsec, KICS

Een kwetsbaarheidsbeheerprogramma opbouwen

Essentiële componenten

Component	Beschrijving	Volwassenheidsindicator
Beleid	Gedocumenteerd kwetsbaarheidsbeleid met scope, rollen, SLA's	Goedgekeurd door management, jaarlijks beoordeeld
Asset-inventaris	Volledige, geclassificeerde inventaris van alle assets	Geautomatiseerde ontdekking, continu bijgewerkt
Scandekking	Alle assets gescand volgens schema	>95% dekking, geauthenticeerde scans
Prioriteringsframework	Risicogebaseerde aanpak voorbij ruwe CVSS	Contextbewuste scoring met bedrijfsinput
Herstelworkflows	Ticketingsintegratie, toewijzing, tracking	Geautomatiseerde ticketcreatie, SLA-tracking
Uitzonderingsbeheer	Formeel proces voor risicoacceptatie	Gedocumenteerd, tijdgebonden, goedgekeurd
Metrieken en rapportage	KPI's bijgehouden en gerapporteerd aan management	Dashboard met trendanalyse
Continue verbetering	Regelmatige programmabeoordelingen en volwassenheidsmetingen	Jaarlijkse volwassenheidsscore

Belangrijke metrieken

Metriek	Wat het meet	Doel
Gemiddelde hersteltijd (MTTR)	Gemiddeld aantal dagen van ontdekking tot oplossing	Kritiek <3 dagen, Hoog <14 dagen
Scandekking	% van assets dat volgens schema is gescand	>95%
Kwetsbaarheidsdichtheid	Kwetsbaarheden per asset of per 1.000 regels code	Dalende trend
SLA-nalevingspercentage	% van kwetsbaarheden opgelost binnen SLA	>90%
Achterstallige kwetsbaarheden	Aantal kwetsbaarheden voorbij SLA	Dalende trend
Aantal risico-uitzonderingen	Aantal openstaande risico-uitzonderingen	Stabiel of dalend
Herhalingspercentage	Kwetsbaarheden die terugkeren na oplossing	<5%

Compliancevereisten

Frameworkkoppeling

Vereiste	ISO 27001	SOC 2	NIS2	DORA	PCI DSS
Kwetsbaarheidsscanning	A.8.8	CC7.1	Art. 21(2)(e)	Art. 9(2)	Verpl. 11.3
Patchbeheer	A.8.8	CC7.1	Art. 21(2)(e)	Art. 9(2)	Verpl. 6.3.3
Risicogebaseerde prioritering	A.8.8	CC3.2	Art. 21(2)(a)	Art. 9(1)	Verpl. 6.3.1
Hersteltracking	A.8.8	CC7.2	Art. 21(2)(e)	Art. 9(2)	Verpl. 11.3.3
Uitzonderingsbeheer	A.5.1	CC3.2	Art. 21(1)	Art. 9(1)	Verpl. 6.3.2
Rapportage aan management	A.5.1	CC4.2	Art. 20	Art. 13	Verpl. 12.4

Auditbewijs

Bewijstype	Beschrijving	Framework
Kwetsbaarheidsbeleid	Gedocumenteerd beleid met SLA's en escalatiepaden	Alle frameworks
Scanrapportages	Regelmatige scanresultaten die dekking en bevindingen tonen	Alle frameworks
Hersteltickets	Jira/ServiceNow-tickets met tijdstempels en status	ISO 27001, SOC 2
SLA-nalevingsrapportages	Dashboard met % opgelost binnen SLA	Alle frameworks
Uitzonderingenregister	Gedocumenteerde risicoacceptaties met goedkeuringen	Alle frameworks
Trendrapportages	Maand-over-maand kwetsbaarheidsaantallen en MTTR	SOC 2, NIS2
Penetratietestresultaten	Jaarlijkse penetratietesten ter validatie van maatregelen	ISO 27001, NIS2, DORA

Veelgemaakte fouten

Fout	Impact	Oplossing
Scannen zonder herstelworkflows	Ophoping van onopgeloste kwetsbaarheden	Integreren met ticketing, eigenaarschap toewijzen
Alle kwetsbaarheden gelijk behandelen	Alarmmoeheid, verkeerd ingezette middelen	Risicogebaseerde prioritering implementeren
Alleen niet-geauthenticeerde scans	40-60% van kwetsbaarheden missen	Geauthenticeerde scanning uitrollen
Geen asset-inventaris	Onbekende scanlacunes	Geautomatiseerde assetontdekking opbouwen en onderhouden
Handmatige tracking in spreadsheets	Auditfouten, verloren overzicht	Een dedicated kwetsbaarheidsplatform gebruiken
Cloud- en containerworkloads negeren	Groeiende blinde vlekken	Scanning uitbreiden naar cloud, containers, IaC
Geen gedefinieerde SLA's	Geen verantwoordelijkheid voor herstel	Ernstgebaseerde SLA's documenteren en handhaven

Hoe Orbiq kwetsbaarheidsbeheer ondersteunt

Orbiq helpt u kwetsbaarheidsbeheersmaatregelen aan te tonen aan klanten en auditors:

Bewijsverzameling — Centraliseer scanrapportages, hersteltickets en SLA-metrieken
Continue monitoring — Volg KPI's voor kwetsbaarheidsbeheer in uw gehele omgeving
Trust Center — Deel uw kwetsbaarheidsbeheershouding via uw Trust Center
Compliancekoppeling — Koppel kwetsbaarheidsbeheersmaatregelen aan ISO 27001-, SOC 2-, NIS2- en DORA-vereisten
Auditgereedheid — Vooraf samengestelde bewijspakketten voor beoordeling door auditors

Verder lezen

Penetratietesten — De effectiviteit van kwetsbaarheidsbeheer valideren
Cloud Security Posture Management — Cloudspecifieke kwetsbaarheidsdetectie
Incidentrespons — Uitgebuite kwetsbaarheden afhandelen
Risicobeheerframeworks — Bredere risicocontext voor kwetsbaarheidsprioritering
Beveiligingsaudit — Algehele beveiligingshouding beoordelen inclusief kwetsbaarheidsbeheer
Toeleveringsketenbeveiliging — Kwetsbaarheidsrisico's van derden