Kwetsbaarheden in besturingssystemen, applicaties en cloudplatforms vormen een permanente aanvalsvector voor Nederlandse overheidsorganisaties. Zodra een leverancier een CVE publiceert, starten geautomatiseerde scans van statelijke actoren en cybercriminelen vrijwel onmiddellijk. NCSC-data laat zien dat bij ruim de helft van de ernstige incidenten een reeds bekende kwetsbaarheid is misbruikt en dat het gemiddelde exploitvenster kleiner is dan drie dagen. Zonder strak proces belanden Rijksdiensten, gemeenten en uitvoeringsorganisaties dus in een spel dat per definitie verloren wordt: aanvallers delen kennis en tooling razendsnel, terwijl patchcycli vaak weken duren.
De Nederlandse Baseline voor Veilige Cloud, de BIO en NIS2 verplichten daarom een aantoonbaar proces voor kwetsbaarhedenscans, risicoweging, besluitvorming en rapportage. Die eisen zijn niet louter formeel. Ze dwingen tot discipline: een up-to-date activaregister, detectiemiddelen met voldoende dekking, prioritering op basis van exploitstatus en een governance-mechanisme dat security-, operations- en businessverantwoordelijken op één lijn houdt. Organisaties die dit volwassen hebben ingericht rapporteren kortere MTTP’s (mean time to patch), minder spoedchanges en betere auditresultaten.
Klassieke maandelijkse patchrondes en uniforme “alles installeren”-strategieën botsen met de werkelijkheid. Multi-cloudomgevingen, OT-ketens en maatwerkapplicaties verdragen geen brute-force patchregimes. Tegelijkertijd accepteert geen bestuurder nog dat kritieke kwetsbaarheden maandenlang openstaan. De oplossing is een risk-based aanpak waarin exploitkansen, blootstelling en gegevensgevoeligheid leidend zijn. Microsoft Defender Vulnerability Management en aanvullende telemetrie uit Azure Policy, Purview en Sentinel kunnen die aanpak voeden, mits processen en mensen op elkaar zijn afgestemd.
Dit artikel beschrijft stap voor stap hoe Nederlandse overheden volledige dekking krijgen in hun kwetsbaarhedenscans, hoe zij prioritering en governance professionaliseren en hoe zij patchuitrol combineren met testautomatisering, virtuele compensaties en rapportages die in elke audit standhouden.
Deze gids richt zich op CISO’s, IT-beheerteams en change boards die verantwoordelijk zijn voor kwetsbaarhedenbeheer binnen Nederlandse overheidsinstanties. We verbinden technische detectie, bestuurlijke besluitvorming en rapportages aan de Nederlandse Baseline voor Veilige Cloud.
Een doorsnee Rijksorganisatie registreert tienduizenden CVE’s per jaar, terwijl slechts enkele procenten daadwerkelijk worden misbruikt. Combineer CVSS, CISA Known Exploited Vulnerabilities, interne assetkritikaliteit en aanwezigheid van compensatiemaatregelen om schaarse capaciteit te richten op de dreigingen die nu worden aangevallen.
Vulnerability Discovery: Volledige dekking en continue detectie
Vulnerability management begint met weten wat er beschermd moet worden. Veel overheidsorganisaties werken nog steeds met gescheiden CMDB’s voor datacenter, Microsoft 365 en OT, waardoor er altijd systemen buiten beeld vallen. Een volwassen programma koppelt daarom de CMDB aan Defender Vulnerability Management, Azure Arc, Intune en netwerkdetectie zodat iedere server, ieder werkstation, elk containercluster en elk SaaS-account automatisch wordt geregistreerd zodra het live gaat. Door deze bronnen te correleren ontstaat een dynamisch activaregister waarin kenmerken zoals eigenaar, dataclassificatie, locatie en compliance-labels worden bijgehouden. Wanneer een nieuw team een low-code-app publiceert of een leverancier een tijdelijke VM in Azure aanmaakt, wordt dat binnen uren zichtbaar voor het securityteam.
Dekken alleen bedrijfsnetwerken af is onvoldoende. De hybride werkplek, thuiszorglocaties, mobiele inspectieteams en offshore sensornetwerken brengen endpoints buiten het traditionele domein. Defender-agents leveren continue telemetrie, terwijl Defender for Cloud ingestuurde data van PaaS-diensten en Kubernetes-clusters toevoegt. Voor industriële controlesystemen of medische apparatuur waar geen agent mag draaien, blijft netwerkgebaseerde detectie nodig. NCSC en Rijksinspecties accepteren alleen dat uitzonderingen worden gemaakt als er een formeel dossier ligt waarin is vastgelegd hoe compensatiemaatregelen de zichtbaarheid borgen. Denk aan passieve netwerkmonitoring, periodieke on-site assessments of tooling zoals Microsoft’s authenticated scanning via een jump server met tijdelijke referenties.
De scanmethodiek moet aansluiten op het type asset. Authenticated scans geven de meest betrouwbare resultaten omdat de scanner ziet welke patches ontbreken, welke configuraties afwijken en welke binaries verouderd zijn. Dat vraagt wel om geheimhouding en rotatie van scanaccounts. De meeste overheidsinstellingen kiezen er daarom voor om Defender-agents of Intune-beheerde accounts te gebruiken zodat wachtwoorden automatisch kunnen worden vernieuwd en traceerbaar blijven. Voor internetkoppelingen waar geen agent staat, vullen ze dat aan met externe scans en penetratietesten om blootstelling vanuit burgers of leveranciers te verifiëren. Zo ontstaat een “outside-in” en “inside-out” beeld dat elkaar corrigeert.
Scans één keer per maand draaien is in 2025 onvoldoende. Nieuwe kwetsbaarheden in Exchange, VPN-gateways of OT-controllers worden soms binnen 24 uur misbruikt. De BIO en NIS2 vragen aantoonbaar om snelle detectie en veel organisaties leggen daarom vast dat kritieke internetkoppelingen dagelijks worden beoordeeld, interne kroonjuwelen minstens wekelijks en overige endpoints near-real-time via agenttelemetrie. Door scanresultaten direct naar Sentinel te sturen kunnen SOC-analisten afwijkingen combineren met detecties. Wanneer een domeincontroller ineens niet meer wordt gescand of een IoT-gateway afwijkende firmware laat zien, volgt automatisch een incidentticket in het ITSM-systeem. Zo wordt kwetsbaarhedendetectie een continue controle in plaats van een momentopname.
Tot slot hoort discovery onder governance. Change boards eisen dat projectteams bij de ingebruikname van een nieuwe dienst bewijzen dat Defender-agents actief zijn, dat de asset in de CMDB staat en dat de verantwoordelijke eigenaar patchvensters heeft afgesproken. Zonder die check komt er geen “go”. Hierdoor ontstaat een cultuur waarin security-eisen net zo vanzelfsprekend zijn als capaciteits- en beschikbaarheidstoetsen.
Datakwaliteit vormt de lijm tussen techniek en governance. Door API’s te gebruiken om assetgegevens rechtstreeks uit Azure, Intune, ServiceNow en leveranciersportalen te synchroniseren, verdwijnen handmatige spreadsheets uit het proces. Iedere nacht wordt een validatie gedraaid die controleert of serienummers, versies en eigenaarschappen nog kloppen; afwijkingen resulteren in automatische taken voor teamleads. Daardoor kan een audit aantonen dat het activaregister niet alleen compleet is, maar ook actueel en herleidbaar tot brondata uit inkoopdossiers of contracten.
Risk-based prioritering en bestuurlijke verankering
Wanneer alle kwetsbaarheden zichtbaar zijn, is prioritering de volgende uitdaging. Een lijst met tienduizend CVE’s zonder context verlamt teams. Door exploitbeschikbaarheid, assetkritikaliteit en aanwezigheid van compenserende maatregelen te koppelen, ontstaat een werkbare volgorde. CVSS blijft nuttig voor een eerste ordening, maar de Nederlandse Baseline voor Veilige Cloud schrijft terecht voor dat aanvullende factoren meetellen. Een CVSS 10 in een offline testsysteem weegt anders dan een CVSS 7 op een internetportaal waarmee burgers belastingaangifte doen. Defender Vulnerability Management, MISA-partneroplossingen of eigen datawarehouses kunnen deze contextrijke scoremodellen leveren, mits de achterliggende taxonomie klopt.
Exploitinformatie is de belangrijkste versneller. Het CISA Known Exploited Vulnerabilities-register, advisories van het NCSC en telemetrie uit Microsoft Threat Intelligence geven bijna realtime aan waar aanvallers actief zijn. Door KEV-vermeldingen automatisch een maximale score te geven en Sentinel-analyses te koppelen aan daadwerkelijke exploitpogingen, kunnen change boards defensierondes plannen die aansluiten op het dreigingsbeeld. Verschijnt er een nieuwe Fortinet- of VPN-kwetsbaarheid in het register, dan wordt binnen enkele uren een spoedchange voorbereid en volgt direct communicatie naar de verantwoordelijke proceseigenaren. De rapportage richting CIO en SG laat exact zien welke assets nog openstaan, welk testresultaat wacht en hoe het risico intussen wordt gemitigeerd.
Assetkritikaliteit bepaalt wie er aan tafel moet zitten. Domeincontrollers, sleutelregistraties van DigiD, registers met medisch of fiscaal materiaal en ICS-controllers krijgen automatisch het label “kroonjuweel”. Voor deze systemen gelden kortere doeltermijnen en is het verplicht dat zowel de CISO als de proceseigenaar de risicoacceptatie ondertekent. Organisaties die Azure Policy en Purview gebruiken koppelen automatisch labels zoals “Rijksvertrouwelijk” of “Zeer geheim” aan de assetgegevens, zodat de prioriteringsengine weet dat hier geen uitstel mogelijk is. Hierdoor verdwijnen discussies over subjectieve impact; de data-classificatie bepaalt het gesprek.
Compenserende maatregelen mogen alleen meetellen wanneer ze aantoonbaar werken. Een segmentatiebeleid dat niet periodiek wordt getest of een webapplicatiefilter waarvan de signatures verouderd zijn, mag niet leiden tot verlaging van het risico. Daarom leggen volwassen organisaties in hun governance vast dat elke compensatiemaatregel een eigenaar, een testfrequentie en een verloopdatum heeft. Het patchteam controleert in het ITSM-systeem of de laatste test binnen de afgesproken marge valt. Zo blijft de risicoscore eerlijk en wordt schijnzekerheid voorkomen.
Bestuurlijke verankering betekent ook dat prioritering zichtbaar is voor management. Dashboards in Power BI tonen per beleidsterrein de openstaande kwetsbaarheden, de verwachte MTTP en de uitzonderingen die een directieraad heeft geaccepteerd. Dezelfde gegevens voeden NIS2-rapportages en ENSIA-audits, waardoor security niet langer een black box is maar een stuurinstrument. Wanneer een portefeuille achterloopt, kan de CIO direct extra capaciteit vrijmaken of leveranciers aanspreken op contractuele termijnen. Daarmee verandert vulnerability management van een technisch klusje naar een integraal governanceproces.
Verandering vraagt tenslotte om menselijk vakmanschap. Door analisten te trainen in threat intelligence-interpretatie, scenario-analyse en data storytelling worden prioriteringsbesluiten beter onderbouwd. Sommige organisaties organiseren maandelijkse “vulnerability councils” waarin security, operations, compliance en finance gezamenlijk de statistieken doorlopen. Daarin worden lessons learned gedeeld, worden KPI’s zoals percentage KEV-kwetsbaarheden binnen normtijd en aantal openstaande uitzonderingen besproken en worden verbeteracties gealloceerd. Deze ritmiek zorgt ervoor dat prioritering geen ad-hoc exercitie is maar een ritueel dat het volwassenheidsniveau stap voor stap verhoogt.
Patch governance, automatisering en compenserende maatregelen
Nadat de prioriteiten helder zijn, begint het uitvoerende werk: patches testen, vrijgeven en uitrollen zonder de dienstverlening te verstoren. Nederlandse overheden werken vaak met mission critical applicaties voor uitkeringen, vergunningen of nationale veiligheid. Daarom combineren zij DevOps-automatisering met klassieke change control. Een volwassen patchfabriek kent drie sporen. Het eerste spoor automatiseert via Windows Update for Business, Azure Update Manager of Linux repos de standaardbeveiligingsupdates. Het tweede spoor behandelt vendorpatches voor bedrijfskritieke middleware en maatwerkapplicaties, inclusief geautomatiseerde testsets en synthetische transacties in een representatieve acceptatieomgeving. Het derde spoor richt zich op spoedacties waarbij virtuele patches, firewall-aanpassingen of geavanceerde detecties direct worden aangezet tot de definitieve update beschikbaar is.
Automatisering is alleen effectief wanneer het testproces even serieus wordt genomen. Veel organisaties hanteren “canary” of “rings”-modellen: eerst een klein cohort werkstations, daarna een deel van de medewerkers en pas dan de volledige populatie. Door Telemetrie uit Intune, Defender en Azure Monitor te analyseren wordt binnen enkele uren duidelijk of een patch performanceproblemen veroorzaakt. Fouten worden automatisch teruggedraaid via Autopatch of Configuration Manager, waardoor stilstand beperkt blijft. Voor servers eisen BIO en NEN 7510 dat er een aantoonbare back-outprocedure bestaat. Daarom documenteert elk team welke snapshots, backups of replicaties beschikbaar zijn en wie de bevoegdheid heeft om een rollback te starten.
Spoedpatches vragen om strak geregelde governance. Zodra een kwetsbaarheid de hoogste prioriteit krijgt, activeert het SOC een noodproces: change boardleden krijgen automatisch een melding, er wordt een virtueel warroomkanaal geopend en communicatie naar proceseigenaren en leveranciers wordt gecoördineerd. Binnen Rijksorganisaties wordt vaak een “time-to-mitigate” van 24 uur en een “time-to-remediate” van 48 of 72 uur gehanteerd, afhankelijk van de omgeving. Deze afspraken komen terug in SLA’s met leveranciers en managed service providers. Door de aanpak vooraf te oefenen tijdens tabletop-sessies en Purple Team-exercities, weten alle betrokkenen wat hun rol is en wordt vertraging voorkomen.
Niet elke kwetsbaarheid kan direct met een patch worden opgelost. OT-systemen, medische apparatuur en legacy-applicaties kennen soms vendor lock-in of certificeringseisen. Hier komt virtual patching om de hoek kijken: een combinatie van web application firewalls, IDS/IPS-regels, geavanceerde Conditional Access-beleid en extra monitoring verkleint het aanvalsoppervlak totdat een definitieve update beschikbaar is. Documenteer deze tijdelijke maatregelen nauwkeurig, stel een vervaldatum in en plan terugkerende gecontroleerde testen zodat auditors zien dat het geen permanente bypass wordt.
Rapportage sluit de lus. Elk patchvenster eindigt met een update aan de CIO en interne audit waarin wordt uitgelegd hoeveel kritieke kwetsbaarheden zijn opgelost, welke uitzonderingen openstaan en hoe lang compenserende maatregelen nog nodig zijn. Door metrics zoals patchslagingspercentage, gemiddelde testdoorlooptijd en aantal niet-gescande assets op te nemen, ontstaat een cultuur van continue verbetering. Wanneer MTTP’s oplopen doordat teams worstelen met capaciteit, kan de organisatie gericht investeren in extra automatisering, contractuele afspraken met leveranciers of training van change-coördinatoren. Zo groeit patch governance uit tot een integraal onderdeel van portfoliosturing en risicobeheersing.
Leveranciersbeheer vormt de laatste schakel. Veel SaaS- en IaaS-diensten worden extern beheerd en vereisen dat patchvensters contractueel zijn vastgelegd. Door in raamovereenkomsten meetbare indicatoren op te nemen – bijvoorbeeld maximaal zes uur voor mitigatie en vijf werkdagen voor volledige patching – kan de opdrachtgever aantonen dat ook ketenpartners aan de Baseline-eisen voldoen. Gezamenlijke rapportages in Power BI of Purview Compliance Manager laten real-time zien welke dienstverlener binnen of buiten de termijn zit, waardoor escalatie op feiten is gebaseerd. Dit vergroot wederzijds vertrouwen en maakt het eenvoudiger om budgetten te onderbouwen met concrete risicoreductie.
Kwetsbaarhedenbeheer is nooit af; het is een bedrijfsfunctie naast financiën of HR. Door discovery, prioritering en patchuitrol te behandelen als één keten ontstaat snelheid zonder de controle te verliezen. Organisaties die investeren in volledige activadekking, contextuele risicoscores en geautomatiseerde test- en uitrolpaden zien hun exploitvensters structureel dalen en voldoen aantoonbaar aan BIO, NIS2 en ENSIA. Belangrijker nog: bestuurders ontvangen begrijpelijke rapportages en kunnen ingrijpen voordat een audit of incident hen daartoe dwingt.
De combinatie van Defender Vulnerability Management, Azure Policy, Intune en Sentinel geeft al veel van de benodigde telemetrie. Maar tooling is slechts zo effectief als het governanceproces eromheen. Zorg voor duidelijke rollen, dwing patronen af in change boards, oefen spoedpatchscenario’s en documenteer elke uitzondering met einddatum en eigenaar. Zo wordt elk patchmoment een gecontroleerde stap in een continue verbetercyclus waarin risico’s aantoonbaar dalen en publieke dienstverlening betrouwbaar blijft.