« Terug naar nieuws

Van patching naar resilience

02 oktober 2025

Regelmatig vragen we onze medewerkers een blog te schrijven over een onderwerp binnen cybersecurity. Deze keer een blog van Ronald Kingma, oprichter van Access42.

De afgelopen 2 dagen heb ik weer voldoende inspiratie opgedaan tijdens de ONE Conference 2025. Een van de sessies die mij inspireerde, maar tegelijkertijd ook voelde als een open deur, ging over “patchen”. Het updaten van systemen. Vanuit Access42 helpen wij meerdere klanten met Vulnerability Management (as a Service). Niet simpelweg een lijstje opleveren met alles wat je moet doen, maar context en prioriteit toevoegen. Waar moet je beginnen. De sessie van Lokke Moerel en Michel van Eeten rondom het onderzoek/project Theseus gaf mij in ieder geval inspiratie om hier een artikel over te schrijven.

Cybersecurity begon ooit met patching. Het idee was simpel: kwetsbaarheden opsporen, patches installeren, risico’s reduceren. Voor organisaties was dit lange tijd de basis. Maar de werkelijkheid is veranderd. Applicaties zijn verspreid over on-premises en cloudomgevingen, systemen draaien continu door, en de afhankelijkheid van externe leveranciers groeit. Patching blijft noodzakelijk, maar het is niet langer voldoende om organisaties veilig te houden.

De kernvraag die tegenwoordig centraal staat en ook resoneerde op de ONE Conference: hoe zorgen organisaties ervoor dat cybersecurity niet alleen reactief is, maar dat ze pro-actief en veerkrachtig worden?

Project THESEUS: Onderzoek naar Effectieve Patching in Organisaties

Het THESEUS-project (2021–2027) van Tilburg University richt zich op het verbeteren van de snelheid, efficiëntie en effectiviteit van patching in organisaties. Het project wordt uitgevoerd door het Tilburg Institute for Law, Technology, and Society (TILT) in samenwerking met onder andere de TU Delft, VU Amsterdam, KLM-AirFrance, Philips, Rijkswaterstaat, de gemeenten Amsterdam en Den Haag, KPN, CyberSprint en het Nationaal Cyber Security Centrum.

Het onderzoek richt zich op drie niveaus:

  1. Systemen: Ontwikkeling van nieuwe technieken voor automatische kwetsbaarheid- en patch-triage, evenals automatische patchgeneratie met live-updates voor gevallen waarin kritieke patches onaanvaardbare beschikbaarheidsrisico’s met zich meebrengen.
  2. Ondernemingen: Beter kwantificeren van het risico van patching door de resultaten van patch-triage te beoordelen en samen te voegen, om zo de kans op misbruik beter in te schatten, rekening houdend met verschillende aanvalsmodellen en functionele impact.
  3. Governance: Effectiever beheren van de risico’s van patching door stimuleringsmechanismen in te voeren via notificaties en informatie-uitwisseling, sectorbrede benchmarks voor patch-snelheid en mogelijk wettelijke instrumenten.

Het doel is om organisaties in staat te stellen beveiligingsproblemen veel sneller, efficiënter en met minder risico op te lossen (ofwel: te patchen). Onderzoekers van TILT zullen daartoe aanbevelingen doen aan wetgevers, zowel op nationaal als op Europees niveau.

Ik zie vanuit een aantal van onze vendoren, en ook vanuit de diensten vanuit Access42 al veel toegevoegde waarde door de inzet van o.a. Exposure Management. Een nieuwe term die inmiddels door Gartner is overgenomen.

De technische basis

Patching: de eerste verdedigingslinie

Patching blijft essentieel. Het sluit bekende kwetsbaarheden in systemen en software. Het klinkt eenvoudig, maar in complexe organisaties is het een uitdaging. Honderden servers, duizenden applicaties, cloudomgevingen en OT-systemen (Operational Technology) moeten allemaal correct geüpdatet worden, zonder bedrijfsprocessen te verstoren. En dan speelt de afhankelijkheid van leveranciers of van kritische systemen die niet zomaar offline gehaald kunnen worden ook vaak nog mee.

Vulnerability Management (VM)

VM biedt structuur. Kwetsbaarheden worden opgespoord, geprioriteerd en opgelost. VM richt zich echter vooral op technische kwetsbaarheden, zonder altijd zicht op het volledige risico dat ze vormen voor de organisatie. De prioriteit van een kwetsbaarheid is op basis van CVSS, wat in basis aan statische waarde is zonder context. Vanuit de markt zijn hier gelukkig oplossingen voor die helpen om context toe te voegen aan kwetsbaarheden. Als voorbeeld VPR van Tenable .

Attack Surface Management (ASM)

ASM is de stap die het plaatje compleet maakt. Het gaat erom volledig zicht te krijgen op alle assets die je organisatie bezit, zowel in IT (servers, applicaties, cloud workloads) als OT (productieapparatuur, industriële controllers). Pas wanneer je weet wat er is en waar het staat, kun je risico’s prioriteren en effectief patchen (of een andere mitigerende maatregel treffen).

Belangrijke voordelen van ASM:

  • Helder overzicht van alle systemen en netwerken, inclusief shadow IT en OT-assets.
  • Mogelijkheid om risico’s te prioriteren op basis van exposure en criticaliteit.
  • Ondersteuning voor compliance: aantoonbaar dat alle assets worden beheerd en beveiligd.

Exposure Management

Exposure Management gaat een stap verder. Het kijkt niet alleen naar kwetsbaarheden, maar naar alles wat een organisatie kan blootstellen aan risico’s. Het identificeert potentiële aanvalsvectoren, zoals:

  • Misconfiguraties in cloud- en netwerkdiensten
  • Zwakke toegangsrechten en identiteiten
  • Kwetsbaarheden in systemen van leveranciers of partners

Door exposure te meten en te prioriteren, kunnen organisaties gerichter mitigeren en risico’s verminderen die daadwerkelijk misbruikt kunnen worden.

Samen vormen patching, VM, exposure management en ASM een geïntegreerde aanpak: je weet wat je hebt (ASM), je identificeert kwetsbaarheden (VM), je bepaalt de impact op de organisatie (Exposure Management) en je pakt het effectief aan (patching).

Wet- en regelgeving

Wetgeving speelt een steeds grotere rol bij het afdwingen van cybersecurity en resilience in Europa. Organisaties kunnen niet langer alleen op vrijwillige maatregelen vertrouwen; ze moeten aantoonbaar zorgen dat hun diensten veilig en betrouwbaar blijven.

NIS1 – de eerste stap in Europese cybersecurity (2016)

  • Scope: Aanbieders van essentiële diensten zoals energie, telecom, water en gezondheidszorg.
  • Doel: Basisniveau van cybersecurity afdwingen en incidentmeldingen reguleren.
  • Artikel 14: verplicht organisaties om “passende en proportionele technische en organisatorische maatregelen” te nemen. Dit betekent concreet dat organisaties kwetsbaarheden moeten identificeren, prioriteren en mitigeren. Patching en updates vormen hier een kerncomponent van.
  • Praktische impact: Organisaties moesten processen implementeren om incidenten tijdig te detecteren, mitigeren en rapporteren. Hoewel NIS1 een relatief beperkt toepassingsgebied had, legde het de basis voor gestructureerd patch- en risicomanagement.

NIS2 – veel strenger en breder

  • De scope is veel breder dan NIS1. Naast aanbieders van essentiële diensten vallen nu ook digitale infrastructuren, leveranciers van essentiële digitale diensten en belangrijke sectoren zoals transport, zorg en voedselproductie onder de regels.
  • NIS2 dwingt organisaties cybersecurity integraal te benaderen, met nadruk op risicobeheer en governance.

Belangrijkste verplichtingen vanuit NIS2:

  • Risicomanagement: Regelmatige beoordelingen, inclusief kwetsbaarheden en exposures.
  • Patch- en updatebeheer: Bekende kwetsbaarheden tijdig verhelpen, inclusief bij leveranciers.
  • Security-by-design/-default: Nieuwe systemen vanaf de start veilig ontwerpen.
  • Monitoring en detectie: Continue detectie van kwetsbaarheden en misconfiguraties.
  • Governance en bestuurlijke verantwoordelijkheid: Directies zijn persoonlijk verantwoordelijk voor patch- en updatebeleid.

NIS2 verschuift de focus van enkel compliance naar daadwerkelijke effectiviteit. Organisaties moeten kunnen aantonen dat kwetsbaarheden actief worden beheerd en dat het totale aanvalsoppervlak wordt beperkt. Het niet adequaat patchen kan leiden tot sancties én verhoogt de kans op succesvolle aanvallen aanzienlijk.

ProtectEU

ProtectEU bouwt voort op NIS2 en legt de nadruk op resilience. Het gaat niet langer alleen om het beschermen van systemen tegen aanvallen, maar ook om het vermogen van organisaties om door te functioneren en te herstellen na incidenten.

Belangrijkste focuspunten van de ProtectEU:

  • Continuïteit van kritieke processen, ook bij grootschalige aanvallen of verstoringen in de keten.
  • Integratie van cybersecurity in governance, beleid en cultuur van de organisatie.
  • Aantoonbare maatregelen en procedures voor detectie, mitigatie en herstel.

Waarom dit belangrijk is voor organisaties:

  • Compliance alleen is niet genoeg; organisaties moeten aantoonbaar veerkrachtig zijn.
  • Wetgeving zoals NIS2 en ProtectEU dwingt organisaties om patch- en updateprocessen, incidentrespons en governance structureel te verbeteren.
  • Het ondersteunt de verschuiving van een reactieve naar een proactieve en veerkrachtige cybersecuritystrategie.

Van cybersecurity naar resilience

Het traditionele cybersecuritymodel richt zich voornamelijk op het voorkomen van aanvallen door middel van preventieve maatregelen zoals firewalls, antivirussoftware en patching. Hoewel deze maatregelen essentieel blijven, is het besef gegroeid dat volledige bescherming onmogelijk is. Aanvallen zullen plaatsvinden, en de vraag is hoe snel en effectief een organisatie kan reageren om de schade te beperken en de continuïteit te waarborgen.

Het THESEUS-project van Tilburg University speelt een cruciale rol in deze verschuiving van een reactieve naar een proactieve en veerkrachtige benadering van cybersecurity. Het project richt zich op het versnellen, efficiënter maken en minder risicovol maken van het patchproces, wat essentieel is voor het versterken van de digitale veerkracht van organisaties. Dit sluit naadloos aan op de Access42 dienst Exposure Management as a Service (EMaaS).

Drie Niveaus van Aanpak

Het THESEUS-project benadert de uitdaging van patching op drie niveaus:

  1. Systemen: Ontwikkeling van nieuwe technieken voor automatische kwetsbaarheids- en patch-triage, evenals automatische patchgeneratie met live updates voor gevallen waarin kritieke patches onaanvaardbare beschikbaarheidsrisico’s met zich meebrengen.
  2. Ondernemingen: Betere kwantificering van het risico van patching door het beoordelen en samenvoegen van de resultaten van patch-triage, om zo de kans op misbruik beter in te schatten, rekening houdend met verschillende aanvalsmodellen en functionele impact.
  3. Governance: Effectiever beheren van de risico’s van patching door stimuleringsmechanismen in te voeren via notificaties en informatie-uitwisseling, sectorbrede benchmarks voor patch-snelheid en mogelijk wettelijke instrumenten.

Deze geïntegreerde aanpak zorgt ervoor dat organisaties niet alleen kwetsbaarheden sneller kunnen patchen, maar ook beter kunnen inschatten welke risico’s prioriteit hebben en hoe ze deze effectief kunnen mitigeren.

Versterken van Digitale Veerkracht

Door de focus te verschuiven van louter preventie naar een holistische benadering van risicomanagement, draagt het THESEUS-project bij aan het versterken van de digitale veerkracht van organisaties. Dit sluit aan bij de bredere trend in de wet- en regelgeving, zoals NIS2 en ProtectEU, die nadruk leggen op het vermogen van organisaties om zich snel en effectief aan te passen aan veranderende dreigingen en incidenten.

In plaats van alleen te vertrouwen op preventieve maatregelen, worden organisaties aangemoedigd om systemen, processen en governance-structuren te ontwikkelen die hen in staat stellen om snel te reageren op incidenten, de impact te beperken en snel te herstellen.

Access42 biedt niet alleen technische oplossingen, maar ook beleidsaanbevelingen die organisaties helpen bij het implementeren van best practices en het voldoen aan de steeds strengere regelgeving op het gebied van cybersecurity.

Mijn conclusie

Patching blijft een onmisbare basisvoorwaarde: zonder updates blijven systemen kwetsbaar en zijn andere maatregelen slechts pleisters op de wond. Maar patching alleen is niet genoeg. Organisaties moeten een geïntegreerde aanpak hanteren, waarbij Attack Surface Management (ASM) en Exposure Management zorgen dat alle IT- en OT-assets volledig in beeld zijn, de belangrijkste risico’s worden geïdentificeerd en prioriteiten effectief worden gemitigeerd.

Het THESEUS-project van Tilburg University toont aan dat organisaties die systematisch werken op drie niveaus (Systemen, Ondernemingen en Governance) hun patchproces versnellen, risico’s beter kunnen prioriteren en hun digitale veerkracht vergroten. Dit is geen theoretisch idee: het is een wetenschappelijk onderbouwde aanpak die laat zien hoe aantoonbare, proactieve maatregelen bijdragen aan echte weerbaarheid tegen aanvallen.

Wet- en regelgeving, zoals NIS2 en de toekomstige ProtectEU-wet, dwingt organisaties bovendien om niet alleen te beschermen, maar ook aan te tonen dat ze veerkrachtig en herstelbaar zijn bij incidenten. Compliance wordt daardoor een strategische noodzaak: organisaties moeten kunnen aantonen dat ze zowel kwetsbaarheden beheren als hun kritieke processen kunnen continueren bij incidenten.

Samenvattend: de toekomst van cybersecurity is resilience. Organisaties die investeren in patching, ASM, exposure management en een stevige governance-structuur bouwen niet alleen aan veiligheid, maar ook aan aantoonbare veerkracht. Dit maakt hen beter voorbereid, wettelijk compliant én in staat om snel te herstellen bij cyberincidenten. Een cruciale differentiator in een steeds complexere digitale wereld.

Deel dit artikel

Van patching naar resilience