Niet elke kwetsbaarheid is even urgent: EPSS en KEV uitgelegd voor beslissers
Gepubliceerd op 11 juli 2026
Het scanrapport is binnen en de teller staat op veertig bevindingen. De IT-verantwoordelijke vraagt om tijd en budget, de directie wil weten hoe erg het is, en ergens klinkt de vraag die niemand hardop wil stellen: moeten we dit écht allemaal oplossen, en zo ja, in welke volgorde?
Dat is geen teken van onwil, het is de juiste vraag. Niet elke kwetsbaarheid is even urgent, en de organisatie die alles even urgent behandelt, doet in de praktijk het verkeerde eerst. Dit artikel legt de twee instrumenten uit waarmee u wél op werkelijk risico prioriteert: EPSS en KEV.
Het probleem met "hoe erg is het?": ernst is geen kans
De meeste rapporten ordenen bevindingen op een CVSS-score: een cijfer van 0 tot 10 dat uitdrukt hoe ernstig de gevolgen van een kwetsbaarheid kunnen zijn. Nuttig, maar het meet maar de helft van het risico. CVSS zegt hoe hard de klap is áls het misgaat, niet hoe waarschijnlijk het is dat het misgaat.
En die kans verschilt enorm. Van alle gepubliceerde kwetsbaarheden wordt maar een klein deel, orde van grootte enkele procenten, ooit daadwerkelijk misbruikt. De rest bestaat vooral op papier: wel een risico in theorie, geen aanvaller die er zijn tijd in steekt. Wie puur op CVSS stuurt, zet dus schaarse IT-uren in op theoretische risico's terwijl de kwetsbaarheid waar vandaag op gescand wordt in de wachtrij staat.
Voor de beslisser is dit het kerninzicht: risico is ernst maal kans, en voor die tweede factor bestaan inmiddels twee volwassen, openbare bronnen.
EPSS: de kans dat het misgaat
EPSS, het Exploit Prediction Scoring System van de internationale securityorganisatie FIRST, geeft per kwetsbaarheid de geschatte kans dat die binnen de komende 30 dagen daadwerkelijk wordt misbruikt. Het model wordt dagelijks bijgewerkt op basis van waargenomen aanvalsdata uit de praktijk.
De uitkomst is een percentage, en de verschillen zijn groot: veruit de meeste kwetsbaarheden scoren ver onder de één procent, een kleine groep scoort tientallen procenten. Die kleine groep is waar uw aandacht heen moet. Een kwetsbaarheid met een gemiddelde CVSS-score maar een hoge EPSS-score is in de praktijk gevaarlijker dan een "kritieke" bevinding waar geen aanvaller naar omkijkt.
KEV: geen kans meer, maar zekerheid
De Known Exploited Vulnerabilities-catalogus (KEV) van het Amerikaanse cyberagentschap CISA is nog directer: een openbare lijst van kwetsbaarheden waarvan bevestigd is dat ze actief worden misbruikt. Geen voorspelling, maar waarneming. Amerikaanse overheidsinstanties zijn verplicht KEV-kwetsbaarheden binnen een gestelde termijn te herstellen, en die norm wordt wereldwijd overgenomen als redelijke maatstaf.
Voor uw organisatie is de vertaling eenvoudig: staat een bevinding uit uw scanrapport in de KEV-catalogus, dan is de discussie over prioriteit voorbij. Er zijn aanvallers die deze kwetsbaarheid vandaag gebruiken, dus herstel hoort bovenaan, in dagen en niet in maanden.
De drie-lagen-aanpak in de praktijk
Samen leveren de twee bronnen een prioritering op die uitlegbaar is aan directie én auditor:
| Prioriteit | Criterium | Redelijke hersteltermijn |
|---|---|---|
| Nu | Bevinding staat in de KEV-catalogus: misbruik bevestigd | Binnen dagen |
| Deze week | Hoge EPSS-score: grote kans op misbruik op korte termijn | Binnen 1 tot 2 weken |
| Planmatig | Overige bevindingen, gewogen naar ernst en belang van het systeem | Regulier patchproces, binnen 30 tot 90 dagen |
Twee kanttekeningen houden het eerlijk. Ten eerste: kans-scores gelden per kwetsbaarheid, niet per organisatie. Een lage EPSS-score op een systeem met uw kroonjuwelen kan alsnog zwaarder wegen dan de tabel suggereert; context blijft mensenwerk. Ten tweede: prioriteren is iets anders dan wegstrepen. Ook de planmatige categorie moet aantoonbaar worden afgewerkt, alleen niet in paniek.
Wat dit betekent voor de bestuurskamer
NIS2 en de Cyberbeveiligingswet eisen passende en proportionele maatregelen. Risicogestuurd prioriteren is de definitie van proportioneel: u kunt uitleggen waarom bevinding A binnen 48 uur is hersteld en bevinding B in het reguliere proces zit. Dat verhaal is voor een toezichthouder of auditor overtuigender dan "we lossen alles op", wat in de praktijk vrijwel nooit waar is.
Concreet geeft dit u drie vragen voor het volgende overleg met uw IT-team of leverancier:
- Staan er bevindingen uit onze laatste scan in de KEV-catalogus, en zo ja, zijn die al hersteld?
- Welke hersteltermijnen hanteren we per prioriteitsklasse, en zijn die vastgelegd?
- Kunnen we per bevinding aantonen wanneer die is gevonden en wanneer opgelost?
Wie deze drie vragen beantwoord krijgt, heeft geen dieper technisch begrip nodig om te kunnen sturen. Hoe u die sturing vervolgens in een bestuurlijk rapport giet, beschreven we in van CVE-lijst tot directierapportage, en voor de security-verantwoordelijke in van kwetsbaarhedenlijst naar bestuursbewijs.
Conclusie
Veertig bevindingen zijn geen veertig noodgevallen. EPSS en KEV maken van een ongesorteerde lijst een gestaffelde werkvoorraad: bevestigd misbruik eerst, waarschijnlijk misbruik daarna, de rest planmatig. Dat is niet alleen effectiever, het is ook precies de proportionele, uitlegbare aanpak die de zorgplicht van u vraagt.
De rapportages van Exposentry passen deze weging standaard toe: elke bevinding wordt verrijkt met de actuele EPSS-score en KEV-status, zodat het rapport zelf al vertelt wat eerst moet, in begrijpelijk Nederlands. Onderdeel van doorlopende vulnerability monitoring, gebouwd op OpenKAT. Bekijk de pakketten of start met een nulmeting.
Geschreven door Edward Hasekamp, oprichter van Exposentry en core-maintainer van het open-source OpenKAT-project. Zie het project op GitHub en het profiel op github.com/hasecon. Exposentry levert EU-soevereine, forensisch onderbouwde vulnerability monitoring op basis van OpenKAT. Meer artikelen in de Kennisbank.