Van CVE-lijst tot directierapportage: hoe filter je cyber-ruis voor het bestuur?
Gepubliceerd op 12 juni 2026
Inleiding
Iedere security officer kent het moment: de kwartaalrapportage voor de directie moet af, en de bron is een export met 1.400 open bevindingen. Te veel om te tonen, te belangrijk om weg te laten. De verleiding is groot om dan te kiezen voor de veilige route — een staafdiagram met aantallen per ernstcategorie — maar daarmee beantwoord je niet de vraag die de directie werkelijk heeft: lopen wij onaanvaardbaar risico, en doen we de juiste dingen?
In ons artikel voor CISO's beschreven we waarom een kwetsbaarhedenlijst geen bestuursbewijs is. Dit artikel zet de volgende stap: hoe filter je de ruis er praktisch uit, en hoe ziet een directierapportage eruit waarop daadwerkelijk gestuurd kan worden?
De kloof tussen technische kwetsbaarheden en business-risico's
Een CVSS-score meet de technische ernst van een kwetsbaarheid — niet het risico voor jouw organisatie. Dat verschil is de kern van het filterprobleem. Een "kritieke" kwetsbaarheid op een intern testsysteem zonder gevoelige data is voor de directie minder relevant dan een "medium" bevinding op het klantportaal dat je primaire omzet draagt.
Wie ongegefilterd rapporteert, creëert twee problemen tegelijk. De directie went aan grote rode getallen die nooit tot een incident leiden (alarmmoeheid), en wanneer er wél een acute dreiging is, ontbreekt het contrast om dat duidelijk te maken. Cyber-ruis is daarmee niet alleen onhandig — het ondermijnt actief het vermogen van het bestuur om zijn NIS2-toezichtsrol te vervullen.
| Wat de techniek levert | Wat de directie nodig heeft |
|---|---|
| 1.400 open bevindingen met CVSS-scores | De vijf risico's die continuïteit, data of ketenpositie raken |
| Aantallen per ernstcategorie | Trend: worden we sneller of langzamer in herstel? |
| Scanresultaten van bekende systemen | Wat er deze periode nieuw of onbekend opdook |
| Technische beschrijvingen per CVE | Besluitvragen: accepteren, budgetteren of escaleren? |
Het filteren van de ruis: prioritering op basis van exploitabiliteit
De praktische oplossing is een filtertrechter met drie vragen, in deze volgorde:
1. Is de kwetsbaarheid daadwerkelijk blootgesteld? Een kwetsbaarheid op een dienst die vanaf het internet bereikbaar is, weegt fundamenteel zwaarder dan dezelfde kwetsbaarheid achter een VPN. Dit is waarom het externe aanvalsoppervlak het logische startpunt van iedere prioritering is: het is precies wat een aanvaller van je domein ziet.
2. Is de kwetsbaarheid exploiteerbaar? Niet elke CVE met een hoge score wordt in de praktijk misbruikt. Twee vrij beschikbare bronnen maken dit meetbaar: de KEV-catalogus van het Amerikaanse CISA (kwetsbaarheden waarvan misbruik daadwerkelijk is waargenomen) en EPSS (een score die de kans op misbruik binnen 30 dagen schat). Een bevinding die internet-facing is én in de KEV staat, gaat altijd boven een hogere CVSS-score zonder bekend misbruik.
3. Raakt de kwetsbaarheid een kritiek proces? Koppel de resterende bevindingen aan de processen die ze raken: klantportaal, facturatie, primaire dienstverlening, persoonsgegevens. Dit is de stap die techniek vertaalt naar bestuurstaal — en de enige stap die niemand anders dan jouw organisatie kan zetten.
Wat door alle drie de filters komt, is het lijstje voor de directierapportage. In de praktijk blijven van honderden bevindingen er dan vijf tot tien over. De rest verdwijnt niet — die wordt regulier afgehandeld binnen de afgesproken hersteltermijnen — maar belast het bestuur niet meer.
Hoe bouw je een effectief NIS2-dashboard voor de board?
Een directiedashboard is geen verkleinde versie van het security-dashboard. Het heeft een eigen indeling, met stabiele indicatoren die per kwartaal vergelijkbaar zijn. Een beproefde opzet in vijf blokken:
| Blok | Inhoud | De bestuursvraag die het beantwoordt |
|---|---|---|
| Aanvalsoppervlak | Nieuwe of onbekende domeinen, diensten en systemen deze periode | Kennen we onze eigen buitenkant? |
| Topbevindingen | De 5–10 gefilterde risico's, met eigenaar en deadline | Waar lopen we nu echt risico? |
| Herstelprestatie | Tijd-tot-herstel per categorie, bevindingen buiten SLA | Werkt onze beheersing? |
| Risicoacceptatie | Welke risico's accepteren we bewust, waarom en tot wanneer | Welke besluiten liggen bij ons? |
| Keten | Bevindingen bij of via leveranciers en externe koppelingen | Voldoen we aan onze ketenzorgplicht? |
Twee aanvullende lessen uit de praktijk. Ten eerste: rapporteer trends, geen momentopnames — "tijd-tot-herstel van kritieke bevindingen daalde van 21 naar 14 dagen" is stuurinformatie, "er staan 43 bevindingen open" is dat niet. Ten tweede: sluit ieder blok af met een expliciete besluitvraag of de mededeling dat er geen besluit nodig is. Een rapportage zonder besluitvraag traint de directie om niet op te letten.
Onder NIS2 heeft dit dashboard nog een tweede functie: het is zelf bewijs. Een bestuur dat per kwartaal aantoonbaar over deze vijf blokken heeft gesproken en besloten, heeft precies het dossier dat artikel 20 van de richtlijn veronderstelt — zie ook ons NIS2-stappenplan voor overheidsbesturen.
De voorwaarde onder alles: betrouwbare brondata
Eén waarschuwing tot slot. Een dashboard is zo goed als zijn brondata. Wie filtert op blootstelling moet het externe aanvalsoppervlak doorlopend en volledig in beeld hebben — inclusief de vergeten subdomeinen en testomgevingen die in geen enkel register staan. En wie herstelprestatie rapporteert, moet herstel daadwerkelijk hercontroleren, niet afvinken op basis van een ticketstatus.
Dat is precies waar evidence-first monitoring het verschil maakt: iedere bevinding is herleidbaar tot een gedateerde observatie, en herstel wordt gevalideerd door opnieuw te meten. De rapportage die daaruit volgt, hoeft niet geloofd te worden — ze kan gecontroleerd worden.
Conclusie
De weg van CVE-lijst naar directierapportage is geen samenvatting maar een filterproces: blootstelling, exploitabiliteit, bedrijfsimpact. Wat overblijft, presenteer je in een vast dashboard met trends en besluitvragen. De directie krijgt zo precies wat NIS2 van haar vraagt: genoeg inzicht om te sturen, zonder te verdrinken in techniek.
Exposentry automatiseert de onderkant van die trechter: doorlopende monitoring van je externe aanvalsoppervlak, bevindingen met herleidbaar bewijs en rapportages die je rechtstreeks in je directierapportage verwerkt. Bekijk de pakketten en tarieven of start met een eerste scan.
Bronnen
- CISA, "Known Exploited Vulnerabilities Catalog" — cisa.gov
- FIRST, "Exploit Prediction Scoring System (EPSS)" — first.org
- NCSC, "Vragen die je als bestuurder kunt stellen aan de CISO" — ncsc.nl
- EUR-Lex, Directive (EU) 2022/2555, Article 20 — eur-lex.europa.eu
Geschreven door Edward Hasekamp, oprichter van Exposentry en core-maintainer van het open-source OpenKAT-project. Zie het project op GitHub en het profiel op github.com/hasecon. Exposentry levert NL-soevereine, forensisch onderbouwde vulnerability monitoring op basis van OpenKAT. Meer artikelen in de Kennisbank.