Ja. OpenKAT is open source onder de EUPL 1.2-licentie en zonder licentiekosten te downloaden, zelf te draaien en aan te passen. Kosten ontstaan pas bij hosting, beheer of een beheerde dienst.

Wat is OpenKAT — en wat het níét is

Q: Kan ik hulp krijgen bij een lokale of self-hosted installatie?

Ja. Wil je OpenKAT in je eigen omgeving draaien vanwege data-residency, een air-gapped netwerk of overheidskaders, maar niet alles zelf uitzoeken, dan verzorgt Hasecon de lokale installatie, het beheer en maatwerk zoals custom boefjes en bits.

Gepubliceerd op 16 juni 2026

Rond OpenKAT bestaan twee soorten verwarring. De ene is technisch: wat dóét het eigenlijk? De andere is hardnekkiger en schadelijker: online duiken aanbieders op die OpenKAT presenteren als een betaald, "officieel" of zelfs wettelijk verplicht platform van de overheid. Dat laatste klopt niet — en juist omdat OpenKAT een overheidsoorsprong heeft, is dat misverstand makkelijk te verkopen.

Dit artikel zet beide recht. Wat OpenKAT is, hoe het werkt, wie het gebouwd heeft en nu beheert, en — net zo belangrijk — wat het níét is.

In het kort

OpenKAT is gratis en open source. Het staat onder de EUPL 1.2-licentie. Je mag het downloaden, zelf draaien en aanpassen, zonder licentiekosten.
Het is een kwetsbaarhedenanalyse-tool, geen compliancekeurmerk en geen totaaloplossing. KAT staat voor "Kwetsbaarheden Analyse Tool".
Oorspronkelijk gebouwd door het ministerie van VWS, tijdens de coronapandemie. Sinds begin 2026 stopt VWS met het beheer en wordt OpenKAT voortgezet door de community rond Stichting LibreKAT.
OpenKAT is niet verplicht en er is geen "officiële SaaS". Geen enkele wet schrijft OpenKAT — of welke specifieke tool dan ook — voor.

Wat OpenKAT is: de Kwetsbaarheden Analyse Tool

OpenKAT scant netwerken en systemen, analyseert wat het vindt en rapporteert erover. Waar de meeste tools één stukje van de puzzel pakken — alleen een poortscan, alleen een vulnerability-scan, alleen een asset-inventarisatie — bundelt OpenKAT bekende, bewezen open-source securitytools in één modulair framework en voegt daar externe bronnen aan toe (zoals Shodan). Het resultaat is een breed beeld: niet alleen technische kwetsbaarheden, maar ook misconfiguraties en afwijkingen die compliancerisico's kunnen vormen.

Twee eigenschappen maken het bijzonder. Ten eerste is het bedoeld voor doorlopende monitoring in plaats van een eenmalige momentopname — je houdt zicht op een aanvalsoppervlak dat continu verandert. Ten tweede legt het een tijdlijn vast: je ziet niet alleen de huidige status, maar ook hoe die zich ontwikkelt.

Hoe OpenKAT werkt

Onder de motorkap werkt OpenKAT met een herkenbaar, kattig vocabulaire:

Boefjes zijn de plugins die informatie verzamelen — een poortscan, een TLS-check, een DNS-uitvraag, een lookup in een externe database. Elk boefje doet één ding.
Normalisers (whiskers) vertalen die ruwe output naar gestructureerde data-objecten, zodat alles op dezelfde manier vergelijkbaar wordt.
Bits zijn business rules: ze redeneren over de objecten, leiden er bevindingen uit af en kunnen zelf weer nieuwe boefjes in gang zetten.
Alles komt samen in een doorzoekbaar objectmodel, waarop OpenKAT rapportages bouwt — per asset, per groep of organisatiebreed.

Je hoeft die interne namen niet te kennen om OpenKAT te gebruiken, maar ze laten de kern zien: het is geen losse scanner, maar een framework dat scans, normalisatie, redenering en rapportage aan elkaar knoopt.

Wie OpenKAT heeft gemaakt — en wie het nu beheert

OpenKAT is ontstaan bij het ministerie van Volksgezondheid, Welzijn en Sport (VWS) tijdens de coronapandemie, toen in hoog tempo nieuwe systemen veilig opgeleverd moesten worden. Het is van begin af aan open source ontwikkeld, onder de EUPL 1.2-licentie, en in samenwerking met partijen uit de securitysector.

Belangrijk voor het actuele beeld: VWS stopt per begin 2026 met het beheer, onderhoud en de doorontwikkeling. OpenKAT wordt sindsdien voortgezet als community-project, ondergebracht bij Stichting LibreKAT. De broncode staat publiek op GitHub en de documentatie op docs.openkat.nl. Wie wil meebouwen, kan dat — dat is de bedoeling van een open-source project.

Dat is precies waarom claims over een "officieel, verplicht overheidsplatform" niet kloppen: de overheid trekt zich juist terug en draagt het over aan een stichting en de community.

Wat OpenKAT níét is — de misverstanden op een rij

Het is geen verplichte tool. Geen enkele wet, ook niet NIS2 of de Nederlandse Cyberbeveiligingswet, schrijft OpenKAT of welk specifiek product dan ook voor. Wetgeving eist passende maatregelen; hóe je die invult, bepaal je zelf. Wat NIS2 wél en niet eist, lees je in NIS2-ketenzorgplicht: wat is écht verplicht (en wat niet).

Er is geen "officiële SaaS" die je moet kopen. OpenKAT is gratis en zelf te hosten. Een aanbieder die zich presenteert als "het officiële platform van het ministerie" of die OpenKAT als verplicht abonnement verkoopt, maakt een claim die de feiten niet ondersteunen. Wees daar alert op.

Het is geen compliancekeurmerk. OpenKAT levert technisch inzicht en bewijs, geen juridisch stempel. Een scan zegt iets over je kwetsbaarheden, niet over je governance, incidentmelding of organisatorische maatregelen.

Het is geen totaaloplossing. OpenKAT is een sterke, brede monitoringtool — maar één bouwsteen in een groter geheel van beleid, processen en mensen.

Drie manieren om OpenKAT te gebruiken

Omdat OpenKAT open source is, heb je de vrije keuze hoe je het inzet. Er zijn grofweg drie routes — welke past, hangt af van je behoefte, niet van je budget.

1. Zelf draaien (DIY). Je installeert OpenKAT zelf op een Linux- of Docker-omgeving met het installatiescript en beheert het volledig in eigen hand. Maximale controle en geen softwarekosten, maar je bent zelf verantwoordelijk voor hosting, updates, onderhoud en het interpreteren én vastleggen van de resultaten.

2. Lokaal draaien, met hulp bij installatie, beheer en maatwerk. Wil je OpenKAT lokaal of in je eigen omgeving draaien — bijvoorbeeld vanwege data-residency-eisen, een air-gapped netwerk, overheidskaders of een eigen infrateam dat de regie wil houden — maar niet alles zelf uitzoeken? Dan verzorgt Hasecon de lokale installatie, het beheer en maatwerk, inclusief custom boefjes en bits. Dat is bewust het werk van mensen die zelf aan OpenKAT meebouwen: je krijgt een opzet die aansluit op hoe de tool echt in elkaar zit, terwijl jij de volledige controle over je eigen omgeving houdt.

3. Beheerd via Exposentry. Wil je het resultaat zonder de operationele last, dan biedt Exposentry OpenKAT als beheerde dienst: NL-soeverein gehost, forensisch onderbouwd bewijs van wat is aangetroffen en wanneer, en monitoring van je eigen domeinen én je leveranciersketen. Het blijft nadrukkelijk een bouwsteen, geen volledige compliancegarantie; die eerlijkheid hoort erbij. Meer over wie erachter zit, lees je op Over Exposentry.

Twijfel je tussen zelf draaien en beheerd? Dat is een legitieme afweging. Kies op basis van hoeveel je in eigen beheer wilt houden — niet op prijs alleen.

Zie hoe leveranciersmonitoring werkt op Monitor mijn leveranciers.
Bekijk de transparante tarieven op Prijzen.
Of start direct een scan van je organisatie.

OpenKAT en NIS2

Doorlopende kwetsbaarheidsmonitoring met OpenKAT past goed bij de zorgplicht uit NIS2: je kunt aantonen dat je je aanvalsoppervlak kent en beheerst. Maar let op de grens — scannen is geen compliance. Lees daarover Scannen is geen NIS2-compliance, maar wel een noodzakelijke bouwsteen en, voor het bredere plaatje, NIS2-ketenzorgplicht: wat is écht verplicht (en wat niet).

Wil je eerst begrijpen wát er eigenlijk te zien is op je aanvalsoppervlak? Begin bij Wat ziet een aanvaller van je domein?

Veelgestelde vragen

Is OpenKAT gratis? Ja. OpenKAT is open source onder de EUPL 1.2-licentie. Je kunt het zonder licentiekosten downloaden, zelf draaien en aanpassen. Kosten ontstaan pas als je kiest voor hosting, beheer of een beheerde dienst.

Is OpenKAT verplicht? Nee. Geen enkele wet schrijft OpenKAT of een ander specifiek product voor. NIS2 en de Cyberbeveiligingswet eisen passende maatregelen, niet een bepaalde tool.

Van wie is OpenKAT nu? OpenKAT is oorspronkelijk gebouwd door het ministerie van VWS. VWS stopt begin 2026 met het beheer; het project wordt voortgezet door de community en is ondergebracht bij Stichting LibreKAT. De broncode is openbaar.

Heb ik een SaaS-abonnement nodig om OpenKAT te gebruiken? Nee. Je mag OpenKAT volledig zelf draaien. Een beheerde dienst is handig als je geen eigen hosting en beheer wilt inrichten, maar het is een keuze, geen verplichting.

Wat is het verschil tussen OpenKAT en Exposentry? OpenKAT is de open-source tool. Exposentry is een beheerde dienst die OpenKAT NL-soeverein voor je host, forensisch onderbouwd bewijs vastlegt en ook je leveranciersketen kan monitoren — zodat je de resultaten krijgt zonder de tool zelf te hoeven beheren.

Kan ik OpenKAT zelf draaien? Ja. Met een Linux- of Docker-omgeving en het installatiescript kun je aan de slag. Houd er rekening mee dat je zelf verantwoordelijk bent voor onderhoud, updates en het interpreteren en vastleggen van de resultaten.

Kan ik hulp krijgen bij een lokale of self-hosted installatie? Ja. Wil je OpenKAT in je eigen omgeving draaien — bijvoorbeeld vanwege data-residency, een air-gapped netwerk of overheidskaders — maar niet alles zelf uitzoeken, dan verzorgt Hasecon de lokale installatie, het beheer en maatwerk zoals custom boefjes en bits. Zo combineer je volledige eigen controle met de kennis van mensen die aan OpenKAT meebouwen.

Geschreven door Edward Hasekamp, oprichter van Exposentry en core-maintainer van het open-source OpenKAT-project. Zie het project op GitHub en het profiel op github.com/hasecon. Exposentry levert NL-soevereine, forensisch onderbouwde vulnerability monitoring op basis van OpenKAT. Meer artikelen in de Kennisbank.