Wat is vulnerability monitoring, en waarom een eenmalige scan niet genoeg is
Gepubliceerd op 11 juli 2026
Veel organisaties hebben inmiddels iets gedaan: een pentest vorig jaar, een security-scan bij de vorige verbouwing van de website, een internet.nl-check met een mooie score. Het rapport zit in de la en het gevoel is: dit is geregeld. Dat gevoel is begrijpelijk, en misleidend. Want de vraag is niet of u ooit getest bent, maar of u wéét hoe u er vandaag voor staat.
Dat is precies het gat dat vulnerability monitoring vult. Dit artikel legt uit wat het is, waarom een momentopname zo snel veroudert, en wat u er als beslisser van mag eisen.
Wat is vulnerability monitoring?
Vulnerability monitoring is het doorlopend en geautomatiseerd bewaken van uw systemen op kwetsbaarheden: bekende zwakke plekken in software, configuratiefouten en diensten die onbedoeld aan het internet hangen. Bij externe monitoring gebeurt dat vanuit het perspectief van de aanvaller: alles wat van buitenaf zichtbaar is, wordt periodiek opnieuw onderzocht. Dat buitenperspectief heet ook wel extern aanvalsoppervlak of EASM.
Het verschil met een eenmalige scan zit niet in de techniek maar in de tijd. Een scan beantwoordt de vraag "hoe stond ik ervoor op die datum?" Monitoring beantwoordt de vraag die uw klant, auditor en toezichthouder werkelijk stellen: "hoe staat u er nú voor, en hoe houdt u dat bij?"
Waarom een momentopname zo snel veroudert
Drie klokken tikken tegelijk, en ze tikken alle drie tegen u in:
- Nieuwe kwetsbaarheden. Er worden dagelijks tientallen nieuwe CVE's gepubliceerd. De software die bij uw laatste test veilig was, kan volgende week een kritieke kwetsbaarheid blijken te bevatten, zonder dat er bij u iets veranderd is.
- Uw eigen infrastructuur. Organisaties veranderen continu: een nieuwe SaaS-koppeling, een testomgeving die per ongeluk publiek staat, een verlopen certificaat, een marketingbureau dat een subdomein aanmaakt. Juist die schaduw-IT die buiten het zicht van de IT-afdeling ontstaat is vaak de vindplaats van incidenten.
- De aanvaller scant al continu. Geautomatiseerde scanners van kwaadwillenden onderzoeken het hele internet doorlopend. Tussen de publicatie van een kwetsbaarheid en het eerste misbruik zitten soms uren. Wie zelf maar eens per jaar kijkt, geeft de tegenstander een voorsprong van maanden.
De praktische consequentie: een pentestrapport of scanrapport van zes maanden oud beschrijft een organisatie die niet meer bestaat. Als bewijsstuk richting een auditor is het dan al bijna waardeloos, als stuurinformatie voor uzelf ook.
Wat NIS2 en uw keten hiervan vinden
De zorgplicht van NIS2 en de Cyberbeveiligingswet is doorlopend geformuleerd: risico's beheersen is geen project met een einddatum maar een blijvende verplichting, die het bestuur goedkeurt en waarop het toeziet. Nergens staat dat u daarvoor monitoring moet kopen; geen enkele tool is verplicht. Maar aantonen dat u blijvend aan uw zorgplicht voldoet, is met een stapel gedateerde, periodieke rapportages aanzienlijk eenvoudiger dan met één rapport van anderhalf jaar oud.
Hetzelfde geldt in de keten. Wie een leveranciersvragenlijst invult met "onze externe systemen worden maandelijks gescand, bijgevoegd de rapportage van afgelopen maand" onderscheidt zich direct van de concurrent die verwijst naar een pentest uit 2024. Auditors zoeken herhaalbaar, gedateerd bewijs, geen eenmalige inspanning.
Wat goede vulnerability monitoring omvat
Wie monitoring inkoopt of intern belegt, mag vier onderdelen eisen:
- Ontdekking. Eerst weten wát er van u aan het internet hangt: domeinen, subdomeinen, servers, diensten. Monitoring die alleen kijkt naar de systemen die u zelf opgeeft, mist per definitie de vergeten systemen, en juist daar zit het risico.
- Detectie. Periodiek, geautomatiseerd onderzoek van al die systemen op bekende kwetsbaarheden en configuratiefouten. Wekelijks of maandelijks, met een vaste cadans.
- Prioritering. Niet elke bevinding verdient dezelfde spoed. Goede monitoring weegt mee of een kwetsbaarheid daadwerkelijk wordt misbruikt in de praktijk, zodat uw IT-team of leverancier de juiste dingen eerst doet. Hoe die weging werkt, leest u in EPSS en KEV uitgelegd.
- Rapportage als bewijs. Gedateerde, herleidbare rapportages in taal die ook buiten de IT-afdeling begrepen wordt, bruikbaar richting directie, klant en auditor. Hoe u van een technische lijst naar bestuurlijke stuurinformatie komt, beschreven we in van CVE-lijst tot directierapportage.
Wat monitoring nadrukkelijk niet is: een vervanging voor detectie ín uw netwerk (SIEM, EDR) of voor een gerichte pentest op uw kritieke applicaties. Monitoring is de preventieve buitenlaag: het zorgt dat de basis op orde is en blijft, tegen kosten die voor het MKB behapbaar zijn.
Conclusie
Vulnerability monitoring is geen extra gadget bovenop uw beveiliging, het is de omzetting van een momentopname in een doorlopend antwoord. Voor de bestuurder verandert daarmee de vraag die u aan uw organisatie stelt: niet "zijn we ooit getest?", maar "wanneer is er voor het laatst gekeken, wat werd er gevonden, en is dat opgelost?" Wie die drie vragen elke maand kan beantwoorden, heeft de kern van zijn zorgplicht aantoonbaar op orde.
Exposentry levert vulnerability monitoring als dienst: doorlopende scans van uw externe aanvalsoppervlak op basis van OpenKAT, met maandelijkse, forensisch onderbouwde rapportages die u direct als bewijs gebruikt. Bekijk de pakketten of begin vandaag met een nulmeting om te zien waar u nu staat.
Geschreven door Edward Hasekamp, oprichter van Exposentry en core-maintainer van het open-source OpenKAT-project. Zie het project op GitHub en het profiel op github.com/hasecon. Exposentry levert EU-soevereine, forensisch onderbouwde vulnerability monitoring op basis van OpenKAT. Meer artikelen in de Kennisbank.