TL;DR: Een vulnerability assessment is een gestructureerde beoordeling van de kwetsbaarheden in uw IT-omgeving. Het combineert geautomatiseerde scans met menselijke analyse om zwakke plekken te identificeren, te classificeren en te prioriteren. NIS2 artikel 21 verplicht actief kwetsbaarheidsbeheer voor bedrijven die onder de richtlijn vallen. Voor Vlaamse KMO’s is een vulnerability assessment het regelmatige, lichtere-kost alternatief naast een jaarlijkse pentest, en het is grotendeels subsidieerbaar via VLAIO.
U beheert de IT van een middelgroot bedrijf. Uw team draait dagelijks tientallen systemen, beheert cloudtoepassingen, patcht servers en houdt endpoints up-to-date. Maar weet u op elk moment welke kwetsbaarheden er in uw omgeving zitten? En welke daarvan een reëel risico vormen?
Een vulnerability assessment biedt dat overzicht. Het is geen theoretische oefening, maar een praktische doorlichting die u vertelt waar de gaten zitten en welke u eerst moet dichten. In dit artikel leggen we uit wat een vulnerability assessment precies inhoudt, hoe het proces verloopt, wanneer u het inzet, en hoe het zich verhoudt tot een pentest of audit. Met specifieke aandacht voor de Belgische wetgeving en de subsidies die het voor Vlaamse KMO’s toegankelijk maken.
Wat is een vulnerability assessment precies?
Een vulnerability assessment (VA) is een systematisch onderzoek van uw informatiesystemen om zwakke plekken te identificeren, te classificeren en te prioriteren op basis van hun risico. Het doel is niet om kwetsbaarheden te exploiteren (dat doet een pentest), maar om een compleet beeld te krijgen van waar uw verdediging tekortschiet.
NIST omschrijft het als een “systematic examination of an information system to determine the adequacy of security measures, identify security deficiencies, and provide data from which to predict the effectiveness of proposed security measures.” Het Centrum voor Cybersecurity België (CCB) vertaalt dit naar de Belgische context als een gestructureerde risicoanalyse gericht op het identificeren van zwakheden en het nemen van concrete verbetermaatregelen.
Wat een VA wel doet: uw hele IT-omgeving doorlichten op bekende kwetsbaarheden, deze ordenen op ernst en urgentie, en concrete aanbevelingen formuleren. Wat het niet doet: aantonen of een aanvaller effectief kan binnendringen. Dat is het terrein van de penetratietest.
Beschouw het zo: een vulnerability assessment zegt u welke deuren openstaan. Een pentest controleert of iemand er ook daadwerkelijk door kan lopen.
Vulnerability assessment vs pentest vs audit vs scan
Het onderscheid tussen deze vier activiteiten is voor veel IT-managers niet meteen helder. Logisch, want ze overlappen deels. Toch zijn de verschillen wezenlijk, en ze bepalen welke investering u wanneer doet. Lees voor een uitgebreide vergelijking ons artikel over het verschil tussen een cybersecurity audit en een pentest.
| Criterium | Vulnerability scan | Vulnerability assessment | Penetratietest | Security audit |
|---|---|---|---|---|
| Doel | Bekende zwakheden detecteren via automatisering | Risico’s identificeren, classificeren en prioriteren | Actief exploiteren van zwakheden om impact aan te tonen | Controls verifiëren tegen een standaard (NIS2, ISO 27001) |
| Scope | Breed: het volledige netwerk | Breed tot specifiek: focus op risicogebieden | Smal: specifieke systemen of aanvalspaden | Procesmatig: beleid, procedures en bewijsvoering |
| Output | Ruwe lijst met CVE’s | Geprioriteerd rapport met hersteladvies en context | Gedetailleerd aanvalsverslag met bewijs van exploitatie | Rapportage van conformiteiten en afwijkingen |
| Methode | Volledig geautomatiseerd | Combinatie van tools en menselijke analyse | Menselijk gedreven, simuleert een aanvaller | Interviews, documentreview en steekproeven |
| Frequentie | Wekelijks tot maandelijks | Per kwartaal tot halfjaarlijks | Jaarlijks of na grote wijzigingen | Jaarlijks of bij certificering |
| Tijdsinvestering | Enkele uren | Dagen tot weken | Weken | Weken tot maanden |
Wanneer kiest u welke? Voor de meeste Vlaamse KMO’s is de combinatie als volgt: een vulnerability assessment op kwartaal- of halfjaarlijkse basis als regelmatige controle, een jaarlijkse pentest als diepte-validatie, en een audit wanneer u compliance moet aantonen of een certificering nastreeft.
Hoe verloopt een professionele vulnerability assessment?
Een kwetsbaarhedenbeoordeling is geen kwestie van een scanner aanzetten en wachten op resultaten. Een professioneel proces combineert geautomatiseerde tools met menselijke expertise en volgt een gestructureerde aanpak in zes fasen.
Fase 1: Asset discovery en scoping. Eerst wordt een volledige inventaris opgemaakt van alle systemen, netwerken en applicaties. Dit klinkt eenvoudig, maar in de praktijk ontdekken organisaties gemiddeld 15 tot 30% meer assets dan wat er in hun CMDB (Configuration Management Database) geregistreerd staat. Scoping bepaalt vervolgens welke systemen wel en niet worden meegenomen.
Fase 2: Scanning en testing. Geautomatiseerde scanners onderzoeken de gedefinieerde scope op bekende kwetsbaarheden. Moderne teams combineren deze tools met handmatige reviews van configuratiebestanden en firewallregels, omdat logische fouten en misconfiguraties door puur geautomatiseerde tools worden gemist.
Fase 3: Validatie en false-positive removal. Geautomatiseerde scans produceren vrijwel altijd false positives: meldingen van kwetsbaarheden die in werkelijkheid niet bestaan of niet exploiteerbaar zijn in uw specifieke context. Een ervaren security-analist valideert de bevindingen handmatig, wat de ruis in het eindrapport drastisch vermindert.
Fase 4: Risicoanalyse en CVSS-prioritering. Gevonden kwetsbaarheden worden geanalyseerd op basis van hun ernst via het Common Vulnerability Scoring System (CVSS 4.0). Scores gaan van 0.0 tot 10.0, maar de echte waarde zit in de contextuele weging: een theoretische score van 9.8 (Critical) kan voor uw specifieke bedrijf een 6.5 (Medium) zijn als het systeem niet direct bereikbaar is vanop het internet en achter een goed geconfigureerde firewall staat.
| CVSS-score | Ernst | Wat het voor u betekent |
|---|---|---|
| 9.0 tot 10.0 | Critical | Onmiddellijke actie. Vaak publiekelijk exploiteerbaar. |
| 7.0 tot 8.9 | High | Hoge prioriteit voor herstel. Significante dreiging. |
| 4.0 tot 6.9 | Medium | Planmatig herstel binnen de reguliere onderhoudscycli. |
| 0.1 tot 3.9 | Low | Beperkt risico. Wenselijk maar minder urgent. |
Fase 5: Rapportage. De resultaten worden samengebracht in een rapport dat op twee niveaus werkt: een managementsamenvatting voor de directie, en een technisch gedeelte voor uw IT-team met concrete herstelaanbevelingen per kwetsbaarheid.
Fase 6: Remediation tracking. Het proces stopt niet bij het rapport. Herstelacties worden opgevolgd volgens afgesproken prioriteiten. Na het doorvoeren van patches of configuratiewijzigingen volgt een herscan om te bevestigen dat de kwetsbaarheid effectief is opgelost.
De doorlooptijd van een volledige VA hangt af van de omvang van uw omgeving. Voor een typische KMO met 50 tot 150 medewerkers rekent u op één tot drie weken van start tot eindrapport.
Welke types vulnerability assessment bestaan er?
Niet elke VA is hetzelfde. Afhankelijk van uw infrastructuur en specifieke behoeften bestaan er verschillende types, elk met hun eigen focus.
Network-based assessment richt zich op uw netwerkinfrastructuur: open poorten, misconfigureerde diensten op routers, firewallkwetsbaarheden en netwerksegmentatie. Dit is het meest gangbare type voor KMO’s.
Host-based assessment duikt dieper in individuele systemen: ontbrekende OS-patches, onveilige bestandspermissies en applicatie-specifieke bugs. Denk aan uw servers, werkstations en endpoints.
Applicatie-assessment focust specifiek op de applicatielaag, zoals SQL-injecties, Cross-Site Scripting en de OWASP Top 10 kwetsbaarheden. Essentieel voor bedrijven die zelf software ontwikkelen of laten bouwen.
Cloud-assessment onderzoekt de unieke risico’s van uw cloudomgeving: verkeerd geconfigureerde IAM-policies, publiek toegankelijke storage buckets en onvoldoende netwerkisolatie. Steeds relevanter nu Vlaamse KMO’s massaal migreren naar Microsoft 365, Azure en AWS.
OT/ICS-assessment brengt kwetsbaarheden in kaart in industriële controlesystemen. Voor de Vlaamse maakindustrie is dit van toenemend belang, aangezien de scheiding tussen IT en OT in veel bedrijven nagenoeg is verdwenen.
Daarnaast is het onderscheid tussen geauthenticeerde en niet-geauthenticeerde scans relevant. Een niet-geauthenticeerde scan bekijkt uw systemen zoals een externe aanvaller dat zou doen, zonder inloggegevens. Een geauthenticeerde scan gebruikt credentials om veel dieper te kijken, wat resulteert in een completer beeld van uw kwetsbaarheden. In de praktijk combineert een professioneel team beide methoden.
Vulnerability assessment en NIS2: wat zegt de wet?
Sinds de omzetting van de NIS2-richtlijn in Belgisch recht (wet van 26 april 2024) is kwetsbaarheidsbeheer geen vrijblijvende best practice meer, maar een wettelijke verplichting voor bedrijven die onder de richtlijn vallen.
Artikel 21 lid 2 van NIS2 benoemt vulnerability handling en vulnerability disclosure expliciet als minimale beveiligingsmaatregel. Concreet betekent dit dat uw organisatie een structureel proces moet hebben om kwetsbaarheden te identificeren, te evalueren en te verhelpen. Een eenmalige scan volstaat niet; het gaat om een doorlopend beheerproces.
Het CyberFundamentals-raamwerk van het CCB vertaalt deze verplichting naar drie concrete niveaus:
| CyFun-niveau | Wat het vereist op het vlak van kwetsbaarheidsbeheer |
|---|---|
| Basic | Basismaatregelen: regelmatige updates van kritieke systemen en inventarisatie van assets. |
| Important | Formele kwetsbaarheidsscans (DE.CM-8) en een proces voor het analyseren van gemelde kwetsbaarheden (RS.AN-5). |
| Essential | Een volledig kwetsbaarheidsbeheerplan (PR.IP-12) met continue monitoring. |
Volgens cijfers van het CCB weerden de maatregelen op het Basic-niveau al 82% van de meest voorkomende cyberaanvallen af. Het Important-niveau verhoogt die dekking naar 94%.
Streeft uw bedrijf naar ISO 27001:2022-certificering? Dan is control A.8.8 (Management of technical vulnerabilities) van toepassing. Deze control vereist dat u tijdig informatie verkrijgt over technische kwetsbaarheden, uw blootstelling evalueert en passende maatregelen neemt.
De consequenties van niet-naleving zijn niet gering. NIS2 voorziet boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Meer details over de financiële en juridische risico’s leest u in ons artikel over NIS2-boetes en bestuurdersaansprakelijkheid.
Hoe vaak moet een Vlaamse KMO een vulnerability assessment laten uitvoeren?
Er is geen universeel antwoord, maar op basis van de richtlijnen van NIST, het CCB en wat gangbaar is in de Belgische markt, komen we tot de volgende aanbevelingen:
Continue of wekelijkse scans voor kritieke, extern bereikbare systemen: webservers, VPN-gateways, e-mailservers en cloudportalen. Dit zijn uw voordeur en ramen, ze verdienen constante aandacht.
Maandelijkse scans voor de interne infrastructuur: servers, werkstations, netwerkapparatuur. De frequentie houdt gelijke tred met de maandelijkse patchcycli van de meeste softwareleveranciers.
Kwartaal- of halfjaarlijkse diepgaande assessment door een externe partij: de combinatie van geautomatiseerde scans en menselijke validatie die het verschil maakt tussen een lijst CVE’s en een bruikbaar risico-overzicht.
Daarbovenop zijn er triggers die om een extra assessment vragen, ongeacht de reguliere cadans:
- Na een grote infrastructuurwijziging (nieuwe servers, cloudmigratie, fusie)
- Na een beveiligingsincident
- Na de publicatie van een kritieke kwetsbaarheid die uw systemen kan treffen
- Ter voorbereiding op een audit of certificering
- Bij veranderingen in het dreigingslandschap die uw sector raken
De snelheid waarmee kwetsbaarheden worden misbruikt, neemt toe. Volgens ENISA is de gemiddelde tijd tussen de publicatie van een kwetsbaarheid en de eerste geautomatiseerde scans door aanvallers in 2026 gedaald tot minder dan enkele uren. Dat maakt regelmatige assessment geen luxe, maar een noodzaak.
Wat kost een vulnerability assessment in België?
De kosten variëren sterk afhankelijk van de scope en complexiteit van uw omgeving. Hieronder vindt u de marktranges voor Vlaamse KMO’s met 50 tot 250 medewerkers:
| Type assessment | Kostenrange per jaar | Bepalende factoren |
|---|---|---|
| Externe VA (perimeter) | €1.500 tot €4.500 | Aantal publieke IP-adressen, complexiteit webapplicaties |
| Interne VA (infrastructuur) | €5.000 tot €15.000 | Aantal servers en werkstations, VLAN-structuur |
| Gespecialiseerde VA (cloud of OT) | €10.000 tot €30.000+ | Omvang cloudomgeving, complexiteit industriële netwerken |
De voornaamste kostenfactoren zijn het aantal te scannen assets, de vereiste diepgang van de handmatige validatie, en of de assessment on-site of remote plaatsvindt. Wilt u de kosten van een assessment vergelijken met die van een volledige cybersecurity audit, dan vindt u daar een gedetailleerd overzicht.
De goede nieuws voor Vlaamse KMO’s: een aanzienlijk deel van deze investering is subsidieerbaar.
VLAIO KMO-portefeuille: Sinds februari 2026 is cybersecurity-advies (waar vulnerability assessments onder vallen) een van de kernonderwerpen met verhoogde steunpercentages. Kleine ondernemingen ontvangen 45% subsidie, middelgrote ondernemingen 35%, met een maximum van €7.500 per jaar.
VLAIO Cybersecurity Verbetertrajecten: Voor intensievere trajecten biedt VLAIO tot 50% subsidie op begeleidingstrajecten van €7.100 tot €39.900. Deze trajecten zijn modulair opgebouwd en kunnen naast een VA ook audit, awareness en technische implementatie omvatten.
Concreet rekenvoorbeeld: een jaarlijks VA-traject van €8.000 kost een kleine onderneming na KMO-portefeuille-subsidie €4.400. Dat is minder dan de gemiddelde schade van één geslaagde phishingaanval.
Veelgemaakte fouten bij vulnerability assessments
In de praktijk zien we bij Vlaamse KMO’s regelmatig dezelfde misstappen terugkomen. Ze zijn vermijdbaar, maar alleen als u ze kent.
Scannen zonder opvolging. De meest voorkomende fout: een assessment laten uitvoeren, het rapport in een lade stoppen en er niets mee doen. Een VA heeft alleen waarde als de bevindingen leiden tot concrete herstelaacties met duidelijke verantwoordelijken en deadlines.
Uitsluitend vertrouwen op geautomatiseerde scans. Een scanner detecteert bekende CVE’s, maar mist logische fouten, misconfiguraties en zwakheden in uw bedrijfsprocessen. Zonder menselijke validatie mist u het volledige plaatje en werkt u met een rapport vol ruis.
De scope te beperkt houden. Enkel de servers scannen terwijl de laptops, cloudtoepassingen en netwerkapparatuur buiten beeld blijven. Een aanvaller zoekt het pad van de minste weerstand; als u uw volledige aanvalsoppervlak niet in kaart brengt, mist u precies de kwetsbaarheden die er toe doen.
Geen geauthenticeerde scans uitvoeren. Niet-geauthenticeerde scans geven een oppervlakkig beeld. Geauthenticeerde scans onthullen aanzienlijk meer kwetsbaarheden, waaronder verouderde softwareversies en configuratieproblemen die van buitenaf onzichtbaar zijn.
De assessment als eenmalige actie beschouwen. Uw IT-omgeving verandert continu: nieuwe applicaties, updates, medewerkers die komen en gaan. Een enkele jaarlijkse assessment is onvoldoende. Maak er een terugkerend proces van, afgestemd op uw risicoprofiel.
Kwetsbaarheden prioriteren op basis van CVSS-score alleen. Een kwetsbaarheid met een score van 9.8 in een systeem dat volledig geïsoleerd is van het internet, is minder urgent dan een score van 6.0 in uw extern bereikbare webportaal. Context is alles.
De supply chain vergeten. NIS2 benadrukt niet voor niets de supply chain. Kwetsbaarheden in de systemen van uw leveranciers of software-partners vormen een reëel risico voor uw eigen organisatie.
Aan de slag met vulnerability assessment in uw bedrijf
Een vulnerability assessment is geen doel op zich, maar een bouwsteen in een breder cybersecuritybeleid. Het helpt u om weloverwogen beslissingen te nemen over waar u uw beperkte budget en tijd het meest effectief inzet.
Voor de meeste Vlaamse KMO’s is het logische pad als volgt: start met een brede cybersecurity audit om te weten waar u staat, gebruik vervolgens vulnerability assessments als regelmatige controle (elk kwartaal of halfjaar), en plan een jaarlijkse pentest als diepte-validatie.
Wilt u weten welke aanpak bij uw situatie past? Cyberplan helpt Vlaamse bedrijven met het opzetten van een pragmatisch en subsidieerbaar traject voor kwetsbaarheidsbeheer, afgestemd op uw omvang, sector en compliance-vereisten.
Boek een vrijblijvend kennismakingsgesprek en ontdek waar uw prioriteiten liggen.
Veelgestelde vragen over vulnerability assessment
Wat is het verschil tussen een vulnerability assessment en een pentest?
Een vulnerability assessment identificeert en prioriteert kwetsbaarheden in uw systemen. Een penetratietest gaat een stap verder en probeert die kwetsbaarheden actief te exploiteren om aan te tonen welke schade een aanvaller kan veroorzaken. Een VA is breder en frequenter; een pentest is dieper en minder frequent.
Is een vulnerability assessment verplicht onder NIS2?
Ja. NIS2 artikel 21 lid 2 verplicht organisaties die onder de richtlijn vallen om actief kwetsbaarheidsbeheer te voeren. Het CyberFundamentals-raamwerk van het CCB concretiseert dit per assurance-niveau. Vanaf CyFun Important zijn formele kwetsbaarheidsscans expliciet vereist.
Hoe vaak moet ik mijn systemen laten scannen op kwetsbaarheden?
Extern bereikbare systemen verdienen wekelijkse tot maandelijkse scans. De volledige interne infrastructuur zou maandelijks gescand moeten worden. Daarbovenop is een diepgaande externe assessment per kwartaal of halfjaar aan te raden. Bij grote wijzigingen of incidenten plant u een extra assessment.
Wat kost een vulnerability assessment voor een Vlaamse KMO?
De kosten variëren van €1.500 tot €15.000 per jaar, afhankelijk van de scope. Vlaamse KMO’s kunnen tot 45% subsidie krijgen via de KMO-portefeuille (max. €7.500 per jaar) of tot 50% via een VLAIO Cybersecurity Verbetertraject.
Kan ik een vulnerability assessment zelf uitvoeren met open-source tools?
Gedeeltelijk. Tools zoals OpenVAS en OWASP ZAP zijn krachtig, maar vereisen diepgaande technische expertise voor correcte configuratie en interpretatie. Het belangrijkste verschil met een professionele assessment is de menselijke validatie: het filteren van false positives, het duiden van bevindingen in uw specifieke context, en het formuleren van bruikbaar hersteladvies.
Hoe verhoudt een vulnerability assessment zich tot ISO 27001?
ISO 27001:2022 control A.8.8 (Management of technical vulnerabilities) vereist dat organisaties tijdig informatie verkrijgen over technische kwetsbaarheden en passende maatregelen nemen. Een regelmatige vulnerability assessment is de meest directe manier om aan deze control te voldoen.
