Patch management is het proces waarmee je software-updates gestructureerd inventariseert, prioriteert en installeert — en de kernvraag is in 2026 niet meer óf je patcht, maar wat je het éérst patcht. Aanvallers wachten namelijk niet op jouw onderhoudsvenster: volgens het M-Trends 2026-rapport van Mandiant ligt de gemiddelde time-to-exploit inmiddels op mín zeven dagen. Misbruik begint gemiddeld een week vóórdat er een patch bestaat. Tegelijk verschenen er in 2025 gemiddeld 131 nieuwe CVE-kwetsbaarheden per dag — alles direct patchen is voor geen enkel MKB-bedrijf haalbaar. Het klassieke advies ("installeer gewoon alle updates") helpt je dan niet verder. CleverTech werkt daarom met een prioriteitenladder die kijkt naar bewezen misbruik in plaats van alleen ernstscores. Hoe die ladder werkt, welke tools het zware werk automatiseren en wat de Cyberbeveiligingswet straks van je patchbeleid vraagt, lees je hieronder.
Inhoudsopgave
- Waarom is patch management in 2026 urgenter dan ooit?
- Wat houdt patch management precies in?
- Wat patch je eerst? Prioriteren met KEV, EPSS en CVSS
- Hoe automatiseer je patch management zonder eigen IT-afdeling?
- Wat betekent NIS2 voor je patchbeleid?
- Hoe houd je websites, webshops en maatwerksoftware actueel?
- Wat kost patchen en wat kost niet patchen?
- Een werkbaar patchbeleid in vijf stappen
- Veelgestelde vragen over patch management
Waarom is patch management in 2026 urgenter dan ooit?
Wie patches maandenlang laat liggen, staat vooraan in de vuurlinie — niet als pechvogel, maar als statistisch logisch doelwit. Exploitatie van bekende kwetsbaarheden is volgens hetzelfde M-Trends 2026-rapport van Mandiant namelijk voor het zesde jaar op rij de nummer één-ingang bij digitale inbraken: 32% van alle incidenten die Mandiant in 2025 onderzocht, begon met een exploit.
Het Verizon Data Breach Investigations Report 2025 bevestigt dat beeld vanuit een andere dataset. Het aandeel datalekken dat begint bij een uitgebuite kwetsbaarheid steeg met 34% naar 20% van alle onderzochte breaches — vrijwel gelijk aan gestolen inloggegevens, jarenlang de onbetwiste koploper. De opvallendste verschuiving zit bij edge-apparaten: firewalls, VPN-gateways en routers waren goed voor 22% van de uitgebuite kwetsbaarheden, bijna acht keer zoveel als een jaar eerder. Juist de apparaten die je netwerk moeten beschermen, zijn doelwit nummer één geworden. En het dichten van die gaten gaat traag: organisaties deden er volgens Verizon mediaan 32 dagen over, en kregen slechts 54% van deze kwetsbaarheden binnen het jaar volledig gedicht.
Drie datasets, één conclusie: het gat tussen patch-tempo en aanvals-tempo groeit. Wil je weten waar jouw grootste gaten zitten? De gratis security-scan van CleverTech brengt de basis van je digitale weerbaarheid in kaart voordat je in tooling investeert.
Wat houdt patch management precies in?
Patch management omvat vijf terugkerende stappen: inventariseren, prioriteren, behandelen, evalueren en verbeteren. Het NCSC hanteert deze cyclus als kern van kwetsbaarhedenbeheer, met één harde voorwaarde: zonder de eerste stap — weten wélke software en apparaten er draaien — blijft de rest giswerk.
In de praktijk zien de vijf fasen er zo uit:
- Inventariseren — welke systemen, applicaties en apparaten draaien er, en in welke versie?
- Prioriteren — welke kwetsbaarheden vormen voor jouw situatie het grootste risico?
- Behandelen — patchen waar het kan, mitigeren (bijvoorbeeld een systeem afschermen) waar het niet kan
- Evalueren — is de patch overal geland? Een korte scan of versiecheck bevestigt dat
- Verbeteren — terugkerende problemen bij de wortel aanpakken, zoals die ene applicatie die elke update tegenhoudt
Een patch zelf is niets meer dan een correctie van de fabrikant: een stuk software dat een fout, lek of prestatieprobleem verhelpt. Het verschil tussen "updates aanzetten" en patch management zit in de p van proces — vaste deadlines per risiconiveau, een verantwoordelijke per systeem, en bewijs van wat er wanneer is gebeurd.
Wat patch je eerst? Prioriteren met KEV, EPSS en CVSS
Patch op volgorde van daadwerkelijk misbruik, niet op volgorde van ernstscore. Een kwetsbaarheid met CVSS-score 9,8 die nergens wordt uitgebuit is minder urgent dan een 7,5 waarvoor werkende exploitcode rondgaat op internet. Drie databronnen maken dat onderscheid meetbaar — en alle drie zijn gratis te raadplegen.
Waarom CVSS alleen niet genoeg is
CVSS (Common Vulnerability Scoring System) drukt uit hoe érnstig een kwetsbaarheid is als die wordt misbruikt, op een schaal van 0 tot 10. Wat de score niet vertelt: de kans dat het misbruik ook echt gebeurt. Dat verschil is enorm. Wie alles met CVSS 7 of hoger direct patcht, dekt volgens onderzoek achter het EPSS-model van FIRST weliswaar 82% van de daadwerkelijk uitgebuite kwetsbaarheden af — maar 96% van al dat patchwerk blijkt achteraf onnodig, omdat de meeste hooggescoorde kwetsbaarheden nooit worden misbruikt. Voor een MKB-bedrijf met beperkte IT-uren is dat verspilde tijd die je beter aan de échte risicogevallen besteedt.
EPSS: de kans op misbruik
EPSS (Exploit Prediction Scoring System) is een machine-learning-model van FIRST dat per kwetsbaarheid de kans schat dat die binnen 30 dagen wordt uitgebuit, uitgedrukt als percentage. De scores worden dagelijks bijgewerkt en zijn gratis beschikbaar. Moderne kwetsbaarheidsscanners en patchtools tonen EPSS-scores steeds vaker naast CVSS — vraag je IT-partner ernaar.
KEV: bewezen misbruik gaat voor alles
De Known Exploited Vulnerabilities-catalogus van CISA bevat uitsluitend kwetsbaarheden waarvan misbruik in de praktijk is vastgesteld. Staat een CVE op deze lijst, dan is de vraag niet óf aanvallers hem gebruiken, maar wanneer ze bij jou langskomen. Het Nederlandse equivalent: de beveiligingsadviezen van het NCSC (advisories.ncsc.nl), die per kwetsbaarheid kans en schade inschalen.
De CleverTech patch-prioriteitenladder
CleverTech vat deze drie bronnen samen in een beslisladder met vier treden. Werk van boven naar beneden; de eerste trede die past, bepaalt je deadline.
| Trede | Criterium | Deadline |
|---|---|---|
| 1 | CVE staat op de KEV-lijst of in een NCSC-advisory met inschaling hoog/hoog | Binnen 48 uur, desnoods buiten het onderhoudsvenster |
| 2 | EPSS boven 10% of publieke exploitcode, en het systeem is bereikbaar vanaf internet | Binnen één week |
| 3 | CVSS 7,0 of hoger op een systeem met klant- of persoonsgegevens | Binnen één maand, in het eerstvolgende patchvenster |
| 4 | Al het overige | Reguliere maandelijkse cyclus |
Deze ladder is bedoeld voor organisaties van pakweg 10 tot 250 medewerkers zonder eigen securityteam. Heb je wel een SOC of securityspecialist, dan zijn fijnmaziger beslismodellen zoals SSVC het overwegen waard — maar voor de meeste MKB-bedrijven is deze ladder het verschil tussen verlamming door 131 CVE-meldingen per dag en een lijstje van hooguit een paar patches die er deze week echt toe doen.
Hoe automatiseer je patch management zonder eigen IT-afdeling?
Het antwoord voor vrijwel elk MKB-bedrijf is een hybride model: werkplekken en standaardsoftware patchen volautomatisch, servers en bedrijfskritieke systemen gecontroleerd en gefaseerd. Je automatiseert daarmee 80 tot 90% van het patchvolume en houdt je aandacht over voor de systemen waar een mislukte update écht pijn doet.
Wat je veilig automatisch kunt patchen
Browsers, Windows- en macOS-werkplekken, kantoorsoftware en antivirus kunnen vrijwel altijd op automatisch. Het risico van een haperende update is daar klein en herstelbaar; het risico van weken achterstand niet. Het NCSC adviseert automatische updates in te schakelen waar mogelijk — en er periodiek op te controleren dat ze ook daadwerkelijk draaien, want een uitgeschakelde updatedienst valt zelden op.
Wat je gecontroleerd uitrolt
Servers, ERP-systemen, databases en productiesystemen verdienen een vaste routine: eerst een snapshot of back-up, dan uitrol naar een testgroep of testomgeving, daarna de rest. Plan dit in een maandelijks onderhoudsvenster kort na Patch Tuesday (de tweede dinsdag van de maand, waarop Microsoft zijn updates bundelt). Eén avond per maand structureel gepland werkt beter dan ad-hoc paniekpatchen.
Welke tools passen bij een MKB-budget?
| Tool | Geschikt voor | Prijsmodel |
|---|---|---|
| Windows Update for Business + Microsoft Intune | Windows-werkplekken in een Microsoft 365-omgeving | Per gebruiker per maand; Intune zit in Microsoft 365 Business Premium |
| RMM-tools (NinjaOne, Atera, ManageEngine) | Gemengde omgevingen, meestal via je IT-partner | Per endpoint per maand |
| Dependabot / Renovate | Dependencies in maatwerksoftware en webapplicaties | Gratis (GitHub / open source) |
| Unattended-upgrades / Ansible | Linux-servers | Gratis (open source) |
Zelf beheren hoeft overigens niet: volgens de Cybersecuritymonitor 2024 van het CBS besteedt 45% van de Nederlandse bedrijven met 10 tot 50 werknemers de ICT-beveiliging volledig uit. Prima keuze — mits patchen expliciet in de afspraken staat. Vraag je IT-partner om een periodieke patch-rapportage: welke systemen, welke patches, welke uitzonderingen. Krijg je die niet, dan weet je niet wat je koopt.
Wat betekent NIS2 voor je patchbeleid?
De Cyberbeveiligingswet — de Nederlandse uitvoering van de Europese NIS2-richtlijn — treedt volgens het NCSC naar verwachting medio augustus 2026 in werking. De wet verankert een zorgplicht met verplichte maatregelen voor organisaties in kritieke sectoren, van risicoanalyse en incidentafhandeling tot toegangsbeheer. Kwetsbaarheden tijdig verhelpen — patch management dus — hoort bij de kern van die zorgplicht.
Val je er direct onder, of via de keten?
Bedrijven met minder dan 50 medewerkers vallen doorgaans niet rechtstreeks onder de wet. Toch raakt hij het MKB wel degelijk: organisaties die er wél onder vallen — ziekenhuizen, energiebedrijven, transporteurs, digitale dienstverleners — moeten hun keten aantoonbaar op orde hebben, en gaan beveiligingseisen dus doorleggen naar hun leveranciers. MKB Cyber Campus waarschuwt dat grote klanten steeds vaker bewijs van digitale beveiliging zullen eisen, op straffe van contractverlies; de boetes voor entiteiten die direct onder de wet vallen lopen op tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Los daarvan geldt voor iedereen die persoonsgegevens verwerkt allang de AVG, die in artikel 32 passende technische maatregelen eist — ongepatchte software die tot een datalek leidt, is daarmee lastig te verdedigen. En werk je met AI-systemen, dan komt daar regelgeving bij; in onze AI Act-checklist voor het MKB zetten we die verplichtingen op een rij.
Aantoonbaarheid: documenteer wat je patcht
Voor al deze kaders geldt hetzelfde principe: niet alleen doen, maar ook kunnen bewijzen. Houd per patch bij wat er is geïnstalleerd, wanneer, op welke systemen en door wie. Dat klinkt bureaucratisch, maar een simpele export uit je patchtool of een gedeeld logboek volstaat. Bij een incident is dat logboek je bewijs richting verzekeraar, klanten en toezichthouder.
Hoe houd je websites, webshops en maatwerksoftware actueel?
Je website is vaak het meest blootgestelde systeem dat je hebt — 24/7 bereikbaar vanaf internet — en tegelijk het vaakst vergeten in het patchproces. Patchstack registreerde in 2025 maar liefst 11.334 nieuwe kwetsbaarheden in het WordPress-ecosysteem, 42% meer dan een jaar eerder, met verouderde plugins als hoofdschuldige.
WordPress en webshops: het plugin-probleem
Zet automatische minor-updates van WordPress zelf aan (standaard al zo), controleer wekelijks op plugin- en thema-updates, en verwijder alles wat je niet gebruikt — elke inactieve plugin is een extra deur. Hoe je een besmette site herkent en herstelt, lees je in ons stappenplan WordPress gehackt: wat nu?; wat structureel onderhoud hoort te kosten, staat in onze checklist website-onderhoud. Liever helemaal geen omkijken? In de onderhoudsabonnementen van CleverTech zijn updates, monitoring en back-ups standaard inbegrepen.
Maatwerksoftware: dependencies zijn ook patches
Zelfgebouwde applicaties draaien op tientallen tot honderden open source-bibliotheken, en elk daarvan kan een kwetsbaarheid bevatten. In de maatwerkprojecten die CleverTech in onderhoud heeft, draaien daarom geautomatiseerde dependency-updates via Renovate of Dependabot, volgens een vaste werkwijze: patch- en minor-updates worden per week gebundeld in één update-branch en gaan pas mee naar productie zodra de volledige geautomatiseerde testsuite groen is; major-versies en elke update die een test laat falen, blijven staan voor handmatige beoordeling door een ontwikkelaar. Juist die tegengehouden updates bewijzen de waarde van de vangrail — ongecontroleerd doorgevoerd hadden ze een werkende applicatie gebroken. Laat je maatwerksoftware ergens anders bouwen? Vraag dan expliciet of dependency-updates in het onderhoudscontract zitten — het antwoord is verrassend vaak nee. Voor SaaS-pakketten geldt een prettige taakverdeling: de leverancier patcht het platform, jij blijft verantwoordelijk voor je koppelingen, apps en toegangsrechten.
Wat kost patchen en wat kost niet patchen?
Gestructureerd patchen kost een MKB-bedrijf verrassend weinig: reken op enkele euro's per endpoint per maand aan tooling plus een vast dagdeel beheertijd per maand, of een onderhoudscontract waarin dit werk is inbegrepen. Daarmee is het een van de goedkoopste beveiligingsmaatregelen die er bestaan — zeker afgezet tegen de alternatieven.
Wat níet patchen kost, is lastiger in één getal te vangen. Amerikaanse rapporten noemen miljoenenschades per datalek, maar die cijfers zijn zwaar gekleurd door enterprises en zeggen weinig over een bedrijf met 30 medewerkers. Realistischer voor het MKB: dagen tot weken stilstand, herstelkosten, een meldplicht-traject bij de Autoriteit Persoonsgegevens en klanten die je moet uitleggen waarom hun gegevens op straat liggen. Het CBS becijferde in dezelfde Cybersecuritymonitor dat ongeveer 1% van alle Nederlandse bedrijven in 2023 met ransomware te maken kreeg — klinkt klein, tot je bedenkt dat het jaarlijks duizenden bedrijven zijn en dat uitgebuite kwetsbaarheden bij dit soort aanvallen een hoofdrol spelen. De rekensom is kort: één voorkomen incident betaalt jaren patchwerk terug.
Een werkbaar patchbeleid in vijf stappen
Een patchbeleid hoeft geen dik document te zijn. Eén A4 met deze vijf afspraken zet je in een middag op papier — en is meer dan de meeste MKB-bedrijven nu hebben.
Stap 1: Inventariseer alles wat software draait
Servers, werkplekken, telefoons, maar ook firewall, router, NAS en printers. Noteer per systeem de software, versie en wie verantwoordelijk is. Een spreadsheet is een prima start; een inventarisatietool kan later altijd nog.
Stap 2: Leg deadlines vast met de prioriteitenladder
Neem de vier treden uit dit artikel over of pas de termijnen aan op jouw risicoprofiel. Waar het om gaat: de afspraak bestaat vóórdat de kritieke kwetsbaarheid zich meldt, zodat niemand onder druk hoeft te improviseren.
Stap 3: Automatiseer de bulk
Zet werkplekken, browsers en kantoorsoftware op automatisch en richt voor servers een maandelijks patchvenster in. Abonneer jezelf of je IT-partner op de NCSC-adviezen, zodat trede 1-gevallen je nooit verrassen.
Stap 4: Faseer en test kritieke systemen
Voor ERP, databases en productiesystemen: eerst snapshot of back-up, dan een testgroep, dan de rest. Documenteer per systeem hoe je een mislukte patch terugdraait — dát is het moment waarop je een rollback-plan wilt hebben, niet moet verzinnen.
Stap 5: Documenteer en evalueer per kwartaal
Bewaar patch-rapportages en loop elk kwartaal de uitzonderingen na: systemen die structureel achterlopen, software die niet meer wordt ondersteund, mitigaties die stiekem permanent zijn geworden. Verouderde software zonder updates verdient een vervangingsplan, geen gedoogbeleid.
Patchbeleid is uiteindelijk gewoontevorming: saai als het goed gaat, onbetaalbaar als het misgaat. CleverTech neemt dit werk uit handen binnen onderhoudscontracten voor websites, webshops en maatwerksoftware — inclusief dependency-updates, monitoring en de rapportages die je richting klanten en toezichthouders nodig hebt. Meer weten over het bouwen en onderhouden van eigen software? Onze gids over maatwerk software behandelt het volledige traject. Of begin praktisch: doe de gratis security-scan, of plan een vrijblijvend gesprek — dan lopen we de prioriteitenladder samen langs jouw systemen.
Veelgestelde vragen over patch management
De vragen die MKB-ondernemers ons het vaakst stellen over patchen en updatebeleid.
Opgesteld met AI-tools en gecontroleerd door het redactieteam van CleverTech — tech-leads met ervaring in AI, procesautomatisering en IT-consulting.

