Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

CVE

Concepten

Common Vulnerabilities and Exposures. Een openbare lijst van bekende zwakke plekken in software. De lijst is te vinden via https://cve.mitre.org.

CVE staat voor Common Vulnerabilities and Exposures en is een internationaal gestandaardiseerd systeem voor het identificeren en benoemen van publiek bekende beveiligingskwetsbaarheden in software en hardware. Elk ontdekt beveiligingslek krijgt een specifiek CVE-nummer toegewezen, zoals CVE-2024-3094 of CVE-2025-55182, waarmee beveiligingsprofessionals wereldwijd eenduidig naar dezelfde kwetsbaarheid kunnen verwijzen. Het systeem wordt beheerd door de MITRE Corporation met financiering van het Amerikaanse Department of Homeland Security en vormt de ruggengraat van het mondiale kwetsbaarheidsbeheer dat elke beveiligingsprofessional dagelijks gebruikt.

Zonder CVE zou elke leverancier en elke beveiligingstool een eigen naamgeving hanteren voor dezelfde kwetsbaarheid, wat effectieve communicatie over dreigingen vrijwel onmogelijk zou maken. CVE fungeert als een universeel referentiesysteem dat de basis vormt voor vulnerability management, patch management processen en beveiligingsrapportages wereldwijd. Het systeem is in 1999 opgericht en bevat inmiddels honderdduizenden entries, met elk jaar tienduizenden nieuwe toevoegingen die het volume aan te beheren kwetsbaarheden continu laten groeien. Voor Nederlandse organisaties die onder NIS2 of DORA vallen, is CVE-tracking een onmisbaar onderdeel van het aantonen dat je kwetsbaarheden systematisch beheert en je patchprocessen op orde hebt.

Waarom is CVE belangrijk?

CVE is de universele taal waarmee de cybersecurity-gemeenschap communiceert over kwetsbaarheden. Als je een vulnerability scan uitvoert op je infrastructuur, rapporteert de scanner bevindingen als CVE-nummers. Je patch management proces prioriteert updates op basis van de ernst van de bijbehorende CVE's. Leveranciers publiceren security advisories met CVE-referenties zodat je exact weet welke kwetsbaarheid een patch verhelpt. Het National Vulnerability Database (NVD) van NIST verrijkt elke CVE met aanvullende informatie zoals een CVSS-score, getroffen productversies en beschikbare patches of workarounds.

De omvang van het CVE-systeem groeit explosief. In 2025 werden meer dan 48.000 nieuwe CVE's gepubliceerd, een stijging van meer dan 20 procent ten opzichte van 2024, waarbij meer dan een derde een classificatie van hoog of kritiek kreeg. Voor 2026 voorspelt het Forum of Incident Response and Security Teams (FIRST) een recordaantal van naar verwachting 59.000 nieuwe CVE's, met een bovengrens van ruim 117.000. Deze groei weerspiegelt niet alleen meer kwetsbaarheden maar ook betere detectie, meer software die onder tracking valt en een groeiend aantal CVE Numbering Authorities dat actief nummers toekent. Voor je organisatie betekent dit dat effectief kwetsbaarheidsbeheer zonder gestructureerd CVE-gebruik praktisch onmogelijk is geworden.

Hoe pas je CVE toe?

Je past CVE toe door het te integreren in je dagelijkse beveiligingsprocessen. Begin met het configureren van je vulnerability management tools om CVE-gebaseerde rapportages te genereren. Koppel je SIEM-systeem aan CVE-feeds zodat je automatisch genotificeerd wordt wanneer nieuwe kwetsbaarheden worden gepubliceerd die relevant zijn voor je softwarestack. Stel een triage-proces in waarbij je nieuwe CVE's classificeert op basis van de CVSS-score, de relevantie voor je eigen omgeving en de beschikbaarheid van exploits in het wild.

Praktisch betekent dit dat je een Software Bill of Materials (SBoM) bijhoudt van alle software die je gebruikt, inclusief versienummers en afhankelijkheden. Wanneer een nieuwe CVE wordt gepubliceerd, controleer je automatisch of getroffen versies in je omgeving draaien. Bij een CVSS-score van 9.0 of hoger start je direct het noodpatchproces. Bij lagere scores plan je de patch in volgens je reguliere patchcyclus. Organisaties die onder NIS2 of DORA vallen, moeten aantoonbaar een proces hebben voor het monitoren en verhelpen van bekende kwetsbaarheden, waarbij CVE-tracking de standaard methode is die toezichthouders verwachten bij audits en compliance-controles.

Naast reactief patchbeheer kun je CVE-data ook proactief gebruiken voor risicobeoordeling en leveranciersevaluatie. Door historische CVE-data te analyseren voor de software die je gebruikt, krijg je inzicht in welke producten regelmatig kwetsbaarheden hebben en welke leveranciers snel en betrouwbaar patches leveren. Dit helpt bij inkoopbeslissingen en bij het beoordelen van de veiligheid van je technologiestack op lange termijn. Threat intelligence platforms combineren CVE-data met informatie over actieve exploitatie, zodat je weet welke kwetsbaarheden daadwerkelijk door aanvallers worden misbruikt en prioriteit verdienen boven theoretisch ernstige maar niet-geexploiteerde kwetsbaarheden.

CVE in de praktijk

Een praktijkvoorbeeld maakt de waarde van CVE duidelijk. Stel dat een onderzoeker een kritieke kwetsbaarheid ontdekt in een veelgebruikte webserver. De kwetsbaarheid krijgt een CVE-nummer toegewezen en een CVSS-score van 9.8. Binnen uren na publicatie scannen vulnerability management tools wereldwijd automatisch op de getroffen versies. Organisaties die hun SBoM op orde hebben, weten direct of ze kwetsbaar zijn en kunnen gericht patchen voordat aanvallers de kwetsbaarheid misbruiken. Zonder CVE zou je handmatig moeten uitzoeken of verschillende security advisories van leveranciers over dezelfde kwetsbaarheid gaan, wat kostbare tijd kost in een situatie waarin snelheid essentieel is.

Het CISA Known Exploited Vulnerabilities (KEV) catalog bouwt voort op CVE door actief misbruikte kwetsbaarheden te markeren met een verplichte patchdeadline. Als een CVE op de KEV-lijst verschijnt, weet je dat aanvallers deze kwetsbaarheid actief uitbuiten en is directe actie vereist ongeacht de reguliere patchplanning. In de praktijk blijkt dat slechts een klein percentage van alle CVE's daadwerkelijk wordt geexploiteerd, maar juist die kleine groep veroorzaakt het overgrote deel van de schade bij organisaties. CVE-tracking in combinatie met exploitatie-intelligence helpt je om je beperkte resources te richten op de kwetsbaarheden die het meeste risico vormen voor je specifieke omgeving, sector en dreigingsprofiel.

Veelgestelde vragen over CVE

Wat betekent een CVE-nummer precies?

Een CVE-nummer bestaat uit het voorvoegsel CVE, gevolgd door het jaar van toewijzing en een volgnummer. Bijvoorbeeld CVE-2025-12345. Het jaar geeft aan wanneer het nummer is toegewezen, niet wanneer de kwetsbaarheid is ontdekt of publiek gemaakt. Het volgnummer is specifiek binnen dat jaar en wordt sequentieel toegekend door de betreffende CNA.

Wie mag een CVE-nummer toewijzen?

CVE-nummers worden toegewezen door CVE Numbering Authorities (CNA's). Dit zijn organisaties die door MITRE zijn geautoriseerd, waaronder grote softwareleveranciers zoals Microsoft, Google en Red Hat, en nationale CERT-organisaties. In Nederland kan het NCSC als CNA fungeren voor kwetsbaarheden in Nederlandse software of systemen.

Wat is het verschil tussen CVE en CVSS?

CVE is het identificatiesysteem dat elke kwetsbaarheid een specifiek nummer geeft. CVSS is het scoresysteem dat de ernst van een kwetsbaarheid kwantificeert op een schaal van 0 tot 10. Een CVE krijgt een CVSS-score, maar het zijn twee verschillende systemen die complementair werken aan effectief kwetsbaarheidsbeheer en risicogebaseerde prioritering van patches.

Hoe snel wordt een CVE gepubliceerd na ontdekking?

De doorlooptijd varieert sterk. Bij coordinated vulnerability disclosure werken ontdekker en leverancier samen aan een patch voordat de CVE publiek wordt. Dit duurt typisch 30 tot 90 dagen. Bij actief misbruik kan publicatie sneller plaatsvinden om organisaties te waarschuwen. Het NVD verrijkt een gepubliceerde CVE typisch binnen een uur met aanvullende metadata en CVSS-scoring.

Hoeveel CVE's worden er jaarlijks gepubliceerd?

Het aantal groeit elk jaar significant. In 2025 werden meer dan 48.000 CVE's gepubliceerd. Voor 2026 verwacht FIRST een recordaantal van ongeveer 59.000 nieuwe CVE's. Meer dan een derde krijgt een classificatie van hoog of kritiek, wat de druk op patchprocessen en vulnerability management teams bij organisaties in elke sector blijft verhogen.

Meer weten over kwetsbaarheidsbeheer? Bekijk Patch & Vulnerability Management aanbieders op IBgidsNL.