Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Severity

Concepten

Hoe ernstig een zwakke plek van een digitaal systeem is.

Severity, oftewel ernst, is de classificatie die aangeeft hoe ernstig een kwetsbaarheid, beveiligingsincident of dreiging is. Het bepaalt de prioriteit waarmee je organisatie moet reageren. Een kritieke kwetsbaarheid in een publiek toegankelijk systeem vereist directe actie, terwijl een lage kwetsbaarheid in een geïsoleerd testsysteem kan wachten tot het volgende onderhoudsvenster. Severity is een kernbegrip in vulnerability management, incident response en risicobeoordelingen. Zonder een gestructureerde ernstclassificatie is het onmogelijk om effectief te prioriteren welke kwetsbaarheden als eerste gepatcht moeten worden en welke incidenten directe aandacht verdienen.

Waarom is severity belangrijk?

Organisaties worden dagelijks geconfronteerd met tientallen tot honderden nieuwe kwetsbaarheden en beveiligingsmeldingen. Zonder een objectieve maatstaf voor ernst worden middelen verspild aan lage risico's terwijl kritieke kwetsbaarheden ongepatcht blijven. Severity-classificatie zorgt voor een gestructureerde aanpak waarin de meest impactvolle dreigingen als eerste worden aangepakt, ongeacht hoe ze zijn ontdekt.

Het meest gebruikte systeem voor het classificeren van de ernst van kwetsbaarheden is het Common Vulnerability Scoring System (CVSS), beheerd door FIRST.org. CVSS kent een numerieke score van 0,0 tot 10,0 toe aan elke kwetsbaarheid, gebaseerd op factoren zoals de complexiteit van het exploiteren, of authenticatie vereist is, en de potentiële impact op vertrouwelijkheid, integriteit en beschikbaarheid. De huidige versie is CVSS v4.0, die meer nuance biedt dan eerdere versies door aanvullende metriekgroepen voor dreigingsinformatie en omgevingsfactoren.

De CVSS-score wordt vertaald naar kwalitatieve severity-niveaus. Een score van 0,0 is None (geen ernst). Scores van 0,1 tot 3,9 vallen onder Low (laag risico met beperkte impact). Medium (4,0 tot 6,9) duidt op kwetsbaarheden die aandacht verdienen maar niet direct exploiteerbaar zijn. High (7,0 tot 8,9) zijn serieuze kwetsbaarheden die relatief eenvoudig te exploiteren zijn met significante impact. Critical (9,0 tot 10,0) zijn de meest ernstige kwetsbaarheden die direct en op afstand exploiteerbaar zijn met volledige compromittering als gevolg.

Voor beveiligingsincidenten hanteren organisaties vaak een apart severity-model dat aansluit bij hun incident response-plan. Typische niveaus zijn SEV-1 (kritiek: productie-uitval, actief datalek, onmiddellijke escalatie vereist), SEV-2 (hoog: significante impact maar geen volledige uitval), SEV-3 (medium: beperkte impact, geplande respons) en SEV-4 (laag: minimale impact, informationeel). De severity bepaalt welke procedures worden geactiveerd, wie wordt geïnformeerd en binnen welk tijdsbestek de respons moet plaatsvinden.

Hoe pas je severity toe?

Bij vulnerability management integreer je CVSS-scores in je patchmanagementproces. Definieer SLA's per severity-niveau: kritieke kwetsbaarheden patch je binnen 24 tot 72 uur, hoge binnen een week, medium binnen een maand en lage bij het volgende reguliere onderhoudsmoment. Deze SLA's moeten worden afgestemd op het risicoprofiel van je organisatie en de context van de getroffen systemen. Een medium kwetsbaarheid op een publiek toegankelijke webserver kan urgenter zijn dan een hoge kwetsbaarheid op een intern testsysteem.

Gebruik CVSS als startpunt maar niet als enige factor. De CVSS Base Score geeft de intrinsieke ernst van een kwetsbaarheid weer, maar houdt geen rekening met je specifieke omgeving. De Environmental Score laat je de impact aanpassen op basis van hoe belangrijk het getroffen systeem is voor je organisatie. De Threat Score weegt mee of er actieve exploits beschikbaar zijn. Een kwetsbaarheid met een medium Base Score maar actieve exploitatie in het wild verdient dezelfde urgentie als een hoge of kritieke kwetsbaarheid.

Stem je severity-classificatie af op je compliance-eisen. NIS2 vereist dat organisaties tijdig reageren op beveiligingsincidenten op basis van hun ernst. ISO 27001 schrijft voor dat je een classificatiesysteem hanteert voor informatiebeveiligingsincidenten. De Autoriteit Persoonsgegevens verwacht dat datalekken worden beoordeeld op ernst bij het bepalen of melding noodzakelijk is. Door je interne severity-niveaus af te stemmen op deze externe vereisten, vereenvoudig je de rapportage en vermijd je verwarring bij een incident.

Automatiseer severity-toekenning waar mogelijk. Vulnerability scanners zoals Qualys, Tenable en Rapid7 kennen automatisch CVSS-scores toe aan ontdekte kwetsbaarheden. Integreer deze met je SIEM-platform en ticketsysteem zodat kwetsbaarheden automatisch als tickets worden aangemaakt met de juiste prioriteit en aan het juiste team worden toegewezen. Dit voorkomt dat kritieke kwetsbaarheden ondersneeuwen in de ruis van dagelijkse meldingen.

Train je team in het correct beoordelen van severity. Een veelgemaakte fout is het automatisch overnemen van CVSS-scores zonder contextanalyse. Security-analisten moeten in staat zijn om de relevantie van een kwetsbaarheid voor de specifieke omgeving te beoordelen en de priority daarop aan te passen. Het verschil tussen severity (de intrinsieke ernst) en priority (de volgorde van aanpak op basis van context) is hierbij essentieel: een hoge severity met een lage exploitability in je specifieke omgeving kan een lagere priority krijgen dan een medium severity die actief wordt uitgebuit.

Severity in de praktijk

Stel dat je vulnerability scanner een kwetsbaarheid met CVSS-score 9,8 (Critical) ontdekt in een VPN-gateway. De kwetsbaarheid maakt remote code execution mogelijk zonder authenticatie. In dit geval activeer je het hoogste severity-niveau: directe patching of mitigatie binnen uren, escalatie naar het management, en monitoring op indicatoren dat de kwetsbaarheid al is misbruikt. Het NCSC publiceert in dergelijke gevallen vaak een beveiligingsadvies met classificatie High/High, wat de urgentie onderstreept.

Vergelijk dit met een medium kwetsbaarheid (CVSS 5,3) in een interne applicatie die alleen bereikbaar is vanuit het kantoornetwerk en authenticatie vereist. Deze kwetsbaarheid is minder urgent, maar verdient nog steeds aandacht binnen de afgesproken SLA. De context, bereikbaarheid en exploitability bepalen samen of de CVSS-score leidt tot een hoge of lage priority in je patchcyclus.

Veelgestelde vragen over severity

Wat is het verschil tussen severity en priority?

Severity is de objectieve ernst van een kwetsbaarheid of incident op basis van technische impact. Priority is de volgorde waarin je het aanpakt, rekening houdend met context zoals bereikbaarheid, bedrijfskritiekheid van het systeem en beschikbare mitigaties. Een hoge severity kan een lage priority hebben als het systeem niet bereikbaar is vanuit het internet.

Welke CVSS-versie moet ik gebruiken?

CVSS v4.0 is de huidige standaard en biedt de meeste nuance. Veel organisaties en vulnerability databases gebruiken nog v3.1-scores. Bij het vergelijken van scores is het belangrijk om te weten welke versie is gebruikt, omdat dezelfde kwetsbaarheid verschillende scores kan krijgen onder verschillende versies.

Hoe snel moet ik een kritieke kwetsbaarheid patchen?

Best practice is om kritieke kwetsbaarheden, zeker die met actieve exploitatie, binnen 24 tot 72 uur te patchen of mitigeren. NIS2 en ISO 27001 vereisen dat je een patchbeleid hebt met gedefinieerde SLA's per severity-niveau die aansluiten bij het risicoprofiel van je organisatie.

Kan een lage CVSS-score toch gevaarlijk zijn?

Ja. Aanvallers combineren vaak meerdere lage kwetsbaarheden in een aanvalsketen die samen een hoge impact hebben. Een lage kwetsbaarheid die informatie lekt kan een aanvaller helpen om een medium kwetsbaarheid te exploiteren die op zijn beurt toegang geeft tot kritieke systemen.

Hoe rapporteer ik severity aan het management?

Vertaal technische severity naar bedrijfsimpact. Het management begrijpt niet altijd wat een CVSS-score van 9,8 betekent, maar wel dat een kwetsbaarheid in de VPN-gateway kan leiden tot volledige netwerkcompromittering, productiestilstand en mogelijke datalekken met boetes tot gevolg.

Meer weten over kwetsbaarheidsbeheer? Bekijk Patch & Vulnerability Management aanbieders op IBgidsNL.