Blog
13 October 2025

5 Veelgemaakte fouten bij patch management (en hoe je ze voorkomt)

Op papier lijkt patch management eenvoudig: updates installeren en klaar. In de praktijk is het een van de meest onderschatte onderdelen van cybersecurity. Niet omdat het technisch zo ingewikkeld is, maar omdat het raakt aan governance, prioritering en verantwoording. En juist dáár lopen veel organisaties vast.

Volgens het Verizon Data Breach Investigations Report 2025 begon bijna één op de vijf datalekken (18%) met het misbruik van een bekende kwetsbaarheid. Vaak was de patch al beschikbaar, maar werd die niet op tijd uitgerold.

Voorbeelden genoeg: WannaCry (EternalBlue) dat wereldwijd complete organisaties platlegde, Log4Shell dat maandenlang bleef rondzingen, en ProxyShell, waar exploits opdoken nog vóór de change windows gestart waren.

De boodschap is helder: aanvallers wachten niet, auditors ook niet. Hieronder vijf fouten die we in de praktijk zien en wat je als IT-manager kunt doen om ze te voorkomen.

1. Geen integraal patchbeleid

Het probleem
Veel organisaties patchen reactief. Verschillende teams regelen het voor hun eigen systemen, maar niemand heeft het overzicht. Security en operations werken langs elkaar heen en de vraag “wie beslist hier eigenlijk?” blijft onbeantwoord.

De impact
Zonder beleid ontstaan blinde vlekken. Tijdens een audit blijkt de asset-lijst niet compleet, of kan niet worden aangetoond wanneer een kritieke patch is geïnstalleerd. Je loopt niet alleen risico, je staat ook zwak in de boardroom.

Zo pak je het aan

  • Maak patch management onderdeel van governance en risicomanagement.
  • Leg responstijden per patch-classificatie vast (bijv. “critical binnen 72 uur”).
  • Benoem een verantwoordelijke met mandaat om downtime versus risico af te wegen.

2. Blind vertrouwen op automatische updates

Het probleem
Windows Update doet zijn werk, maar dat is slechts een deel van het verhaal. Firmware, netwerkapparatuur, SaaS, container-images of libraries zoals Log4j blijven vaak buiten beeld.

De impact
Organisaties die vertrouwen op automatische updates overschatten hun dekking. Alles lijkt “bij”, maar bij een incident blijkt de kwetsbaarheid diep in de stack te zitten. Dat is geen gesprek dat je wilt voeren tijdens een audit of boardmeeting.

Zo pak je het aan

  • Combineer endpoint management met vulnerability scanning.
  • Breng afhankelijkheden in kaart met een SBOM (Software Bill of Materials).
  • Rapporteer structureel naar management zodat dekking en hiaten zichtbaar zijn.

3. Businessimpact belangrijker dan risico

Het probleem
Change windows zijn heilig. Geen downtime, dus patches wachten. Maar aanvallers plannen hun exploits niet in jouw kalender.

De impact
Bij ProxyShell verschenen de eerste exploits binnen dagen. Organisaties die weken wachtten tot hun reguliere change cycle liepen onnodig risico en dat wisten ze.

Zo pak je het aan

  • Richt een fast-track proces in voor kritieke patches, buiten reguliere cycles.
  • Automatiseer tests en rollbackscenario’s zodat snelheid en betrouwbaarheid samengaan.
  • Gebruik tijdelijke maatregelen (zoals WAF-regels) om risico’s te beperken wanneer patchen direct niet kan.

4. Geen zicht op de supply chain

Het probleem
Eigen servers en endpoints patchen lukt vaak nog wel. Maar SaaS, leveranciers, OT of IoT? Die blijven onder de radar.

De impact
Incidenten zoals SolarWinds en Kaseya hebben laten zien dat een leverancier die niet patcht alsnog jouw achilleshiel kan zijn. Een supply chain zonder inzicht betekent dat je als IT-manager risico’s erft die je niet kunt beheersen.

Zo pak je het aan

  • Leg patch- en updateverplichtingen vast in SLA’s en contracten.
  • Vraag leveranciers om periodieke attestaties of rapportages.
  • Gebruik attack surface monitoring en threat intelligence om externe risico’s in beeld te krijgen.

5. Geen inzicht of evaluatie

Het probleem
Veel organisaties weten niet precies welke systemen gepatcht zijn. Rapportages zijn ad hoc, evaluaties sporadisch.

De impact
Zonder metrics stuur je blind. Auditors prikken daar zo doorheen. En in de boardroom kun je weinig onderbouwen als er gevraagd wordt: “Hoe snel sluiten wij kritieke kwetsbaarheden eigenlijk?”

Zo pak je het aan

  • Definieer KPI’s zoals patch compliance rate en mean time to patch (MTTP).
  • Koppel deze cijfers aan risicomanagement en compliance-frameworks.
  • Automatiseer rapportages en bespreek resultaten structureel met management.

Patch management dat wél werkt

Patch management is een van de goedkoopste én effectiefste securitymaatregelen. Maar dan moet het volwassen ingericht zijn. Dat betekent:

  • Beleid: duidelijke verantwoordelijkheden, prioriteiten en responstijden. Wie beslist er, en hoe snel?
  • Techniek: tooling die volledig dekkend is, van endpoints tot cloud en supply chain, en die snel en betrouwbaar kan uitrollen.
  • Borging: meetbare KPI’s en rapportages waarmee je richting bestuur en auditors kunt laten zien dat het proces onder controle is.

Waarom dit juist nu telt? Exploits verschijnen steeds sneller na disclosure. Wet- en regelgeving zoals NIS2 legt organisaties een plicht op om aantoonbaar kwetsbaarheden te beheren. En in de boardroom groeit de verwachting dat IT-managers niet alleen reageren, maar ook proactief inzicht bieden in risico’s. Zo wordt patch management geen vinkje op een auditlijst, maar een strategisch proces waarmee je als IT-manager laat zien: "wij hebben grip op onze risico’s, voldoen aan compliance én zorgen dat de business veilig door kan draaien."

Heb je een lastige casus? Kom maar op.

Of je nu een gerichte vraag hebt of worstelt met een complex beveiligingsvraagstuk: wij helpen je verder. Neem contact met ons op, we denken graag met je mee.

Plan een afspraak