Iemand typt programmacode op een laptopscherm.
Nieuws15 juli · 18:244 min leestijd

NCSC en partners publiceren CVD-richtlijn: geen stille patches of zwijgcontracten

Vijf overheids-cyberdiensten, waaronder het NCSC en de Amerikaanse CISA, publiceren een gezamenlijke richtlijn voor het melden van kwetsbaarheden. De kernboodschap aan softwaremakers: patch niet stiekem en leg beveiligingsonderzoekers geen zwijgcontract op.

Vijf overheids-cyberdiensten, waaronder het Nederlandse NCSC en de Amerikaanse CISA, publiceren een gezamenlijke richtlijn voor het opzetten van een meldpunt voor kwetsbaarheden, met één boodschap aan softwaremakers: geen stille patches en geen zwijgcontracten voor onderzoekers.

Voor elk Nederlands bedrijf dat zelf software of een online dienst bouwt, ligt er nu een kant-en-klaar beleidskader. Een openbaar meldpunt met heldere afspraken laat klanten en toezichthouders zien dat je productveiligheid serieus neemt. Het sluit ook aan op waar de EU met de Cyber Resilience Act heen beweegt: makers van producten met digitale elementen moeten kwetsbaarheden straks aantoonbaar afhandelen en melden.

Geen stille fixes en geen zwijgcontracten

De kern van de richtlijn is een oproep om algemene openbaarmakingsbeperkingen zoals NDA's en stille fixes te vermijden. Een stille fix is een lek dat een leverancier wel dicht, maar niet noemt in de release notes. Het gevolg: klanten weten niet dat er een beveiligingsupdate is en rollen de patch veel minder vaak uit dan een lek dat wél openlijk wordt beschreven.

Een zwijgcontract dat een onderzoeker verbiedt zijn bevindingen ooit te publiceren, hoort er volgens de diensten evenmin. Openheid toont juist aan dat een bedrijf verantwoordelijkheid neemt, schrijven de opstellers, waaronder ook de NSA en de Japanse en Britse cyberdiensten JPCERT/CC en NCSC-UK.

Wat een goed meldpunt regelt

De basis is een openbaar gepubliceerd meldbeleid, een vulnerability disclosure policy (VDP): een tekst die beschrijft hoe je een lek meldt, wat een onderzoeker wel en niet mag testen, en wat beide partijen mogen verwachten. Meedoen mag niet afhangen van nationaliteit of leeftijd, op sancties na.

Een paar concrete onderdelen uit het kader:

  • Safe harbor. Neem een toezegging op dat onderzoek te goeder trouw als geautoriseerd geldt en niet tot juridische stappen leidt, zodat melders niet bang hoeven te zijn voor de anti-hackwetgeving. De richtlijn levert er zelfs een voorbeeldtekst voor.
  • Termijnen. Leg vast binnen welke periode je een lek verhelpt en openbaar maakt. Lange embargo's verkleinen het risico niet, want aanvallers vinden hetzelfde lek vaak zelf.
  • Erkenning. Noem de onderzoeker in je advisory en zet die advisory niet achter een betaalmuur.
  • Een security.txt-bestand op je site dat onderzoekers vertelt waar ze een melding kwijt kunnen.

CVE's toekennen hoort erbij

Een meldpunt stopt niet bij het aannemen van een melding. De diensten verwachten dat makers voor elk bevestigd lek een CVE-nummer toekennen en publiceren, zodat de hele keten weet welk risico er speelt. Bedrijven die dat zelf willen doen, kunnen CVE Numbering Authority (CNA) worden.

Dat raakt een reëel probleem. Het aantal zware kwetsbaarheden loopt hard op, met ongeveer 1.500 hoog- en kritieke CVE's die grote techbedrijven in juni 2026 samen meldden, ruim drie keer het vorige maandrecord. Zonder nette, openbare records verdrinkt een klant in dat volume.

De richtlijn maakt één onderscheid: commerciële en publiek beschikbare (open source) software krijgt openbare CVE-records, terwijl software die alleen voor de overheid wordt gemaakt met niet-openbare meldingen werkt. Heb je zelf geen securityteam, dan kun je een tussenpartij inschakelen, zoals het NCSC of een ander nationaal responseteam, dat de melding coördineert.

Waar dit heen wijst

De richtlijn valt onder de bredere Secure by Design-lijn, waarin overheden makers vragen veiligheid vooraf in te bouwen en open te zijn over wat er misgaat. De boodschap is dat een meldpunt geen gunst aan hackers is, maar een teken van een volwassen productbedrijf.

Voor Nederlandse softwarebedrijven is het tijdstip geen toeval. Met strengere Europese regels in aantocht wordt een open omgang met kwetsbaarheden minder een keuze en meer de norm waarop klanten, partners en toezichthouders je gaan afrekenen.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Software met veiligheid ingebouwd

Een meldpunt is stap twee; stap één is software die van begin af aan netjes is opgezet. Ik ontwerp, bouw en onderhoud je applicaties end-to-end, self-hosted waar dat kan, zodat kwetsbaarheden minder kans krijgen.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Russische staatshackers kapen routers, waarschuwen CISA en NSA
Nieuws
5 min

14 jul 04:12

Russische staatshackers kapen routers, waarschuwen CISA en NSA

CISA, de NSA en acht andere landen waarschuwen dat Russische FSB-hackers wereldwijd slecht beveiligde routers kapen om ze als proxy te misbruiken. Elk bedrijf met verouderde of standaard ingestelde netwerkapparatuur is doelwit.

Chatcontrole 1.0 keert terug na stemming Europees Parlement
Nieuws
4 min

9 jul 14:09

Chatcontrole 1.0 keert terug na stemming Europees Parlement

Chatcontrole 1.0 is opnieuw van kracht: het Europees Parlement haalde donderdag te weinig tegenstemmen om het vrijwillig scannen van berichten en webmail te blokkeren. Wat dit raakt en waarom 2.0 nog dreigt.

Brussel daagt Nederland voor het EU-Hof om te late NIS2-omzetting
Nieuws
3 min

8 jul 14:48

Brussel daagt Nederland voor het EU-Hof om te late NIS2-omzetting

De Europese Commissie daagt Nederland, Ierland, Spanje en Frankrijk voor het EU-Hof wegens te late omzetting van de NIS2-cyberrichtlijn en vraagt om boetes. Voor Nederlandse organisaties bevestigt de zaak dat de Cyberbeveiligingswet op 15 augustus onverbiddelijk ingaat.

Europese Commissie presenteert AI-cyberplan zonder nieuwe verplichtingen
Nieuws
4

7 jul 22:24

Europese Commissie presenteert AI-cyberplan zonder nieuwe verplichtingen

De Europese Commissie kwam op 7 juli met een Actieplan Cybersecurity en AI. Het bevat vooral aanbevelingen en Europese testcapaciteit, geen nieuwe verplichtingen. Voor Nederlandse bedrijven blijven NIS2 en de AI Act de harde compliancelat.

CISA scant overheidscode met Anthropics Mythos op kwetsbaarheden
Nieuws
4 min

7 jul 00:09

CISA scant overheidscode met Anthropics Mythos op kwetsbaarheden

De Amerikaanse cyberdienst CISA gebruikt Anthropics AI-model Mythos nu operationeel om overheidscode te scannen op lekken, meldt Reuters. Daarmee verschuift AI-codeaudit van een eenmalige test naar dagelijks werk binnen een nationale cyberdienst, met een duidelijke politieke keerzijde.

VS heft exportblokkade op Anthropics Fable 5 en Mythos 5 volledig op
Nieuws
4 min

1 jul 02:05

VS heft exportblokkade op Anthropics Fable 5 en Mythos 5 volledig op

Iets minder dan drie weken na het exportbevel heft de VS de blokkade op Anthropics krachtigste modellen Fable 5 en Mythos 5 volledig op. Het topmodel keert terug, maar de les over afhankelijkheid blijft staan.