Vijf overheids-cyberdiensten, waaronder het Nederlandse NCSC en de Amerikaanse CISA, publiceren een gezamenlijke richtlijn voor het opzetten van een meldpunt voor kwetsbaarheden, met één boodschap aan softwaremakers: geen stille patches en geen zwijgcontracten voor onderzoekers.
Voor elk Nederlands bedrijf dat zelf software of een online dienst bouwt, ligt er nu een kant-en-klaar beleidskader. Een openbaar meldpunt met heldere afspraken laat klanten en toezichthouders zien dat je productveiligheid serieus neemt. Het sluit ook aan op waar de EU met de Cyber Resilience Act heen beweegt: makers van producten met digitale elementen moeten kwetsbaarheden straks aantoonbaar afhandelen en melden.
Geen stille fixes en geen zwijgcontracten
De kern van de richtlijn is een oproep om algemene openbaarmakingsbeperkingen zoals NDA's en stille fixes te vermijden. Een stille fix is een lek dat een leverancier wel dicht, maar niet noemt in de release notes. Het gevolg: klanten weten niet dat er een beveiligingsupdate is en rollen de patch veel minder vaak uit dan een lek dat wél openlijk wordt beschreven.
Een zwijgcontract dat een onderzoeker verbiedt zijn bevindingen ooit te publiceren, hoort er volgens de diensten evenmin. Openheid toont juist aan dat een bedrijf verantwoordelijkheid neemt, schrijven de opstellers, waaronder ook de NSA en de Japanse en Britse cyberdiensten JPCERT/CC en NCSC-UK.
Wat een goed meldpunt regelt
De basis is een openbaar gepubliceerd meldbeleid, een vulnerability disclosure policy (VDP): een tekst die beschrijft hoe je een lek meldt, wat een onderzoeker wel en niet mag testen, en wat beide partijen mogen verwachten. Meedoen mag niet afhangen van nationaliteit of leeftijd, op sancties na.
Een paar concrete onderdelen uit het kader:
- Safe harbor. Neem een toezegging op dat onderzoek te goeder trouw als geautoriseerd geldt en niet tot juridische stappen leidt, zodat melders niet bang hoeven te zijn voor de anti-hackwetgeving. De richtlijn levert er zelfs een voorbeeldtekst voor.
- Termijnen. Leg vast binnen welke periode je een lek verhelpt en openbaar maakt. Lange embargo's verkleinen het risico niet, want aanvallers vinden hetzelfde lek vaak zelf.
- Erkenning. Noem de onderzoeker in je advisory en zet die advisory niet achter een betaalmuur.
- Een
security.txt-bestand op je site dat onderzoekers vertelt waar ze een melding kwijt kunnen.
CVE's toekennen hoort erbij
Een meldpunt stopt niet bij het aannemen van een melding. De diensten verwachten dat makers voor elk bevestigd lek een CVE-nummer toekennen en publiceren, zodat de hele keten weet welk risico er speelt. Bedrijven die dat zelf willen doen, kunnen CVE Numbering Authority (CNA) worden.
Dat raakt een reëel probleem. Het aantal zware kwetsbaarheden loopt hard op, met ongeveer 1.500 hoog- en kritieke CVE's die grote techbedrijven in juni 2026 samen meldden, ruim drie keer het vorige maandrecord. Zonder nette, openbare records verdrinkt een klant in dat volume.
De richtlijn maakt één onderscheid: commerciële en publiek beschikbare (open source) software krijgt openbare CVE-records, terwijl software die alleen voor de overheid wordt gemaakt met niet-openbare meldingen werkt. Heb je zelf geen securityteam, dan kun je een tussenpartij inschakelen, zoals het NCSC of een ander nationaal responseteam, dat de melding coördineert.
Waar dit heen wijst
De richtlijn valt onder de bredere Secure by Design-lijn, waarin overheden makers vragen veiligheid vooraf in te bouwen en open te zijn over wat er misgaat. De boodschap is dat een meldpunt geen gunst aan hackers is, maar een teken van een volwassen productbedrijf.
Voor Nederlandse softwarebedrijven is het tijdstip geen toeval. Met strengere Europese regels in aantocht wordt een open omgang met kwetsbaarheden minder een keuze en meer de norm waarop klanten, partners en toezichthouders je gaan afrekenen.
Veelgestelde vragen
Software met veiligheid ingebouwd
Een meldpunt is stap twee; stap één is software die van begin af aan netjes is opgezet. Ik ontwerp, bouw en onderhoud je applicaties end-to-end, self-hosted waar dat kan, zodat kwetsbaarheden minder kans krijgen.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
