Methodiek & verantwoording

De radar haalt met vaste tussenpozen informatie op uit een beperkte set openbare, gezaghebbende bronnen — zoals het NCSC, de CISA KEV-catalogus en de National Vulnerability Database. Het gaat uitsluitend om informatie die deze organisaties zelf publiceren.

Elke ophaalronde wordt vastgelegd: wanneer de bron is gecontroleerd, of het gelukt is en hoeveel items zijn verwerkt. Die status is per bron terug te zien op de bronnenpagina. Dezelfde dreiging uit meerdere bronnen wordt samengevoegd, zodat er geen dubbelingen ontstaan.

Niet elke bron is even hard. Daarom krijgt elke dreiging een betrouwbaarheidsniveau: van bevestigd (officiële bron) en waarschijnlijk (gerenommeerd onderzoek) tot onbevestigd en gerucht.

Signalen uit hacker- of OSINT-kanalen — bijvoorbeeld een claim op een forum dat data te koop staat — worden niet automatisch als feit behandeld. Ze kunnen wijzen op een ontwikkeling, maar krijgen een laag betrouwbaarheidsniveau en verhogen op zichzelf niet de ernst. Pas bij bevestiging door een betrouwbare bron telt zo'n signaal volwaardig mee. Zo voorkomt de radar dat onbevestigde claims onnodige onrust veroorzaken.

De radar toont niet alleen een CVSS-score. Elke dreiging krijgt vier regelgebaseerde, uitlegbare scores:

• Threat Score — de technische ernst.
• Exploit Score — hoe aannemelijk of bevestigd misbruik is (CISA KEV, exploitcode, EPSS).
• Gemeentelijke relevantie — hoe sterk Nederlandse gemeenten geraakt kunnen worden.
• Action Urgency Score — hoe snel actie nodig is; dit is de uiteindelijke priority score.

Belangrijk: CVSS staat niet gelijk aan prioriteit. Een hoge CVSS zonder bekend misbruik kan minder urgent zijn dan een lagere score die wél actief wordt uitgebuit. Elke score komt met een onderbouwing, zodat een CISO altijd kan nagaan waaróm iets kritiek is.

Dit is het kernonderscheid met een generieke dreigingsradar. Een regelgebaseerde relevantie-engine bepaalt welke gemeentelijke kernprocessen (zoals Burgerzaken, Microsoft 365 en identity of de leveranciersketen) en welke rollen (CISO, ISO, SOC, ICT-beheer en meer) door een dreiging geraakt kunnen worden.

De engine weegt onder meer mee of het om internetgerichte of veelgebruikte gemeentelijke technologie gaat, of er sprake is van een ketenrisico en of persoonsgegevens in het geding zijn. Het resultaat is een relevantiescore met een Nederlandse onderbouwing, een bestuurlijke duiding en concrete acties — terug te zien op de Gemeentelijke Impactkaart.

• •Alleen openbare bronnen. De radar verwerkt uitsluitend informatie die bronnen zelf publiek beschikbaar stellen, met respect voor hun gebruiksvoorwaarden, licenties en rate limits.
• •Geen actieve scanning van derden. De radar voert geen scans, tests of andere actieve handelingen uit op systemen van gemeenten of andere organisaties.
• •Geen illegaal verkregen data. Gelekte, gestolen of anderszins onrechtmatig verkregen gegevens worden niet ingelezen of verwerkt. Een melding dát er een datalek is, kan wel worden getoond — de gelekte data zelf nooit.
• •Geen AI als orakel. De classificatie is regelgebaseerd en navolgbaar; er zit geen ondoorzichtig AI-model tussen de bron en het oordeel.