Oracle heeft in mei 2026 een nieuwe maandelijkse patchcyclus gelanceerd. De eerste Critical Security Patch Update (CSPU, een maandelijks pakket met beveiligingsfixes dat gekende kwetsbaarheden in Oracle-software dicht), uitgebracht op 28 mei 2026, dichte meteen 35 beveiligingslekken, waarvan 11 als kritiek werden beoordeeld. CIO meldt dat een deel van die lekken op afstand uitgebuit kan worden zonder dat iemand eerst moet inloggen. Voor jou als zaakvoerder of IT-verantwoordelijke is de boodschap eenvoudig: patchbeheer is geen éénmalige klus meer. Het is een terugkerende maandelijkse verplichting geworden. De vraag is niet of dit jouw bedrijf raakt, maar of jouw IT-partner klaar is om dit elke maand zonder bedrijfsimpact te beheren.
De mei 2026 CSPU is de eerste release in Oracle’s nieuwe maandelijkse ritme. Voordien publiceerde Oracle patches per kwartaal, maar dat tempo bleek te traag voor de snelheid waarmee beveiligingslekken opduiken en misbruikt worden. Oracle kondigt aan dat vanaf nu elke maand een nieuwe ronde verschijnt.
Die eerste release bevatte 35 gedichte kwetsbaarheden, verdeeld over drie categorieën:
Tenable bevestigt dat het samen gaat over bijna 83% lekken met een hoge of kritieke ernstgraad. Dat is geen cijfer om naast je neer te leggen. Sommige van die lekken zijn op afstand aanvalbaar, wat betekent dat een aanvaller geen fysieke toegang tot jouw netwerk nodig heeft om schade te richten.
Een belangrijke nuance: of deze specifieke lekken jouw bedrijf raken, hangt af van welke Oracle-producten je gebruikt en hoe die geconfigureerd zijn. Dat bepaal je niet zelf, maar vraag je na bij je IT-partner. Zonder een bijgewerkte inventaris van jouw Oracle-omgeving is het onmogelijk om te weten welke patches voor jou prioritair zijn.
De overstap naar een maandelijkse patchcyclus is goed nieuws voor de beveiliging in het algemeen, maar ze legt ook een hogere druk op iedereen die Oracle-software beheert. Kwartaalpatches liet toe om drie maanden vooruit te plannen. Maandelijkse patches vereisen een gestructureerd, herhalend proces dat geen maand mag overgeslagen worden.
Voor kmo’s die hun IT uitbesteden, is dit vooral een contractuele en communicatievraag. Jij patcht zelf niet, maar jij draagt wel de gevolgen als er een lek misbruikt wordt of als een patch ongeplande downtime veroorzaakt. Daarom moet vandaag duidelijk zijn:
Zonder concrete afspraken hierover loop je het risico op twee dingen tegelijk: een beveiligingsincident omdat een patch te laat werd toegepast, of operationele verstoring omdat een patch zonder voorbereiding werd uitgerold. Beide zijn vermijdbaar met de juiste afspraken op papier.
Je hoeft geen IT-kennis te hebben om de juiste vragen te stellen. Stuur je IT-partner of leverancier een mail met deze drie punten:
Daarnaast zijn er twee zaken die je zelf kunt controleren. Vraag je IT-partner om een overzicht van de Oracle-componenten die actief in gebruik zijn binnen jouw bedrijf, een zogeheten IT-inventaris. Zonder die inventaris is het onmogelijk om de relevantie van elke patch te beoordelen. Bekijk ook jouw huidig servicecontract: staat er ergens in vermeld wat de maximale responstijd is bij kritieke beveiligingsupdates?
Bij Clear IT bespreken we dit soort vragen geregeld samen met klanten die hun IT hebben uitbesteed. Niet omdat het altijd complex is, maar omdat de verantwoordelijkheid helder moet zijn voordat er iets misloopt. Een maandelijks patchritme is beheersbaar, maar alleen als de afspraken er al liggen.
Oracle’s nieuwe maandelijkse patchcyclus is een structurele verandering, geen eenmalig nieuwsfeit. De eerste release met 35 lekken, waarvan bijna 83% ernstig of kritiek, zet de toon voor wat elke maand terugkomt. Jouw actie is niet technisch: het is bestuurlijk. Zorg dat je weet welke Oracle-producten je gebruikt, dat je contract patchbeheer dekt, en dat je IT-partner je proactief informeert. Die drie zaken regel je deze week, niet pas als er iets misloopt.
Een CSPU is een pakket met beveiligingsfixes dat Oracle uitbrengt om gekende kwetsbaarheden in zijn software te dichten. Vanaf mei 2026 publiceert Oracle deze updates maandelijks in plaats van per kwartaal. Je hoeft dit niet zelf te installeren als je IT hebt uitbesteed, maar je moet wel weten of jouw IT-partner dit maandelijks opvolgt.
Oracle levert veel meer dan alleen databases: ook ERP-systemen, HR-software en infrastructuurtools vallen onder de Oracle-paraplu. Vraag jouw IT-partner om een overzicht van alle Oracle-componenten in jouw omgeving. Zonder dat overzicht kun je niet beoordelen welke patches voor jou relevant zijn.
Dat hangt af van welke Oracle-producten je gebruikt en of ze al gepatcht zijn. Sommige lekken zijn op afstand aanvalbaar, wat betekent dat ze zonder fysieke toegang tot jouw netwerk misbruikt kunnen worden. Vraag je IT-partner welke patches al toegepast zijn en welke nog openstaand zijn. Op basis daarvan maak je een inschatting van het resterende risico.
Vraag dan om een concrete datum en een schriftelijke bevestiging. Voor kritieke lekken is ‘later’ geen aanvaardbaar antwoord zonder context. Als jouw contract geen termijnen vermeldt voor kritieke patches, is dit het moment om dat te herzien. Duidelijke afspraken beschermen jou én jouw leverancier.
