We have machines that fail the Windows 11 check but still work fine. Do we have to replace them?

From a performance perspective, no. From a security and compliance perspective, yes. A machine running Windows 10 after October 2025 receives no security patches, which means every CVE disclosed after that date stays open permanently on that device. If the machine handles any business data, connects to your network, or can access email or cloud services, it represents an unpatched attack surface. Cyber Essentials and ISO 27001 both require supported, patched operating systems. Before assuming a machine requires replacement, check whether TPM 2.0 is present but disabled in BIOS settings. If it is, enabling it may make the machine eligible for a free in-place upgrade.

Can we just buy ESU and stay on Windows 10?

ESU keeps the machine patched against known vulnerabilities until October 2028, but it does not restore full vendor support. Microsoft is clear that ESU is not the same as mainstream or extended support. Third-party software vendors will progressively drop Windows 10 compatibility even during the ESU period. Browser updates and hardware drivers for newer peripherals may stop being available. ESU is a valid short-term measure while you plan migration, but it is not a long-term substitute. Set a migration deadline before the ESU window closes.

How long does an upgrade from Windows 10 to Windows 11 take per machine?

An in-place upgrade via Windows Update takes 45 to 90 minutes per machine, including download and installation time. The machine needs to restart twice. For a managed upgrade across a fleet using Intune or a deployment tool, the process can be staged and scheduled during out-of-hours windows so it does not affect working hours. Image-based deployment to new hardware is faster per device but requires re-enrolling each machine in your management platform and reinstalling applications that are not delivered via Intune or similar.

Will Windows 11 affect our existing business software?

Most business software that runs on Windows 10 runs without change on Windows 11. The underlying Win32 application compatibility layer is largely the same. The main exceptions are very old applications built for 32-bit Windows or applications that make direct calls to OS components that Microsoft changed in Windows 11. Before a fleet-wide upgrade, test your three to five most business-critical applications on a Windows 11 machine. Where an application fails, check the vendor's compatibility statement. In most cases, updating the application to its current version resolves the issue.

Einde van Windows 10: wat uw bedrijf nu moet doen

Belangrijkste afhaalrestaurants

Microsoft stopped all security patches for Windows 10 on 14 October 2025; every CVE found after that date is permanently open on unpatched machines
Around 28% of Windows machines in the UK and 26% in the Netherlands were still on Windows 10 in early 2026
Windows 11 requires TPM 2.0, which is the most common blocker for machines from 2016–2018; controleer het BIOS voordat u ervan uitgaat dat vervanging nodig is
Extended Security Updates (ESU) are available at cost and buy up to three years of patches, but are not a substitute for migration
Cyber Essentials, ISO 27001 Annex A.8.8 en NIS2 Artikel 21 vereisen allemaal ondersteunde, gepatchte besturingssystemen

Wat levenseinde in de praktijk betekent

Het einde van de levensduur betekent niet dat Windows 10 niet meer werkt. Het betekent dat Microsoft stopt met het repareren ervan. Patch Tuesday-updates stopten op 14 oktober 2025. Elke kwetsbaarheid die na die datum wordt ontdekt, of het nu een zero-day is die wordt uitgebuit door ransomware-groepen of een bekendgemaakte CVE die is gepubliceerd in de National Vulnerability Database, blijft voor onbepaalde tijd open op Windows 10-machines. Er komt geen patch.

De vergelijking met het einde van de levensduur van Windows 7 in januari 2020 is leerzaam. Binnen enkele maanden nam de exploitatieactiviteit gericht op niet-gepatchte Windows 7-machines sterk toe. Bedreigingsactoren houden lijsten bij van besturingssystemen die het einde van hun levensduur hebben, juist omdat het aanvalsoppervlak bekend en permanent is en groeit met elke nieuwe CVE-onthulling.

Naast de beveiliging verliest Windows 10 geleidelijk de ondersteuning van derden. Softwareleveranciers werken hun compatibiliteitsmatrices bij wanneer er een nieuwe versie wordt uitgebracht. Applicaties zullen op korte termijn blijven werken, maar door leveranciers ondersteunde configuraties, driverupdates voor nieuwe hardware en verbeteringen in de browserbeveiliging zullen de komende één tot twee jaar niet meer beschikbaar zijn op Windows 10.

De omvang van het probleem

Statcounter-gegevens van begin 2026 schatten het aandeel van Windows 10 op Windows-machines op ongeveer 28% in het VK en 26% in Nederland. Op een bedrijfsterrein met 100 machines zijn dat 26 tot 28 apparaten die al meer dan zes maanden geen beveiligingspatches hebben gehad.

De concentratie is hoger bij bedrijven die in 2017-2019 hardware hebben gekocht, ofwel omdat die machines niet voldoen aan de hardwarevereisten van Windows 11, ofwel omdat er geen migratie gepland was toen Windows 11 in 2021 uitkwam. Veel organisaties ontdekten het probleem pas toen beoordelaars van Cyber Essentials of ISO 27001-auditors het signaleerden.

28%

van de Windows-machines in Groot-Brittannië draait nog steeds op Windows 10, begin 2026 (Statcounter)

Okt 2025

datum Microsoft heeft alle beveiligingspatches voor Windows 10 stopgezet

3 jaar

maximale verlenging beschikbaar via verlengde beveiligingsupdates, tot oktober 2028

Jouw drie opties

Optie 1: Upgrade ter plaatse (gratis)

Als de machine voldoet aan de hardwarevereisten van Windows 11, is de upgrade gratis via Windows Update of de Windows 11 Installatieassistent. Het proces duurt 45 tot 90 minuten, behoudt bestaande applicaties en bestanden en vereist geen licentieaankoop. Voor machines die in aanmerking komen, is dit het traject met de laagste wrijving.

De gebruikelijke blokkering is TPM 2.0. Windows 11 vereist een Trusted Platform Module van versie 2.0. Veel machines uit 2016–2018 werden geleverd met TPM 1.2 of met TPM 2.0 aanwezig, maar uitgeschakeld in de BIOS-instellingen. Controleer de BIOS-firmware-instellingen voordat u besluit dat een machine niet kan worden geüpgraded. Een uitgeschakelde TPM 2.0-chip kan binnen enkele minuten worden ingeschakeld en zorgt ervoor dat de machine in aanmerking komt voor een gratis upgrade. Voer de Microsoft PC Health Check-applicatie uit op elk apparaat om de geschiktheidsstatus te bevestigen voordat u iets anders plant.

Optie 2: hardware vervangen

Machines die na BIOS-inspectie de compatibiliteitscontroles niet doorstaan, komen in aanmerking voor vervanging. Een laptop met een vernieuwingscyclus van 4 à 5 jaar zou normaal gesproken toch rond deze periode aan vervanging toe zijn. De deadline voor Windows 10 versnelt een hardwarevernieuwing die al in aantocht was.

Als u vervangt, standaardiseer dan op basis van een hardwarespecificatie. Consistente hardware vermindert de complexiteit van de ondersteuning en maakt imaging, implementatie en probleemoplossing sneller. Documenteer de minimumspecificaties voor nieuwe aankopen in de toekomst, zodat aanbestedingsbeslissingen niet binnen vier jaar hetzelfde probleem veroorzaken.

Optie 3: Uitgebreide beveiligingsupdates (ESU)

Microsoft verkoopt uitgebreide beveiligingspatches voor Windows 10 voor £ 25-45 per apparaat in het eerste jaar, en stijgt in de jaren twee en drie. ESU is beschikbaar tot oktober 2028 via volumelicentieovereenkomsten of, voor Microsoft 365 Business Premium-abonnees, zonder extra kosten voor het eerste jaar.

ESU zorgt ervoor dat machines worden gepatcht tegen openbaar gemaakte kwetsbaarheden, maar herstelt geen functie-updates, driverondersteuning voor nieuwe hardware of compatibiliteit met toekomstige softwarereleases. Het is een brug bij het plannen en uitvoeren van migratie, en geen permanent alternatief. Als uw plan nu ESU is en later migratie, stel dan de migratiedeadline in voordat de ESU-periode afloopt.

ESU voldoet niet aan Cyber Essentials

Cyber Essentials vereist dat besturingssystemen worden ondersteund en beveiligingsupdates ontvangen van de leverancier. In de gepubliceerde richtlijnen van Microsoft staat dat ESU beveiligingsupdates biedt, maar de beoordelaars verschillen van mening over de vraag of door ESU gedekte machines als volledig ondersteund worden beschouwd. Raadpleeg uw certificerende instantie voordat u vertrouwt op ESU als uw nalevingshouding voor Cyber Essentials-beoordelingen.

Controle van uw nalatenschap

Voordat u een migratie plant, heeft u een nauwkeurige inventaris nodig van elk apparaat, de versie van het besturingssysteem en de compatibiliteitsstatus met Windows 11.

Als uw organisatie Microsoft Intune gebruikt, voert u een apparaatcompliancerapport uit, gefilterd op besturingssysteemversie. Intune kan ook PC Health Check-resultaten op schaal uitvoeren via een compliancebeleid. Als u een ander RMM-platform gebruikt, genereer dan een OS-inventarisrapport vanuit de beheerconsole. Als u niet over tools voor extern beheer beschikt, kan de Microsoft PC Health Check-applicatie lokaal op elke machine worden uitgevoerd.

Exporteer de resultaten naar een spreadsheet en groepeer apparaten in drie categorieën: komen in aanmerking voor een interne upgrade, vereisen hardwarevervanging en worden gedekt door ESU in afwachting van vervanging. Maak een herstelopdracht met prioriteit: beheerdersaccounts en machines die eerst toegang hebben tot financiële systemen, bevoorrechte gegevens of VPN-verbonden bronnen.

Hardwarevereisten voor Windows 11

Verwerker

64-bit, 1GHz of sneller, minimaal twee cores. Lijst met compatibele processors gepubliceerd door Microsoft. De meeste processors vanaf 2018 komen in aanmerking.

RAM

Minimaal 4 GB. 8 GB aanbevolen voor zakelijk gebruik onder de huidige applicatiebelasting.

Opslag

Minimaal 64 GB vrije ruimte. De meeste zakelijke machines van de afgelopen zes jaar hebben minimaal 128 GB, dus dit is zelden de blokkeerder.

Firmware

UEFI met Secure Boot-mogelijkheid. Oudere BIOS-machines kunnen Windows 11 niet uitvoeren. Controleer de BIOS-modus in Systeeminformatie (msinfo32).

TPM 2.0

De meest voorkomende blokker. Controleer of TPM aanwezig is maar uitgeschakeld in het BIOS voordat u ervan uitgaat dat de machine moet worden vervangen. Schakel het in en voer de PC Health Check opnieuw uit.

Gevolgen voor compliance

Cyber-essentials vereist dat alle software beveiligingsupdates ontvangt van de leverancier en wordt gedekt door een ondersteunde versie. Windows 10 na oktober 2025 ontvangt geen beveiligingsupdates. Elke Cyber Essentials-beoordeling zal Windows 10-machines in het bereik markeren als niet-compatibel met de patch- en softwarevereisten.

ISO 27001:2022, bijlage A.8.8 (Management of Technical Vulnerabilities) vereist dat organisaties kwetsbaarheden in hun informatiemiddelen identificeren en deze binnen een gedefinieerd tijdsbestek aanpakken. Een besturingssysteem dat permanent niet-gepatchte CVE's verzamelt, is een gedocumenteerde technische kwetsbaarheid waarvoor een auditor een schriftelijk herstelplan nodig heeft.

NIS2 (EU, artikel 21) vereist dat essentiële en belangrijke entiteiten hun systemen in een veilige staat houden, inclusief het toepassen van patches en updates. Van Nederlandse entiteiten die onder toezicht staan van het NCSC-NL wordt verwacht dat zij op ondersteunde softwarestacks zullen werken. Niet-gepatchte, niet-ondersteunde besturingssystemen op systemen binnen het bereik zijn een controlefout die toezichthoudende autoriteiten zullen documenteren.

Windows 10 werd niet onveilig op 14 oktober 2025. Het werd niet meer gerepareerd.

Einde levensduur van Windows 10: wat uw bedrijf nu moet doen