Voor een CISO of IT-directeur draait de keuze tussen EDR en MDR niet om de technologie, maar om wie de meldingen opvolgt, en wie verantwoordelijk is als dat niet gebeurt. EDR detecteert verdachte activiteiten op laptops, servers en andere endpoints en kan automatisch ingrijpen bij bekende dreigingen. Maar EDR genereert vooral meldingen. Iemand moet die alerts beoordelen, onderzoeken en opvolgen.
MDR voegt daar een 24/7 team van security-analisten aan toe. Zij monitoren de omgeving continu, voeren threat hunting uit en grijpen direct in wanneer een incident daarom vraagt. Daardoor blijft een waarschuwing niet liggen tot de volgende werkdag.
Dat verschil is belangrijk. Volgens het IBM Cost of a Data Breach Report 2025 duurt het gemiddeld 241 dagen om een datalek te identificeren en in te dammen. Elke dag dat een dreiging onopgelost blijft, krijgt een aanvaller meer tijd om schade aan te richten. En onder NIS2 ben jij als bestuurder of CISO degene die dat moet kunnen verantwoorden.
Wat is EDR?
EDR staat voor Endpoint Detection and Response. Het is beveiligingssoftware die continu het gedrag op endpoints volgt, verdachte activiteit detecteert en daar automatisch op kan reageren.
EDR draait op je endpoints, dus laptops, servers en mobiele apparaten, en herkent gedrag dat een traditionele virusscanner mist: ongebruikelijke processen, verdachte scripts, pogingen tot versleuteling. Bij een detectie kan EDR automatisch ingrijpen, bijvoorbeeld een proces stoppen of een apparaat isoleren.
EDR kent twee grenzen.
- Het beschermt alleen de endpoints waarop het is geïnstalleerd. Wat er op netwerkniveau of in de cloud gebeurt, ziet EDR niet.
- EDR genereert alerts, maar lost niet zelf alles op. Iemand moet die meldingen beoordelen en de echte dreigingen eruit halen. Heb je een eigen security-team dat dit dag en nacht kan, dan is EDR vaak voldoende.
Wat is MDR?
MDR staat voor Managed Detection and Response. Het is een beheerde dienst waarbij een extern team van security-analisten je omgeving 24/7 bewaakt, alerts beoordeelt en bij een bevestigde dreiging ingrijpt. Waar EDR een tool is die je zelf beheert, is MDR de dienst eromheen.
MDR bouwt voort op detectietechnologie zoals EDR en voegt de menselijke laag toe die een tool niet levert: context, beoordeling en opvolging. De analisten correleren alerts uit verschillende bronnen, bepalen de severity en volgen elk incident op binnen een afgesproken responstijd (SLA). Meer over de dienst lees je op de pagina over Managed Detection and Response.
MDR vs EDR: de belangrijkste verschillen
Het kernverschil: EDR is een tool, MDR is een dienst met mensen erachter. De tabel hieronder zet de zes punten op een rij die het meest meewegen in de keuze.
| Aspect | EDR | MDR |
|---|---|---|
| Scope | Alleen endpoints | Endpoints, en via XDR ook netwerk en cloud |
| Beheer | Je beheert het zelf | Uitbesteed aan een extern team |
| Respons | Geautomatiseerd, jij volgt op | Analisten volgen op en grijpen in |
| 24/7-dekking | Alleen als je eigen team dat draait | Standaard, dag en nacht |
| Kostenmodel | Licentie per endpoint | Vast bedrag, meestal per werkplek per maand |
| Geschikt voor | Teams met eigen security-capaciteit | Organisaties zonder 24/7 security-team |
Een praktijkvoorbeeld
Een alert zonder opvolging is een gemiste kans. Stel: bij een zorginstelling met 1.200 medewerkers logt een aanvaller op zaterdagnacht in met een gestolen wachtwoord. Een geldige login met gestolen inloggegevens oogt legitiem, dus de EDR isoleert het apparaat niet automatisch, maar markeert het ongebruikelijke gedrag wel met een alert. Met alleen EDR blijft die melding staan tot maandagochtend, wanneer iemand van IT de meldingen bekijkt. Dan heeft de aanvaller al twee dagen gehad.
Met MDR pikt een analist de alert binnen enkele minuten op, bevestigt de dreiging en isoleert het account. Hetzelfde alert, een heel ander einde.
Snelheid telt ook financieel: organisaties die detectie en respons grotendeels met AI en automatisering versnelden, bespaarden gemiddeld 1,9 miljoen dollar per datalek (IBM 2025).
Wanneer kies je voor EDR?
Kies EDR als je de opvolging zelf aankunt.
- Je hebt een eigen security-team dat alerts 24/7 kan opvolgen
- Je budget is beperkt en respons binnen kantooruren is acceptabel
- Je hoeft alleen endpoints te beschermen, niet je netwerk of cloud
Wanneer kies je voor MDR?
Kies MDR als continue opvolging ontbreekt of verplicht is.
- Je hebt geen intern security-team, of geen 24/7-dekking
- Je valt onder NIS2 of DORA. Die wetgeving vraagt aantoonbare detectie en respons, en dat weegt zwaar in gereguleerde sectoren als zorg, overheid en finance
- Je wilt dekking die verder gaat dan endpoints alleen
- Je wilt analisten die Nederlands spreken en een SOC dat in Nederland staat. Aumatics draait een 24/7 bemand SOC met Nederlandstalige analisten.
Een eigen SOC opzetten is voor de meeste organisaties geen reële optie. 24/7-bezetting vraagt meerdere ploegen, en ervaren analisten zijn in Nederland schaars en duur. Met MDR krijg je die dekking zonder zelf te hoeven werven en roosteren. Je krijgt rapportages waarmee je aan bestuur en auditor aantoont dat detectie en respons geregeld zijn.
Heb je de keuze voor MDR gemaakt? Vergelijk de tien best beoordeelde aanbieders in ons overzicht van de beste MDR-platforms van 2026.
En waar past XDR?
XDR staat voor Extended Detection and Response. Het verbreedt detectie van alleen endpoints naar netwerk, cloud, e-mail en identiteit, samengebracht in één beeld. EDR kijkt naar endpoints, XDR kijkt breder. MDR kan zowel EDR als XDR als basis gebruiken, want de dienst staat los van de tool eronder. Twijfel je tussen MDR en XDR in plaats van tussen MDR en EDR? Lees verder in MDR vs XDR.
Kunnen EDR en MDR samen?
Ja, MDR gebruikt EDR als basis. EDR en MDR zijn geen of-of-keuze. MDR draait juist op detectietechnologie zoals EDR. Je houdt de tool, en het externe team neemt de bewaking en opvolging over. Bij Aumatics combineren we EDR en XDR met menselijke analyse vanuit een 24/7 SOC in Nederland.

