Je hebt een SIEM die netjes logt en alerts genereert. Maar onder NIS2 moet je als CISO of IT-directeur aantonen dat die meldingen ook worden opgevolgd. Daar zit het verschil: SIEM is een tool die logdata verzamelt en alerts genereert, MDR is een dienst waarbij analisten die alerts 24/7 beoordelen en opvolgen.
De vraag is dus zelden of-of. Meestal is het de vraag wie de meldingen van je SIEM opvolgt, en of je dat zelf doet of uitbesteedt, en of je die opvolging kunt aantonen als de toezichthouder ernaar vraagt.
Wat is SIEM?
SIEM staat voor Security Information and Event Management. Het verzamelt logdata uit je hele omgeving, denk aan servers, netwerk, endpoints, applicaties en cloud, en correleert die data om verdachte patronen te signaleren. Bij een afwijking genereert het een alert.
SIEM geeft je dus zicht en aantoonbaarheid: alles wordt gelogd en gecorreleerd op één plek. Wat SIEM niet doet, is zelf reageren. Het signaleert, maar iemand moet die alerts beoordelen, onderzoeken en opvolgen. SIEM is een tool, geen team.
Wat is MDR?
MDR staat voor Managed Detection and Response. Het is een beheerde dienst waarbij een extern team van security-analisten je omgeving 24/7 bewaakt, alerts beoordeelt en bij een bevestigde dreiging ingrijpt.
MDR gebruikt logdata, vergelijkbaar met wat een SIEM levert, als een van de bronnen en voegt de menselijke laag toe die een tool niet biedt: beoordeling, context en respons binnen een afgesproken responstijd (SLA). Meer over de dienst lees je op de pagina over Managed Detection and Response.
MDR vs SIEM: de belangrijkste verschillen
Het kernverschil: SIEM signaleert, MDR reageert. De tabel zet de punten op een rij.
| Aspect | SIEM | MDR |
|---|---|---|
| Wat het is | Tool voor logverzameling en correlatie | Beheerde dienst met analisten |
| Functie | Verzamelt, correleert en signaleert | Beoordeelt, onderzoekt en reageert |
| Respons | Genereert alerts, jij volgt op | Analisten volgen op en grijpen in |
| Beheer | Je beheert en stemt het zelf af | Uitbesteed aan een extern team |
| 24/7-dekking | Logt continu, opvolging is aan jou | Analisten dag en nacht |
| Geschikt voor | Teams met eigen security-capaciteit | Organisaties zonder 24/7-team |
Waarom SIEM alleen niet voldoende is
Een SIEM die niemand opvolgt, is een dure ruisgenerator. Het platform produceert dagelijks veel meldingen, waarvan een groot deel vals alarm. Zonder team dat die alerts beoordeelt, blijft het echte signaal in de ruis hangen.
Dat is het probleem van alert fatigue: te veel meldingen, te weinig mensen om ze af te handelen. Een SIEM lost dat niet op, want het maakt het aantal meldingen juist groter. Pas als er analisten op zitten, wordt de data uit een SIEM bruikbaar.
MDR en SIEM samen: de combinatie
SIEM en MDR vullen elkaar aan. SIEM levert de logging en correlatie, MDR levert de mensen die de uitkomst beoordelen en opvolgen.
Die combinatie is precies wat compliance vraagt. NIS2 verlangt zowel aantoonbare logging als snelle, gedocumenteerde respons. SIEM helpt bij het eerste, MDR vult het tweede in. Bij Aumatics draait MDR op logdata en detectietechnologie, met menselijke analyse vanuit een 24/7 bemand SOC in Nederland.
Wanneer vervangt MDR je SIEM?
Heb je nog geen SIEM, dan kan MDR de loggingfunctie meeleveren als onderdeel van de dienst, zodat je geen losse SIEM hoeft te beheren.
Voor de meeste organisaties van 250 tot 2.000 medewerkers met compliance-verplichtingen is de combinatie van SIEM en MDR de meest complete aanpak. Je houdt de logging in eigen beheer en laat de opvolging, en de aantoonbaarheid daarvan, over aan het MDR-team.
Zoek je een partij die dat MDR-team levert? Vergelijk de tien best beoordeelde aanbieders in ons overzicht van de beste MDR-platforms van 2026.

