Managed Security Information & Event Management (SIEM)

Wat is managed SIEM?

Managed SIEM is een dienst waarbij een externe aanbieder het volledige beheer van je Security Information & Event Management-systeem overneemt. Een SIEM-systeem verzamelt loggegevens uit je hele IT-omgeving — firewalls, servers, endpoints, clouddiensten, netwerkapparatuur — en correleert deze data om verdachte activiteiten te detecteren. Bij managed SIEM hoef je dat niet zelf te doen. De aanbieder beheert het platform, configureert de detectieregels, monitort 24/7 en escaleert bij verdachte activiteiten naar jouw team. Het resultaat: professionele beveiliging zonder de overhead van een eigen security-team.

Het onderscheid met SIEM as a Service is fundamenteel. Bij SIEM as a Service krijg je toegang tot een SIEM-platform in de cloud, maar moet je zelf de regels configureren en alerts beoordelen. Bij managed SIEM doet de aanbieder dit allemaal voor je. Je hoeft geen eigen security-analisten in dienst te hebben om dit systeem te laten werken. Voor de meeste MKB-organisaties is dat het verschil tussen een werkende beveiliging en een duur stuk software dat niemand bijhoudt.

Een managed SIEM-dienst omvat typisch zes kernfuncties. Logverzameling haalt automatisch logs op uit alle IT-systemen. Correlatie en analyse herkent patronen die wijzen op een aanval — iets wat handmatig door het enorme volume aan logregels onmogelijk is. Vervolgens bewaakt een SOC-team 24/7 je omgeving. Bij verdachte activiteit word je direct geïnformeerd met context en impactbeoordeling. Periodieke rapportages houden je op de hoogte van dreigingen en trends. En compliance-ondersteuning zorgt dat logretentie en rapportage voldoen aan NIS2 en ISO 27001. Samen vormen deze functies een continue bewaking van je digitale omgeving die voor een MKB-organisatie simpelweg niet intern te organiseren is.

Waarom managed SIEM onmisbaar is voor Nederlandse organisaties

Aanvallers worden sneller, aanvallen complexer en de regelgeving strenger. De eCrime breakout time — de tijd die een aanvaller nodig heeft om zich van het eerste gecompromitteerde systeem lateraal door je netwerk te bewegen — is gedaald naar slechts 29 minuten (Bron: CrowdStrike Global Threat Report). Dat betekent dat je minder dan een half uur hebt om een aanval te detecteren en te stoppen voordat de schade escaleert. Zonder professionele monitoring in real-time is dat onmogelijk.

De Nederlandse dreigingssituatie maakt dit urgent. Ransomware is aanwezig in 88% van alle MKB-datalekken; bij grote organisaties is dit 39% (Bron: ENISA Threat Landscape 2024). In Nederland werden in 2024 minimaal 121 unieke ransomware-incidenten geregistreerd. De gemiddelde schade per cyberincident voor een MKB-organisatie bedraagt EUR 270.000. De gemiddelde tijd om een datalek te identificeren en te beperken bedraagt 241 dagen — het laagste in negen jaar, maar nog steeds veel te lang voor wie wacht op detectie zonder monitoring (Bron: IBM Cost of a Data Breach Report 2024). Organisaties die security AI inzetten detecteren breaches gemiddeld 80 dagen sneller, wat directe financiële impact heeft op de schadeomvang (Bron: IBM Cost of a Data Breach Report 2024).

Een eigen SIEM-implementatie kost in het eerste jaar EUR 50.000 tot 150.000 aan licenties, hardware en implementatie. Daar komen 2-3 fulltime security-analisten bovenop die de alerts moeten beoordelen — dag en nacht, zeven dagen per week. Op een arbeidsmarkt met meer dan 6.000 openstaande IT-security vacatures in Nederland is dat niet realistisch. Managed SIEM biedt dezelfde functionaliteit voor 40-60% minder kosten, zonder dat je zelf personeel hoeft aan te trekken. Bovendien is de implementatietijd radicaal korter: goede aanbieders zijn binnen twee tot vier weken operationeel, terwijl een eigen SIEM drie tot zes maanden vergt.

Hoe managed SIEM werkt: van onboarding tot dagelijkse monitoring

Het implementatieproces van managed SIEM verloopt in vijf fasen. De eerste fase — intake en scopebepaling — duurt één tot twee weken. De aanbieder inventariseert je IT-omgeving: welke systemen, hoeveel endpoints, welke clouddiensten. Samen bepaal je de scope en het gewenste serviceniveau. Dit is meer dan een technische oefening: de scope bepaalt wat je wel en niet detecteert, en heeft directe invloed op de maandelijkse kosten.

De tweede fase is onboarding en configuratie, die één tot drie weken duurt. Log-collectors worden geïnstalleerd, bronnen worden aangesloten op het SIEM-platform. De aanbieder configureert detectieregels, dashboards en escalatieprocedures. Hier wordt bepaald welke use cases — specifieke aanvalsscenario's — actief worden gemonitord. Hoe meer standaard use cases een aanbieder levert, hoe sneller je tot volledige dekking komt.

De derde fase — tuning en baseline — duurt twee tot vier weken en is de meest onderschatte. False positives worden weggetuned en er wordt een baseline van normaal netwerkverkeer opgebouwd. Zonder goede tuning ontvangt je team honderden irrelevante alerts per dag, wat leidt tot alert fatigue: het missen van echte dreigingen doordat analysts verdrinken in ruis. Een volwassen managed SIEM-aanbieder besteedt hier aantoonbaar tijd en energie aan.

Daarna volgt de permanente operationele monitoring: het SOC-team bewaakt 24/7 je omgeving. Bij verdachte activiteit ontvang je een alert met context — wat er is gedetecteerd, welk systeem het betreft, wat de mogelijke impact is en welke acties worden aanbevolen. Tot slot zijn er de maandelijkse en kwartaalrapportages, die je een overzicht geven van gedetecteerde dreigingen, afgehandelde incidenten en aanbevelingen voor verbetering van je beveiligingshouding.

Wat kost managed SIEM in de Nederlandse markt?

De kosten van managed SIEM hangen af van het aantal endpoints, logvolume en gewenst serviceniveau. Voor MKB-organisaties met tot 50 endpoints kost een basisdienst met 8x5-monitoring EUR 1.500 tot 2.500 per maand, ofwel EUR 18.000 tot 30.000 per jaar. Een standaard dienst met 24/7-monitoring voor 50 tot 150 endpoints kost EUR 2.500 tot 5.000 per maand. Premium-pakketten voor 150 tot 500 endpoints met een dedicated analist kosten EUR 5.000 tot 10.000 per maand.

Er zijn ook alternatieve prijsmodellen. Sommige aanbieders rekenen per gebruiker (EUR 10-25 per maand), wat gunstig is voor organisaties met veel gebruikers maar weinig servers. Per-endpoint-pricing (EUR 5-25 per maand) past beter bij organisaties met veel apparaten. Per-gigabyte-logdata-pricing (EUR 45-180 per maand) is geschikt voor organisaties met voorspelbaar logvolume. Organisaties die kostzekerheid willen, kiezen voor een vast maandbedrag.

De vergelijking met in-house SIEM is overtuigend. Eerste jaar eigen implementatie: EUR 50.000 tot 150.000 plus EUR 120.000 tot 250.000 jaarlijks voor 2-3 FTE security-analisten. Managed SIEM: EUR 18.000 tot 60.000 in het eerste jaar, inclusief alle personele kosten en 24/7-dekking. De implementatietijd is drie tot zes maanden bij eigen implementatie versus twee tot vier weken bij managed SIEM. De conclusie is wiskundig helder.

Managed SIEM vs. SIEM as a Service vs. SOC as a Service

Deze drie termen worden regelmatig door elkaar gebruikt, maar de operationele realiteit verschilt sterk. Bij SIEM as a Service (ook wel SIEM as a Service genoemd) levert de aanbieder een cloud SIEM-platform. De klant is zelf verantwoordelijk voor configuratie, monitoring en alert-beoordeling. De kosten liggen op EUR 500 tot 2.000 per maand voor MKB, maar de verborgen kosten in menskracht zijn substantieel.

Bij managed SIEM regelt de aanbieder alles: platform, configuratie, 24/7 monitoring en alert-beoordeling. Incident response is beperkt of adviserend van aard. Kosten voor MKB: EUR 1.500 tot 5.000 per maand. Bij SOC as a Service gaat het nog een stap verder: threat hunting is vaak inbegrepen en de aanbieder neemt ook incident response volledig voor zijn rekening. Kosten: EUR 3.000 tot 10.000 per maand. Voor MKB-organisaties zonder eigen security-analisten is managed SIEM de meest kosteneffectieve keuze die toch een volwaardige detectiecapaciteit biedt.

Selectiecriteria: tien vragen voor je aanbieder

Bij de keuze van een managed SIEM-aanbieder gelden zowel technische als operationele criteria. Technisch wil je weten: hoeveel en welke typen logbronnen kunnen ze aansluiten — niet alleen firewalls maar ook clouddiensten, endpoints en applicaties? Hoeveel standaard detectieregels worden meegeleverd en hoe vaak worden ze bijgewerkt op basis van nieuwe dreigingen? Maakt de aanbieder gebruik van actuele threat intelligence feeds? Hoe lang worden loggegevens bewaard voor NIS2-compliance? En kan de dienst meegroeien als je organisatie groeit?

Operationeel zijn escalatieprocedures en SLA's doorslaggevend. Wat is de gegarandeerde responstijd bij een kritieke alert? Via welk kanaal word je geïnformeerd — email, telefoon, dedicated portal? Hoe snel kan de dienst operationeel zijn? Hoeveel van de onboarding kun je verwachten dat jij zelf moet leveren? En wat is de exit-strategie als je wilt overstappen — krijg je je logdata mee in een standaard formaat?

Vraag ook naar het gemiddelde MTTD (Mean Time to Detect) van de aanbieder. Dit is een objectieve maatstaf voor detectiesnelheid. Topklasse aanbieders detecteren aanvallen in minuten; minder volwassen diensten kunnen uren of dagen duren. De combinatie met endpoint detection & response (EDR) of XDR zorgt voor diepere zichtbaarheid op werkstations en servers en vergroot de detectienauwkeurigheid significant.

Veelgemaakte fouten bij managed SIEM

De eerste fout is puur compliance-gedreven kiezen. Sommige organisaties implementeren managed SIEM alleen omdat NIS2 het vereist, zonder na te denken over wat ze echt willen detecteren. Resultaat: een dure dienst die rapportages produceert maar geen echte dreigingen vindt. Zorg dat de scope aansluit bij je risicoanalyse, niet alleen bij een compliance-checklist. Overweeg daarvoor eerst een cybersecurity risicoanalyse te laten uitvoeren.

De tweede fout is te weinig logbronnen aansluiten. Een SIEM is zo goed als de data die het ontvangt. Als je alleen je firewall aansluit maar niet je endpoints, cloudomgeving en Active Directory, mis je het overgrote deel van de aanvallen. Sluit alle relevante bronnen aan, ook als dat meer kost — de detectiebreedte is direct afhankelijk van het logvolume en de diversiteit van bronnen.

De derde fout is geen duidelijke escalatieprocedure aan je eigen kant. Je ontvangt een kritieke alert op vrijdagavond — maar wie in jouw organisatie neemt actie? Zonder duidelijke interne escalatieprocedure is de monitoring waardeloos. De vierde fout is verwachten dat managed SIEM alles oplost: het detecteert dreigingen, maar lost ze niet automatisch op. Je hebt nog steeds een incident response-plan nodig. De vijfde fout is niet tunen na de opstartfase — je IT-omgeving verandert continu en de SIEM-configuratie moet mee-evolueren. Plan kwartaalreviews met je aanbieder.

NIS2, de Cyberbeveiligingswet en managed SIEM

De Cyberbeveiligingswet — de Nederlandse implementatie van de NIS2-richtlijn — gaat naar verwachting in het tweede kwartaal van 2026 in werking (Bron: NCSC / Digitale Overheid). Circa 10.000 Nederlandse organisaties vallen eronder. De wet kent drie kernverplichtingen: zorgplicht (passende maatregelen nemen om de continuïteit van diensten te waarborgen), meldplicht (significante incidenten binnen 24 uur melden bij de toezichthouder) en registratieplicht bij de toezichthouder.

Managed SIEM adresseert de zorgplicht via continue monitoring en de meldplicht via snelle detectie. De logretentie ondersteunt de verantwoordingsplicht bij audits. Boetes voor niet-naleving zijn substantieel: essentiële entiteiten riskeren maximaal EUR 10 miljoen of 2% van de wereldwijde jaaromzet; voor belangrijke entiteiten is dat EUR 7 miljoen of 1,4% (Bron: Ponemon Institute). Bestuurders kunnen persoonlijk aansprakelijk worden gesteld voor onvoldoende maatregelen. Organisaties die ook NIS2 compliance begeleiding nodig hebben, zullen managed SIEM tegenkomen als een van de kernbouwstenen van technische compliance.

Trends in managed SIEM voor 2025-2026

AI-gedreven detectie en correlatie is de meest impactvolle trend. Machine learning maakt het mogelijk om anomalieën te detecteren die met handmatige regels onmogelijk te vangen zijn. AI analyseert patronen in miljoenen logregels per dag en markeert afwijkingen automatisch. De praktische impact is meetbaar: organisaties met security AI detecteren breaches gemiddeld 80 dagen sneller dan organisaties zonder, wat zich vertaalt in aanzienlijk lagere schadekosten (Bron: IBM Cost of a Data Breach Report 2024).

De tweede grote trend is de convergentie van SIEM, SOAR en XDR. De grenzen tussen Security Information and Event Management, Security Orchestration Automation and Response (SOAR) en Extended Detection & Response vervagen. Aanbieders combineren functionaliteiten in geïntegreerde platforms, wat de effectiviteit verhoogt en de kosten per functie verlaagt. Cloud-native SIEM wordt de standaard: betere schaalbaarheid, snellere onboarding en lagere beheerkosten dan on-premise installaties. De wereldwijde SIEM-markt heeft in 2026 een omvang van USD 8,6 miljard en groeit met 6,5% jaarlijks (Bron: Mordor Intelligence / Grand View Research).

Verklarende woordenlijst

SIEM (Security Information & Event Management): Platform dat loggegevens verzamelt, correleert en analyseert om beveiligingsincidenten te detecteren. SOC (Security Operations Center): Team van security-analisten dat 24/7 alerts bewaakt en beoordeelt. Log: Registratie van activiteiten in een IT-systeem — elke inlogpoging, bestandstoegang of configuratiewijziging laat een spoor achter. Correlatie: Het combineren van losse loggebeurtenissen om patronen en aanvallen te herkennen die individuele events niet zichtbaar maken. MTTD (Mean Time to Detect): Gemiddelde tijd tussen het begin van een aanval en de detectie ervan — een kritieke KPI voor managed SIEM-diensten. MTTR (Mean Time to Respond): Gemiddelde tijd tussen detectie en herstel; lager is beter. False positive: Een alert die een aanval suggereert maar bij nader inzien geen echte dreiging vertegenwoordigt. Use case: Een specifiek aanvalsscenario waarvoor detectieregels zijn geconfigureerd — hoe meer use cases, hoe breder de dekking. Threat intelligence: Actuele informatie over bekende aanvalstechnieken en malware, gebruikt om detectieregels continu bij te werken. Alert fatigue: De toestand waarbij security-analisten zoveel alerts ontvangen dat echte dreigingen worden gemist — goede tuning voorkomt dit. eCrime breakout time: De tijd die aanvallers nodig hebben om zich lateraal door een netwerk te bewegen na initieel toegang — momenteel gemiddeld 29 minuten.