Een Security Operations Center (SOC) dat 24/7 actief is, is kostbaar. Alleen al voor ploegen, ziekte en verlof zijn 12–15 FTE nodig; met tooling, training en huisvesting loopt dit in de Nederlandse publieke sector richting €1,5 miljoen per jaar. Voor veel gemeenten, waterschappen en agentschappen is dat niet haalbaar.
Toch verlangen BIO, NIS2 en Rekenkameronderzoeken aantoonbare monitoringcapaciteit. De keuze is dus: zelf bouwen, uitbesteden aan een MSSP, samenwerken in een gedeelde dienst of een hybride model optuigen. Elk scenario heeft impact op controle, responstijd, datasoevereiniteit, talent en budget. Deze whitepaper biedt een praktisch beslisraamwerk dat aansluit op de realiteit van Nederlandse overheidsorganisaties.
Voor Nederlandse overheidsorganisaties die worstelen met de vraag hoe zij 24/7 security operations moeten organiseren, is het essentieel om eerst helder te krijgen welke capaciteiten minimaal nodig zijn: van detectie en triage tot respons, rapportage en continue verbetering. Pas daarna wordt een eerlijke vergelijking mogelijk tussen een eigen SOC, een MSSP, een gedeelde publieke dienst of een hybride variant, waarbij kosten, mate van controle, datasoevereiniteit en compliancerisico’s expliciet worden meegewogen. Door vooraf duidelijke besliscriteria te formuleren – budget, risicotolerantie, wettelijke vereisten, beschikbaar talent en bestaande tooling – voorkomt u impulsieve keuzes en kunt u een model selecteren dat past bij de Nederlandse Baseline voor Veilige Cloud en de langetermijnstrategie van uw organisatie. Governance is daarbij geen sluitstuk maar een randvoorwaarde: zonder heldere RACI, concrete KPI’s en stevig contractmanagement verzandt zelfs het beste model in onduidelijkheid en gaat het verwachte risicoreductie-effect verloren.
Hybride modellen voorkomen zwart-witkeuzes. Een middelgrote gemeente combineerde drie interne analisten voor Tier 2/3 met een MSSP voor 24/7 Tier-1-monitoring. Gevoelige data bleef onder eigen toezicht, terwijl er toch continue dekking en specialistische kennis beschikbaar was zonder een volledig team te hoeven financieren.
Operating model vergelijking: trade-offs analyseren
Wanneer een Nederlandse overheidsorganisatie haar Security Operations Center vormgeeft, gaat het zelden om een simpele keuze tussen een paar producten of diensten; het gaat om een structurele beslissing over hoe u toezicht, detectie en incidentrespons inricht voor de komende jaren. Een in-house SOC is voor veel bestuurders aantrekkelijk omdat het maximale controle en datasoevereiniteit lijkt te bieden. U bepaalt zelf welke logbronnen worden aangesloten, hoe playbooks zijn ingericht en welke rapportages naar bestuur en toezichthouders gaan. In de praktijk betekent dit echter ook dat u moet investeren in een volwassen 24/7-rooster, opleidingsprogramma’s, toolinglicenties, infrastructuur en huisvesting. Voor een organisatie met beperkte schaal lopen de vaste kosten snel op en wordt het lastig om talent te behouden, zeker wanneer analisten elders aantrekkelijkere loopbaanperspectieven zien.
Een Managed Security Service Provider (MSSP) belooft juist schaalvoordeel: de leverancier beheert een groot SOC dat logdata en dreigingsinformatie van meerdere klanten combineert en daardoor sneller patronen herkent. Voor Nederlandse overheidsorganisaties kan dit interessant zijn omdat u toegang krijgt tot expertise en tooling die u zelf niet kunt financieren. Daar staat tegenover dat de regie verschuift. U bent afhankelijk van contractueel vastgelegde responstijden, moet vertrouwen op de kwaliteit van use cases die u niet volledig zelf heeft opgebouwd en moet scherp blijven op afspraken over logdata, opslaglocaties en onderaannemers. Zonder zorgvuldig contract- en leveranciersmanagement ontstaat het risico dat er een gat ontstaat tussen wat het bestuur denkt te hebben geregeld en wat het SOC in de praktijk levert.
Shared services – bijvoorbeeld een gezamenlijk SOC voor meerdere gemeenten of een rijksbrede dienst – proberen het beste van twee werelden te combineren: publieke regie en schaalvoordeel. Door kosten te delen ontstaat ruimte voor een robuuster bemand team, bredere dekking van logbronnen en gezamenlijke ontwikkeling van playbooks. De keerzijde is dat governance complexer wordt. Wie bepaalt prioritering bij gelijktijdige incidenten? Hoe worden wijzigingen in use cases doorgevoerd als de deelnemende organisaties verschillende risicoprofielen hebben? En hoe borgt u dat kennis en lessons learned niet versnipperd raken? Zonder een goed ingericht bestuursmodel met duidelijke escalatiepaden en besluitvormingsstructuren kan een shared service in de praktijk trager reageren dan een kleiner, maar slagvaardiger team.
Veel organisaties komen daarom uit op een hybride model waarin een intern team regie voert, de meest gevoelige dossiers behandelt en de verbinding legt met bestuur, privacy, communicatie en audit, terwijl een MSSP of shared service een belangrijk deel van de 24/7-monitoring en basistrage verzorgt. In zo’n model liggen de grootste voordelen in de combinatie: interne experts kennen de lokale processen, systemen en politieke context, terwijl de externe partij zorgt voor schaal, dekking en specialistische kennis over nieuwe dreigingen. Het succes valt of staat echter met de manier waarop verantwoordelijkheden zijn verdeeld en geborgd. Zonder heldere afspraken over wie welke alerts beoordeelt, hoe escalaties verlopen en hoe quality assurance op use cases wordt geregeld, kan een hybride SOC juist tot lacunes in de keten leiden, bijvoorbeeld wanneer beide partijen veronderstellen dat de ander een bepaald type incident oppakt.
Naast deze structurele verschillen spelen ook operationele factoren een rol. Denk aan de manier waarop piketdiensten worden ingericht, hoe snel diensten elkaar kunnen overdragen, hoe kennis wordt geborgd in playbooks en documentatie en hoe vaak use cases worden geactualiseerd op basis van nieuwe dreigingsinformatie. Een klein in-house team kan bijvoorbeeld dicht op de eigen organisatie zitten maar kwetsbaar zijn bij uitval of verloop, terwijl een grote MSSP robuuster is maar minder zicht heeft op lokale nuances zoals politiek gevoelige dossiers, regionale samenwerkingsverbanden of bestaande afspraken met leveranciers. Door deze trade-offs expliciet te maken in bijvoorbeeld een beslisnotitie voor het college of de raad, wordt helder dat het niet alleen gaat om euro’s per jaar, maar vooral om het vermogen om aantoonbaar en duurzaam te reageren op incidenten binnen de context van de Nederlandse Baseline voor Veilige Cloud.
Modelselectie: criteria per organisatie
Een doordachte keuze voor een SOC-operatingmodel begint niet bij de technologie, maar bij een eerlijk beeld van de eigen organisatie. Budget en schaal spelen daarbij een centrale rol. Onder ongeveer een half miljoen euro per jaar is een volwaardig in-house SOC met 24/7-bemensing in de praktijk nauwelijks te organiseren, zeker niet als u rekening houdt met scholing, beheer, vakantie en ziekte. Voor veel gemeenten, uitvoeringsorganisaties en kleinere agentschappen zijn shared services of MSSP-modellen daarom realistischer. Aan de andere kant kunnen departementen, grote uitvoeringsinstanties of vitale aanbieders met een beveiligingsbudget van meerdere miljoenen per jaar de afweging maken om een eigen SOC uit te bouwen, mits dit past bij hun strategische rol en risicoprofiel.
Daarbovenop komt de vraag welke dataklassen en welke mate van datasoevereiniteit u nodig hebt. Staatsgeheime informatie of BBN3-gegevens horen niet in een extern SOC-platform thuis en vragen om strikt gescheiden infrastructuur en interne teams. Voor departementaal vertrouwelijke informatie kan gewerkt worden met een MSSP, mits er heldere contractuele afspraken zijn over datalokalisatie, encryptie, sleutelbeheer en logretentie. Publieke of laag vertrouwelijke data biedt meer ruimte, maar ook hier blijft de vraag relevant welke combinatie van cloudregio’s, encryptie en toegang tot logging vanuit toezicht en audit u exact nodig hebt.
Regelgeving zoals NIS2, de Wbni en de BIO bepaalt bovendien de contouren waarbinnen u mag sourcen. Uitbesteding van operationele taken is toegestaan, maar de eindverantwoordelijkheid voor risicobeheersing en incidentrespons blijft altijd bij de organisatie liggen. Dit betekent dat bepaalde rollen niet kunnen worden uitbesteed: de incident commander die besluiten neemt over het stilleggen van systemen, de CISO die de risicobeoordeling borgt, en de FG en privacy officer die toezien op verwerking van persoonsgegevens in logdata. Bij de modelselectie hoort daarom een expliciete RACI waarin wordt vastgelegd welke taken extern kunnen worden belegd en welke kennis en bevoegdheden per definitie intern blijven.
Een ander belangrijk selectiecriterium is de mate waarin u al beschikt over relevante capabilities. Veel organisaties hebben al geïnvesteerd in Microsoft Sentinel, Defender, Purview en bestaande incidentprocessen binnen IT-operations. Een verstandige route is dan vaak om niet alles opnieuw op te bouwen, maar deze basis stap voor stap te professionaliseren en waar nodig te koppelen aan een MSSP of shared service die hierop kan aansluiten. Zo blijven eerdere investeringen waardevol en worden migratierisico’s beperkt. Ten slotte speelt risicotolerantie een grote rol. Processen met directe impact op de fysieke veiligheid of maatschappelijke continuïteit vragen om responstijden in minuten, met duidelijke escalaties en redundantie in bemensing. Minder kritieke diensten kunnen volstaan met standaard SLA’s en een model dat primair is gericht op kantooruren plus wachtdiensten. Door deze criteria systematisch te wegen in een besluitvormingsnotitie richting bestuur of college, ontstaat een transparante keuze die ook later bij audit en toezicht goed verdedigbaar is.
Naast deze rationele criteria spelen ook organisatorische en culturele factoren mee. Een organisatie die weinig ervaring heeft met het aansturen van externe leveranciers zal een outsourcing- of MSSP-model intensiever moeten voorbereiden, met aandacht voor contractmanagement, Vendor Risk Management en heldere escalatiepaden. Andersom kan een cultuur die sterk leunt op autonomie en maatwerk in de lijnorganisatie botsen met een strak gestandaardiseerd shared service model. Ook HR-aspecten, zoals de arbeidsmarktpositie van securityspecialisten, medezeggenschap en de impact op bestaande teams, horen expliciet meegewogen te worden. Een goed onderbouwde modelkeuze beschrijft daarom niet alleen de technische architectuur, maar ook hoe verandermanagement, communicatie en opleiding worden ingericht om medewerkers mee te nemen in de nieuwe manier van werken.
Hybride governance en uitvoering
Zodra een organisatie kiest voor een hybride SOC-model, verschuift de uitdaging van techniek naar governance. Het gaat dan niet alleen meer om welke use cases worden ingericht, maar vooral om de vraag wie precies verantwoordelijk is voor monitoring, triage, onderzoek, communicatie en herstel, en hoe de samenwerking tussen interne teams en externe partners in de praktijk werkt. Een goed uitgewerkte RACI is hierbij onmisbaar. Daarin wordt vastgelegd wie eigenaar is van de SOC-strategie, wie operationeel verantwoordelijk is voor analyse en respons, welke proceseigenaren betrokken worden bij impactbeoordelingen en wie bevoegd is om beslissingen te nemen over het stilleggen van systemen. Omdat incidenten zich niet houden aan kantoortijden, moet de RACI expliciet aangeven hoe interne specialisten buiten kantooruren bereikbaar zijn en welke rollen door de MSSP of shared service worden ingevuld.
Tooling en datastromen vormen de tweede pijler van een succesvol hybride model. In de praktijk betekent dit dat een MSSP toegang nodig heeft tot voldoende telemetrie uit Microsoft Sentinel, Defender, Purview en eventueel andere bronnen, maar dat tegelijk gewaarborgd moet zijn dat gevoelige data de afgesproken grenzen niet verlaat. Architecturen met dedicated tenants, gescheiden workspaces of gecontroleerde log forwarding helpen om datasoevereiniteit te borgen. Pseudonimisering en minimale gegevensverwerking zijn belangrijke maatregelen wanneer persoonsgegevens in logdata voorkomen. Ook moet duidelijk zijn wie verantwoordelijk is voor het beheer van connectors, updates van agents en het testen van nieuwe use cases, zodat wijzigingen in de infrastructuur niet onopgemerkt leiden tot blinde vlekken.
De derde bouwsteen is een volwassen set KPI’s en stevig contractmanagement. Naast klassieke indicatoren als Mean Time To Detect (MTTD) en Mean Time To Respond (MTTR) is het zinvol om ook de false-positiveratio, het aantal incidenten dat buiten SLA wordt afgehandeld en de kwaliteit van lessons learned te meten. Deze indicatoren vormen de basis voor periodieke gesprekken tussen CISO, leveranciers en proceseigenaren en moeten direct gekoppeld zijn aan concrete verbeterplannen. Contracten met MSSP’s dienen ruimte te bieden voor bijsturing op basis van deze KPI’s, bijvoorbeeld door flexibele bundels, schaalopties of prestatieafhankelijke vergoedingen.
Tot slot vraagt een hybride model om een ritme van periodieke evaluatie waarin niet alleen operationele cijfers worden besproken, maar ook de bredere dreigingsontwikkeling en strategische roadmap. In kwartaalreviews kunnen bestuur, CISO, leveranciers en eventueel ketenpartners gezamenlijk terugkijken op incidenten, near misses en audits, en vooruitkijken naar geplande veranderingen in de organisatie of IT-omgeving. Door SOC-governance expliciet te koppelen aan de Nederlandse Baseline voor Veilige Cloud, de BIO en NIS2-verplichtingen, ontstaat een continu verbeterproces waarin het operatingmodel kan meebewegen met nieuwe dreigingen, technologische ontwikkelingen en veranderende bestuurlijke verwachtingen.
Een praktische manier om die governance te laten leven, is het ontwikkelen van gezamenlijke runbooks, oefenscenario’s en opleidingsprogramma’s waarin interne teams en de MSSP of shared service samen optrekken. Denk aan periodieke tabletop-oefeningen rond ransomware, datalekken of verstoringen van kritieke ketens, waarbij expliciet wordt geoefend op overdrachtsmomenten, communicatie met bestuur en pers en het benutten van forensische data uit de verschillende platforms. Door de uitkomsten van dergelijke oefeningen vast te leggen in verbeterplannen, die weer aansluiten op de KPI’s en contractafspraken, ontstaat een cyclisch proces van leren en verbeteren. Daarmee wordt een hybride SOC niet alleen een uitbestedingsconstructie, maar een integraal onderdeel van de bredere crisisorganisatie en de structurele digitale weerbaarheidsdoelstellingen van de Nederlandse publieke sector.
Er bestaat geen universeel SOC-model; de juiste keuze wordt bepaald door een combinatie van budget, dreigingsbeeld, datasoevereiniteit, organisatiecultuur en de beschikbaarheid van gespecialiseerd talent. In de praktijk kiezen Nederlandse overheidsorganisaties steeds vaker voor hybride varianten waarin regie, besluitvorming en de meest gevoelige data bewust binnen de eigen organisatie blijven, terwijl schaalvoordelen en specialistische kennis via MSSP’s of gedeelde diensten worden benut. Daarmee ontstaat een verdedigingslijn die beter aansluit op de eisen uit de Nederlandse Baseline voor Veilige Cloud, de BIO en NIS2, zonder dat kleinere organisaties worden gedwongen een volledig eigen 24/7 SOC te financieren. Welke route u ook kiest: zorg dat requirements expliciet zijn vastgelegd, budgetten aansluiten op de ambities, governance robuust is ingericht en dat periodieke evaluaties met bestuur, CISO, leveranciers en proceseigenaren standaard onderdeel zijn van de jaarcyclus. Alleen dan kan het gekozen SOC-model daadwerkelijk meegroeien met nieuwe dreigingen, technologische ontwikkelingen en de bestuurlijke verwachtingen rond aantoonbare digitale weerbaarheid.