Salaris ciso niet in verhouding tot werkdruk

Een relatief laag salaris, weinig waardering, veel stress en mogelijk grote gevolgen voor de cyberveiligheid als er niets veranderd. De werkomstandigheden en salarissen van ciso’s (chief information security officers) moeten beter, stelt Orange Cyberdefense. Het bedrijf krijgt bijval van Dimitri van Zantvliet, voorzitter van Ciso-platform Nederland.Volgens Orange Cyberdefense is het tijd voor herwaardering van het vakgbied. Ciso’s staan onder immense druk en zijn de eerstelijnsverdediging tegen cyberaanvallen die dagelijks toenemen in frequentie en complexiteit. Het bedrijf wijst op de technische vaardigheden waar een ciso over moet beschikken en een groot zakelijk instinct. Alleen met die combinatie kunnen ze een brug vormen tussen de business en it en de vaak tegengestelde belangen overbruggen. Strategisch adviseur van Orange Cyberdefense, Matthijs van der Wel-ter Weel, legt uit dat Europa het continent is met de strengste privacy- en securitywetgeving. ‘Die juridische omstandigheden maken het ciso’s niet gemakkelijk. Onder de NIS2 dragen zij zelfs een grote persoonlijke verantwoordelijkheid.’ Hij ziet dat managers op bestuursniveau aansprakelijk gesteld worden bij zeer ernstige, grootschalige datalekken. Ook blijft de financiële waardering in Europa achter. Ciso’s in de Verenigde Staten zouden gemiddeld 341.000 dollar per jaar verdienen, met uitschieters tot een half miljoen dollar voor topfunctionarissen bij multinationals. In Europa ligt het gemiddelde jaarsalaris van een ciso aanzienlijk lager: rond de 119.000 euro in Nederland en rond de 102.000 pond in het Verenigd Koninkrijk. Duitsland en Frankrijk laten min of meer hetzelfde beeld zien. Dat verschil in beloning vraagt om extra aandacht, vindt Orange Cyberdefense. NIS2 Ook Dimitri van Zantvliet, voorzitter van Ciso-platform Nederland en directeur cybersecurity en ciso van NS, ziet bij collega’s dat de salarissen niet in verhouding staan tot de werkdruk. ‘Ik herken dat zeker. Niet per se bij de beursfondsen of grote multinationals, maar wel bij gemeenten, zelfstandige bestuursorganisaties, overheden en kleinere mkb-bedrijven. Er komen tienduizend nieuwe bedrijven onder de NIS2 en die zoeken allemaal een ciso. Alleen de salarissen laten te wensen over.’ Dimiti van Zantvliet, voorzitter van Ciso-platform Nederland. Hij ziet veel vraag  die wordt aangejaagd door de digitalisering van de maatschappij, het verslechterende dreigingslandschap en de ‘tsunami aan cyberwetgeving’ in Europa. Ciso’s krijgen van hun werkgever vaak onvoldoende middelen om de organisatie weerbaar te maken en moeten van elkaar leren hoe ze omgaan met die situatie. Het is de reden dat Van Zantvliet een platform heeft opgezet waarop collega’s van elkaar kunnen leren. Van Zantvliet herkent de verschillen tussen de salarissen in de EU en de VS, al vindt hij het voorbeeld nogal uitvergroot. ‘Ik en een paar collega’s moesten hartelijk lachen om het salaris van een half miljoen dollar per jaar, daar zouden we direct voor tekenen.’ Van Zantvliet vindt ook dat het salaris meestal niet in verhouding staat tot de opleiding, de certificaten en de ervaring die cyberexperts tegenwoordig moeten meebrengen. ‘Het aanpassen van de salarishuizen en de waardering in het algemeen is zeker nodig en dat onderschrijven wij vanuit het Ciso-platform van harte.’ Hij ziet nog steeds dat de ciso’s ergens diep in de organisatie worden weggestopt en soms zelfs de ciso-functie als rol erbij krijgen. ‘Dat is natuurlijk vragen om problemen. Overigens zien we in Amerika de ciso’s van Uber en Solarwinds persoonlijk aansprakelijk gesteld worden voor de schade die een cyberincident heeft veroorzaakt. Ook dat is Amerika, laten we het niet verheerlijken.’ Orange Cyberdefense noemt vijf gevolgen van de lage waardering voor ciso’s die grote gevolgen kunnen hebben:1. Het beroep wordt minder aantrekkelijk en dat leidt tot een hoog verloop;2. Verlies van expertise. Het vertrek van ciso’s betekent niet alleen een verlies van waardevolle expertise en ervaring, maar creëert ook een vacuüm dat moeilijk op te vullen is door een tekort aan gekwalificeerde cybersecurityprofessionals.3. De destabilisatie van securitystrategieën. Elke ciso brengt zijn eigen inzichten mee die de strategie kunnen beïnvloeden. Daardoor neemt de kwetsbaarheid voor cyberaanvallen toe.4. Kosten en tijd. Bedrijven moeten voortdurend investeren in de werving en training van nieuwe ciso’s. Dat is een tijdrovend proces dat niet bevorderlijk is voor stabiel leiderschap op het gebied van security. Ook is het kostbaar, waardoor minder budget overblijft voor securitymiddelen.5. Kennis vloeit weg naar de VS. De huidige omstandigheden maken Europa weinig aantrekkelijk voor ciso’s. Daardoor is het niet ondenkbaar dat zij functies in de VS overwegen. Dit zou schadelijk zijn omdat schaarse kennis wegvloeit naar een ander continent. Salarissen Van Zantvliet  herkent de gevolgen die Orange Cyberdefense noemt. Al denkt hij dat er verschil is tussen multinationals, de overheden en het mkb. ‘In de eerste groep zie je al veel meer wereldwijde arbeidsmobiliteit, in de tweede helemaal niet, mede gevoed door salarissen en taalproblematiek.’ Dat alle cyberexperts aan Amerika verloren gaan, is volgens hem een minder groot risico. ‘Wel lopen we het risico dat we goede cyberexperts verliezen aan andere ict- of ai-vakgebieden.’ Het is volgens hem tijd om ciso’s een beter podium te bieden. Hij wijst erop dat er binnen Europa bovendien meer moet worden samengewerkt en de weerbaarheid van essentiële diensten zoals bijvoorbeeld defensie, energie, internet en mobiliteit een speerpunt moeten zijn. ‘Een passend salaris voor de cyberexperts is hiervoor dan een randvoorwaarde.’ Meer weten? Genoemde onderwerpen komen ook aan bod tijdens het Nationale Cisoday.nl  2025 dat op 27 mei 2025 georganiseerd wordt door Ciso-platform Nederland.