CISO vacatures genoeg — waarom zijn ze zo moeilijk te vervullen?

Het probleem is niet het tekort aan CISO’s — maar hoe we de rol invullen

Er staan veel CISO-vacatures open. Er zijn ook veel CISO’s beschikbaar.

Je zou denken dat dit zichzelf oplost. Maar dat gebeurt niet.

Omdat organisaties met dit soort “CISO-rollen” in de praktijk geen echte CISO zoeken.

Wat organisaties vaak zoeken, is iemand die alle vinkjes afdekt, maar niet de ervaring heeft van een echte CISO — en ook niet de verwachtingen die daarbij horen. Iemand die inhoudelijk en technisch sterk is, maar nog niet opereert als executive.

Met andere woorden: een CISO in kennis en titel, maar niet in gedrag.

Ik heb met veel recruiters gesproken, met CISO’s en met hiring teams. En daar zie je een consistent patroon. Het salaris past vaak niet bij de verantwoordelijkheid. De rol is niet echt gepositioneerd op directieniveau. Het mandaat is beperkt of onduidelijk. En soms speelt er nog iets anders: organisaties willen niet iemand die het gesprek aangaat als het schuurt.

Maar dat is precies waar het misgaat.

Een echte CISO kijkt verder dan beleid en controles. Die begrijpt ook de technische realiteit achter security: waar dreigingen ontstaan, waar architectuur kwetsbaar wordt en wat er gebeurt als incidenten daadwerkelijk plaatsvinden.

Vanuit die basis draait de rol om het sturen op risico, het verbinden van security aan bedrijfsdoelstellingen en het voeren van het gesprek op directieniveau — juist wanneer belangen botsen of keuzes consequenties hebben.

Dat is geen bijzaak. Dat is de rol.

Haal je dat weg, dan houd je geen “lichtere” CISO over. Dan krijg je security op papier — zonder echte impact.

En dat zie je terug.

CISO’s blijven vaak maar kort. Security groeit niet echt door. En organisaties komen steeds weer terug in dezelfde wervingscyclus.

Niet omdat er geen mensen zijn, maar omdat de rol verkeerd is ingericht.

Wil je een CISO zonder het ongemak dat bij de rol hoort, dan is dat een keuze.

Maar verwacht dan ook niet de uitkomsten van een echte CISO.

Ik ben benieuwd hoe anderen dit zien: zijn organisaties echt klaar voor volwassen security leadership?

Wil je dit verder doorvertalen naar je eigen organisatie?

• Bekijk hoe je een securityteam structureel opbouwt → Teamopbouw

• Lees hoe je executive security leadership invult zonder afhankelijkheid van één persoon → CISO-as-a-Service

• Of hoe je compliance vertaalt naar daadwerkelijke security → ISO 27001 implementatie en begeleiding