Waarom security salarissen in Nederland zo uiteenlopen

De Nederlandse markt voor security professionals staat onder druk.

Vacatures blijven maanden openstaan, organisaties zoeken naar ervaren mensen en recruitmentprocessen lopen steeds vaker vast. Tegelijkertijd zijn er genoeg professionals actief in het vakgebied. Toch blijkt het opvallend moeilijk om vraag en aanbod bij elkaar te brengen.

Wat daarbij steeds vaker opvalt, zijn de enorme verschillen tussen gevraagde en geboden salarissen.

Niet alleen tussen organisaties onderling, maar ook tussen Nederland en de internationale markt.

En precies daar begint een probleem dat veel groter is dan alleen recruitment. Juist daarom kiezen steeds meer organisaties voor een aanpak gericht op securityteamopbouw, waarbij continuïteit, eigenaarschap en schaalbaarheid centraal staan.

Security is veranderd. De markt ook.

Jaren geleden werd information security binnen veel organisaties vooral gezien als een technisch IT-specialisme. Iemand die firewalls beheerde, policies schreef of audits ondersteunde.

Vandaag raakt security vrijwel ieder onderdeel van de organisatie. Een serieus incident betekent niet alleen technische schade, maar kan leiden tot stilgevallen operaties, reputatieschade, contractuele problemen, meldplichten en bestuurlijke druk.

Veel organisaties lopen daarbij tegen hetzelfde probleem aan: security groeit sneller dan de structuur eromheen. Daardoor ontstaat een situatie waarin één persoon verantwoordelijk wordt voor een combinatie van strategie, operatie, compliance en incidentmanagement.

Precies daarom zien we dat veel securityteams moeilijk schaalbaar worden.

Tegelijkertijd zijn wet- en regelgeving zoals NIS2 en strengere klanteisen ervoor gaan zorgen dat security steeds zichtbaarder wordt op directieniveau.

De verantwoordelijkheid van security professionals is daardoor enorm gegroeid.

Toch zijn veel organisaties in hun kijk op securityfuncties nauwelijks meegegroeid. Dat zie je terug in vacatures waarin gezocht wordt naar professionals die strategisch kunnen adviseren, risico’s kunnen vertalen naar bestuurders, audits begeleiden, incidenten coördineren én technisch-inhoudelijk sterk blijven, terwijl de arbeidsvoorwaarden soms nog gebaseerd lijken op traditionele IT-functies.

Daar begint de spanning in de markt.

Nederland loopt achter op de internationale markt

Wat veel organisaties onderschatten, is dat ervaren security professionals hun marktwaarde allang niet meer alleen vergelijken met Nederlandse vacatures.

Een ervaren cloud security engineer, security architect of CISO kijkt tegenwoordig net zo makkelijk naar Duitsland, België of het Verenigd Koninkrijk. En sinds remote werken breed geaccepteerd is, hoeft iemand daar niet eens meer voor te verhuizen.

Juist daar worden de verschillen zichtbaar.

Voor vergelijkbare rollen liggen salarissen internationaal vaak merkbaar hoger dan in Nederland. Maar het verschil zit niet alleen in geld. Internationale organisaties bieden regelmatig grotere securityteams, meer specialistische ondersteuning, hogere opleidingsbudgetten en duidelijkere doorgroeimogelijkheden.

Daardoor concurreren Nederlandse organisaties inmiddels op een internationale arbeidsmarkt, terwijl veel arbeidsvoorwaarden nog steeds lokaal worden benaderd.

En dat begint voelbaar te worden.

De meest ervaren specialisten zijn vaak al vertrokken

Een belangrijk deel van de markt wordt daarnaast structureel onderschat. Een groot deel van de meest ervaren securityspecialisten werkt namelijk allang niet meer in traditionele interne functies.

Ze zijn gaan freelancen tegen hoge uurtarieven, omdat organisaties bereid bleken om fors te betalen zodra er acute problemen ontstaan. Anderen zijn overgestapt naar grote consultancies of internationale partijen die simpelweg betere salarissen, voorwaarden en ontwikkelmogelijkheden bieden.

Dat is niet vreemd.

Een senior specialist die jarenlang verantwoordelijk is geweest voor complexe omgevingen, incidenten, audits en escalaties weet precies hoeveel druk er op zulke rollen ligt. Wanneer diezelfde professional ontdekt dat hij als zelfstandige twee tot drie keer zoveel kan verdienen, met meer vrijheid en vaak interessantere opdrachten, wordt de keuze voor veel mensen vrij rationeel.

Het gevolg is dat veel organisaties uiteindelijk vissen in een kleinere vijver dan ze denken.

De echte senior specialisten zijn vaak:

• al zelfstandig

• werkzaam via consultancies

• internationaal georiënteerd

• of simpelweg niet meer beschikbaar voor traditionele interne rollen

En daardoor ontstaat een markt waarin organisaties senioriteit zoeken, maar vooral kandidaten spreken die nog onderweg zijn naar dat niveau.

De ‘medior vacature’ die eigenlijk een senior rol is

Precies daar ontstaat een tweede probleem.

Omdat organisaties het salarisniveau van ervaren seniors lastig vinden, proberen ze het probleem soms op te lossen via de functietitel. De vacature wordt dan opeens “medior security officer” of “junior CISO”, terwijl de inhoud van de functie nauwelijks verandert.

De verantwoordelijkheden blijven vaak enorm breed. Er wordt nog steeds verwacht dat iemand zelfstandig risico’s beheert, audits begeleidt, stakeholders overtuigt, compliance aantoonbaar houdt en ondertussen operationele securityproblemen oplost.

Met andere woorden: de organisatie zoekt nog steeds senioriteit, maar probeert de salarisverwachting te verlagen door de rol anders te noemen.

Veel professionals herkennen dit direct.

Ze lezen vacatures waarin een medior profiel wordt gevraagd, maar waar ondertussen wel jarenlange ervaring, meerdere certificeringen en volledige zelfstandigheid verwacht worden.

Dat voelt voor veel kandidaten alsof organisaties de verantwoordelijkheid van een senior zoeken, met het budget van een medior. En daardoor haken veel ervaren mensen al af voordat het eerste gesprek überhaupt plaatsvindt.

In de praktijk blijkt regelmatig dat organisaties niet alleen een capaciteitsprobleem hebben, maar vooral moeite hebben met het scherp definiëren van eigenaarschap en verwachtingen binnen de securityfunctie. Dat begint vaak al bij duidelijke rollen en verantwoordelijkheden binnen securityteams

Het probleem zit vaak dieper dan salaris alleen

Wat de situatie extra ingewikkeld maakt, is dat veel organisaties meerdere functies proberen samen te brengen in één persoon.

Dezelfde professional moet technisch sterk zijn, strategisch adviseren, audits begeleiden, awareness verzorgen, leveranciers beoordelen, incidenten begeleiden en managementrapportages maken.

In de praktijk zijn dat vaak meerdere disciplines tegelijk.

Toch worden die verwachtingen regelmatig bij één persoon neergelegd, vaak zonder voldoende ondersteuning of duidelijke prioriteiten. Daardoor ontstaat een situatie waarin professionals structureel overvraagd raken.

Dat heeft gevolgen voor beide kanten.

Professionals raken overbelast of vertrekken sneller. Organisaties blijven ondertussen zoeken naar mensen die steeds moeilijker te vinden zijn.

En precies daardoor zien we binnen security zo vaak hetzelfde patroon ontstaan: aannemen, overbelasten, uitval en opnieuw beginnen.

De discussie gaat uiteindelijk niet alleen over geld

De discussie over security salarissen gaat uiteindelijk zelden alleen over euro’s.

Het gaat over hoe organisaties security positioneren. Over hoeveel verantwoordelijkheid er bij één persoon wordt neergelegd. Over de vraag of verwachtingen nog aansluiten op de realiteit van de huidige markt.

Want zolang organisaties blijven zoeken naar senior expertise, internationale ervaring en brede verantwoordelijkheid, terwijl arbeidsvoorwaarden en functie-inrichting daar onvoldoende op aansluiten, zal de kloof tussen vraag en aanbod alleen maar groter worden.

Niet omdat er geen security professionals zijn.

Maar omdat een groot deel van de markt fundamenteel veranderd is — en veel organisaties daar nog niet volledig in mee zijn gegaan.

Verder lezen

• Waarom securityteams moeilijk schaalbaar zijn

• Hoe je effectief een securityteam opbouwt

• Rollen en verantwoordelijkheden binnen securityteams