Orange Cyberdefense: salarissen CISO’s niet in verhouding tot werkdruk

Orange Cyberdefense roept organisaties en beleidsmakers op om de salarissen en werkomstandigheden van Chief Information Security Officers (CISO’s) te heroverwegen. Dit is noodzakelijk voor de digitale veiligheid van de Europese economie. Ondanks de cruciale rol die CISO’s spelen bij het beschermen tegen cyberdreigingen, blijft hun compensatie namelijk aanzienlijk achter. Zeker vergeleken met hun Amerikaanse collega’s.

CISO’s staan onder immense druk. Zij zijn de eerstelijnsverdediging tegen cyberaanvallen die dagelijks toenemen in frequentie en complexiteit. Ze moeten over technische vaardigheden beschikken, maar ook over een groot zakelijk instinct. Alleen met die combinatie kunnen CISO’s een brug vormen tussen de business en IT, en de vaak tegengestelde belangen overbruggen.

Grote verantwoordelijkheid, lage waardering

Europa is het continent met de strengste privacy- en securitywetgeving. Die juridische omstandigheden maken het CISO’s bovendien niet gemakkelijk. Onder de NIS2 dragen zij zelfs een grote persoonlijke verantwoordelijkheid. “De NIS2 stelt C-level managers namelijk persoonlijk aansprakelijk bij zeer ernstige, grootschalige datalekken”, vertelt Matthijs van der Wel-ter Weel, Strategic Advisor bij Orange Cyberdefense. “Zij moeten er continu voor zorgen dat zij niet degenen zijn die bij een securityincident aansprakelijk kunnen worden gesteld. Dat brengt veel extra werk met zich mee.”

Tegelijkertijd blijft de waardering in Europa achter. CISO’s in de Verenigde Staten verdienen gemiddeld $341.265 per jaar, met uitschieters tot $500.000 voor topfunctionarissen in multinationale ondernemingen. In Europa ligt het gemiddelde salaris van een CISO aanzienlijk lager: rond de €118.847 per jaar in Nederland en rond de £102.149 in het Verenigd Koninkrijk. Duitsland en Frankrijk laten min of meer hetzelfde beeld zien. Dit aanzienlijke verschil in beloning vraagt om extra aandacht.

Gevolgen van lage waardering

Die lage waardering in Europa heeft in potentie rampzalige gevolgen:

• Minder aantrekkelijk beroep: onder deze omstandigheden is de functie van CISO weinig aantrekkelijk. Dat kan leiden tot een hoog verloop binnen de sector.
• Verlies van expertise: het vertrek van CISO’s betekent niet alleen een verlies van waardevolle expertise en ervaring, maar creëert ook een vacuüm dat moeilijk op te vullen is. Er is immers een groot tekort aan gekwalificeerde cybersecurityprofessionals.
• Destabilisatie van securitystrategieën: een hoog verloop leidt tot een destabilisatie van de securitystrategieën van bedrijven. Elke CISO brengt immers eigen inzichten mee die de strategie kunnen beïnvloeden. Daardoor neemt de kwetsbaarheid voor cyberaanvallen toe.
• Kosten en tijd: bedrijven moeten voortdurend investeren in de werving en training van nieuwe CISO’s. Dat is een tijdrovend proces dat niet bevorderlijk is voor stabiel leiderschap op het gebied van security. Bovendien is het kostbaar, waardoor minder budget overblijft voor securitymiddelen.
• Kennis vloeit weg naar de VS: de huidige omstandigheden maken Europa weinig aantrekkelijk voor CISO’s. Daardoor is het niet ondenkbaar dat zij functies in de VS overwegen. Dit zou schadelijk zijn omdat schaarse kennis wegvloeit naar een ander continent.

Erkennen én belonen

Orange Cyberdefense pleit dan ook voor een herwaardering van de salarisstructuren en werkomstandigheden voor CISO’s in Europa. Dit is noodzakelijk om de balans en rechtvaardigheid in deze cruciale sector te herstellen en om ervoor te zorgen dat bedrijven effectief beschermd blijven tegen de toenemende cyberdreigingen.

“Het is van essentieel belang dat we de waarde die deze professionals brengen naar onze bedrijven en de maatschappij als geheel erkennen én belonen”, concludeert Van der Wel-ter Weel. “Zonder een herziening van de salarisstructuren riskeren we een verzwakking van onze digitale verdedigingslinie. Dat is wel het laatste wat we in deze tijd kunnen gebruiken.”