Wymogi europejskiej dyrektywy NIS 2 zobowiązują przedsiębiorstwa do wprowadzenia licznych zabezpieczeń oraz przygotowania odpowiednich struktur zarządzania. Tymczasem brak kadr oraz luki kompetencyjne na poziomie zarządczym mogą znacząco wpłynąć na zdolność firm do dostosowania się do regulacji. Generalnie, w firmach o rozwiniętej strukturze, działających w obszarze telekomunikacji, fintech czy usług bankowych, odpowiedzialność za cyberbezpieczeństwo spoczywa zazwyczaj na CISO (Chief Information Security Officer). Niezależność od struktur IT umożliwia mu skupienie się na kwestiach bezpieczeństwa, a tym samym większą skuteczność. W mniejszych firmach funkcję tę pełni CIO (Chief Information Officer).

Jednak wraz z rosnącą liczbą zagrożeń i ich coraz większym wpływem na funkcjonowanie firm zwiększa się liczba ról i specjalizacji związanych z zagwarantowaniem bezpieczeństwa. Do tych, na które wyraźnie rośnie zapotrzebowanie, należą: Cyber Security Engineer, Cloud Security Engineer, Security Architect, SOC Analyst czy pentester.

– Dyrektywa zobowiązuje do przeprowadzania systematycznych ocen ryzyka, identyfikacji zagrożeń oraz wdrażania zaawansowanych zabezpieczeń technicznych i organizacyjnych. Oznacza to, że zarządzający muszą być świadomi zagrożeń i odpowiedzialni za decyzje związane z bezpieczeństwem cyfrowym – mówi Adam Ajtner, Principal Consultant w Wyser.

Luki kadrowe i kompetencyjne

Specjaliści ds. cyberbezpieczeństwa są niezbędni we wszystkich branżach, obecnie najwięcej z nich zatrudnia sektor IT, finansowy, telekomunikacji oraz fintech, a zapotrzebowanie nadal będzie rosło. Przy czym do głównych przyczyn niedoboru kadr należy zaliczyć szybki rozwój technologii, który wyprzedza tempo kształcenia nowych specjalistów. Widoczne są także luki kompetencyjne – zarówno wśród specjalistów technicznych odpowiedzialnych za wdrażanie systemów zabezpieczeń, jak i wśród liderów, którzy powinni kierować zespołami oraz tworzyć długoterminowe strategie ochrony danych i zabezpieczeń przed incydentami cyberprzestępczości.

– Istnieje ogromna dysproporcja między rosnącym zapotrzebowaniem na specjalistów ds. cyberbezpieczeństwa a dostępnością osób o odpowiednich kwalifikacjach. W Polsce brakuje kilkunastu tysięcy ekspertów, tymczasem dyrektywa NIS 2 wymaga od firm nie tylko wdrożenia narzędzi ochrony, ale także zarządzania ryzykiem na poziomie strategicznym, co zwiększa zapotrzebowanie na wykwalifikowane kadry – mówi Daniel Piaszczyk, Senior Partner Executive IT w Wyser.

Obecnie eksperci ds. cyberbezpieczeństwa są często rekrutowani spośród osób z doświadczeniem w innych obszarach IT, takich jak infrastruktura, aplikacje czy rozwiązania chmurowe. Dzięki doświadczeniu posiadają już podstawową wiedzę z zakresu cyberbezpieczeństwa, co ułatwia im szybszą adaptację do nowej roli.

Braki na poziomie zarządczym i strategicznym

Niedobór wykwalifikowanych pracowników dotyczy również zarządzania na poziomie strategicznym. Firmy poszukują liderów, którzy nie tylko będą reagować na bieżące zagrożenia, ale także przewidywać przyszłe ryzyka oraz wdrażać długoterminowe strategie zabezpieczeń, umożliwiające ochronę firmowych zasobów w perspektywie lat. W tym kontekście rola CISO staje się kluczowa. Liderzy w tych obszarach muszą posiadać nie tylko szeroką wiedzę techniczną, ale także skuteczne zarządzanie kryzysowe oraz strategiczne planowanie. Coraz większe znaczenie mają umiejętności dostosowywania działań w zakresie cyberbezpieczeństwa do zakładanych celów biznesowych.

– Na pierwszym miejscu wśród wymagań stawianych CISO są umiejętności techniczne. To jednak nie wystarczy. Coraz większy nacisk kładzie się na kompetencje miękkie, w tym komunikacyjne, które stają się kluczowe w codziennej pracy. Zdolność wyjaśniania niejednokrotnie skomplikowanych zagadnień w zrozumiały dla biznesu sposób umożliwia sprawniejsze wdrażanie wymagań związanych z bezpieczeństwem – podkreśla Adam Ajtner.

Certyfikaty branżowe, takie jak CISSP (Certified Information Systems Security Professional) czy CEH (Certified Ethical Hacker), są często wymagane na stanowiskach kierowniczych, ponieważ potwierdzają odpowiednie kwalifikacje i przygotowanie do zarządzania bezpieczeństwem informatycznym. Firmy potrzebują managerów, którzy rozumieją dynamiczne zmiany w technologii i potrafią dostosować strategie biznesowe do rosnących wymagań w zakresie bezpieczeństwa. Trzeba inwestować w liderów z doświadczeniem w zarządzaniu ryzykiem i wdrażaniu zaawansowanych strategii bezpieczeństwa.

W odpowiedzi na braki kadrowe

Wzrost zapotrzebowania na stanowiska związane z cyberbezpieczeństwem powoduje presję płacową – firmy, które chcą przyciągnąć najlepszych kandydatów, zdają sobie sprawę z tego, że muszą oferować nie tylko konkurencyjne wynagrodzenia, ale także elastyczne formy współpracy. Wynagrodzenia dla managerów na stanowiskach CISO plasują się w czołówce najwyżej opłacanych ról w branży IT – w dużych organizacjach najczęściej wynoszą od 30 do 50 tys. zł miesięcznie. Natomiast specjaliści ds. cyberbezpieczeństwa z kilkuletnim doświadczeniem zarabiają od 20 do 30 tys. zł.

Rozwiązaniem w obliczu deficytu kadr jest – szczególnie w przypadku średnich i małych firm – korzystanie z outsourcingu usług związanych z cyberbezpieczeństwem. W takich przypadkach zewnętrzni konsultanci przeprowadzają audyt bezpieczeństwa, nakreślają strategię i wspierają firmy we wdrożeniu wymaganych rozwiązań, chociażby spełnienia wymagań zakładanych przez dyrektywę NIS 2. W odróżnieniu od pełnoetatowego zatrudnienia model ten umożliwia firmom elastyczne korzystanie z wiedzy ekspertów bez konieczności stałego zatrudniania.

– Zagrożenia związane z cyberbezpieczeństwem stawiają przed firmami istotne wyzwania, zwłaszcza w obliczu nowych wymagań wynikających z dyrektywy NIS 2. Kluczowe w tym kontekście wydają się wysokie kompetencje kadry zarządzającej i jej przygotowanie do zarządzania bezpieczeństwem informatycznym. To kwestia tym bardziej istotna, że świadomość znaczenia bezpieczeństwa wśród firm i organizacji nadal jest niewystarczająca – podsumowuje Daniel Piaszczyk.