Cybersecurity vacature schrijven: HR Manager en CISO werken samen aan een realistisch functieprofiel zonder unicorn-eisen

Cybersecurity vacature schrijven die daadwerkelijk de juiste kandidaten oplevert.

Wie weleens heeft geprobeerd een cybersecurity vacature schrijven die past bij de realiteit van de Nederlandse arbeidsmarkt, kent het probleem. De HR Manager krijgt input van de CISO, het team levert ‘must-haves’ aan, recruitment voegt nog wat toe, en het eindresultaat is een vacaturetekst die niemand vervult. Twee jaar SIEM-ervaring, vlot met cloud security in AWS en Azure, plus Security+ en idealiter CISSP, voor een junior-rol.

De markt is niet het probleem. ISC2-onderzoek wijst uit dat 31 procent van de organisaties geen enkele entry-level cybersecurity-professional in dienst heeft, en dat 62 procent van de hiring managers met openstaande rollen uitsluitend op mid- tot senior-niveau zoekt. Dat is geen toeval. Dit artikel beschrijft hoe je een vacature opbouwt die wel kandidaten oplevert: door minder te vragen, het juiste te benoemen, en realistisch te zijn over wat je nieuwe medewerker in zes maanden kan leren.

Het probleem zit in de woorden, niet in de markt

De Nederlandse cybersecurity-arbeidsmarkt is krap, maar niet leeg. Er zijn duizenden mensen die geschikt zijn voor de rollen die jij hebt openstaan, maar je vacaturetekst sluit ze actief uit. Dit gebeurt op drie manieren: je benoemt eisen die het werk niet daadwerkelijk vraagt, je gebruikt terminologie waardoor iemand met een net andere achtergrond niet door de ATS-filter komt, en je mist de zinnen die de juiste kandidaat over de streep trekken.

Hetzelfde patroon zie je in de eisen voor entry- en junior-rollen. Meer dan een derde van de hiring managers verwacht nog steeds geavanceerde certificeringen als CISSP, CISA of CISM van kandidaten die nog geen volledig jaar ervaring hebben, vaak in combinatie met vaardigheden die voor hun ervaringsniveau onhaalbaar zijn. De European Cybersecurity Skills Framework van ENISA geeft 12 rolprofielen die expliciet onderscheid maken tussen vereiste basis-vaardigheden en specialisatiekennis, en is een uitstekende referentie om realistische eisen aan junior-rollen te formuleren.

Op papier lijken er minder junior-rollen te zijn dan vroeger. In de praktijk gebeurt iets anders: organisaties typen ‘junior’ in de titel en schrijven daaronder de functie-eisen van een medior. Daarmee creeer je een fictieve schaarste die in jouw eigen vacaturetekst zit.

Wat een typisch cybersecurity functieprofiel fout doet

De gemiddelde Nederlandse security vacaturetekst lijdt aan stapelziekte. Een security architect heeft input gegeven over wat ‘handig zou zijn’. De CISO heeft een lijst eisen ingebracht uit een vorige rol. HR heeft templates gebruikt van een tool dat meest voorkomende keywords promoot. Het eindresultaat is een cybersecurity functieprofiel waarin twintig technologieen, vijf certificeringen, drie methodologieen en twee tot drie talen aanwezig moeten zijn. Voor een rol met een salaris dat geen senior aantrekt.

Volgens ISC2 workforce data uit 2024 en 2025 noemt 67 procent van de organisaties het budget als belangrijkste reden waarom security-rollen niet ingevuld worden. Dat is geen toeval: een unicorn-vacature met twintig eisen vraagt automatisch om een senior salaris, terwijl de budget-onderhandeling wordt gevoerd alsof het een junior-rol is. De vacature is dan al kapot voordat hij online staat.

Een tweede patroon bij cybersecurity vacature schrijven: je gebruikt een titel die niet matcht met je daadwerkelijke cybersecurity functies. ‘Cybersecurity Engineer’ kan in jouw organisatie tier 1 SOC werk betekenen, terwijl het op LinkedIn vooral applicatiesecurity-specialisten oplevert. Wie de titel niet aligneert met het werk dat de mensen ook echt gaan doen, krijgt sollicitaties van de verkeerde mensen of helemaal geen sollicitaties.

Schrap eerst wat overbodig is bij cybersecurity vacature schrijven

De effectiefste manier om je security vacaturetekst beter te maken is paradoxaal: dingen weghalen. Pak het bestaande cybersecurity functieprofiel erbij en streep door elke eis waar je niet voor jezelf kunt beantwoorden waarom hij erin staat. ‘Ervaring met Splunk’ is alleen relevant als je organisatie daadwerkelijk Splunk gebruikt en de medewerker er binnen drie maanden mee moet kunnen werken. Anders is het een hindernis die kandidaten met andere SIEM-ervaring uitsluit, terwijl SIEM-vaardigheden binnen weken overdraagbaar zijn.

Hetzelfde geldt voor certificeringen. CISSP eisen voor een rol die geen risk management of security architecture inhoudt, is een filter zonder functie. Vraag jezelf bij elke certificering bij het cybersecurity vacature schrijven: zal de medewerker de kennis uit deze certificering binnen het eerste jaar daadwerkelijk gebruiken? Zo nee, schrap het. Een ‘nice to have’ wordt door applicants en ATS-systemen alsnog als must-have geinterpreteerd.

Streep ook het eisenlijstje door op dubbelingen. ‘Communicatief sterk’, ‘goede schriftelijke vaardigheden’ en ‘in staat technische zaken te vertalen’ zijn drie keer hetzelfde en alle drie ongebruikbaar. Vervang het door iets concreets: ‘is comfortabel om in een incidentcall met directie technische beslissingen toe te lichten’. Dat is meetbaar in een gesprek; de eerste drie zijn ruis in je cybersecurity vacature schrijven.

Schrijven vanuit de werkelijke functie, niet de wensbeschrijving

Een goed cybersecurity vacature schrijven begint bij een eerlijke beschrijving van wat de medewerker een week of een maand na indiensttreding daadwerkelijk doet. Niet wat hij idealiter ooit zou doen, maar wat zijn agenda er feitelijk uitziet. Een SOC tier 1 analist sluit alerts, schrijft tickets, draagt over aan tier 2 of IR. Een GRC-medewerker werkt aan controle-evidenties, leveranciersbeoordelingen en interne audit-voorbereiding. Dat is de werkelijkheid.

Schrijf de vacaturetekst vanuit die werkelijkheid. Open met een paragraaf die beschrijft hoe een typische werkdag of werkweek eruitziet. Dat doet twee dingen tegelijk in je cybersecurity vacature schrijven: het zelfgeselecteert kandidaten die het werk daadwerkelijk willen doen, en het voorkomt verkeerde verwachtingen later in het traject. Een kandidaat die in week vier ontdekt dat 80 procent van het werk triage is terwijl hij dacht threat hunting te gaan doen, vertrekt voor de jaargrens. Dat kost je opnieuw drie tot zes maanden zoektijd.

Voor inspiratie bij cybersecurity vacature schrijven helpt het om met de toelatingseisen van een Nederlandse cybersecurity-opleiding te kijken. Daarin staat beschreven wat iemand minimaal nodig heeft om instromer of operationeel functioneel te zijn. Dat is een veel realistischer baseline dan de wensenlijst van een externe consultant.

Het verschil tussen must-have en should-have helder maken

Eisen-classificatie redt vacatures. Bij cybersecurity vacature schrijven verdeel je criteria in drie categorieen. Must-haves zijn de drie tot vijf zaken zonder welke iemand de rol simpelweg niet kan uitvoeren in de eerste maand. Should-haves zijn de vijf tot acht eigenschappen die de rol gemakkelijker maken, maar die binnen drie tot zes maanden bij te leren zijn. Nice-to-haves zijn de rest. Wees expliciet over die driedeling in de vacaturetekst zelf.

Waarom dit werkt: kandidaten lezen vacatureteksten defensief. Een vrouwelijke kandidaat solliciteert pas op een rol als ze aan circa 100 procent van de eisen voldoet, een mannelijke kandidaat al bij 60 procent. Wanneer je expliciet aangeeft dat must-haves de drempel zijn en should-haves bijleerbaar, doorbreek je die zelfselectie. Je krijgt meer en breder geschikte kandidaten, in plaats van een smalle vijver van perfecte profielen.

Eis nooit een aantal jaren ervaring zonder daar een betekenis aan te geven. ‘Minimaal drie jaar SOC-ervaring’ is een leeg getal. ‘Minimaal twee jaar ervaring met het zelfstandig afhandelen van security-incidenten op enterprise-schaal’ is meetbaar. Wie acht maanden bij een grote SOC heeft gewerkt waar hij echt incidenten heeft afgehandeld, kwalificeert meer dan iemand met vijf jaar bij een MSSP waar hij alleen alerts heeft doorgezet.

Hoe je de junior-deur openzet zonder de lat te laten zakken

De meeste organisaties die roepen dat ze ‘open staan voor junioren zonder IT-achtergrond‘ doen dat niet in hun vacaturetekst. Daar staan twee jaar ervaring met SIEM, bekendheid met IR-frameworks, cloud security ervaring en twee certificeringen. Dat is geen junior-rol. Dat is een midweger die hopen op een korting in salaris. Als je serieus junioren wilt aannemen, moet de vacaturetekst dat reflecteren.

Een echte junior-vacature in je security vacaturetekst heeft drie kenmerken. Ten eerste: maximaal drie technische must-haves, en die zijn bij voorkeur conceptueel (zoals ‘begrip van TCP/IP en logbronnen’) in plaats van toolspecifiek. Ten tweede: een expliciete leerperiode benoemen, bijvoorbeeld ‘in de eerste drie maanden werk je samen met een mentor en doorloop je een gestructureerd inwerktraject’. Ten derde: vacaturetekst gericht op leervermogen en motivatie, niet op bewezen output.

Een effectieve manier om bij cybersecurity vacature schrijven de junior-pool te vergroten is mensen werven uit praktijkgerichte cybersecurity-opleidingen. Afgestudeerden hebben hands-on vaardigheden, weten wat het werk inhoudt, en zijn bewust voor cybersecurity gekozen. Dat is een betere voorspeller van succes dan twee certificeringen die door zelfstudie zijn behaald.

Wat tekst doet voor je ATS-resultaten en je tijd-tot-aanstelling

Een vaak vergeten dimensie van cybersecurity vacature schrijven: je tekst wordt eerst gelezen door een algoritme, daarna pas door een mens. ATS-systemen filteren op keywords en de meeste cybersecurity-recruiters gebruiken templates die niet matchen met je organisatie. Resultaat: kwalitatief geschikte kandidaten worden weggefilterd voordat een hiring manager hun cv ziet.

De fix bij cybersecurity vacature schrijven is tweeledig. Vermijd jargon dat niet algemeen gangbaar is. ‘CSP-monitoring’ is duidelijk in jouw organisatie, niet daarbuiten. Schrijf het uit. Geef in de tekst ook synoniemen mee. Niet ‘SOC analyst’ alleen, maar ‘security analyst, SOC analyst, monitoring analyst’, zodat kandidaten die zichzelf met een andere term aanduiden alsnog matchen.

Tijd-tot-aanstelling is een onderschatte hefboom. Organisaties die de gemiddelde drie tot zes maanden zoektijd en ramp-up halen, verliezen consistent kandidaten in week zes tot tien aan concurrenten met snellere processen. Goed cybersecurity vacature schrijven werkt alleen als de rest van je proces ook scherp is: een week tot tien dagen tussen sollicitatie en eerste gesprek, twee tot drie weken tussen eerste gesprek en aanbod.

Een goed geschreven vacaturetekst is geen oplossing voor een tekort dat door tooling moet worden gefixt. Het is wel het verschil tussen drie maanden onsuccesvol zoeken en zes weken een geschikte kandidaat in dienst hebben. Het loont om cybersecurity vacature schrijven als vaardigheid binnen het team te beleggen. Bij Trivian werken we samen met organisaties die hun securityteam structureel willen uitbouwen. Plan een adviesgesprek om te bespreken hoe je vacatureteksten en wervingstrajecten op elkaar afstemt om sneller en gerichter kandidaten aan te trekken.