Op 1 januari 2025 treedt de Digital Operational Resilience Act (DORA) in werking. Deze nieuwe wetgeving heeft als doel om de digitale weerbaarheid van financiële ondernemingen in de Europese Unie te vergroten. Hoewel de inwerkingtreding van DORA nog even op zich laat wachten, is er nu al een toename te zien in het aantal vacatures voor IT risk professionals.* ‘Er is veel vraag naar professionals met een achtergrond als EDP-auditor. Bedrijven voelen de druk om hun IT risk framework beter neer te zetten,’ merkt recruitment consultant banking & financial services Nicky Zwolsman op.  

Informatiebeveiliging naar een hoger niveau 

Bijna alle Europese financiële instellingen moeten vanaf 2025 voldoen aan DORA. De nieuwe wetgeving stelt eisen op het gebied van IT-risicobeheer, IT-incidenten, het testen van digitale operationele veerkracht en het beheer van IT-risico’s van derden. ‘Grootbanken hebben hun IT risk framework grotendeels al op orde en richten zich in de aanloop naar DORA voornamelijk op het opschonen en verbeteren van het framework, en het inrichten van rapportagelijnen,’ vertelt Zwolsman. ‘Deze partijen zijn vooral op zoek naar control testers, die moeten nagaan of hun huidige maatregelen voldoende tegemoetkomen aan de nieuwe vereisten.’

Kleinere financiële instellingen, zoals fondsbeheerders en verzekeraars, hebben echter nog stappen te zetten op dit gebied. ’De nieuwe wetgeving dwingt kleine instellingen om hun informatiebeveiliging naar een hoger volwassenheidsniveau te brengen. Zij zullen het komende jaar gebruiken voor het uitvoeren van een gap-analyse en het bouwen van een solide IT risk framework,’ vertelt Zwolsman.

Toenemend tekort aan auditors 

De nieuwe wetgeving zorgt voor een groeiende vraag naar EDP-auditors met een Big 4 achtergrond en een RE-titel (Registered EDP-Auditor). En hier wringt de schoen: het aantal vacatures waarin gevraagd wordt om een EDP-auditor ligt in het eerste halfjaar van 2023 al 16 procent hoger dan in dezelfde periode vorig jaar (respectievelijk 418 en 361 vacatures). Het aantal afgestudeerden in de richting van EDP-auditing blijft echter achter, met zo’n 300 in het afgelopen jaar.* Hierdoor ontstaat een groot tekort. ’Wij krijgen steeds meer vacatures voor auditors, IT risk managers, information security officers en business continuity managers binnen,’ zegt Zwolsman. ’Naar mate de inwerkingtreding van DORA dichterbij komt zal deze vraag alleen maar groter worden.’

Diep in de buidel tasten

Om op tijd te zijn en te voorkomen dat financiële instellingen achter het net vissen, adviseert Zwolsman bedrijven om nu al na te denken over de interne beschikbaarheid van IT risk kennis en expertise. ’Als er kennisgaps ontstaan, kun je het beste in Q4 van 2023 alvast gaan werven, zodat je daarna een jaar de tijd hebt om DORA compliant te worden.’

Om de juiste professionals aan te trekken, kunnen organisaties niet anders dan diep in de buidel tasten. De salarissen in het IT risk domein zijn het afgelopen jaar substantieel toegenomen. Waar de salarissen in 2021/2022 nog tussen de 80 en 85 duizend euro per jaar lagen, is een jaarsalaris van 100 duizend euro nu geen uitzondering meer.* Ook de tarieven van interim professionals zijn gestegen volgens Zwolsman. ’Interimmers rekenen nu ruim 20% meer dan twee jaar geleden.’

Interim professionals bieden uitkomst

Hoewel organisaties soms de voorkeur geven aan vast personeel, biedt de flexibele inzet van interim specialisten grote voordelen volgens Zwolsman. ‘Na de piek in 2024, wanneer de organisatie DORA compliant is en de rapportagelijnen zijn ingericht, wordt het weer business as usual.’ Bovendien ligt de kwaliteit van de interim professionals die Zwolsman spreekt hoog. ‘De interimmers die wij bemiddelen hebben meestal recent nog bij een Big 4 kantoor gewerkt, en daarna IT risk ervaring opgedaan in de business. Deze professionals zijn minstens zo goed als consultants van grote adviesbureaus, maar dan voordeliger in te huren.’

Duidelijke rolverdeling 

Als de implementatie van DORA eenmaal achter de rug is, adviseert Zwolsman organisaties die te klein zijn voor een aparte IT risk afdeling om deze werkzaamheden bij een vaste werknemer te beleggen. Dit kan iemand zijn vanuit de non-financial risk afdeling met affiniteit voor IT risk, of iemand die wordt ingewerkt door de interim specialist verantwoordelijk voor DORA. Ze noemt het voorbeeld van een verzekeraar, waar ze recentelijk een aantal rollen ingevuld heeft: ‘Hier is nog heel veel te doen op het gebied van IT risk management. Op dit moment worden deze taken - zoals als het opzetten van IT risk beleid en procedures en de controle op de naleving ervan in de business - opgevangen door de afdeling non-financial risk. Maar met de komst van nieuwe IT risk specialisten voor de implementatie van DORA willen ze deze werkzaamheden gaan scheiden. Er komt meer specialisatie in de IT risk werkzaamheden, en deze worden duidelijk bij een persoon belegd.’

Meer informatie

Voor een uitgebreid overzicht van de salarissen en uurtarieven van onder andere IT Risk professionals kunt u onze Salary Survey raadplegen. 

Wilt u persoonlijk advies met betrekking tot het werven van compliance en (IT) risk professionals? Neem dan contact op met Nicky Zwolsman via nicky.zwolsman@robertwalters.com of 020 644 4655. 

*Bronnen: LinkedIn Talent Insights en Jobfeed.