13 godzin temu
Nowe dane od ISACA z raportu State of Cybersecurity 2025 potwierdzają, iż problem deficytu kompetencji w obszarze bezpieczeństwa cyfrowego przybiera w Europie formę systemową. Dwie na trzy firmy nie są w stanie obsadzić wakatów związanych z cyberbezpieczeństwem, a ponad połowa skarży się na trudności w zatrzymaniu specjalistów.
W tym samym czasie presja ataków rośnie — niemal 40 % specjalistów IT i bezpieczeństwa mówi o wzroście liczby incydentów względem ubiegłego roku, a kolejne 27 % widzi utrzymanie poziomu.
To połączenie niedoboru kadry i eskalacji zagrożeń skutkuje znaczącym rakiem w odporności cyfrowej wielu organizacji. Zaledwie 38 % respondentów deklaruje pełne zaufanie do zdolności swojej organizacji w zakresie skutecznego wykrywania i reagowania na ataki. Pozostali – albo dostrzegają luki, albo nie są pewni, jak daleko sięgają.
Gdzie tkwi źródło problemu
1. Utrzymanie vs. pozyskanie
Deficyt w rekrutacji jest szeroko znany, ale równie istotny — choć mniej omawiany — jest problem retencji. Ponad połowa organizacji boryka się z odejściami specjalistów, co dodatkowo pogłębia luka kadrową.
Często mówi się o „wojnie o talenty”, ale rzadziej o tym, iż struktury organizacyjne w dużej części firm nie są gotowe na równoległą walkę: zapewnienie ścieżek rozwoju, sensownego rozkładu obowiązków, szkoleń czy wsparcia psychologicznego. Wśród raportowanych problemów figuruje przeciążenie, brak równowagi praca–życie prywatne oraz niedostateczne kompetencje zespołów.
2. Wymagania rekrutacyjne nie odpowiadają realiom rynkowym
Zaskakujący paradoks: 19 % firm przyznaje, iż choćby na stanowiska niewymagające doświadczenia ani studiów trudno znaleźć kandydatów. Problem nie leży jednak wyłącznie w braku chętnych — stronicowanie jest często wpisane w proces rekrutacyjny. Egzaminem jest wymaganie certyfikatów, praktyki, formalnych dyplomów w sytuacji, gdy realne codzienne zadania bardziej zależą od zdolności niż dokumentów.
Respondenci sygnalizują, iż najważniejsze są profesjonalne certyfikaty (84 %) i praktyczne szkolenia (73 %), bardziej niż sam dyplom uczelni (55 %). Zatem potencjał leży w otwieraniu alternatywnych ścieżek wejścia do branży — bootcampach, programach „z dołu do góry”, możliwościach wewnętrznego awansu.
3. Wzrastająca rola AI w oczekiwaniach względem zespołów bezpieczeństwa
Badanie wskazuje, iż 51 % europejskich specjalistów angażuje się w rozwój ram zarządzania sztuczną inteligencją w swoich organizacjach (poprzednio 36 %), a 46 % — w ich wdrożenie (w 2024 r. było to 27 %). AI staje się fundamentem operacyjnym w obszarach wykrywania zagrożeń, zabezpieczania punktów końcowych i automatyzacji. To powoduje, iż kompetencje z zakresu AI i zarządzania modelami stają się szczególnie pożądane — i jednocześnie deficytowe.
Jednocześnie organizacje muszą poruszać się w coraz bardziej skomplikowanym otoczeniu regulacyjnym (np. dyrektywa NIS2, ustawa AI UE), co wymusza synergiczne podejście do ryzyka, zgodności i technologii.
4. Presja, stres, wypalenie
Niemal dwa trzecie (68 %) ekspertów twierdzi, iż dziś ich praca jest bardziej stresująca niż pięć lat temu, a presja nie maleje. Więcej niż połowa raportuje nierealistyczne oczekiwania, 48 % wskazuje na słabą równowagę między pracą a życiem prywatnym, a 36 % — na brak odpowiednich kompetencji w zespole. Co gorsza, 22 % organizacji nie wdrożyło żadnych działań zapobiegających wypaleniu.
Według dodatkowych danych, aż 73 % europejskich profesjonalistów IT doświadcza stresu lub wypalenia, co w dużym stopniu wynika z nadmiaru obowiązków (61 %) i braku zasobów (43 %)
Skala problemu wobec globalnych trendów
Raporty branżowe sugerują, iż luka kompetencyjna w cyberbezpieczeństwie ma charakter globalny — choćby 4,8 miliona ról może pozostać nieobsadzonych w skali światowej, co przekłada się na zwiększone koszty incydentów i wydłużony czas reakcji. W Europie zespoły bezpieczeństwa są regularnie określane jako „przepracowane i niedofinansowane”.
Z kolei analiza strategiczna wskazuje, iż mimo rosnącej świadomości roli cyberbezpieczeństwa w wartości konkurencyjnej firm, barierami pozostają: ograniczone zasoby, opór kulturowy oraz brak spójnego zaangażowania liderów biznesowych.
Co organizacje mogą zrobić — i co powinny robić
A. Przeprojektować proces HR i modele rekrutacyjne
- Zmniejszyć bariery wejścia — np. przez programy stażowe, praktyki, bootcampy z mentoringiem.
- Stawiać na kompetencje zamiast formalne dyplomy: umiejętność analizy, podejmowania decyzji, adaptacji — to cechy, które w codziennej pracy często mają większe znaczenie.
- Wdrożyć systemy rekrutacji wewnętrznej i rozwijania talentów już obecnych w organizacji.
B. Zainwestować w kulturę i wellbeing
- Wprowadzić procedury przeciwdziałające wypaleniu: ograniczenie nadgodzin, rotacje zadań, przerwy, wsparcie psychologiczne.
- Uczyć liderów, by rozumieli ryzyko etosu „bohatera bezpieczeństwa” — iż jeden człowiek nie może odpowiadać za całą organizację.
- Wspierać rozwój kompetencji miękkich — komunikacji, myślenia krytycznego, radzenia sobie w złożonym środowisku.
C. Podnieść efektywność poprzez narzędzia i automatyzację
- Zautomatyzować zadania powtarzalne: analiza logów, korelacje, monitorowanie — by pozostawić specjalistom przestrzeń na zadania strategiczne.
- Skonsolidować i zdyscyplinować narzędzia, by zmniejszyć koszty operacyjne i chaos technologiczny.
D. Współpracować na poziomie ekosystemu
- Organizacje branżowe, rządowe inicjatywy i instytucje edukacyjne muszą wspólnie działać, by zwiększyć pulę kandydatów.
- Programy publiczne (np. w UE) już wspierają takie działania, co może przynieść efekt, pod warunkiem koordynacji i długofalowego budżetowania.
E. Priorytetyzować strategiczny nadzór
- Cyberbezpieczeństwo nie może być postrzegane jako kosztowy dodatek — musi być integralną częścią strategii zarządu.
- Decyzje budżetowe, rekrutacyjne i technologiczne wymagają synergii z ryzykiem biznesowym, a nie doraźnych reakcji.
Europa stoi dziś przed dylematem: organizacje mają coraz więcej powodów, by inwestować w cyberbezpieczeństwo (rosnące zagrożenia, regulacje, AI), ale braki kadrowe i deficyty organizacyjne uniemożliwiają szybkie dorównanie tempa.
W praktyce to specjaliści bezpieczeństwa pracują na granicy możliwości — stając się często wąskim gardłem w architekturze odporności cyfrowej całych firm. o ile procesy HR, kultura zarządzania, strategia technologiczna i system motywacyjny pozostaną rozbieżne, niedobór talentów będzie się pogłębiał, a ryzyko skokowych incydentów — rosnąć.
Kluczem nie jest jedynie „więcej” — ale „mądrzej”: rekrutacje ukierunkowane, adaptacyjne ścieżki rozwoju, narzędzia automatyzujące, oraz systemowe wsparcie dla ludzi — to fundamenty, które mogą przesunąć równowagę od kryzysu w stronę odporności. W przeciwnym razie koszt luki może być wyrażony nie tylko w budżetach, ale w utraconym zaufaniu i ciągłości operacyjnej organizacji.
