Rekruttering innen applikasjonssikkerhet

Markedet for applikasjonssikkerhet i Norge har gjennomgått et fundamentalt skifte de siste årene. Med innføringen av Digitalsikkerhetsloven, som implementerer EUs NIS2-direktiv i norsk rett, har ansvaret for digital sikkerhet flyttet seg fra de operative IT-avdelingene og helt opp til styrerommene. Applikasjonssikkerhet er ikke lenger kun en teknisk beste praksis i programvareutvikling, men en lovpålagt og strategisk forpliktelse for toppledelsen. Dette regulatoriske trykket driver en betydelig og vedvarende etterspørsel etter sikkerhetsledere (CISO, BISO) og spesialister som kan bygge bro mellom teknisk sårbarhetsrisiko og forretningsmessig styring. Virksomheter over hele landet innser nå at sikkerhet må bygges inn fra første kodelinje, noe som krever en helt ny tilnærming til talentakkvisisjon.

Det regulatoriske landskapet i perioden frem mot 2030 dikterer i stor grad hvilken kompetanse norske virksomheter må tiltrekke seg. I finanssektoren har DORA-forordningen (Digital Operational Resilience Act) skapt et akutt behov for spesialister innen IKT-risikostyring, penetrasjonstesting og hendelseshåndtering. Samtidig tvinger Cyber Resilience Act (CRA) frem nye, strenge krav til programvareutviklere og produsenter av digitale produkter. Med den kommende rapporteringsplikten for aktive sårbarheter og krav om full CE-merking, pågår det en massiv mobilisering for å rekruttere eksperter innen sikkerhetsarkitektur, DevSecOps og sårbarhetshåndtering. Den nye digitalsikkerhetsforskriften forsterker dette ytterligere ved å stille ufravikelige krav til sikkerhet i leverandørkjeden. Dette utvider behovet for kompetanse på tredjepartsrisiko og sikker kodeanalyse langt inn i SMB-segmentet, som ofte leverer kritiske komponenter til større aktører.

Overgangen til skybaserte infrastrukturer har også endret kompetansebehovet radikalt. Moderne applikasjoner utvikles og driftes i komplekse skymiljøer, noe som gjør at tradisjonell perimetersikkerhet ikke lenger er tilstrekkelig. Dette har ført til at rekruttering innen skysikkerhet nå er tett integrert med applikasjonssikkerhet. Kandidater som behersker både sikker programvareutvikling og konfigurasjon av skyinfrastruktur er blant de aller mest ettertraktede på det norske markedet. Integrasjonen av kunstig intelligens og maskinlæring i utviklingsprosesser skaper i tillegg et tveegget sverd; mens AI-verktøy kan automatisere sårbarhetsscanning og kodeanalyse, introduserer de også nye angrepsvektorer som krever spesialisert sikkerhetskompetanse for å håndteres forsvarlig.

Arbeidsgiverlandskapet i Norge domineres av en kombinasjon av tunge statlige aktører, en kapitalsterk finanssektor, energiselskaper og et raskt voksende konsulentmarked. Nasjonal sikkerhetsmyndighet (NSM), Politiets sikkerhetstjeneste (PST) og Forsvarets forskningsinstitutt (FFI) utgjør sentrale fagmiljøer som setter standarden for nasjonal sikkerhet. Samtidig investerer bank, forsikring og telekom tungt for å møte strenge krav fra Finanstilsynet og Nasjonal kommunikasjonsmyndighet (Nkom). Konsulenthusene fungerer som en kritisk buffer for virksomheter som ikke evner å bygge egne, fullskala sikkerhetsteam, og driver dermed mye av rekrutteringsvolumet. Geografisk er rekrutteringsmarkedet sterkt konsentrert. Oslo fungerer som det absolutte tyngdepunktet for rekruttering innen cybersikkerhet, drevet av nærheten til finansinstitusjoner, departementer og hovedkontorene til de største teknologiselskapene. Trondheim opprettholder sin posisjon som et viktig akademisk og forskningsdrevet knutepunkt gjennom NTNU og SINTEF, mens byer som Bergen og Stavanger har spesialiserte teknologimiljøer knyttet til henholdsvis media/finans og energisektoren, som i økende grad konkurrerer om den samme knappe kompetansen på tvers av Norge.

Til tross for at utdanningsinstitusjonene uteksaminerer flere kandidater med sikkerhetsbakgrunn enn noen gang tidligere, er gapet mellom tilbud og etterspørsel fortsatt kritisk. Organisasjoner som Tekna og KVAST-prosjektet peker på en alvorlig og vedvarende mangel på erfarne spesialister. De årlige trusselvurderingene fra PST og Etterretningstjenesten understreker at den geopolitiske situasjonen krever en langt mer robust nasjonal digital motstandsdyktighet. I dette krevende klimaet er de mest verdifulle kandidatene de som kombinerer dyp teknisk forståelse for penetrasjonstesting, kryptografi og sikker arkitektur med evnen til å kommunisere forretningsrisiko til ledelsen. For å lykkes med å tiltrekke og beholde disse talentene, må norske virksomheter tilby mer enn kun konkurransedyktig lønn; de må kunne vise til en moden sikkerhetskultur, kontinuerlig kompetanseutvikling og meningsfulle samfunnsoppdrag. Behovet for strategisk menneskelig ekspertise innen applikasjonssikkerhet vil utvilsomt forbli en av de mest kritiske flaskehalsene for norsk næringsliv og offentlig forvaltning i årene som kommer.