Organisaties vrezen dat AI de instroom van cybersecurityprofessionals afsnijdt en de kweekvijver voor toekomstige experts leegtrekt. Rob T. Lee, Chief AI Officer bij SANS Institute, noemt AI “de zondebok van het moment”. De paniek over verdwijnende juniorfuncties klopt volgens hem niet met wat onderzoeksdata laten zien. Dat wil niet zeggen dat er geen probleem is. Maar het probleem is anders dan de sector denkt.
Met de komst van AI worden de routinetaken van junior SOC-analisten, dreigingsintelligence-analisten en incident responders steeds vaker geautomatiseerd, met als gevolg dat die functies verdwijnen. Maar dit zijn de functies waar startende cybersecurityspecialisten hun hands-on-ervaring opdoen. Door die te automatiseren, missen aankomende professionals de belangrijke ervaring die hen later tot seniors maakt. Die zorg wordt bevestigd door het SANS 2026 Cybersecurity Workforce Research Report, dat CEO James Lyne en Chief AI Officer Rob T. Lee presenteerden aan een volgepakte zaal op RSAC 2026, de belangrijkste jaarlijkse cybersecurityconferentie ter wereld. Lyne formuleerde de zorgen scherp: “Als we het signaal afgeven dat instapfuncties in cybersecurity worden vervangen door AI, ook al is dat niet de waarheid, en we eindigen met te weinig mensen die basisvaardigheden leren, dan hebben we later geen seniors en experts meer.”
Die seniors zijn hard nodig. Want de AI-systemen die het werk van juniors overnemen, sturen zichzelf niet. Ze hebben ervaren professionals nodig die weten wanneer een alert toch serieus genomen moet worden, wanneer een model bijgestuurd moet worden en wanneer een mens het roer moet overnemen. Precies de professional die nu niet meer wordt opgeleid. Het is een zorg die rechtstreeks raakt aan een breder patroon: de toenemende druk op securityprofessionals die verantwoordelijkheid dragen zonder voldoende mandaat of middelen.
Maar ondanks de uitkomsten van het Workforce-onderzoek trapt Lee op de rem. Volgens hem klopt de redenering niet, omdat de functies die verdwijnen nooit de kweekvijver voor toekomstige experts waren. Het gaat om wat hij omschrijft als low-skill sorteerwerk: alerts categoriseren als rood of groen, escaleren naar de volgende persoon in de keten. Lee vergelijkt het met een medewerker in een koffieketen die namen op bekers schrijft: iemand die een nuttige maar eenvoudige taak uitvoert, en niet per se op weg is om ooit de zaak te runnen. Zo ook de junior securitymedewerker die dagelijks alerts verwerkt: “Dat zijn geen mensen die op weg waren om over tien jaar senior security engineer te worden. Dat zijn skilled laborers die een specifieke taak uitvoerden.” AI die dat werk overneemt is in zijn ogen dan ook geen pijplijncrisis; het is efficiëntiewinst.
Verouderd opleidingsmodel
Lee ontkent het probleem overigens niet, maar hij stelt dat de sector het bij het verkeerde eind heeft over de oorzaak én de oplossing: niet de komst van AI is het probleem, maar het feit dat cybersecurity nog altijd werkt met een opleidingsmodel dat niet meer past bij de realiteit.
Cybersecurity werkt nog altijd op basis van een verouderd opleidingsmodel: je begint onderaan, voert jaren routinewerk uit en bouwt zo langzaam de ervaring op die je tot een senior maakt. Maar andere beroepsgroepen zijn daar allang van afgestapt. Een neurochirurg wordt niet opgeleid door jarenlang bedpannen te legen. Die doorloopt een formeel residency-programma waarbij complexe vaardigheden snel en onder begeleiding worden opgebouwd. “Cybersecurity moet hetzelfde doen,” zegt Lee. “De geneeskunde, het recht, de luchtvaart, zij hebben dit probleem al opgelost. Wij hoeven het wiel niet opnieuw uit te vinden.”
Niet iedereen deelt Lee’s optimisme. Jay Bhalodia, Federal Managing Director Customer Success bij Microsoft, ziet het risico wel degelijk. In het Cybersecurity Workforce Report van SANS waarschuwt hij: “Het echte risico is niet AI zelf. Het is dat we AI inzetten om die leertrajecten te automatiseren in plaats van te versnellen. Als we het werk wegnemen waarmee juniors patroonherkenning en onderzoeksvaardigheden opbouwen, ondermijnen we onze eigen pipeline.” Microsoft positioneert AI daarom expliciet als co-pilot naast de junior medewerker, niet als vervanger. “Als we mensen niet kunnen opleiden om het bedrijf te runnen, is het geen duurzaam bedrijf,” aldus Bhalodia.
Nieuwe functies
Terwijl traditionele instapfuncties onder druk staan, ontstaan er ook nieuwe rollen. Lee documenteert er tien in zijn AI Cybersecurity Careers Guide: van AI/ML Security Engineer tot AI Governance Analyst en AI Red Team Specialist. Die functies worden nu al actief ingevuld — 34 procent van de organisaties die nieuwe AI-rollen creëren heeft al een AI/ML Security Specialist aangesteld. “Net zoals de CISO-functie rond 2009 een standaard werd, zullen deze rollen over vijf tot tien jaar vanzelfsprekend zijn,” zegt Lee.
Maar die nieuwe functies vereisen meer dan een vliegende start. Ze combineren diepgaande domeinkennis met het vermogen om AI-systemen aan te sturen en te beoordelen — vaardigheden die je niet opdoet zonder jarenlange basiservaring in het vak. En precies die basiservaring wordt steeds moeilijker op te bouwen nu AI de instapfuncties overneemt. Nieuwe rollen ontstaan dus aan de top, terwijl de ladder waarlangs professionals die top bereiken steeds korter wordt.
Aanvallers wachten niet
Die ladder wordt korter op het moment dat ze het hardst nodig is. Want terwijl de sector debatteert over de opleiding van de volgende generatie securityprofessionals, ontwikkelt de aanvalskant zich in hoog tempo. Op RSAC 2026 presenteerde Lee samen met collega’s de vijf gevaarlijkste nieuwe aanvalstechnieken. De rode draad: AI stelt aanvallers in staat kwetsbaarheden in software te vinden en te misbruiken op een schaal en snelheid die voordien ondenkbaar was.
Een concreet voorbeeld is Project Glasswing, een initiatief van AI-bedrijf Anthropic. Daarvoor werd Claude Mythos ingezet, een speciaal getraind AI-model voor beveiligingsonderzoek. Het model doorzocht zelfstandig de broncode van veelgebruikte besturingssystemen en browsers op zwakke plekken, zonder dat een mens het hoefde te sturen. Het resultaat: duizenden kritieke kwetsbaarheden, waaronder beveiligingslekken die al tientallen jaren in de software zaten zonder dat iemand ze had gevonden. Wat securityonderzoekers in decennia niet ontdekten, vond een AI in enkele weken.
Dat is goed nieuws voor verdedigers die hetzelfde gereedschap inzetten. Maar het is ook een waarschuwing: kwaadwillenden hebben toegang tot dezelfde technologie. Lee is helder over wat dit betekent voor organisaties die hun verdediging willen automatiseren. “Het echte gat zit niet in technologie,” zegt hij. “We kunnen die snelheid evenaren. Het gat zit in beleid en aansprakelijkheid. Verdedigers willen autonome defensie inzetten, maar ze zijn bang voor persoonlijke aansprakelijkheid als er iets misgaat. Aanvallers hebben die rem niet.” Die angst is niet ongegrond: CISO’s zijn inmiddels in meerdere landen persoonlijk vervolgd voor beveiligingsfouten binnen hun organisatie. Zolang aanvallers ongehinderd kunnen handelen terwijl verdedigers zich moeten verantwoorden voor elke geautomatiseerde actie, blijft die kloof bestaan.
Regulering schiet tekort
Naast AI is er nog een kracht die de cybersecurity-workforce ingrijpend verandert: regelgeving. En die laat zich steeds sterker voelen. Waar in 2025 nog 40 procent van de ondervraagde organisaties in SANS’ Workforce Study aangaf dat nieuwe wet- en regelgeving hun werving beïnvloedde, is dat in het onderzoek van 2026 gestegen naar 95 procent. Die sprong heeft een duidelijke oorzaak: Europese wetgeving als NIS2 en DORA is inmiddels van kracht, de handhaving is begonnen en de boetes zijn reëel. Organisaties die nog niet compliant zijn, komen in actie.
Dat levert nieuwe vacatures op, maar van een specifiek soort. Organisaties zoeken mensen die weten hoe je een NIS2-raamwerk implementeert of een DORA-audit doorkomt. Nuttig, maar het lost het onderliggende probleem niet op. “Je vult de bovenste lagen van de piramide, maar je maakt de basis niet breder,” zegt Lee. Investeringen in de basisopleidingen die de volgende generatie securityprofessionals moeten voortbrengen, blijven uit.
Er is ook een bredere discussie over regulering die Lee bezighoudt: moeten cybersecurityprofessionals verplicht worden gecertificeerd of gelicenseerd, net zoals artsen of advocaten? Het idee is aantrekkelijk. Vaste kwalificatie-eisen zouden de kwaliteit kunnen waarborgen en een formeel opleidingstraject, vergelijkbaar met het residency-model dat Lee bepleit, mogelijk kunnen maken. Maar er zit een keerzijde aan. Strenge licentieverlening kan de sector ook afsluiten voor nieuwkomers en innovatie remmen. Lee wijst op de EU AI Act als voorbeeld van goedbedoelde regulering die averechts werkte: de regels bleken zo beperkend dat Europa ze inmiddels deels terugdraait om concurrerend te blijven.
De pijplijn is nog niet kapot. Maar de keuzes die organisaties vandaag maken, bepalen of dat over tien jaar nog steeds zo is. Wie investeert in junior talent? Wie bouwt formele leertrajecten? Wie zorgt ervoor dat AI het leerproces versnelt in plaats van vervangt? Lee’s conclusie is eenvoudig: de oplossing bestaat al, de sector hoeft haar alleen toe te passen. Cybersecurity moet ophouden zichzelf als uniek te beschouwen en het voorbeeld volgen van sectoren die het personeelsvraagstuk al hebben opgelost.