Group Information Security Risk Manager (w/m/d)

Overview

Unser Group Information Security Team sucht DICH! Deine Aufgaben: Wir suchen eine hochqualifizierte Group Information Security Risk Manager:in zur Verstärkung unseres Group Information Security Teams. Du bist verantwortlich für das Risikomanagement sowie für die Sicherstellung der regulatorischen Compliance (u. a. NIS2, DORA, Cyber Resilience Act, ISO/IEC 27001 und das NIST Cybersecurity Framework). Als zentrale Ansprechperson für Informations- und Cyberrisiken berätst und überwachst du die Business Lines und stellst sicher, dass alle Informationssicherheitsrisiken angemessen gemanagt werden. Diese Rolle berichtet direkt an den CISO und erfordert mindestens 5+ Jahre Erfahrung im Bereich Informationssicherheit und Risikomanagement, idealerweise in kritischen Infrastrukturen oder im Energiesektor.

Responsibilities

• Governance: Du entwickelst das Informationssicherheits-Risikoframework (Richtlinien, Guidelines, Prozesse). Du überprüfst unabhängig die Wirksamkeit der von der First Line implementierten Sicherheitskontrollen und -maßnahmen und leitest bei Bedarf Korrekturmaßnahmen ein
• Risk Management: Du identifizierst, bewertest und überwachst Informations- und Cyberrisiken über die gesamte Uniper-Gruppe hinweg. Du entwickelst Risikobehandlungspläne und überwachst die Umsetzung von Minderungsmaßnahmen
• Compliance: Du stellst die Einhaltung aller relevanten gesetzlichen und regulatorischen Anforderungen (z. B. NIS2-Richtlinie, DORA, KRITIS usw.) sowie interner Richtlinien und Industriestandsards (ISO/IEC 27001, NIST-CSF) sicher
• Management Reporting: Du erstellst und präsentierst regelmäßige Berichte zum Informationssicherheitsstatus und Risikoprofil für das Top-Management und den Vorstand. Du entwickelst klare KPI-/KRI-Dashboards zur Visualisierung von Trends und Fortschritten in Risiko und Compliance. Kritische Risiken eskalierst du an den CISO und ggf. an den Vorstand
• Technical Risk Management: Du führst technische Risikoanalysen und Sicherheitsbewertungen durch bzw. unterstützt diese (z. B. Threat- und Vulnerability-Assessments, Risikoanalysen für Services und Systeme). Du bewertest neue Technologien, Systeme und Änderungen (Change-Risikoanalysen) aus Sicht der Informationssicherheit
• Third-Party Risk Management: Du bewertest Sicherheitsrisiken im Zusammenhang mit Dienstleistern und Partnern. Du stellst sicher, dass externe Partner Sicherheits- und Compliance-Anforderungen erfüllen – durch Vertragsprüfungen, Sicherheitsbewertungen und die laufende Überwachung kritischer Anbieter

Qualifications

• Du hast ein abgeschlossenes Hochschulstudium der (Wirtschafts-)Informatik, Informationssicherheit, des Ingenieurwesens oder eines vergleichbaren Fachgebiets. Zusätzliche Zertifizierungen im Bereich Informationssicherheit/Risikomanagement (z. B. CISSP, CISM, CRISC, ISO 27001 Lead Implementer/Auditor) sind wünschenswert
• Du verfügst über mindestens 5 Jahre relevante Berufserfahrung in der Informationssicherheit, im IT-Risikomanagement oder in der IT-Compliance. Erfahrung im Konzernumfeld oder mit kritischen Infrastrukturen (KRITIS), vorzugsweise im Energiesektor, ist von Vorteil
• Regulatory Expertise: Du besitzt fundierte Kenntnisse relevanter Cybersecurity-Gesetze und -Vorschriften, z. B. EU-NIS2-Richtlinie, Digital Operational Resilience Act (DORA), Cyber Resilience Act (EU-Verordnung für digitale Produkte), nationales IT-Sicherheits-/BSI-Gesetz sowie gängiger Standards und Frameworks (ISO/IEC 27001/27002, NIST-CSF, BSI IT-Grundschutz). Du hast nachweisliche Erfahrung in der Umsetzung dieser Anforderungen in einem Unternehmensumfeld
• Information Security Expertise: Du verfügst über tiefgehende Kenntnisse von Methoden und Techniken der Informationssicherheit – von Risikoanalyse-Methodiken (z. B. ISO 27005) und Vulnerability Management bis hin zu Business Continuity Management (ISO 22301) und Incident Response. Kenntnisse zu Cloud-Security-Prinzipien sowie ein grundlegendes Verständnis von OT-Security in industriellen Umgebungen sind vorhanden
• GRC and Process Knowledge: Du hast Erfahrung im Umgang mit Governance-, Risk- & Compliance-(GRC)-Tools oder ISMS-Plattformen. Erfahrung mit Risikoanalyse-Tools und Ticketing-Systemen ist ein Plus
• Du verfügst über sehr gute Deutsch- und Englischkenntnisse in Wort und Schrift. Die Rolle erfordert die Kommunikation mit deutschsprachigen Teams und Behörden sowie das Reporting in einem internationalen Konzernumfeld
• Erfahrung in der Zusammenarbeit mit internationalen Teams oder Projekten ist von Vorteil. Interkulturelles Verständnis sowie die Fähigkeit, globale Sicherheitsstandards konzernweit auszurollen, sind wichtig