ISMS-Manager / EU Cyber Resilience Act (CRA) (m/w/d)

Westhouse ist eines der führenden internationalen Recruitment Unternehmen für die Vermittlung von hochqualifizierten Fachexperten in Bereichen wie IT Life Cycle, SAP, Engineering, Kaufmännischem und Fachberatung.

Für unseren Kunden suchen wir aktuell eine/n

• Referenz: 176143
• Start: 2026-01-01
• Dauer: 31.12.2026
• Standort: Remote/Frankfurt
• Arbeitsumfang: full-time220 PT/5 PT Onsite
• Sprachen: Deutsch

• (Muss): Nachgewiesene, tiefgehende Erfahrung in der Implementierung von Anforderungen aus EU-Cybersicherheitsgesetzgebung (z. B. CRA, NIS 2, DORA) in das Governance, Risk und Compliance (GRC) Framework von Großunternehmen. (Mindestens 5 Jahre nachgewiesene Projekterfahrung in GRC-Steuerungsprojekten im regulierten Umfeld (KRITIS oder Finanzsektor) oder bei Unternehmen > 50.000 Mitarbeitern.)
• (Muss): Vorhandensein einer aktuellen, international anerkannten Zertifizierung im Bereich ISMS oder IT‑Governance. (Besitz einer gültigen Zertifizierung als CISM (Certified Information Security Manager) oder CISSP (Certified Information Systems Security Professional) oder „ISO 27001 Lead‑Implementer“. Äquivalente Nachweise sind nicht zugelassen.)
• (Muss): Expertise in der Strukturierung, Erstellung und Abnahme von GRC‑Dokumenten zur Sicherstellung der Produktkonformität (Checklisten, Anforderungskataloge, Musterdokumente). (Nachweis von mindestens 3 Projektreferenzen, in denen die eigenverantwortliche Erstellung und Abnahme von GRC‑Framework‑Dokumenten (Richtlinien, Prozesse, Arbeitshilfen) in komplexen Organisationsstrukturen erfolgte.)
• (Muss): Nachweis von Kompetenzen in der eigenständigen Durchführung des Projektmanagements für strategische Initiativen auf Principal‑Ebene. (Nachweis von mindestens 2 Referenzprojekten in den letzten 4 Jahren, bei denen die Rolle des Principal Consultant oder Projektleiters/Managers für eine unternehmensweite, strategische Sicherheitsinitiative (> 6 Monate Laufzeit) bei einem Großunternehmen übernommen wurde.)
• Nachgewiesene Erfahrung im Aufbau und der Anpassung von behördlichen Meldewegen für Schwachstellen und Sicherheitsvorfälle im Rahmen neuer regulatorischer Pflichten (z. B. gemäß NIS 2 oder CRA). (Mindestens 3 Jahre Berufserfahrung mit direktem Fokus auf Vulnerability and Incident Management‑Prozessen in Großunternehmen, inklusive des Aufbaus der behördlichen Meldepflichten.)
• Profunde Kenntnis und praktische Anwendung der technischen Richtlinien des BSI im Kontext der Informationssicherheit, insbesondere bzgl. GRC und Produktbewertung. (Nachweis über abgeschlossene Projekte, die eine direkte Anwendung von BSI‑Standards oder Technischen Richtlinien (z. B. IT‑Grundschutz‑Kompendium oder Spezifikationen für Kritische Infrastrukturen) erforderten.)
• Nachgewiesene Erfahrung in der Steuerung und Überwachung von Konformitätsbewertungsverfahren und Risikobewertungen (Risk Assessments, RAs) für digitale Hard‑ und Softwareprodukte. (Nachweis von mindestens 2 Projekten, in denen die Durchführung oder Überwachung von RAs für Hard‑ und Softwareprodukte in Bezug auf regulatorische Anforderungen erfolgte.)
• Nachgewiesene Softskills zur Präsentation komplexer GRCSachverhalte auf CISO/Management‑Ebene sowie zur Erreichung von Abnahmen. (Beleg durch mindestens 2 Projektreferenzen, die explizit die erfolgreiche Kommunikation und Abnahme von Projektergebnissen durch C‑Level Stakeholder oder Aufsichtsgremien dokumentieren.)

• ---Konzeption, Erstellung und Implementierung von GRC‑Framework‑Artefakten---
• 1. Erstellung des Konformitäts‑Frameworks: Eigenverantwortliche Entwicklung und Bereitstellung der vollständigen Prozessdokumentation für das Konformitätsbewertungsverfahren von Produkten mit digitalen Elementen. Dies beinhaltet die Erstellung aller notwendigen Checklisten, Kriterienkatalogen und Arbeitshilfen zur Prüfung und Einhaltung der CRA‑Anforderungen. o Fachgebiete: Governance, Risk, and Compliance (GRC), Product Security, EU‑Cyber Law.
• 2. Bereitstellung regulatorischer Arbeitshilfen: Fertigstellung und Übergabe aller Leitfäden und Musterdokumente, die zur Anwendung der CRA‑Vorschriften durch die „1st Line“ erforderlich sind, um die Einhaltung der Vorgaben des BSI und der EU‑Regulierung sicherzustellen.
• 3. Definition und Dokumentation der Meldewege: Erarbeitung und rechtskonforme Dokumentation der Abläufe für die Meldung von Schwachstellen und Sicherheitsvorfällen an die zuständigen nationalen Behörden. Dies umfasst die Festlegung der notwendigen Schnittstellen, der Prozesse für das Schwachstellenmanagement und die Bestimmung der zentralen Verantwortlichkeiten. o Fachgebiete: Incident & Vulnerability Management, Behördliche Meldepflichten.
• 4. Entwicklung des Prüf‑ und Bewertungsrahmens: Konzeption und Bereitstellung des Rahmenwerks zur „2nd‑Line“-Prüfung der Risikobewertungen (RAs) der „1st Line“. Die Prüfstrukturen müssen gewährleisten, dass die RAs den regulatorischen Anforderungen genügen, vollständig dokumentiert sind und die korrekte Abbildung in der verwendeten GRCSuite (Risk2Value/BIC GRC) erfolgt. Projektmanagement und Ergebnisdokumentation der CRA‑Initiative Die Leistung umfasst die eigenverantwortliche Durchführung des Projektmanagements für die CRA‑Initiative, um die Zielerreichung der Arbeitspakete sicherzustellen.
• ---Projektmanagement und Ergebnisdokumentation der CRA‑Initiative---
• 1. Projektmanagement‑Durchführung: Eigenverantwortliche Erstellung des Detailplans, des Zeitplans und der Ressourcenplanung für die CRA‑Initiative. Unabhängige Durchführung der Kommunikationsabläufe mit internen und externen Stakeholdern zur Gewährleistung des Informationsflusses und der Einhaltung des klassischen Projektvorgehens.
• 2. Durchführung der Inventarisierung: Definition, Strukturierung und abschließende Durchführung der Inventarisierung aller relevanten Produkte mit digitalen Elementen. Bereitstellung der vollständigen Dokumentation der Datenstrukturen im GRC‑System und der produktspezifischen Verantwortlichkeiten.
• 3. Abschluss der Risikobewertungen (RA): Bereitstellung des finalen Nachweises über die Koordination der RAs sowie die Sicherstellung der vollständigen Dokumentation und der erfolgten 2nd‑Line‑Prüfung und Konformitätserklärungen.
• 4. Durchführung der Vertrags‑Evaluation: Vollständige Durchführung der Evaluation notwendiger Vertragsanpassungen für relevante Produkte aus CISO‑Perspektive (Third‑Party Risk Management / Supply Chain Risk Management). Dokumentation der Bewertung des bisherigen Projektverlaufs.
• 5. Schulungskonzeption und -durchführung: Erstellung des Schulungsmaterials und eigenständige Durchführung der Sensibilisierungs‑ und Schulungsmaßnahmen für relevante Stakeholder hinsichtlich der implementierten Meldewege und Prozesse.

Wir freuen uns auf Ihre aussagekräftigen Bewerbungsunterlagen in elektronischer Form.

Recruitment Team - Deutsche Bahn
P: +49-69-240075-0
E: bewerbungendb@westhouse-group.com