Chief Information Security Officer – Amsterdam – Ant International

Ant International söker CISO i Amsterdam. Led styrning, ICT risk och DORA-efterlevnad, driv incident- och tredjepartsrisk och rapportera till styrelse och tillsyn.

Ny tjänst: Ant International zoekt een Chief Information Security Officer in Amsterdam – det här söker arbetsgivaren

Ant International rekryterar en Chief Information Security Officer (CISO) i Amsterdam. Enligt annonsen handlar rollen om att leda styrning, riskhantering och regelefterlevnad inom informationssäkerhet och IT-säkerhet i en reglerad finansmiljö, med särskilt fokus på DORA och kontakt med tillsynsmyndigheter.

Rollen spänner över styrning och strategi, incidenthantering, åtkomststyrning, tredjepartsrisk samt operativ motståndskraft (resilience), och innefattar rapportering till styrelse och ledning. Arbetsform (t.ex. hybrid/remote) framgår inte i annonsen.

Ansvar och arbetsuppgifter

Annonsen beskriver ett brett CISO-ansvar med tydlig tyngd på governance, ICT risk och regulatoriska krav. Centrala arbetsuppgifter är:

Utveckla, förvalta och övervaka ramverk för informationssäkerhet och ICT Risk Management i linje med DORA, ISO 27001, NIST och andra tillämpliga standarder.
Etablera och upprätthålla säkerhetspolicyer, standarder och rutiner.
Ge oberoende “second line”-granskning/utmaning av förstalinjens kontroller och riskhanteringsaktiviteter.
Rapportera säkerhetsläge (security posture) till styrelse och ledningsgrupp.
Säkerställa efterlevnad av DORA (ICT risk management, incidentrapportering, resilenstestning, tredjepartsrisk), PSD2-SCA, PCI-DSS, SWIFT CSP, GDPR (kopplat till ICT) samt EBA-riktlinjer.
Vara primär kontakt mot DNB, EBA och andra regulatorer samt hantera frågor, revisioner/inspektioner och rapporteringskrav.
Äga och leda incidenthantering vid säkerhetsincidenter och personuppgifts-/dataintrång: koordinering, eskalering, utredning, begränsning och regulatorisk rapportering enligt DORA och GDPR.
Övervaka åtkomststyrning och access governance: användarprovisionering, privilegierad åtkomst och periodiska accessrecensioner.
Ansvara för KMS och (CBD) security practices i linje med interna krav och regulatoriska förväntningar.
Ha ägarskap över outsourcade säkerhetsaktiviteter (exempelvis SOC och leverantörer för penetrationstester), inklusive kvalitet, SLA och compliance.
Hantera livscykeln för ICT-tredjepartsrisk: due diligence, löpande uppföljning samt underhåll av DORA-register för kritiska ICT-tredjepartsleverantörer.
Identifiera, bedöma, prioritera och rapportera ICT- och cyberrisker, definiera nyckelriskindikatorer samt presentera riskläge för styrelse och riskkommittéer.
Övervaka digital operational resilience testing (inklusive threat-led penetration testing) och disaster recovery ur ett ICT-perspektiv.
Följa upp effektivitet i cybersäkerhetskontroller (SIEM, EDR, DLP, IAM, sårbarhetshantering och datasäkerhet) samt driva spårning av åtgärder från revisioner och bedömningar.
Genomföra säkerhetsmedvetandeprogram och bidra till en säkerhetskultur.
Rådgiva lokal styrelse, senior management och teknikteam kring riskläge, outsourcing och större teknikförändringar.
Samarbeta med EMEA Information Security-teamet i regionala initiativ och löpande arbete.

Kravprofil: kompetens och erfarenhet

Annonsen anger framför allt krav kopplade till regulatoriskt styrd informationssäkerhet/IT-säkerhet i finansiella tjänster.

Krav

Minst 8 års erfarenhet inom ICT risk, cybersäkerhetsstyrning (cybersecurity governance) eller revision/audit inom finansiella tjänster.
Dokumenterad erfarenhet av att implementera DORA samt att arbeta mot DNB eller jämförbara EU-regulatorer.
Stark teknisk grund inom molnsäkerhet, IT-infrastruktur, applikationssäkerhet och cyberhot.
God kunskap om molnkontroller och säkerhetsförmågor som SIEM, EDR, DLP, IAM samt säkerhetsarkitektur.
Medvetenhet om AI-relaterade säkerhetsrisker och kontroller.
Erfarenhet av incident response och tredjepartssäkerhet/leverantörsstyrning.
Förmåga att påverka intressenter, presentera för styrelser och regulatorer samt arbeta självständigt i en second-line-roll.
Flytande engelska och nederländska.
Visad förmåga att leda komplexa initiativ inom säkerhetscompliance, incidenthantering och säkerhetsarbete i reglerade miljöer.

Meriterande

Annonsen specificerar inga uttryckliga meriterande krav utöver de krav som listas ovan.

Vilken typ av säkerhetsroll är det?

Detta är en senior ledningsroll inom informationssäkerhet, IT-säkerhet och cybersäkerhet i finanssektorn, med tydlig inriktning på governance, ICT risk management och regelefterlevnad. Rollen ligger uttalat i en oberoende “second line”-funktion och inkluderar regulatorisk samverkan (bland annat DORA, GDPR och EBA-riktlinjer) samt ansvar för operativ motståndskraft, incidentrapportering och tredjepartsrisk.

Utifrån annonsen berör rollen inte fysisk säkerhet, personalsäkerhet eller säkerhetsskydd specifikt, utan är primärt en CISO-roll med fokus på digital risk, kontrollmiljö och regulatoriska krav.

Det här bör kandidater lyfta i ansökan

För att matcha det Ant International efterfrågar kan kandidater konkretisera erfarenheter och resultat inom:

DORA-implementering: vilka delar som etablerats (incidentrapportering, resilenstestning, tredjepartsregister, styrning) och hur arbetet organiserats.
Regulatorisk dialog: exempel på hantering av tillsynsfrågor, revisioner/inspektioner och rapportering, samt hur styrelse och ledning hållits informerade.
Second-line-arbete: hur man genomfört oberoende granskning/”challenge”, följt upp kontroller och drivit förbättringar utan att ta över förstalinjens ansvar.
Incidenthantering och dataintrång: erfarenhet av end-to-end processer, eskalering, utredning, containment och regulatorisk rapportering enligt DORA/GDPR.
Tredjepartsrisk och outsourcing: styrning av SOC/penetrationstest-leverantörer, SLA-uppföljning och due diligence/löpande monitorering.
Operativ motståndskraft: deltagande i threat-led penetration testing, disaster recovery ur ICT-perspektiv och uppföljning av åtgärder.
Teknisk kontrolluppföljning: hur man utvärderat och förbättrat SIEM, EDR, DLP, IAM, sårbarhetshantering och datasäkerhet.
Säkerhetskultur: exempel på utbildnings- och awarenessprogram samt samverkan med teknik- och verksamhetsteam.

Så söker du tjänsten

Annonsen beskriver inte i detalj hur ansökan ska skickas in (t.ex. via specifik länk, e-post eller rekryteringssystem). Sista ansökningsdag framgår inte heller.

Sammanfattningsvis signalerar annonsen ett tydligt kompetensbehov inom regulatoriskt driven informationssäkerhet och ICT risk management, med stark betoning på DORA, incidentrapportering, tredjepartsstyrning och styrelserapportering i en CISO-roll.