Ant International söker CISO i Amsterdam – krav, DORA & ISO 27001

Ant International söker Chief Information Security Officer (CISO) i Amsterdam med fokus på styrning, compliance och ICT-risk enligt DORA, ISO 27001 och NIST.

Ny tjänst: Ant International zoekt een Chief Information Security Officer in Amsterdam – det här söker arbetsgivaren

Ant International har publicerat en jobbannons med titeln “Ant International zoekt een Chief Information Security Officer in Amsterdam”. Rollen är en CISO-/informationssäkerhetschefstjänst med tydlig tyngdpunkt på styrning, regelefterlevnad och ICT-risk i en reglerad finansmiljö. Av annonsen framgår att arbetet omfattar ansvar för ramverk och kontroller i linje med bland annat DORA, ISO 27001 och NIST, samt rapportering till styrelse och ledning.

Placeringsort anges som Amsterdam. Arbetsform (till exempel hybrid eller på plats), anställningsform och sista ansökningsdag framgår inte av annonsen.

Ansvar och arbetsuppgifter

Annonsen beskriver ett brett ansvar som spänner över governance, compliance, incidenthantering, tredjepartsrisk och operativ resiliens. Centrala arbetsuppgifter är:

Utveckla, förvalta och övervaka ramverk för informationssäkerhet och ICT risk management i linje med DORA, ISO 27001, NIST och andra relevanta standarder.
Etablera och upprätthålla säkerhetspolicys, standarder och rutiner.
Agera oberoende “second line of defense” med granskande och utmanande roll gentemot verksamhetens förstalinjekontroller.
Rapportera säkerhetsläge (security posture) till styrelse och ledningsgrupp.
Säkerställa regelefterlevnad kopplat till DORA (ICT risk management, incidentrapportering, resilenstester, tredjepartsrisk), PSD2-SCA, PCI-DSS, SWIFT CSP, GDPR (avseende ICT) samt EBA-riktlinjer.
Vara primär kontaktpunkt mot tillsyn och regulatorer såsom DNB och EBA, inklusive hantering av förfrågningar, revisioner, inspektioner och rapporteringskrav.
Äga och leda end-to-end-hantering av säkerhetsincidenter och dataintrång: koordinering, eskalering, utredning, begränsning samt regulatorisk rapportering enligt DORA och GDPR.
Övervaka access governance: provisionering, privilegierade konton och återkommande behörighetsgranskningar.
Hantera KMS och (CBD) security practices enligt interna policys och regulatoriska förväntningar (förkortningarna förklaras inte i annonsen).
Ansvara för outsourcade säkerhetsaktiviteter (exempelvis SOC och leverantörer för penetrationstester), inklusive leveranskvalitet, SLA-uppföljning och efterlevnad av krav.
Driva ICT tredjepartsrisklivscykeln, inklusive due diligence, löpande uppföljning och underhåll av DORA-register över kritiska ICT-tredjepartsleverantörer.
Identifiera, bedöma, prioritera och rapportera ICT- och cyberrisker; definiera nyckelriskindikatorer och presentera riskläge till styrelse och riskkommittéer.
Övervaka digital operational resilience testing, inklusive threat-led penetration testing, samt disaster recovery ur ICT-perspektiv.
Följa upp styrning och teknisk effektivitet i cybersäkerhetskontroller som SIEM, EDR, DLP, IAM, sårbarhetshantering och datasäkerhet samt driva åtgärdsuppföljning från revisioner och bedömningar.
Genomföra säkerhetsutbildning/awareness och bygga säkerhetskultur.
Rådgöra styrelse, senior ledning och teknikteam om riskläge, outsourcing och större tekniska förändringar.
Samarbeta med EMEA:s informationssäkerhetsteam i regionala projekt och löpande arbete (BAU).

Kravprofil: kompetens och erfarenhet

Ant International listar ett antal tydliga krav kopplade till både cybersäkerhet, informationssäkerhet och regulatorisk styrning i finansiella tjänster.

Krav

Minst 8 års erfarenhet inom ICT risk, cybersäkerhetsstyrning (cybersecurity governance) eller revision/audit inom finansiella tjänster.
Dokumenterad erfarenhet av att implementera DORA och att arbeta med DNB eller jämförbara EU-regulatorer.
Stark teknisk grund inom molnsäkerhet, IT-infrastruktur, applikationssäkerhet och cyberhot.
God kunskap om säkerhetskontroller och områden som molnkontroller, SIEM, EDR, DLP, IAM och säkerhetsarkitektur.
Medvetenhet om AI-relaterade säkerhetsrisker och kontroller.
Erfarenhet av incident response och tredjepartssäkerhet/leverantörsstyrning.
Förmåga att påverka intressenter, presentera för styrelser och regulatorer samt arbeta självständigt i en second-line-roll.
Flytande engelska och nederländska.
Förmåga att leda komplexa initiativ inom säkerhetscompliance, incidenthantering och säkerhetsarbete i reglerade miljöer.

Meriterande

Annonsen specificerar inte några separata “meriterande” krav; samtliga punkter presenteras som vad arbetsgivaren söker.

Vilken typ av säkerhetsroll är det?

Utifrån annonsens innehåll är detta i första hand en ledande roll inom informationssäkerhet/IT-säkerhet och cybersäkerhet, med starkt fokus på styrning, riskhantering och regelefterlevnad i finanssektorn. Rollen är också tydligt kopplad till operativ resiliens (DORA), incidentrapportering och leverantörsstyrning (tredjepartsrisk), vilket gör den relevant för organisationer som arbetar med regulatoriskt drivna krav på robusthet och kontroller.

Något ansvar för fysisk säkerhet, personalsäkerhet eller säkerhetsskydd framgår inte av annonsen.

Det här bör kandidater lyfta i ansökan

För den som söker en CISO-roll som denna pekar annonsen ut flera områden som bör konkretiseras med exempel, resultat och arbetssätt:

Hur du byggt och förvaltat ramverk för informationssäkerhet och ICT-risk (t.ex. mappning mot DORA, ISO 27001 och NIST) och hur styrning omsatts i praktiska kontroller.
Erfarenhet av “second line”-arbete: hur du genomfört oberoende granskning/challenge av förstalinjens risk- och kontrollarbete, och hur du följt upp brister.
Regulatorisk samverkan: konkreta exempel på kontakter med tillsyn, hantering av revisioner/inspektioner, samt hur du strukturerat rapportering och svar på regulatoriska frågor.
Incidenthantering end-to-end: din roll i koordinering, eskalering, utredning, containment och rapportering enligt krav (annonsen nämner DORA och GDPR).
Tredjeparts- och outsourcingstyrning: hur du kvalitetssäkrat SOC/penetrationstestleveranser, följt SLA:er och drivit due diligence samt löpande uppföljning.
Resiliens och tester: erfarenhet av digital operational resilience testing (inklusive threat-led penetration testing) och disaster recovery ur ICT-perspektiv.
Teknisk kontrollmiljö: hur du arbetat med eller styrt uppföljning av SIEM, EDR, DLP, IAM, sårbarhetshantering och datasäkerhet – samt hur du drivit remediation av identifierade brister.
Ledningskommunikation: hur du presenterat risk- och säkerhetsläge för styrelse, ledning och riskkommittéer, inklusive KRI:er och prioriteringar.
Awareness och kultur: exempel på program, genomförande och uppföljning som stärker säkerhetskulturen.
Språkkunskaper: tydliggör att du är flytande i både engelska och nederländska.

Så söker du tjänsten

Annonsen anger inte i detalj hur ansökan ska skickas in (t.ex. via specifik länk, e-post eller rekryteringssystem). Inte heller sista ansökningsdag framgår. Den som vill söka behöver därför utgå från publiceringsplattformens ansökningsfunktion där annonsen finns.

Sammanfattningsvis signalerar annonsen ett tydligt kompetensbehov inom CISO-/informationssäkerhetsledning i finans: DORA-driven ICT-riskstyrning, regulatorisk dialog, incident- och leverantörshantering samt mätbar rapportering till styrelse och ledning.