Ny tjänst: Publitech söker GRC Director & CISO till Visma Publitech i Stockholms kommun – det här söker arbetsgivaren
Publitech söker nu en nyckelperson i rollen “Publitech söker GRC Director & CISO till Visma Publitech i Stockholms kommun”. Enligt annonsen handlar det om ett strategiskt helhetsansvar för governance, risk och compliance (GRC) samt CISO-ansvar, med fokus på att omsätta externa lagkrav, standarder och koncernriktlinjer till säker mjukvaruutveckling och ett praktiskt säkerhetsarbete i verksamheten.
Rollen är nyetablerad och placeras inom området legal, säkerhet och compliance. Tjänsten är en tillsvidareanställning och placeringsort uppges vara flexibel mellan Stockholm, Göteborg, Malmö, Växjö, Helsingborg och Skellefteå. För rätt kandidat kan andra orter eventuellt vara aktuella. Publitech beskriver även att man tillämpar en flexibel hybridmodell med möjlighet att kombinera kontorsarbete och arbete hemifrån.
Ansvar och arbetsuppgifter
I rollen som GRC Director & CISO ingår du i Publitechs ledningsgrupp och leder en enhet för Compliance, Security och Legal. Du leder även ett team som enligt annonsen består av två jurister och en Compliance Manager.
Annonsen listar följande huvudsakliga ansvarsområden:
- Strategiskt ledarskap och kultur: leda Compliance, Security och Legal samt driva en kultur där säkerhet och compliance är integrerat i vardagen.
- Säkerhetsstrategi och rådgivning (CISO-ansvar): äga den övergripande säkerhetsstrategin och omsätta regulatoriska krav (exempel som nämns är NIS2) till praktiska, tekniska kontroller.
- Risk- och incidenthantering: leda arbetet med att identifiera och minimera cyberrisker samt säkerställa strukturer för incidentberedskap.
- Ledningssystem och ISO: förvalta certifieringar (ISO 9001, ISO 14001, ISO 27001) och verka för att de används som effektiva verktyg i det dagliga arbetet.
- Governance och distribuerad styrning: utveckla policies och verktyg som stödjer efterlevnad och tydliggör gränssnittet mellan central kontroll och lokalt genomförande.
- Leverantörsstyrning och tredjepartsrisk: etablera ett enhetligt ramverk för leverantörers livscykel, inklusive riskbedömning och löpande uppföljning av kritiska partners.
- Pragmatiskt samarbete: agera brygga mellan avdelningar och översätta komplexa krav till konkreta arbetssätt som balanserar affär och säkerhet.
Kravprofil: kompetens och erfarenhet
Publitech söker enligt annonsen en trygg ledare med flerårig erfarenhet av informationssäkerhet och GRC, som kan kombinera affärsmässighet med förmåga att sätta gränser när risknivån blir för hög. Kommunikationsförmåga lyfts fram, inklusive att kunna anpassa budskap till utvecklare, externa partners och styrelse.
Krav
- Dokumenterad erfarenhet av ledande arbete inom informationssäkerhet (CISO eller motsvarande) och GRC.
- Teknisk förståelse för mjukvaruutveckling, molntjänster och cybersäkerhet.
- Erfarenhet av ISO-standarder, särskilt ISO 27001.
- Erfarenhet av regulatoriska krav, exempelvis GDPR, NIS2 eller liknande.
- Erfarenhet av att leda specialister.
- Universitets- eller högskoleutbildning inom IT, systemvetenskap, juridik, civilingenjör – eller motsvarande kompetens förvärvad på annat sätt.
- God kommunikationsförmåga på svenska och engelska, i tal och skrift.
- Nyfiken inställning till ny teknik och att använda moderna digitala verktyg, inklusive AI, för att effektivisera arbetet.
Meriterande
- Erfarenhet från svensk offentlig sektor samt förståelse för OSL (Offentlighets- och sekretesslagen) och säkerhetsskydd.
Vilken typ av säkerhetsroll är det?
Utifrån annonsen är detta främst en ledande roll inom informationssäkerhet/IT-säkerhet och cybersäkerhet, med tydlig tyngdpunkt på GRC: styrning, riskhantering och regelefterlevnad. Rollen omfattar även incidentberedskap, tredjepartsrisker samt ledningssystem och certifieringar (bland annat ISO 27001).
Annonsen indikerar också kopplingar till lag & rätt genom arbete med regulatoriska krav som GDPR och NIS2 samt genom att leda en funktion som inkluderar legal och compliance. Säkerhetsskydd nämns som meriterande kompetens, men beskrivs inte som ett uttalat huvudansvar i rollen.
Det här bör kandidater lyfta i ansökan
För den som söker tjänsten pekar annonsen ut flera områden där det kan vara särskilt relevant att konkretisera erfarenhet och resultat:
- Exempel på hur du omsatt regelverk/krav (t.ex. GDPR, NIS2 eller liknande) till praktiska processer och tekniska kontroller i en utvecklings- och molnmiljö.
- Hur du byggt eller vidareutvecklat ett ledningssystem för informationssäkerhet, särskilt kopplat till ISO 27001, och gjort det till ett “levande” arbetssätt i vardagen.
- Dokumenterade arbetssätt för cyberriskhantering, inklusive prioritering utifrån riskaptit och affärsbehov.
- Erfarenhet av incidenthantering och incidentberedskap: strukturer, ansvarsfördelning och uppföljning.
- Upplägg för leverantörsstyrning och tredjepartsrisk, inklusive riskbedömning och uppföljning av kritiska partners.
- Ledarskap: hur du lett specialister och drivit säkerhetskultur i en distribuerad organisation, samt hur du samarbetat tvärfunktionellt mellan teknik, verksamhet och ledning.
- Om relevant: erfarenhet från offentlig sektor, samt arbete kopplat till OSL och säkerhetsskydd (meriterande enligt annonsen).
Så söker du tjänsten
Enligt annonsen söker du tjänsten via länken i annonsen. Urval och intervjuer sker löpande, och arbetsgivaren uppmanar därför att skicka in ansökan så snart som möjligt. Sista ansökningsdag framgår inte i annonsen.
Frågor om tjänsten kan ställas till Nina Lemic, Managing Director, via e-post: [email protected]. Annonsen anger också att bakgrundskontroller kommer att genomföras på slutkandidat.
Sammanfattningsvis är detta en senior GRC- och CISO-roll med tydligt fokus på att koppla ihop compliance, risk och cybersäkerhet med praktiskt genomförande, ledningssystem och leverantörsstyrning i en verksamhet som levererar system till kommuner och regioner.
