Risk Compliance Manager (61)

Als Cybersecurity Risk en Compliance manager zorg je ervoor dat iedereen binnen NS weet wat van hem of haar wordt verwacht als het gaat om het veilig houden van informatie en systemen van NS.

Daarom wil je bij NS werken

• In deze breed georiënteerde rol kom je in aanraking met alle aspecten van informatiebeveiliging. NS is van vitaal belang voor Nederland. Je gaat in ons team vorm geven aan het cybersecurity beleid van NS, ten behoeve van de cyberveiligheid van NS en daarmee ook die van al je collega’s en onze reizigers. Je draagt daardoor direct bij aan de cybersecurity van de mobiliteit in Nederland.
• Je werkt vanuit de tweede lijn en zorgt voor het opstellen, onderhouden en toetsen van beleid, kaders en controls op het gebied van cybersecurity. Je bewaakt de samenhang met wet- en regelgeving, zoals NIS2, en vertaalt risico’s en externe eisen naar toepasbaar beleid voor de organisatie.
• De organisatie is volop in beweging. De cyberbesturing heeft juist een grote verandering doorgemaakt en de rollen en rapportagelijnen worden nog verder vormgegeven. Van jou wordt verwacht dat je in deze veranderlijke tijden in staat bent een koers te bepalen, deze uit te werken in een plan en vervolgens leiding te geven aan de realisatie daarvan. Samenwerking binnen én buiten het team is daarbij uitermate belangrijk.

“Het cyberveilig houden van een onderdeel van de vitale infrastructuur van Nederland is een belangrijke taak. Samen met de overige disciplines binnen NS Cybersecurity zorgen we continu voor de weerbaarheid op de digitale dreigingen van buiten en binnen. Dat is gewoonweg gaaf en dankbaar werk!”

Dimitri van Zantvliet, Directeur Cybersecurity

Dit ga je doen

NS ontwikkelt zich sterk op het gebied van Governance, Risk en Compliance. Het beleid wordt daarmee steeds minder een set losse documenten, en steeds meer zo ingericht dat de organisatie er praktisch mee kan werken.

Bij deze functie horen de volgende taken:

• Het up-to-date houden van het beleid, zodat het blijft passen bij de actuele situatie en wat de organisatie nodig heeft. Je zorgt ervoor dat het beleid aansluit bij wettelijke eisen, zoals NIS2. Je maakt het beleid praktisch uitvoerbaar en de implementatie ervan aantoonbaar.
• Voor een deel zul je zelf de penvoerder zijn van het beleid, maar je betrekt daarin de verschillende experts en stakeholders om te borgen dat het beleid goed toepasbaar is.
• Ook de veilige inrichting van IT-platforms, infrastructuur en OT vormt onderdeel van het beleid. Hiervoor zijn de verschillende experts de penvoerder, maar je coördineert wel dat deze zaken op orde zijn.
• Het beheren van onze interne informatievoorziening rondom cyber via SharePoint.
• Je bent het eerste aanspreekpunt voor vragen over beleid en bereidt besluiten voor wanneer het beleid nog onvoldoende invulling geeft aan een vraagstuk.
• Je zorgt voor goede communicatie van het beleid zodat voor iedereen duidelijk is wat er verwacht wordt.
• We zijn bezig met een grondige herziening van de manier waarop we risicoanalyse en risicomanagement doen. Zeker in het begin zul je meedenken in de opzet ervan, omdat we beleid en maatregelen goed willen kunnen afstemmen op het risico en we willen zorgen dat maatregelen ook echt helpen om risico’s te reduceren.
• Ook zijn we bezig met een herstructurering van beleid waarbij controls een integraal onderdeel uitmaken van het beleid. Op deze manier willen we sneller kunnen reageren op wijzigingen in het risiconiveau, wat door AI steeds sneller zal gaan. Dit alles gebeurt in ServiceNow (module Integrated Risk Management), daarom heb je regelmatig afstemming met het ServiceNow IRM-beheerteam.
• Je zorgt samen met de collega’s die zich richten op specifieke cyberonderwerpen, zoals ISMS, supply chain risk, compliance, cyber risk, AI, cyber threat intel en IT- en OT-baselines, voor een samenhangende en efficiënte manier van werken waarbij de onderdelen elkaar versterken.
• Het signaleren, aandragen en doorvoeren van verbeteringen op het gebied van cybersecurity binnen NS.
• Je draagt actief bij aan het bepalen van strategie, roadmap en prioriteiten op basis van de risico’s.

Om succesvol te zijn in deze functie heb je brede ervaring met cybersecurity op tactisch en strategisch niveau, en weet je vakinhoudelijke kennis begrijpelijk te verwoorden voor niet-cyber-specialisten. Je werkt zelfstandig en gestructureerd, durft verantwoordelijkheid te nemen, bent gewend de koers uit te zetten en weet draagvlak te verkrijgen in een grote organisatie met uiteenlopende belangen. Tot slot ben je goed op de hoogte van actuele ontwikkelingen op het gebied van informatiebeveiliging.

Hier ga je werken

Bij NS speel je een cruciale rol in de digitale veiligheid van de spoorwegsector. Met de voortdurende digitalisering van systemen, waaronder IT op en rond de trein, wordt cybersecurity steeds belangrijker. Door toenemende geopolitieke spanningen is het belangrijker dan ooit om alert en voorbereid te zijn. Sinds de aanwijzing als Aanbieder Essentiële Dienst in 2021 werkt NS aan het voldoen aan strengere Europese en Nederlandse cyberwetgeving, waaronder de implementatie van NIS2/Cyber Beveiligingswet, CRA en CER.

Om deze uitdagingen aan te pakken, is de afdeling NS Cybersecurity (NSCS) opgericht, onder leiding van de Directeur Cybersecurity, tevens CISO, die rapporteert aan de RvB-portefeuillehouder.

NS werkt volgens het 3-lines model. NSCS is een zeer ervaren en enthousiast team van ongeveer 35 personen. Zij zijn als 2e lijn verantwoordelijk voor het vormgeven van strategie, beleid, methodes en frameworks op het gebied van cybersecurity, zodat de 1e lijn in staat is haar verantwoordelijkheid op dit vlak te nemen. NSCS onderhoudt cruciale samenwerkingsverbanden met alle bedrijfsonderdelen zoals NS IT, Treindigitalisering, Risicomanagement, Compliance, Internal Audit, Legal, Procurement en Corporate Security. Daarnaast is er Europese samenwerking met partijen als ProRail, ILT, I&W en diverse sectorpartners. Regelmatig zijn er contacten met veiligheidsdiensten in Nederland zoals het Politie HT crime team, NCSC, AIVD, NCTV en MIVD, alsook met ENISA op Europees niveau.

Je sluit je aan bij een team dat vitaal is voor Nederland en zorgt ervoor dat NS veilig en weerbaar is in een steeds veranderende digitale wereld.

Dit zijn de functie-eisen

Om in deze veelomvattende functie te slagen ben je een conceptueel denker, een pragmatisch uitvoerder en resultaatgericht. Daarbij zet je het volgende in:

• Academisch werk- en denkniveau, bij voorkeur een afgeronde opleiding op het gebied van ICT of cyber security.
• Je werkt gestructureerd en nauwkeurig. Je bent in staat om de coördinatie te voeren over werkzaamheden die door verschillende afdelingen en mensen worden uitgevoerd.
• Je bent een verbinder en weet in het beleid verschillende disciplines te verbinden tot een samenhangend geheel.
• Aanvullende opleidingen op het gebied van cybersecurity, informatiemanagement, IT-audit en security architectuur, zoals CRISC, CISSP, CISA, CISM, GICSP en privacywetgeving.
• Minimaal 9 jaar praktijkervaring met en actuele kennis van cyberbeleid, risicomanagement, cybersecurity, cyberwetgeving en ISO27001/27002/31000.
• Diepgaande kennis van Governance, Risk Management en Compliance (GRC)-processen en frameworks.
• Sterke analytische vaardigheden met het vermogen om complexe gegevens te interpreteren en strategische aanbevelingen te doen.