Categoria: Industrial / Manufacturing
Luogo di lavoro: Verona e provincia
Ruolo chiave per guidare la governance digitale e garantire la conformità normativa in un contesto complesso e multi-societario. La figura lavorerà a stretto contatto con il CISO contribuendo allo sviluppo e alla gestione del framework GRC a livello di Gruppo.
Il/La candidato/a che coprirà il ruolo di GRC Manager avrà le seguenti responsabilità:
- Governance della progettazione NIS2: governare ambito progettuale di adeguamento ai sensi dei requisiti obbligatori e opzionali (soggetti Importanti/Essenziali),vagliare i deliverable prodotti da consulenti esterni e team tecnici interni, analizzare e risolvere nelle scadenze richieste le Determine ACN
- Incident management e notifiche: supervisionare processi di rilevazione e notifica, validare report SOC/CSIRT e richieste forensi, coordinare comunicazioni verso ACN e organi di governo secondo le scadenze normative richieste (24h, 72h, relazione finale), supportando il CISO nel coordinamento di attori interni (es. Punti di Contatto, Comitato di Crisi, CIO/CTO) ed esterni (SOC, DPO, Consulenti specializzati)
- Audit e conformità: pianificare e supervisionare audit interni ai sensi dei Processi e Politiche di ambito cogente es. NIS2, GDPR o volontarie es. ISO27001
- Processo TPRM: definire policy e requisiti minimi per fornitori; gestire due-diligence e classificazione fornitori; pianificare e supervisionare audit di prima e seconda parte interni ed esterni da Clienti e verso Fornitori, validare ed attuare i piani di remediation concordati.
- Governance ERM: in ottica di gestione del Rischio cyber e digitale, definire ed applicare una struttura metodologica ISO 31000 ex. CSF 2.0 integrata ad un approccio di Gruppo
- Supporto legale e Procurement: collaborare con Ufficio Legale e Procurement nella definizione e mantenimento di adeguate clausole contrattuali IT/OT, DPA, DPIA etc. supportando la gestione di gare/contratti specifici in IT.
Requisiti: Il profilo adatto a ricoprire il ruolo di GRC Manager è in possesso dei seguenti requisiti:Requisiti tecnici
Ottima conoscenza normativa NIS2 e GDPR, con capacità di tradurre obblighi in requisiti progettuali ed attività concrete.
Conoscenze operative di Cybersecurity a livello di governance: Incident Response, Analisi critica dei report da SOC/CSIRT, liste di CVE ed VA-PT come condizioni di non-conformità/rischio in ottica integrata.
Capacità di Governance GRC ed ERM con esperienza verso la progettazione di sistemi di gestione integrati (ISO 31000, NIST CSF 2.0, ISO/IEC 27001) e strumenti digitali preposti (es. OneTrust, Formalize e simili).
Gestione di Terze Parti e nella supervisione ed esecuzione di audit di prima e seconda parte, supporto alla risposta ad Audit da Clienti e Stakeholders
ISO/IEC 27001 Lead Implementer o Lead Auditor - (preferenziale)
CISM (Certified Information Security Manager) - (preferenziale)
Competenze da DPO o esperienza collaborativa con DPO esterni - (preferenziale)
Competenze trasversali
Esperienza di coordinazione di progetti ed attività a mezzo di consulenti esterni: pianificazione, esecuzione, valutazione deliverable, controllo qualità dei deliverables.
Eccellenti capacità di stakeholder management verso verso funzioni apicali, DPO, Ufficio Legale, Fornitori e Business stakeholders.
Ottime capacità di comunicazione executive nella preparazione di reports.