Stellendetails zu: Product Security Officer (w/m/d)

Product Security Officer (w/m/d)

Product Security Officer (w/m/d)

Kopfbereich

Angebotsart: Arbeit
Arbeitgeber: Jenoptik AG

Besondere Merkmale

Arbeitsort

Jena

Anstellungsart

Vollzeit

Beginn

ab sofort

Berufsbezeichnung

  • Leiter/in - Informations-/Cybersicherheit

Stellenbeschreibung

Jenoptik ist ein global agierender Photonik-Konzern mit Präsenz in über 80 Ländern. Optische Technologien sind die Basis unseres Geschäfts. Weltweit beschäftigen wir ca. 4.000 Mitarbeiter.
Ihre Aufgaben:

  • Zentrale Entgegennahme (Vulnerability Intake) und Erstbewertung von Schwachstellen über alle Kanäle (intern, Forscher, NVD/CVE, CERT) nach CVSS im Produktkontext
  • Einzige Konzernstimme für das operative Fristenmanagement gegenüber ENISA und nationalen Stellen/BSI (24h-Frühwarnung, 72h-Folgemeldung, Abschlussberichte)
  • Taktgeber für die Priorisierung und Zeitplanung von Patches; Eskalationsinstanz bei kritischen Schwachstellen (CVSS ≥ 7.0)
  • Betrieb der VDP-Plattform, Steuerung der Kommunikation mit Sicherheitsforschern, Einhaltung strenger Bearbeitungsfristen (Bestätigung 5 WT, Bewertung 15 WT, Patch 90 Tage bei CVSS ≥ 7.0) sowie Perspektive als CNA-Funktion
  • Methodik-Owner für SBOM-Formate/-Lebenszyklen, kontinuierliches Schwachstellen-Monitoring in Drittkomponenten und fachliche Beratung der Einheiten bei SBOM-Erstellung und Ad-hoc-Analysen
  • Definition, Verankerung und Pflege konzernweiter Product-Security-Standards über den gesamten Produktlebenszyklus (von Konzeption bis EOL)
  • Fachliche Einbindung von Threat Modeling, Security Testing und Secure-Coding-Vorgaben in bestehende PLM-/Stage-Gate-Prozesse in Abstimmung mit R&D und Qualitätsmanagement
  • Überwachung der Standards in den SBU/Legal Entities (die operative Umsetzung verbleibt in der First Line bei R&D/PSC)
  • Leitung des konzernweiten PSIRT als Fachgremium sowie fachliche (nicht-disziplinarische) Führung der Product Security Officers (PSC) und PSIRT-Mitglieder
  • Quartalsweise Konsolidierung der SBU-Berichte, halbjährlicher Report an Compliance & Risk und Zulieferung für das Vorstandsreporting
  • Durchführung jährlicher, risikoorientierter interner Produktsicherheits-Audits bei Tochtergesellschaften (Fokus auf EU-Einheiten mit CRA-Direktgeltung), unterstützt durch Q&EHS
  • Technische Zuarbeit zur Systemklassifizierung, Bewertung von Robustheits-/Security-Anforderungen für Hochrisiko-KI (Art. 15 KI-Act) sowie Integration von KI-Schwachstellen in den PSIRT-Prozess
  • Produkttechnische Mitwirkung an Data-Access-by-Design (Art. 3 ff.), Absicherung von Schnittstellen und Zuarbeit zu Schutzaspekten (z.B. Geschäftsgeheimnisse) an Legal/Data Protection
  • Erster Ansprechpartner für Behörden (ENISA, CSIRT/BSI, Marktüberwachung); Schnittstelle zum SOC für IT-übergreifende Cyber-Themen (NIS2-Anschluss)
  • Fachliche Beratung für R&D, QM und SBU-Leitungen; Mitwirkung an der strategischen Weiterentwicklung des CRA-Frameworks/der CRA-Policy mit dem Framework-Owner
  • Konzeption und Durchführung konzernweiter Trainings zu Product Security, Secure Development und CRA-Meldeprozessen

Ihr Profil:

  • Master/Diplom in Informatik, IT-Sicherheit, Elektrotechnik, Ingenieurwesen oder vergleichbar
  • Zertifikate in CISSP, CSSLP, GIAC (z.B. GPEN/GWAPT), CEH oder ähnlich wünschenwert
  • Berufserfahrung in Product Security, PSIRT, Vulnerability Management oder IT-/OT-Security
  • Erfahrung im Aufbau/Betrieb von Schwachstellen- und Incident-Response-Prozessen (idealerweise mit Behördenmeldepflichten)
  • Erfahrung in der Zusammenarbeit mit R&D/Engineering, regulatorischen Stellen und int. Tochtergesellschaften (EU, USA, Asien) sowie in der fachlichen Steuerung interdisziplinärer Teams (inkl. externer Dienstleister)
  • Fundiertes Wissen in SDL, Vulnerability Handling/Disclosure, CVSS-Bewertung, CVE-/NVD-Prozessen und SBOM-Formaten (CycloneDX, SPDX)
  • Kenntnisse in ISO/IEC 30111, ISO/IEC 29147, idealerweise ISO/IEC 27001
  • Tiefe Kenntnis des Cyber Resilience Act (EU 2024/2847 - u.a. Art. 13/14, Anh. I/VII, Meldefristen, Konformitätsbewertung)
  • Produktrelevantes Grundverständnis/GRC-Bezug zu KI-Act (EU 2024/1689), Data Act (EU 2023/2854), NIS2 und RED (Fachverantwortung für KI/Data Act liegt bei Framework-Ownern)
  • Sehr gut in SIEM/SOC-, Vulnerability- und SBOM-Tools, MS Office. Grundkenntnisse in Scripting (Python) für SBOM/CVE-Korrelation von Vorteil
  • Eigenständige Prozesskonzeption, strukturierte Koordination im Multi-SBU-Umfeld, analytische Risikobewertung unter Zeitdruck
  • Kommunikationsstark und durchsetzungsfähig (gegenüber Engineering, SBU-Leitung, Behörden); starke Übersetzungsfähigkeit zwischen Tech und Regulatorik
  • Hohe Eigenverantwortung, Belastbarkeit
  • Kenntnisse C1-Level in Deutsch und Englisch, sowie Reisebereitschaft (10% national, 15% international)

Arbeitsorte

Unternehmensdarstellung: Jenoptik AG

Jenoptik AG

Als integrierter Optoelektronik-Konzern ist Jenoptik in den fünf Sparten Laser & Materialbearbeitung, Optische Systeme, Industrielle Messtechnik, Verkehrssicherheit sowie Verteidigung & Zivile Systeme aktiv. Zu den Kunden weltweit gehören vor allem Unternehmen der Halbleiter- und Halbleiterausrüstungsindustrie, der Automobil- und Automobilzulieferindustrie, der Medizintechnik, der Sicherheits- und Wehrtechnik sowie der Luftfahrtindustrie.

Informationen zur Bewerbung