IT Security Manager - Risk, Compliance & DORA (m/w/d)

Du verantwortest die Weiterentwicklung und die Wirksamkeitsprüfung unseres Informationssicherheits- und Resilienzrahmens gemäß DORA – in enger Abstimmung mit Risikomanagement, ISB, IT, Auslagerungsmanagement, Interner Revision und dem Management. Mit Pragmatismus, Tiefe und Sorgfalt sorgst du dafür, dass regulatorische Anforderungen nicht nur erfüllt, sondern operativ lebbar werden.

Deine Aufgaben im Überblick:

• End-to-end-Steuerung des DORA-Implementierungsprogramms (Priorisierung, Roadmap, Meilensteine, Statusberichte).
• Durchführung von Gap- und Reifegradanalysen gegen DORA, MaRisk/KAIT, BAIT sowie EBA/EIOPA/EBA-ICT-Leitlinien (sofern einschlägig).
• Laufende Verbesserung des ICT-Risikomanagements, inkl. Risk Assessment, KRIs, Risikoregister und Behandlung.
• Definition von Impact Tolerances, Durchführung von BIA, Aufbau/Weiterentwicklung/Durchführung von BCM/DR-Tests.
• DORA-konforme Steuerung kritischer IKT-Dienstleister: Due Diligence, Vertragsklauseln, Leistungs- und Risikoüberwachung, Exit-Strategien.
• Planung und Durchführung von Tests der digitalen operationellen Resilienz (z.B. Szenario-/Krisenübungen, Red-Team-/Pen-Tests – proportional zum Profil).
• Steuerung und Begleitung interner und externer Audits/Prüfungen; Management von Feststellungen bis zur fristgerechten Abarbeitung.
• Vorbereitung regulatorischer Meldungen/Benachrichtigungen (z. B. Incident-Reports) und Kommunikation mit der Aufsicht.

Das bringst du mit:

• Abgeschlossenes Studium in (Wirtschafts-)Informatik, Informationssicherheit, Risk/Compliance oder vergleichbar.
• Mehrjährige relevante Berufserfahrung in Informationssicherheit/ICT-Risikomanagement, davon idealerweise zwei Jahre mit Fokus auf DORA oder vergleichbaren Rahmenwerken (z.B. NIS2, ISO 27001, BAIT/KAIT, EBA/EIOPA-Leitlinien).
• Erfahrung in regulierten Finanzumfeldern (KVG, Banken, Versicherungen, FinTech).
• Tiefes Verständnis der DORA-Anforderungen: Governance, ICT-Risiko, Incident-Management, Resilienztests, Third-Party-Risiken, Meldungen und Informationsaustausch.
• Vertrautheit mit relevanten Normen/Frameworks: ISO/IEC 27001/2, NIST CSF, COBIT, ITIL, BCM/ISO 22301.
• Praxis in Auditvorbereitung, Prüfungsmanagement und Umgang mit Aufsichtsbehörden.
• Souveräner Umgang mit GRC-/ISMS-Tools, Ticketing- und CMDB-Systemen, Risikobewertungsmethoden und KPI/KRI-Dashboards.
• Fähigkeit, Richtlinien, Kontrollen und Verträge (ICT-Auslagerungen) regulatorisch sauber zu gestalten.
• Strukturierte, lösungsorientierte Arbeitsweise mit hoher Ergebnisverantwortung.
• Fähigkeit, komplexe Sachverhalte adressatengerecht zu kommunizieren – vom Entwicklerteam bis zum Vorstand.
• Teamgeist, Standfestigkeit, pragmatisches Mindset und Motivation, die Widerstandsfähigkeit unserer Organisation aktiv zu stärken.
• Sehr gute Deutschkenntnisse (mind. B2), gute Englischkenntnisse.

Das bieten wir dir:

• Eigenverantwortliches Arbeiten mit entsprechenden Freiheiten und flachen Hierarchien.
• Arbeiten in einer jungen und innovativen Wachstumsbranche, in einem modernen Büro in der Hamburger Innenstadt.
• Hochmotiviertes und wertschätzendes Team.
• Fokus auf nachhaltiges Handeln.
• Attraktives Gehaltpaket inkl. variablen Anteil.
• Betriebliche Altersversorgung sowie Unfallversicherung.
• Zuschüsse zum HVV-Profiticket und Sportprogramm.
• Betriebliches Gesundheitsmanagement.
• Hybrides Arbeitszeitmodell mit der Möglichkeit, bis zu 2 Tage pro Woche mobil zu arbeiten.
• 30 Tage Urlaub (zzgl. 24./31. Dezember) und Sonderurlaub bei besonderen Anlässen.

CYCAP ist ein spezialisierter Asset Manager für erneuerbare Energien. Das Unternehmen verwaltet 2,7 Mrd. Euro Assets under Management über 9 Investmentvehikel und 103 Wind- und Solar-Assets – mit 150 Mitarbeitenden am Standort Hamburg. CYCAP verbindet 25 Jahre operative Erfahrung mit vollständig integrierter Inhouse-Kompetenz: Fondsmanagement, Deal Sourcing, Asset Development mit Schwerpunkt Repowering und Hybridisierung, aktives Asset Management, Technical Units sowie ein dediziertes KI-Team als struktureller Wettbewerbsvorteil. Als Betreiber des größten Repowering-Fonds Deutschlands steht CYCAP für Lebenszyklusverantwortung ohne Third-Party-Management und ohne Fragmentierung.