Chief Information Security Officer (CISO) (m/w/d/x)- Bewerben über Stepstone

Die KMG Kliniken sind ein Gesundheitsunternehmen mit Standorten im Nordosten und in der Mitte Deutschlands, das hoch qualifizierte medizinische und pflegerische Versorgung in der familiären Atmosphäre seiner Einrichtungen anbietet. KMG betreibt Akutkliniken, Rehabilitationskliniken, Pflegeeinrichtungen für Senior*innen, Medizinische Versorgungszentren und Ambulante Pflegedienste. Das Unternehmen verfügt über 2.500 Betten und Plätze und beschäftigt rund 4.900 Mitarbeiter*innen.

Wir suchen Sie zum nächstmöglichen Zeitpunkt als Chief Information Security Officer (CISO) (m/w/d/x) für die aktive Steuerung unserer Informationssicherheit – insbesondere im KRITIS-Umfeld – und mit direkter Anbindung an den Vorstand in unserer Unternehmenszentrale in Bad Wilsnack oder in unserer Dependance in Berlin.

• Verantwortung: Sie übernehmen die unternehmensweite Steuerung der Informationssicherheit und gestalten maßgeblich die Weiterentwicklung unserer Sicherheits- und Risikostrukturen.
• Gestaltungsspielraum: Die Position bietet Ihnen die Möglichkeit, Informationssicherheit unternehmensweit zu etablieren und nachhaltig zu verankern.
• Relevanz: Sie arbeiten in einem KRITIS-Umfeld mit direktem Einfluss auf Versorgungssicherheit und Patientenschutz.
• Positionierung: Direkte Berichtslinie an die Unternehmensleitung und enge Einbindung in strategische Entscheidungsprozesse.

• Sie sind aktuell in einer Rolle wie Deputy CISO, ISB oder Senior Security Manager tätig und möchten den nächsten Schritt gehen.
• Sie bringen Erfahrung in der Informationssicherheit in regulierten Umfeldern (z. B. KRITIS, Gesundheitswesen, öffentlicher Sektor) mit.
• Sie haben fundierte Kenntnisse in ISO 27001, BSI IT-Grundschutz sowie NIS-2.
• Sie haben bereits mit Geschäftsführung oder oberen Managementebenen zusammengearbeitet und adressatengerecht kommuniziert.
• Sie können Sicherheits- und Unternehmensrisiken strukturiert bewerten und priorisieren.
• Sie möchten eine klare Governance-Perspektive einnehmen und nicht operativ-technisch arbeiten.

• Strategie & Governance: Weiterentwicklung und Umsetzung einer unternehmensweiten Security- und Risikostrategie, Ausbau klarer Steuerungs-, Entscheidungs- und Eskalationsstrukturen, Umsetzung des Management-Reportings für Informationssicherheits- und Unternehmensrisiken.
• Informationssicherheitsmanagement: Aufbau und Weiterentwicklung eines ISMS (z. B. ISO 27001, NIS-2-orientiert), Definition und Durchsetzung von Richtlinien und Standards, Integration von Security in Projekte und Prozesse („Security by Design”).
• Risikomanagement & Compliance: Bewertung und Steuerung von unternehmensweiten IT-Risiken, Sicherstellung regulatorischer Anforderungen (DSGVO, KRITIS, NIS-2), Verantwortung für Audits sowie Zusammenarbeit mit Aufsichtsbehörden (insbesondere BSI).
• Incident- & Resilience-Management: Verantwortung für Incident-Reporting sowie Aufbau und Optimierung von Prozessen zur Erkennung, Nachverfolgung und Prävention von Sicherheitsvorfällen, Analyse und Steuerung von Risiken in der Lieferanten- und Dienstleisterlandschaft inklusive Integration von Drittparteirisiken ins zentrale Risikomanagement, Definition und Weiterentwicklung von Sicherheits- und Präventionsmaßnahmen zur nachhaltigen Risikoreduktion bei internen und externen Partnern.
• Organisation & Zusammenarbeit: Enge Zusammenarbeit mit allen Linienfunktionen (Medizin, Pflege, Verwaltung, IT etc.), Steuerung externer Partner, Etablierung einer nachhaltigen Sicherheits- und Awareness-Kultur.