Product Security Officer (w/m/d)
07745, Jena, Thüringen, Deutschland
Veröffentlicht: 11.07.2026
Leiter/in - Informations-/Cybersicherheit
KEINE_ANGABE
Anzeige ansehen
Telefon: 2024/2847
Stellenbeschreibung
Jenoptik ist ein global agierender Photonik-Konzern mit Präsenz in über 80 Ländern. Optische Technologien sind die Basis unseres Geschäfts. Weltweit beschäftigen wir ca. 4.000 Mitarbeiter.
Ihre Aufgaben:
* Zentrale Entgegennahme (Vulnerability Intake) und Erstbewertung von Schwachstellen über alle Kanäle (intern, Forscher, NVD/CVE, CERT) nach CVSS im Produktkontext * Einzige Konzernstimme für das operative Fristenmanagement gegenüber ENISA und nationalen Stellen/BSI (24h-Frühwarnung, 72h-Folgemeldung, Abschlussberichte) * Taktgeber für die Priorisierung und Zeitplanung von Patches; Eskalationsinstanz bei kritischen Schwachstellen (CVSS ≥ 7.0) * Betrieb der VDP-Plattform, Steuerung der Kommunikation mit Sicherheitsforschern, Einhaltung strenger Bearbeitungsfristen (Bestätigung 5 WT, Bewertung 15 WT, Patch 90 Tage bei CVSS ≥ 7.0) sowie Perspektive als CNA-Funktion * Methodik-Owner für SBOM-Formate/-Lebenszyklen, kontinuierliches Schwachstellen-Monitoring in Drittkomponenten und fachliche Beratung der Einheiten bei SBOM-Erstellung und Ad-hoc-Analysen * Definition, Verankerung und Pflege konzernweiter Product-Security-Standards über den gesamten Produktlebenszyklus (von Konzeption bis EOL) * Fachliche Einbindung von Threat Modeling, Security Testing und Secure-Coding-Vorgaben in bestehende PLM-/Stage-Gate-Prozesse in Abstimmung mit R&D und Qualitätsmanagement * Überwachung der Standards in den SBU/Legal Entities (die operative Umsetzung verbleibt in der First Line bei R&D/PSC) * Leitung des konzernweiten PSIRT als Fachgremium sowie fachliche (nicht-disziplinarische) Führung der Product Security Officers (PSC) und PSIRT-Mitglieder * Quartalsweise Konsolidierung der SBU-Berichte, halbjährlicher Report an Compliance & Risk und Zulieferung für das Vorstandsreporting * Durchführung jährlicher, risikoorientierter interner Produktsicherheits-Audits bei Tochtergesellschaften (Fokus auf EU-Einheiten mit CRA-Direktgeltung), unterstützt durch Q&EHS * Technische Zuarbeit zur Systemklassifizierung, Bewertung von Robustheits-/Security-Anforderungen für Hochrisiko-KI (Art. 15 KI-Act) sowie Integration von KI-Schwachstellen in den PSIRT-Prozess * Produkttechnische Mitwirkung an Data-Access-by-Design (Art. 3 ff.), Absicherung von Schnittstellen und Zuarbeit zu Schutzaspekten (z.B. Geschäftsgeheimnisse) an Legal/Data Protection * Erster Ansprechpartner für Behörden (ENISA, CSIRT/BSI, Marktüberwachung); Schnittstelle zum SOC für IT-übergreifende Cyber-Themen (NIS2-Anschluss) * Fachliche Beratung für R&D, QM und SBU-Leitungen; Mitwirkung an der strategischen Weiterentwicklung des CRA-Frameworks/der CRA-Policy mit dem Framework-Owner * Konzeption und Durchführung konzernweiter Trainings zu Product Security, Secure Development und CRA-Meldeprozessen
Ihr Profil:
* Master/Diplom in Informatik, IT-Sicherheit, Elektrotechnik, Ingenieurwesen oder vergleichbar * Zertifikate in CISSP, CSSLP, GIAC (z.B. GPEN/GWAPT), CEH oder ähnlich wünschenwert * Berufserfahrung in Product Security, PSIRT, Vulnerability Management oder IT-/OT-Security * Erfahrung im Aufbau/Betrieb von Schwachstellen
* Zentrale Entgegennahme (Vulnerability Intake) und Erstbewertung von Schwachstellen über alle Kanäle (intern, Forscher, NVD/CVE, CERT) nach CVSS im Produktkontext * Einzige Konzernstimme für das operative Fristenmanagement gegenüber ENISA und nationalen Stellen/BSI (24h-Frühwarnung, 72h-Folgemeldung, Abschlussberichte) * Taktgeber für die Priorisierung und Zeitplanung von Patches; Eskalationsinstanz bei kritischen Schwachstellen (CVSS ≥ 7.0) * Betrieb der VDP-Plattform, Steuerung der Kommunikation mit Sicherheitsforschern, Einhaltung strenger Bearbeitungsfristen (Bestätigung 5 WT, Bewertung 15 WT, Patch 90 Tage bei CVSS ≥ 7.0) sowie Perspektive als CNA-Funktion * Methodik-Owner für SBOM-Formate/-Lebenszyklen, kontinuierliches Schwachstellen-Monitoring in Drittkomponenten und fachliche Beratung der Einheiten bei SBOM-Erstellung und Ad-hoc-Analysen * Definition, Verankerung und Pflege konzernweiter Product-Security-Standards über den gesamten Produktlebenszyklus (von Konzeption bis EOL) * Fachliche Einbindung von Threat Modeling, Security Testing und Secure-Coding-Vorgaben in bestehende PLM-/Stage-Gate-Prozesse in Abstimmung mit R&D und Qualitätsmanagement * Überwachung der Standards in den SBU/Legal Entities (die operative Umsetzung verbleibt in der First Line bei R&D/PSC) * Leitung des konzernweiten PSIRT als Fachgremium sowie fachliche (nicht-disziplinarische) Führung der Product Security Officers (PSC) und PSIRT-Mitglieder * Quartalsweise Konsolidierung der SBU-Berichte, halbjährlicher Report an Compliance & Risk und Zulieferung für das Vorstandsreporting * Durchführung jährlicher, risikoorientierter interner Produktsicherheits-Audits bei Tochtergesellschaften (Fokus auf EU-Einheiten mit CRA-Direktgeltung), unterstützt durch Q&EHS * Technische Zuarbeit zur Systemklassifizierung, Bewertung von Robustheits-/Security-Anforderungen für Hochrisiko-KI (Art. 15 KI-Act) sowie Integration von KI-Schwachstellen in den PSIRT-Prozess * Produkttechnische Mitwirkung an Data-Access-by-Design (Art. 3 ff.), Absicherung von Schnittstellen und Zuarbeit zu Schutzaspekten (z.B. Geschäftsgeheimnisse) an Legal/Data Protection * Erster Ansprechpartner für Behörden (ENISA, CSIRT/BSI, Marktüberwachung); Schnittstelle zum SOC für IT-übergreifende Cyber-Themen (NIS2-Anschluss) * Fachliche Beratung für R&D, QM und SBU-Leitungen; Mitwirkung an der strategischen Weiterentwicklung des CRA-Frameworks/der CRA-Policy mit dem Framework-Owner * Konzeption und Durchführung konzernweiter Trainings zu Product Security, Secure Development und CRA-Meldeprozessen
Ihr Profil:
* Master/Diplom in Informatik, IT-Sicherheit, Elektrotechnik, Ingenieurwesen oder vergleichbar * Zertifikate in CISSP, CSSLP, GIAC (z.B. GPEN/GWAPT), CEH oder ähnlich wünschenwert * Berufserfahrung in Product Security, PSIRT, Vulnerability Management oder IT-/OT-Security * Erfahrung im Aufbau/Betrieb von Schwachstellen
- und Incident-Response-Prozessen (idealerweise mit Behördenmeldepflichten)
- u.a. Art. 13/14, Anh. I/VII, Meldefristen, Konformitätsbewertung)
- und SBOM-Tools, MS Office. Grundkenntnisse in Scripting (Python) für SBOM/CVE-Korrelation von Vorteil
Arbeitszeiten
Vollzeit
Details
- Eintrittsdatum:
- 11.07.2026
- Adresse:
- null
07745 Jena - Hauptberuf:
- Leiter/in - Informations-/Cybersicherheit
- Stellenangebotsart:
- ARBEIT