Product Security Officer (w/m/d)

Company Logo Jenoptik AG
07745, Jena, Thüringen, Deutschland
Veröffentlicht: 11.07.2026
Leiter/in - Informations-/Cybersicherheit KEINE_ANGABE

Stellenbeschreibung

Jenoptik ist ein global agierender Photonik-Konzern mit Präsenz in über 80 Ländern. Optische Technologien sind die Basis unseres Geschäfts. Weltweit beschäftigen wir ca. 4.000 Mitarbeiter. Ihre Aufgaben:

* Zentrale Entgegennahme (Vulnerability Intake) und Erstbewertung von Schwachstellen über alle Kanäle (intern, Forscher, NVD/CVE, CERT) nach CVSS im Produktkontext * Einzige Konzernstimme für das operative Fristenmanagement gegenüber ENISA und nationalen Stellen/BSI (24h-Frühwarnung, 72h-Folgemeldung, Abschlussberichte) * Taktgeber für die Priorisierung und Zeitplanung von Patches; Eskalationsinstanz bei kritischen Schwachstellen (CVSS ≥ 7.0) * Betrieb der VDP-Plattform, Steuerung der Kommunikation mit Sicherheitsforschern, Einhaltung strenger Bearbeitungsfristen (Bestätigung 5 WT, Bewertung 15 WT, Patch 90 Tage bei CVSS ≥ 7.0) sowie Perspektive als CNA-Funktion * Methodik-Owner für SBOM-Formate/-Lebenszyklen, kontinuierliches Schwachstellen-Monitoring in Drittkomponenten und fachliche Beratung der Einheiten bei SBOM-Erstellung und Ad-hoc-Analysen * Definition, Verankerung und Pflege konzernweiter Product-Security-Standards über den gesamten Produktlebenszyklus (von Konzeption bis EOL) * Fachliche Einbindung von Threat Modeling, Security Testing und Secure-Coding-Vorgaben in bestehende PLM-/Stage-Gate-Prozesse in Abstimmung mit R&D und Qualitätsmanagement * Überwachung der Standards in den SBU/Legal Entities (die operative Umsetzung verbleibt in der First Line bei R&D/PSC) * Leitung des konzernweiten PSIRT als Fachgremium sowie fachliche (nicht-disziplinarische) Führung der Product Security Officers (PSC) und PSIRT-Mitglieder * Quartalsweise Konsolidierung der SBU-Berichte, halbjährlicher Report an Compliance & Risk und Zulieferung für das Vorstandsreporting * Durchführung jährlicher, risikoorientierter interner Produktsicherheits-Audits bei Tochtergesellschaften (Fokus auf EU-Einheiten mit CRA-Direktgeltung), unterstützt durch Q&EHS * Technische Zuarbeit zur Systemklassifizierung, Bewertung von Robustheits-/Security-Anforderungen für Hochrisiko-KI (Art. 15 KI-Act) sowie Integration von KI-Schwachstellen in den PSIRT-Prozess * Produkttechnische Mitwirkung an Data-Access-by-Design (Art. 3 ff.), Absicherung von Schnittstellen und Zuarbeit zu Schutzaspekten (z.B. Geschäftsgeheimnisse) an Legal/Data Protection * Erster Ansprechpartner für Behörden (ENISA, CSIRT/BSI, Marktüberwachung); Schnittstelle zum SOC für IT-übergreifende Cyber-Themen (NIS2-Anschluss) * Fachliche Beratung für R&D, QM und SBU-Leitungen; Mitwirkung an der strategischen Weiterentwicklung des CRA-Frameworks/der CRA-Policy mit dem Framework-Owner * Konzeption und Durchführung konzernweiter Trainings zu Product Security, Secure Development und CRA-Meldeprozessen



Ihr Profil:

* Master/Diplom in Informatik, IT-Sicherheit, Elektrotechnik, Ingenieurwesen oder vergleichbar * Zertifikate in CISSP, CSSLP, GIAC (z.B. GPEN/GWAPT), CEH oder ähnlich wünschenwert * Berufserfahrung in Product Security, PSIRT, Vulnerability Management oder IT-/OT-Security * Erfahrung im Aufbau/Betrieb von Schwachstellen
  • und Incident-Response-Prozessen (idealerweise mit Behördenmeldepflichten)
* Erfahrung in der Zusammenarbeit mit R&D/Engineering, regulatorischen Stellen und int. Tochtergesellschaften (EU, USA, Asien) sowie in der fachlichen Steuerung interdisziplinärer Teams (inkl. externer Dienstleister) * Fundiertes Wissen in SDL, Vulnerability Handling/Disclosure, CVSS-Bewertung, CVE-/NVD-Prozessen und SBOM-Formaten (CycloneDX, SPDX) * Kenntnisse in ISO/IEC 30111, ISO/IEC 29147, idealerweise ISO/IEC 27001 * Tiefe Kenntnis des Cyber Resilience Act (EU 2024/2847
  • u.a. Art. 13/14, Anh. I/VII, Meldefristen, Konformitätsbewertung)
* Produktrelevantes Grundverständnis/GRC-Bezug zu KI-Act (EU 2024/1689), Data Act (EU 2023/2854), NIS2 und RED (Fachverantwortung für KI/Data Act liegt bei Framework-Ownern) * Sehr gut in SIEM/SOC-, Vulnerability
  • und SBOM-Tools, MS Office. Grundkenntnisse in Scripting (Python) für SBOM/CVE-Korrelation von Vorteil
* Eigenständige Prozesskonzeption, strukturierte Koordination im Multi-SBU-Umfeld, analytische Risikobewertung unter Zeitdruck * Kommunikationsstark und durchsetzungsfähig (gegenüber Engineering, SBU-Leitung, Behörden); starke Übersetzungsfähigkeit zwischen Tech und Regulatorik * Hohe Eigenverantwortung, Belastbarkeit * Kenntnisse C1-Level in Deutsch und Englisch, sowie Reisebereitschaft (10% national, 15% international)

Arbeitszeiten

Vollzeit

Details

Eintrittsdatum:
11.07.2026
Adresse:
null
07745 Jena
Hauptberuf:
Leiter/in - Informations-/Cybersicherheit
Stellenangebotsart:
ARBEIT