Information Security and Audit Manager (m/w/d)

Job Description

MB Energy, gegründet 1947 und mit Haupt­sitz in Hamburg, ist ein un­ab­hängiges und inte­griertes Energie­unter­nehmen mit Aktivi­täten in Europa, den Vereinigten Staaten und Singapur. Das Unter­nehmen ist in Import, Lage­rung, Ver­trieb und Vermark­tung von Erdöl­pro­dukten, Flüssiggas (LPG), Chemi­kalien und Biokraftstoffen tätig. Mit jahrzehntelanger Branchen­erfahrung und einem fort­schritt­lichen Ansatz spielt MB Energy eine aktive Rolle in der globalen Energie­land­schaft und unterstützt seine Kunden beim Über­gang zu emissions­ärmeren Energieträgern durch die Entwick­lung und Bereit­stel­lung zukunfts­orientierter Alter­nativen.

Lass uns gemeinsam die Zukunft der Energie­wirt­schaft gestalten!

Für unser CISO in unserer Unternehmens­zentrale in der Hamburger HafenCity suchen wir zum nächstmöglichen Zeitpunkt dich als

Information Security and Audit Manager (m/w/d)

Das erwartet dich:

In dieser Rolle arbeitest du im globalen CISO-Office, das konzern­weit die Verant­wortung für Informations­sicherheit trägt. Unser Umfeld umfasst Energie­handel, Logistik und Retail mit KRITIS- / NIS2-Relevanz sowie der EU RCE/CER-Richtlinie in Deutschland. Gemeinsam mit internen Kollegen (m/w/d) und externen Partnern baust du ein globales ISMS nach ISO 27001 bzw. IT-Grund­schutz auf und skalierst es. Du arbeitest eng mit CISO, IT / OT, HSSE, Legal / Compliance, Risiko­abteilung und interner Revision zusammen.

• ISMS-Governance aufbauen und weiter­entwickeln: Du etablierst und betreibst eine klare ISMS-Governance-Struktur, defi­nierst Scope, Charter und Statement of Applicability und verant­wortest Policies, Standards, Guide­lines sowie das Exception-Management.
• Risiken und Kontrollen steuern: Du pflegst und entwickelst unser Risk Register, defi­nierst und prüfst Kontrollen, sicherst belastbare Evidenzen und stellst Audit-Readiness jederzeit sicher.
• Regulatorik und Audits koordi­nieren: Du bereitest interne Audits vor und begleitest diese, steuerst externe Prüfungen und Zertifi­zierungen (inklusive § 8a-Verfahren) und verant­wortest das Mapping zu NIS2, KRITIS sowie EU RCE/CER.
• Third-Party Risk Manage­ment umsetzen: Du führst nicht-technische Prüfungen von Lieferanten und Systemen durch, koordi­nierst Due-Diligence-Prozesse und defi­nierst regula­torische sowie vertragliche Anfor­derungen.
• Reporting und Enablement voran­treiben: Du erstellst trans­parente Management-Reports und Dash­boards, arbeitest eng mit Incident Manage­ment, BCM und HSSE zusammen und bereitest Tabletop-Übungen vor bzw. führst sie durch.

• Erfahrung: Mehrjährige Praxis in Informations­sicherheit, GRC, Audit oder vergleich­baren Governance-Funktionen – idealer­weise mit Erfahrung im Aufbau und Betrieb eines ISMS
• Standards und Regulatorik: Sehr gute Kenntnisse von ISO 27001 / 27002 und IT-Grund­schutz; Basiswissen zu NIS2, KRITIS sowie EU RCE/CER
• Kontrollen und Audits: Sicherheit im Control Testing, Evidence-Management und in der Koordi­nation von Audits und Zertifi­zierungen (einschließlich § 8a-Verfahren)
• Tools und Reporting: Routine im Umgang mit GRC- / ISMS-Tools sowie in KPI- / KRI-Konzeption und Reporting
• Technisches Verständnis: Fähigkeit, IT / OT-, Cloud- und Netz­werkthemen in Anforderungen, Kontrollen und Risiken zu übersetzen und für inter­nationale Stakeholder anschaulich darzu­stellen (z. B. Prozess- oder Datenflüsse, RACI, Control Mappings)
• Qualitätsmanagement: Know-how in PDCA, konti­nuierlicher Verbesserung und ISO-Audit­methoden
• Sprachen: Fließendes Deutsch- und Englisch­ in Wort und Schrift

Mit diesen Eigen­schaften passt du gut zu uns:

• Struktur und Fokus: Du bringst Ordnung in komplexe Sach­verhalte und arbeitest mit einem klaren Prozess­verständnis.
• Eigenständigkeit: Du gehst Themen proaktiv an, setzt Priori­täten und treibst Aufgaben zuverlässig voran.
• Kommunikations­stärke: Du übersetzt Security- und Compliance-Anforderungen verständlich für Business, IT und OT.
• Lösungsorientierung: Du entwickelst fundierte, praxis­nahe Lösungen, die operativ funktionieren und regula­torisch belastbar sind.
• Lern­bereitschaft: Du gehst offen mit neuen Regulierungen, inter­nationalen Anforderungen und sich verändernden Rahmen­bedingungen um.

Auch wenn du nicht alle der genannten Anforde­rungen erfüllst, er­mutigen wir dich zu einer Bewer­bung, wenn du in deinen Erfah­rungen einen Mehr­wert für unser Team siehst.

• Work-Life-Balance: 38,75 Arbeits­stunden pro Woche mit 30 Tagen Jahres­urlaub
• Gestaltungsmöglichkeiten: Vertrauens­arbeitszeit und flexible Gestal­tung des Arbeits­ortes inner­halb Deutsch­lands in Rück­sprache mit dem Team
• Vergütung und Zusatz­leistungen: 13 Gehälter, Gewinn­beteili­gung, Urlaubs­geld, Fahrtkosten­zuschuss etc.
• Unterstützung in verschiedenen Lebens­lagen: durch unseren Partner pme Familien­service in Form einer professio­nellen Bera­tung bei beruf­lichen und privaten Frage­stel­lungen wie Kinder­betreuung, Pflege etc.
• Sicherheit und Vorsorge: Unfall­versicherung auch für den privaten Bereich; hoher Arbeit­geber­zuschuss zur betrieb­lichen Alters­vorsorge; Langzeit­arbeits­konto mit Sparmög­lich­keiten für Sabbatical oder früheren Renten­eintritt
• Gesundheit: subven­tionierte Mitglied­schaft bei EGYM Wellpass mit Zugang zu viel­fäl­tigen Sport­einrichtungen deutschland­weit und Online-Kursen in den Bereichen Sport, Ernäh­rung und Medi­tation sowie Fahrrad-Leasing
• Learning and Development: Unterstützung auf dem indivi­duellen Entwick­lungs­pfad mit in- und externen Weiterbildungs- und Coaching­möglichkeiten
• Networking: Netzwerke im Unter­nehmen, um team­übergreifende und inter­nationale Verbin­dungen zu knüpfen, sowie Firmen­events
• Offene Unter­nehmens­kultur: im Herzen ein Familien­unternehmen mit Drive, gelebter Toleranz, Speak-up-Kultur und kollegialem Zusammen­halt auf dem Weg in eine grüne Zukunft
• Modernes kollaboratives Büro: mit subventioniertem Mitarbeiter­restaurant, offenem Raum­konzept und Ausblick auf die Elbe und den Hafen

View More