Context

Digit’Eaux is de referentiepartner voor actoren in de watersector in Wallonië voor hun digitale transformatieprojecten en ondersteunt onder andere SWDE, SPGE en verschillende Organismes d’Assainissement Agréés (OAA).

Erkend als essentiële entiteit in de zin van de NIS2-richtlijn, is Digit’Eaux betrokken bij het ontwerp, de coördinatie en de implementatie van structurele IT-projecten, terwijl het haar coöperanten ook upstream begeleidt bij het definiëren van hun governance- en risicobeheerstrategie op het gebied van informatiesystemen.

In dit kader wenst de Cybersécurity-afdeling van Digit’Eaux de diensten in te schakelen van een ervaren GRC Manager, verantwoordelijk voor het structureren en aansturen van governance-, risicobeheer- en compliance-initiatieven (NIS2, ISO 27001) voor Digit’Eaux en de coöperanten uit de watersector (afvalwaterzuivering en drinkwater).

De consultant zal deel uitmaken van het interne cybersecurityteam en nauw samenwerken met de CISO en de teams en onderaannemers van Digit’Eaux.

Missie

In het kader van de compliancy van Digit’Eaux en haar coöperant-klanten met betrekking tot de NIS2-regelgeving en ISO 27001:2022-norm, versterkt de Cybersecurity GRC Manager het security team aangestuurd door de CISO.

Hij/Zij neemt de operationele activiteiten op rond governance, risicobeheer en compliance (GRC), als directe ondersteuning van de CISO en in interactie met de klanten van het MSP-portfolio:

• Aansturen en opstellen van de documentatie van het Information Security Management System (ISMS): beleidsstukken, procedures, risicobehandelingsplannen.
• Klanten begeleiden in hun ISO 27001-certificeringstraject, van gap-analyse tot aan de certificeringsaudit.
• Voorbereiden van interne en externe audits, opvolgen van non-conformiteiten en het continu bijwerken van het ISMS.
• Bijdragen aan de implementatie van NIS2-compliance voor de essentiële en belangrijke entiteiten binnen de scope.
• Gebruiken en beheren van de GRC-tool CISO Assistant (of gelijkwaardig) voor de opvolging van controles, risico’s en actieplannen.

Skills

Softskills

Documentaire nauwkeurigheid: Vermogen om nauwkeurige, samenhangende en onderhoudbare documentatie te produceren op lange termijn — beleidsstukken, procedures, risicobehandelingsplannen zonder ambiguïteit geschreven.

Mondelinge en schriftelijke communicatie: Vaardigheid om zich helder uit te drukken tegenover diverse gesprekspartners (directie, Comex, technische teams, klantverantwoordelijken) en om samenvattingen en presentaties op te stellen voor bestuursorganen. Vermogen om het taalniveau aan te passen aan het publiek — zaken vereenvoudigen zonder te veel te simplificeren.

Actief luisteren en relationele intelligentie: Vermogen om de werkelijke beperkingen van klanten en onderaannemers te begrijpen, hun behoeften te herformuleren en een vertrouwensklimaat te creëren dat samenwerking aan procedures en processen voor informatiebeveiliging bevordert.

Onderhandelen en beïnvloeden zonder hiërarchische autoriteit: Vermogen om compliance-onderwerpen te laten vooruitgaan bij gesprekspartners die niet rechtstreeks onder het gezag van Digit’Eaux vallen — coöperanten, derde partijen, externe IT-teams. Kunnen opkomen voor een security-eis terwijl men constructief en oplossingsgericht blijft.

Didactisch vermogen: Vaardigheid om ISO 27001- en NIS2-eisen toegankelijk te maken voor niet-specialistische operationele medewerkers, het leiden van gezamenlijke workshops (risicoworkshops, documentreviews, awareness), en het meenemen van stakeholders in het compliance-traject.

Weerstandsbeheer en verandermanagement: Vermogen om om te gaan met organisatorische weerstand tegen compliance-eisen, de juiste interne contactpersonen bij de klant te identificeren, en waargenomen regulatoire beperkingen om te buigen tot hefboom voor operationele verbetering.

Zelfstandigheid en proactiviteit: Vermogen om zelfstandig voortgang te boeken op GRC-workstreams, regelmatig te rapporteren aan de CISO en tijdig escalatiepunten te signaleren.

Resultaatgerichtheid: Focus op concrete deliverables: geschreven beleidsstukken, voorbereide audits, afgesloten non-conformiteiten.

Aanpassingsvermogen: Zich thuis voelen in een MSP-multiclientomgeving met hoge operationele verantwoordelijkheid, en in staat zijn om te schakelen tussen verschillende organisatorische contexten en security-maturiteitsniveaus.

Governance-vaardigheden

• Beheersing van de PDCA-cyclus toegepast op een ISMS (ISO 27001).
• Vermogen om een Statement of Applicability (SOA) op te stellen en te onderhouden met contextuele onderbouwing.
• Kennis van NIS2-eisen (essentiële/belangrijke entiteiten, meldingsplicht, securitymaatregelen).
• Ervaring in het uitvoeren van risicoanalyses (ISO 27005 of gelijkwaardig).
• Vermogen om samen te werken met CISO’s van klanten en Digit’Eaux te positioneren als verlengstuk van het operationele securityteam.
• Bewustzijn van GDPR-verplichtingen en de relatie met ISO 27001 / NIS2-eisen.

Technische competenties (functioneel/leidinggevend niveau)

ISO 27001:2022: beheersing van de 93 controls uit Bijlage A, de clauses 4 t/m 10 en de auditeisen.

Documentatie opstellen: securitybeleid, operationele procedures, risicobehandelingsplannen, auditrapporten.

Projectmanagement: planning van compliance-mijlpalen, opvolging van actieplannen, Comex-rapportering.

GRC-tools: CISO Assistant, of elk gelijkwaardig GRC-platform (OneTrust, ServiceNow GRC, Archer…).

IT-kennis en infrastructuurbeveiliging: degelijke kennis van de basisconcepten van informatiebeveiliging en netwerken, noodzakelijk om de relevantie van controles te beoordelen en effectief te communiceren met technische teams.

• Kennis van MSP-omgevingen en kritische IT-architecturen (OT/IT, watersector of gelijkwaardig is een pluspunt).
• Gebruik van aanvullende frameworks: CIS Controls, IEC 62443, ANSSI sectorspecifieke richtlijnen.

Ervaring

• Minimaal 3 tot 5 jaar ervaring in een GRC-rol, IT Compliance of Information Security.
• Aantoonbare ervaring in het begeleiden of ondersteunen van ISO 27001-certificering (deelname aan ten minste één volledige cyclus: voorbereiding, pre-audit, certificeringsaudit), een Lead Implementer ISO27001-certificering is een pluspunt.
• Ervaring in een MSP-context, consultancy of multiclientomgeving is een pré.
• Ervaring met gereguleerde sectoren (kritische infrastructuur, water, energie, gezondheidszorg, finance) is een troef.
• Goede schriftelijke beheersing van het Frans (intensieve documentatieproductie); technische kennis van het Engels is een pluspunt.

De opdracht kan worden verlengd afhankelijk van de beoordeling van de klant.