Nikolaus Betzler - IKT-Risikomanagement und Informationssicherheit

Langenfeld, Germany

Experience

Oct 2024 - Present

9 months

Eigenständige Erarbeitung von Richtlinien, Vorgaben und Konzepten zum IKT-Risikomanagement und Informationssicherheit
Beratung der Fachbereiche zu Fragen des IKT-Risikomanagements und der Informationssicherheit
Weiterentwicklung des IKT-Risikomanagementrahmen, welcher die Identifikation, Bewertung und Steuerung von IKT-Risiken regelt
Evaluierung des Managementsystems für Informationssicherheit (ISMS) inkl. Anpassung an neue Herausforderungen
Durchführung von Risikoanalysen zur Identifikation und Bewertung von potenziellen IKT-Risiken sowie Risiken für die Informationssicherheit des Metzler-Konzerns
Beratung bei der Definition und Implementierung von Maßnahmen zur Risikominimierung und Verbesserung der Resilienz der IKT-Systeme
Beratung zur Sicherstellung der Compliance mit relevanten internen und externen regulatorischen Anforderungen (z. B. MaRisk, DORA, BAIT, BSI IT-Grundschutz, ISMS, ISO 27001, ISO 42001, ISO 27005, BCM ISO 22301)
Beratung bei bereichsinternen und übergreifenden Projekten, einschließlich SAP DORA Compliance und Target2 sowie §8a-BSI-Gesetzes

Apr 2024 - Sep 2024

6 months

Berlin, Germany

Abstimmung der ISMS-Prozesse mit dem Auftragnehmer (ISO 27001 & BSI IT-Grundschutz)
Verifikation und Mitwirkung bei der Erstellung des Sicherheitskonzepts „Netzwerkmanagement Plattform“
Beratung und Ansprechpartner für sicherheitsrelevante Themen der Autobahn
Bericht an Geschäftsleitung und Programmleitung
Fachliche Begleitung der Prüfprozesse der Abteilungen Info-/ IT-Sicherheit und Datenschutz
Abstimmung der Prozesse zu Info-/ IT-Sicherheit und Datenschutz
Unterstützung bei der Kopplung der SIEM-Systeme zwischen Auftraggeber und Auftragnehmer
Konzeption und Etablierung der Kopplung der Notfallmanagementsysteme
Beratung und Mitwirkung bei der Umsetzung von Informations-, IT-Sicherheits-, und Datenschutz-Anforderungen
Mitwirkung bei Audits und Revisionen basierend auf BSI-IT-Grundschutz
Beratung bei der Weiterentwicklung von KRITIS-Maßnahmen
Vorbereitung und Begleitung der §8a-Prüfung

Oct 2023 - Mar 2024

6 months

Neuss, Germany

Unterstützung bei der Migration von HiScout zu ForumSuite (u.a. IS-Risikomanagementtool)
ISMS, Risk-Management, Business Continuity Management, Notfallmanagement
Überarbeitung und Verbesserung des ISMS und BCM sowie Anpassung zur Revisionssicherheit
Definition und Umsetzung von Maßnahmen zur Behebung von Mängeln und Notfallplänen
Beratung zur Prüfungsvorbereitung
Bericht an die Abteilungsleiter und Geschäftsleitung
Beratung zu DORA-RTS/IST/Guidelines, GAP-Analyse
Beratung bei Anforderungen nach BSI IT-Grundschutz und KRITIS-Prüfung (§8a-BSI-Gesetz)
Beratung zu ISO/IEC 27001/27002 und ISO/IEC 22301
Erstellung eines bankindividuellen Sollmaßnahmenkatalogs (BASI) und weiterer Leitfäden (z. B. Ordnungsmäßigkeit, Grundlagen der IT-Regulatorik)
Beratung zu BAIT, KAIT, VAIT, ISO 9001 und branchenspezifischen Sicherheitsstandards (B3S)

Oct 2022 - Sep 2023

1 year

Düsseldorf, Germany

Identifikation und Dokumentation von Lücken im bestehenden Lebenszyklus der sicheren Softwareentwicklung
Definition eines Governance-Rahmens für einen modernen sicheren Softwareentwicklungslebenszyklus basierend auf DevSecOps-Prinzipien und Berücksichtigung der identifizierten Lücken
Analyse und Dokumentation von Lücken im zentralen Tooling für DevSecOps-Aktivitäten
Definition und Dokumentation von Auswahlkriterien für Werkzeuge zur Schließung der identifizierten Lücken basierend auf branchenweiten Sicherheitsstandards
Erstellung einer konzernweiten Richtlinie für den sicheren Entwicklungslebenszyklus basierend auf ISO27001/ISO27002 und NIST
Verbesserung der Cloud-Infrastructure Azure und Tooling (SAST, DAST, IAST, IaC, OWASP, Mitre, CERT, CSA)
Beratung zur Weiterentwicklung von KRITIS-Maßnahmen
Ansprechpartner für Auditoren

Jan 2021 - Sep 2022

9 months

Heidelberg, Germany

Entwicklung und Umsetzung einer zertifizierbaren Informationssicherheitsstrategie nach ISO 27001
Erarbeitung von Präsentationen und Business Cases als Entscheidungsgrundlage
Aufbau eines zertifizierbaren ISMS nach ISO27001 (BSI IT-Grundschutz/§8a-BSI-Gesetz)
Management von Beratungsunternehmen (PWC, DIOX, BDX, TGS, CBRE)
Management von Informationssicherheitsvorfällen mit Bericht an die Geschäftsleitung
Kommunikation und Koordination mit internen Cross-funktionalen Teams
Entwicklung und Weiterentwicklung von Sicherheitskonzepten und Richtlinien
Aufrechterhaltung der externen Kommunikation mit Stakeholdern und Behörden
Implementierung, Pflege und Weiterentwicklung des unternehmensübergreifenden Risikomanagementsystems
Berücksichtigung und Bewertung relevanter rechtlicher und regulatorischer Anforderungen
Auditmanagement für die Informationssicherheit
Sensibilisierung für die Anforderungen der Informationssicherheit durch Schulungsprogramme
Beratung zu Informationsschutz und IT-Sicherheitsanforderungen
Kontinuierliche Verbesserung und Überwachung des ISMS-Systems