Wat je doet als Senior GRC Advisor
De rol van Senior GRC Security Advisor is ontstaan door de groeiende noodzaak voor organisaties om aantoonbaar te voldoen aan strengere wet- en regelgeving zoals de Nederlandse Cyberbeveiligingswet (NIS2) en DORA. Met de verwachte invoering van deze wetten in 2026 en aanvullende eisen vanuit sectoren zoals de financiële branche, is er behoefte aan een expert die organisaties helpt volwassen en praktische keuzes te maken op het gebied van governance, risicomanagement en compliance.

Als Senior GRC Security Advisor ben je het aanspreekpunt voor organisaties, waarbij je hen begeleidt bij het vormgeven en implementeren van beleid, processen en controles die voldoen aan de actuele eisen. Je ondersteunt klanten in certificeringstrajecten (zoals ISO/IEC 27001, NIST CSF, CIS, BIO2, IEC62443), vertaalt complexe regelgeving naar werkbare oplossingen en zorgt ervoor dat ze op koers blijven richting compliance en operationele weerbaarheid.

Als Senior GRC Advisor heb je de volgende verantwoordelijkheden:

• Ontwerpen en implementeren van GRC-raamwerken (o.a. ISO/IEC 27001/27002, NIST CSF) en vertalen van wet- en normkaders naar beleid, processen en KPI’s/KRI’s.

• Uitvoeren van risicoanalyses en maturity-assessments, leiden van gap-analyses ten opzichte van NIS2/Cyberbeveiligingswet en opstellen van realistische roadmaps richting aantoonbare naleving.

• Adviseren van financiële instellingen over DORA-governance, incident- & crisisprocessen, third-party risk en weerbaarheidstesten, afgestemd op DNB-verwachtingen.

• Begeleiden van (pre-)audits en ISMS-implementaties tegen ISO/IEC 27001 en sectorprofielen (zoals NEN 7510 voor zorg en BIO2 voor overheid).

• Verbinding leggen tussen bestuur, security en operatie door risico’s beslisbaar te maken, board-decks op te stellen en management/MT te trainen.

• Meewerken aan de ontwikkeling van GRC-dienstverlening en het coachen van (medior) collega’s binnen het team.
  

Wat mag je van ons verwachten?

• Een representatief maandsalaris.

• Een bonus van 1 maandsalaris.

• 28 vakantiedagen, plus 2 bedrijfssluitingsdagen.

• Goede pensioenregeling.

• Flexibel werken.

• Mobiliteitsbudget (leaseauto of mobiliteitsvergoeding).

• Groot budget voor opleidingen en trainingen om jou verder te helpen in je ontwikkeling; Voldoende doorgroeimogelijkheden bijvoorbeeld richting Account

• Management of andere afdelingen.

• Een uitstekende en uitgebreide lunch in ons gezellige bedrijfsrestaurant (tegen een geringe vergoeding).

• Elke vrijdagmiddag een gezellige borrel.

• Techtalks, war stories en informatieve kwartaal sessies over Cybersecurity.

• Impactvolle opdrachten bij toporganisaties, met de slagkracht van Europa’s toonaangevende security‑partner en lokale autonomie in Nederland.

• Toegang tot Orange‑brede threat intelligence en vakcommunity; collega‑experts in GRC, OT Security, MDR en incident response.

• Jaarlijkse teamuitjes.
  

Wat neem je mee?

• Minimaal 6 jaar relevante ervaring in GRC/information security consulting (enterprise/publiek).

• Sterke kennis van ISO/IEC 27001/27002 en implementatie/audit‑ervaring. Ervaring met NIST CSF en/of SOC 2/ISAE 3000/3402 is een pré.

• Aantoonbare expertise met NIS2 (governance, zorgplicht, meldplicht, toeleveringsketen) en ervaring met gap‑analyses en implementatieplannen.

• Sectorkennis van minimaal één gereguleerd domein:

  • Financieel: DNB‑kaders & DORA (governance, incidentmelding, ICT‑risicobeheer, resilience testing).

  • Publiek/Overheid: BIO2 als normenkader en de doorwerking naar Cbw/NIS2.

  • Zorg: NEN 7510:2024 (aantoonplicht; IGJ‑toezicht).

• Consultancy‑vaardigheden: storylining, stakeholdermanagement, datagedreven advies, heldere rapportage (Nederlands & Engels).
  Één of meer certificeringen in de richting van; CISM / CISSP / CRISC / CISA of vergelijkbaar. ISO/IEC 27001 Lead Auditor of Lead Implementer is een pré.

• NEN 7510‑auditor/implementer (zorg) of ervaring met BIO2‑toetsingen is een pré.

• Bij voorkeur ervaring met supply‑chain/third‑party risk frameworks.

• Kennis van privacy (AVG/ISO 27701) en OT/IEC 62443 (bij industriële klanten) is een pré.

• Presenteren/trainen voor bestuur en RvC, incl. simulaties (table‑tops).

Locatie
Ons kantoor in Utrecht is goed bereikbaar met het openbaar vervoer. Vanaf Utrecht Centraal neem je de busverbinding richting n bushalte P+R Papendorp. Vanaf daar is het slechts 3 minuten lopen. Kom je met de auto naar kantoor? Geen probleem, er is voldoende parkeergelegenheid.

Interesse?
Bouw jij met ons mee aan onze Europese footprint; Build a safer digital society? Mooi, solliciteer direct! Wil je nog iets meer weten, neem dan contact op met Farida Hoelas 088-1234200 of jobs@nl.orangecyberdefense.com.

Sollicitatieproces

Onze procedure bestaat doorgaans uit: recruiter‑call → kennismaking met hiring manager → (case) assessment → eindgesprek → aanbod & onboarding.

Werken bij Orange Cyberdefense

Orange Cyberdefense is de expert cybersecurity-businessunit van de Orange Group. Met een internationale footprint en lokale teams helpen we organisaties dagelijks om risico’s te verminderen en weerbaarder te worden, gedreven door threat intelligence en meer dan 25 jaar ervaring. Onze cultuurwaarden zijn Bold, Responsible & Caring. Bij Orange Cyberdefense staat diversiteit en inclusiviteit centraal; iedereen is welkom en gewaardeerd, ongeacht achtergrond, gender, leeftijd of overtuiging.

Binnen onze Governance, Risk & Compliance (GRC) dienstverlening helpen we organisaties praktisch toe te werken naar aantoonbare naleving en operationele weerbaarheid — onder andere rondom NIS2 en DORA — en borgen we dat bestuur en operatie dezelfde risicotaal spreken.

Als Orange Cyberdefense kun je de sfeer op kantoor omschrijven als informeel. Om voorop te blijven lopen in deze dynamische markt zijn wij continu in beweging en ervaren wij een sterk teamgevoel. Er wordt hard gewerkt en hard gelachen! Wij geloven dat wanneer je plezier hebt in je werk, we samen de beste resultaten bereiken!

Het doorlopen van een screening en maken van een online assessment is onderdeel van het aannameproces.