Cybersäkerhets- och IT/OT-arkitekt (2680)

Bolaget genomför en omfattande och säker digital transformation inom OT, IT, IAM och integration och behöver stöd av självgående och erfaren lösningsarkitekt för att:

• säkerställa efterlevnad av cybersäkerhetslagen (NIS2),
• stärka styrning, arkitektur och operativ förmåga inom cybersäkerhet,
• etablera/vidareutveckla processer och rapportering för incidenthantering och risk,
• stärka leverantörskedjans säkerhet samt stödja kravställning i upphandling och avtal,
• vid behov stödja förbättring av IT Service Management (ITSM) kopplat till säkerhet, styrning och spårbarhet.

Konsulten ska leda och stödja etablering av styrning, arkitektur och säkerhetsförmåga inom OT/IT. Uppdraget avser primärt styrning, arkitektur, kravställning, prioritering och förmågeuppbyggnad. Vid behov sker samverkan med interna resurser och leverantörer för detaljimplementation.

Huvuduppgifter

A) NIS2 / cybersäkerhetslagen

• Genomföra gap- och riskanalys (OT/IT/IAM) samt sammanställa riskbild
• Ta fram åtgärdsprogram och prioriterad roadmap (12–24 månader)
• Etablera/vidareutveckla incident- och rapporteringsprocesser samt övningsupplägg
• Säkerställa krav och uppföljning för leverantörskedjans säkerhet (SCRM)

B) Målarkitektur & styrning

• Ta fram målbild/målarkitektur för relevanta delar av:
  • IT-infrastruktur (på övergripande nivå)
  • IAM och privilegierad åtkomst (IAM/PAM)
  • Integration och API-governance (på princip- och styrningsnivå)
• Etablera policyer, standarder och kontroller kopplade till ovan
• Införa/vidareutveckla loggning, spårbarhet och förändringsstyrning kopplat till säkerhetskrav

C) OT-säkerhet

• Driva arbete enligt IEC 62443
• Segmentering och zon-/kanalmodell
• Säker fjärråtkomst och hårdning (principer, krav, uppföljning)

D) IT Service Management (vid behov kopplat till säkerhet och styrning)

• Etablera/optimera relevanta ITIL 4-processer (t.ex. incident, change, problem) kopplat till säkerhetskrav, spårbarhet och rapportering
• Stödja integration mellan ITSM, IAM, övervakning och kommunikationskanaler där det skapar tydlig nytta för säkerhet och styrning

E) Upphandling & leverantörsstyrning

• Stödja säkerhetskrav i upphandlingar (kravformulering, verifiering och uppföljning)
• Stöd vid säkerhetskrav i avtal samt leverantörsstyrning och uppföljning

Nulägesanalys & riskbild

• NIS2-gap (OT/IT/IAM)
• Riskregister med prioritering och rekommenderade åtgärder
• Leverantörskedjeanalys (kritiska leverantörer, krav, brister)
• Incidentförmåga: nuläge, brister och förbättringsförslag 

Målbild och roadmap (12–24 månader)

• Prioriterad åtgärdsportfölj
• För varje åtgärd: förväntad riskreduktion, kostnadsintervall, beroenden, milstolpar och ansvarig funktion
• Samlad plan med tidsfönster och besluts-/införandepunkter

Styrande dokument (anpassas efter nuläge)

• Informationsklassning (ramverk + tillämpningsstöd)
• Segmentering OT/IT (principer + zon-/kanalmodell)
• IAM och privilegierad åtkomst (principer, JML, RBAC/ABAC, PAM-krav)
• Loggning och spårbarhet (krav, retention, ansvar, uppföljning)
• Backup/restore (mål, RPO/RTO-principer och testkrav)
• Förändringsstyrning kopplat till säkerhet (principer och kontroller)

Ledningsrapportering

• KPI/KRI-förslag med definitioner
• Rapportpaket till ledning/nämnd (kort sammanfattning + bilaga vid behov) med riskläge, trend, avvikelser och beslutspunkter

Utbildnings- och awareness-upplägg

• Målgrupper, budskap, kanaler, årshjul och mätetal/uppföljning

Att leverera:

Arbetsformen är Hybrid – arbete sker på plats och på distans enligt överenskommelse. Konsulten kan komma att omfattas av:

• säkerhetsprövning
• teckna säkerhetsskyddsavtal (SSA)

Detta fastställs efter genomförd säkerhetsskyddsbedömning.

Konsult ska ha Kompetensnivå 3 (3 av 3)

• Kunskap ‐ Relevant utbildning eller motsvarande kombinerat med expertkompetens inom offererat område.
• Erfarenhet ‐ Har deltagit i komplexa uppdrag inom aktuellt område och genomfört uppdrag med mycket hög kvalitet.
• Ledning ‐ Har stor vana och erfarenhet att verka i ledande befattningar inom sitt område (Om det
  finns relevans för det inom rollen/uppdraget).
• Självständighet – Mycket stor

Skallkrav:

• Dokumenterad erfarenhet av NIS2/cybersäkerhetslagen inklusive gap- och riskanalys samt framtagande av åtgärdsprogram/roadmap.
• Praktisk erfarenhet av OT-säkerhet enligt IEC 62443 inklusive zon-/kanalmodell och segmentering.
• Dokumenterad erfarenhet av IAM (SSO/federation, RBAC/ABAC, JML) samt privilegierad åtkomst/PAM i komplex miljö.
• Dokumenterad erfarenhet av stakeholder management och leverantörsstyrning.
• Mycket god svenska och engelska i tal och skrift.
• Vidare ska erbjuden konsult ha domänförståelse inom:
  • förståelse för driftkritikalitet
  • IT/OT-gränssnitt
  • leverantörskedja
  • styrning/uppföljning
  • praktisk tillämpning i samhällsviktig verksamhet
• Kravuppfyllnaden ska styrkas genom 2 referenser från tidigare uppdrag samt CV.
• Erbjuden konsult ska styrka sin förmåga att utföra efterfrågad tjänsteleverans genom metodbeskrivning där tydlig 90-dagars plan, prioriteringslogik, riskhantering, samverkan IT/OT, kvalitetssäkring av leverabler och rapportering redogörs.
• Metodbeskrivning bifogat (max 6 sidor)