Zum Hauptinhalt springen
Alle Rollenprofile

Cybersecurity

GRC-Manager (Governance, Risk & Compliance)

Ein GRC-Manager (Governance, Risk & Compliance) verantwortet die organisatorische Seite der Informationssicherheit: Er steuert Richtlinien, Risikomanagement-Prozesse und Compliance-Nachweise und stellt sicher, dass Sicherheitsanforderungen aus Standards und Gesetzen systematisch umgesetzt und auditierbar dokumentiert werden. Typische Bezugsrahmen sind ISO 27001, BSI IT-Grundschutz, NIS2, DORA und die DSGVO. Die Rolle bildet die Brücke zwischen technischer Security, Rechtsabteilung, Auditoren und Management.

Zuletzt aktualisiert: 10. Juni 2026

// aufgaben

Aufgaben & Verantwortung

  • Aufbau, Pflege und Weiterentwicklung des ISMS inklusive Richtlinien- und Dokumentenmanagement
  • Durchführung und Moderation von Informationssicherheits-Risikoanalysen inklusive Maßnahmenverfolgung
  • Vorbereitung und Begleitung interner und externer Audits (ISO 27001, TISAX, Kunden-Audits)
  • Gap-Analysen und Umsetzungsplanung für regulatorische Anforderungen wie NIS2 und DORA
  • Third-Party-Risk-Management: Sicherheitsbewertung von Lieferanten und Cloud-Dienstleistern
  • Erstellung von Management-Reportings, Kennzahlen und Entscheidungsvorlagen für die Leitungsebene
  • Steuerung von Awareness-Maßnahmen und Schulungsnachweisen
  • Pflege von Asset-, Risiko- und Maßnahmenregistern, zunehmend in GRC-Tools

// skills

Anforderungsprofil

Must-have

  • Mehrjährige Erfahrung im Aufbau oder Betrieb eines ISMS (ISO 27001 oder BSI IT-Grundschutz)
  • Fundierte Kenntnis relevanter Regulatorik: NIS2, DORA, DSGVO, je nach Branche KRITIS oder TISAX
  • Methodensicheres Informationssicherheits-Risikomanagement (z. B. ISO 27005)
  • Audit-Erfahrung auf Geprüften- oder Prüferseite inklusive belastbarer Dokumentationspraxis
  • Einschlägige Zertifizierung, z. B. CISM, CISA, CRISC oder ISO 27001 Lead Implementer/Lead Auditor
  • Kommunikationsstärke an der Schnittstelle zwischen Technik, Recht und Management

Nice-to-have

  • Erfahrung mit GRC-Tools und der Automatisierung von Compliance-Nachweisen
  • Branchenerfahrung in regulierten Sektoren (Finanzdienstleistung, Energie, Gesundheitswesen, Automotive)
  • Technisches Grundverständnis von Cloud-Architekturen und Security-Kontrollen
  • Erfahrung mit Business Continuity Management (ISO 22301) und Notfallübungen
  • Datenschutz-Know-how bis hin zur Schnittstelle zum Datenschutzbeauftragten
  • Projektleitungserfahrung in Zertifizierungs- oder Regulatorik-Programmen

// gehalt

Gehalt

Erfahrung / KontextBrutto-Jahresgehalt
Junior / GRC-Spezialist (0–3 Jahre, z. B. aus Audit oder Beratung)55.000–70.000 € brutto/Jahr
GRC-Manager mit Berufserfahrung (3–7 Jahre, eigenverantwortliche Themen)70.000–95.000 € brutto/Jahr
Senior GRC-Manager / Teamlead, reguliertes Umfeld95.000–125.000 € brutto/Jahr

Alle Angaben sind Orientierungswerte für Deutschland und hängen von Region, Unternehmensgröße und Erfahrung ab (Stand 2026).

// interview

Typische Interviewfragen

  1. 01Wie strukturieren Sie eine NIS2-Gap-Analyse für ein Unternehmen, das bereits ISO-27001-zertifiziert ist – wo liegen typischerweise die Lücken?
  2. 02Wie gestalten Sie einen Risikomanagement-Prozess so, dass Fachbereiche ihn tatsächlich leben, statt ihn als Pflichtübung zu behandeln?
  3. 03Ein externer Auditor stellt eine Hauptabweichung fest, die Sie fachlich für unbegründet halten. Wie gehen Sie vor?
  4. 04Wie bewerten Sie das Sicherheitsniveau eines kritischen Cloud-Dienstleisters, der nur ein SOC-2-Attest, aber keine ISO-27001-Zertifizierung vorlegt?
  5. 05Welche Kennzahlen berichten Sie der Geschäftsleitung quartalsweise, und wie verhindern Sie, dass das Reporting zur reinen Ampel-Kosmetik wird?
  6. 06Wie priorisieren Sie Maßnahmen, wenn NIS2-Umsetzung, anstehende Re-Zertifizierung und ein Kundenaudit in dasselbe Quartal fallen?
  7. 07Wie halten Sie Richtlinien aktuell und schlank, ohne dass ein unübersichtlicher Dokumentenfriedhof entsteht?

// markt

Marktlage

GRC-Profile haben sich vom Nischen- zum Engpassprofil entwickelt. Treiber ist die Regulatorik-Welle: NIS2 zieht zehntausende deutsche Unternehmen erstmals in formale Nachweispflichten, DORA bindet im Finanzsektor ganze Compliance-Teams, und Kundenanforderungen wie TISAX oder ISO-27001-Nachweise erreichen längst auch mittelständische Zulieferer. Entsprechend konkurrieren Industrie, Beratungen und Prüfdienstleister um denselben kleinen Kandidatenpool – erfahrene GRC-Manager mit Audit-Praxis und Regulatorik-Tiefe sind fast ausschließlich über Direktansprache erreichbar. Für viele KMU stellt sich die Frage Inhouse oder extern: Externe Berater beschleunigen Zertifizierungsprojekte, aber der laufende ISMS-Betrieb, das Risikomanagement und die Auditfähigkeit brauchen dauerhaft interne Verantwortung. Chancen bietet der Quereinstieg: Kandidaten aus Wirtschaftsprüfung, Datenschutz oder IT-Service-Management bringen methodische Nähe mit und lassen sich gezielt entwickeln. Wer ausschließlich das fertige Senior-Profil sucht, muss mit längeren Besetzungszeiten und Gehältern oberhalb der eigenen Gehaltsbänder rechnen.

// faq

Häufige Fragen

Die Rollen überschneiden sich, setzen aber unterschiedliche Schwerpunkte. Ein Informationssicherheitsbeauftragter (ISB) ist eine formal benannte Funktion mit Fokus auf das ISMS: Er koordiniert Sicherheitsmaßnahmen, berät die Leitung und überwacht die Einhaltung der Vorgaben – oft als Stabsstelle. Ein GRC-Manager fasst den Auftrag breiter: Neben der Informationssicherheits-Governance verantwortet er Risikomanagement-Prozesse, regulatorische Compliance (NIS2, DORA, DSGVO, TISAX) und häufig auch Third-Party-Risk-Management und Business Continuity. In kleineren Unternehmen übernimmt eine Person beide Aufgaben; in größeren Organisationen arbeitet der GRC-Manager dem CISO zu und bündelt Nachweise, Audits und Reportings über mehrere Rahmenwerke hinweg. Für die Stellenbesetzung lohnt es sich, den tatsächlichen Zuschnitt vorab zu klären – die Gehaltsbänder und Kandidatenpools unterscheiden sich deutlich.

NOBA Experts besetzt GRC-Positionen mit einem Prozess, der auf fachliche Substanz statt Schlagwort-Matching setzt: Kandidaten durchlaufen eine strukturierte Tiefenprüfung, in der ISMS-Praxis, Audit-Erfahrung und Regulatorik-Kenntnisse (etwa NIS2- oder DORA-Umsetzungsprojekte) konkret hinterfragt werden – wer nur Normkapitel zitieren kann, kommt nicht auf die Shortlist. Die Identifikation geeigneter Profile erfolgt über KI-gestütztes Matching in Kombination mit aktiver Direktansprache, weil erfahrene GRC-Manager selten aktiv suchen. Auftraggeber erhalten innerhalb von zwei bis sechs Wochen eine Shortlist mit drei bis fünf geprüften Kandidaten inklusive Einordnung zu Seniorität, Branchenpassung und Gehaltsrahmen. Die Zusammenarbeit ist ab Tag 1 durch ein NDA abgesichert; auf Wunsch arbeitet NOBA Experts mit einer Festpreis-Option für volle Kostentransparenz.

// verwandte rollen

Verwandte Rollenprofile

CISO (Chief Information Security Officer)

Was macht ein CISO? Aufgaben, Gehaltsspannen in Deutschland, geforderte Zertifizierungen wie CISSP/CISM und die wichtigsten Interviewfragen im Überblick.

Zum Rollenprofil

SOC-Analyst (Security Operations Center)

Was macht ein SOC-Analyst? Aufgaben von Alert-Triage bis Threat Hunting, Gehälter nach Level (L1–L3) in Deutschland, Skills und typische Interviewfragen.

Zum Rollenprofil

IT-Leiter / Head of IT

IT-Leiter im Rollenprofil: Aufgaben von Infrastruktur bis IT-Sicherheit, Gehalt nach Unternehmensgröße, Skills, Interviewfragen und Marktlage in Deutschland.

Zum Rollenprofil

Penetration Tester (Ethical Hacker)

Was macht ein Penetration Tester? Aufgaben, OSCP & Co., realistische Gehaltsspannen in Deutschland und fachlich tiefe Interviewfragen für die Besetzung.

Zum Rollenprofil

GRC-Manager besetzen?

NOBA Experts besetzt diese Rolle mit KI-gestütztem Matching und persönlicher technischer Vorabprüfung — DACH-weit, auf Wunsch zum Festpreis.

Cybersecurity-Recruiting mit NOBA ExpertsAls Kandidat:in bewerben