Security Officer. 24u/w
Volgnummer: 115537
Publicatiedatum: 11-02-2026
Locatie: ROTTERDAM
Standplaats: ROTTERDAM
Duur: 01-12-2026 - 31-12-2026
Optie tot verlenging: Ja
Reageren voor: 10-02-2026
Security Officer
- DSO Rijkswaterstaat (RWS) is verantwoordelijk voor de ontwikkeling en het beheer van het Digitaal Stelsel Omgevingswet (DSO). Binnen dit stelsel levert het team Gebruikerstoepassingen en het team Samenwerkingsomgeving & Portalen een aantal cruciale componenten en diensten. Het programma Digitaal Stelsel Omgevingswet (DSO) werkt continu aan de verdere professionalisering van de beveiliging van het stelsel en de onderliggende componenten, in lijn met de Baseline Informatiebeveiliging Overheid (BIO 2.0) en actuele beveiligingsnormen. Voor deze opdracht zoekt Rijkswaterstaat een ervaren Security Officer die zelfstandig de huidige beveiligingsprocessen beoordeelt, risico's in kaart brengt en verbetervoorstellen opstelt en implementeert. De Security Officer draagt verantwoordelijkheid voor de inhoudelijke kwaliteit van de beveiligingsaanpak binnen DSO en werkt zelfstandig aan het realiseren van concrete resultaten. De nadruk ligt op advies, inrichting en borging, niet op operationele uitvoering. De professional bepaalt zelf de aanpak, prioritering en middelen, in overleg met de opdrachtgever. De inzet van een externe specialist is noodzakelijk, omdat de opdracht een gedetailleerd inzicht in de bestaande DSO-beveiligingsarchitectuur, audit-processen en de integratie van het authenticatiestelsel (waaronder DigiD en IAM en APIM) vereist. Deze kennis is op dit moment niet volledig aanwezig binnen de interne organisatie en is essentieel om binnen de looptijd te voldoen aan de wettelijke en organisatorische kaders.
Noodzaak van specifieke expertise
De beveiligingsarchitectuur van DSO omvat een groot aantal ketencomponenten, waaronder het API Management-platform, authenticatievoorzieningen voor DigiD en eHerkenning, en maatwerk-integraties tussen diverse overheidsorganisaties. De uitvoering van deze opdracht vereist grondige kennis van:
• de nieuwe inrichting en risico's van de nieuwe te implementeren APIM (API Manager) en IAM (Identity Access Manager) componenten voor het DSO (APIM en IAM worden in 2026 vervangen en dienen opnieuw geanalyseerd te worden),
• de DigiD-auditprocessen en afhankelijkheden met ketenpartners,
Deze kennis is niet generiek toepasbaar, maar sterk verweven met de huidige technische en organisatorische inrichting van het DSO. Om reële risico's te identificeren, auditbevindingen te adresseren en verbeteringen door te voeren zonder verstoring van operationele processen, is specifieke ervaring met het DSO-securitydomein en de huidige architectuur-keuzes onmisbaar. Daarom wordt deze opdracht uitsluitend aan een externe specialist gegund die aantoonbare kennis heeft van deze omgeving, zodat binnen de gestelde tijd concrete, toetsbare resultaten kunnen worden behaald.
Resultaten
De Security Officer levert gedurende de looptijd de volgende resultaten op. Elk resultaat bevat een toetsbaar eindproduct dat direct toepasbaar is binnen het DSO-programma en aansluit op de BIO 2.0-richtlijnen.
•
Doel: In kaart brengen van kwetsbaarheden, configuratie-afwijkingen en afhankelijkheden binnen de APIM en IAM-product.
Resultaat: Uitgewerkte risicoanalyse inclusief dreigingsmodellering, prioritering en mitigerende maatregelen. Overzicht van technische en organisatorische risico's inclusief bijbehorende risicobeoordeling (impact x kans). Adviesdocument voor verbetermaatregelen en opvolging.
•
Doel: Vaststellen van een effectieve en risicogedreven scope voor periodieke pentesten.
Resultaat: Scope-document met testdoelen, te testen componenten en randvoorwaarden. Afstemming met leveranciers en teams over testdata en -omgeving.
•
Doel: Zorgen dat de komende DigiD-audit efficiënt en aantoonbaar succesvol verloopt.
Resultaat: Auditdraaiboek met rollen, verantwoordelijkheden en bewijsvoering. Coördinatie van documentatie en interviews. Eindrapportage met auditbevindingen en opvolgingsplan.
•
Doel: Verbeteren van detectie en incidentrespons binnen de SOC-keten.
Resultaat: Use-casecatalogus met beschrijving van dreigingen, detectielogica en escalatiepaden. Integratievoorstellen voor SIEM-platform. Overdrachtsdocumentatie aan monitoringteams.
•
Doel: Toetsen van de weerbaarheid van de DSO-infrastructuur tegen DDoS-aanvallen.
Resultaat: Testplan met scenario's, partners, risico-mitigatie en rapportagevorm. Afstemming met hostingpartners en Netwerkveiligheid Rijkscloud. Evaluatierapport en aanbevelingen voor verbetermaatregelen.
Functie-eisen:
Aanbiedingen kunnen alleen gedaan worden via onze portal Striive voorzien van een volledig Nederlands CV van max. 5 pagina's, anders kunnen we deze helaas niet in behandeling nemen. Mocht je hulp hierbij nodig hebben dan kan je contact opnemen met onze afdeling support.
WO-werk- en denkniveau (bevoegd door opleiding of >10 jaar relevante ervaring in informatiebeveiliging)
Minimaal 10 jaar ervaring als Security Officer of Information Security Consultant in complexe overheidsdomeinen met meerdere ketenpartijen
Minimaal 10 jaar ervaring met BIO (of vergelijkbare standaarden) implementaties in grote IT-organisaties
Minimaal 3 jaar ervaring met DigiD-audits of vergelijkbare audittrajecten in overheidscontext
Minimaal 10 jaar ervaring met risicomanagementprocessen waaronder risico-acceptaties en mitigaties binnen BIO- of ISO-kaders
Minimaal 10 jaar ervaring met security monitoring (SIEM/SOC) en het opstellen van use-cases voor detectie en alerting
Minimaal 10 jaar ervaring met security-testen en pentest-voorbereiding inclusief scope-definitie en opvolging van bevindingen
Aantoonbare kennis van DDoS-weerbaarheid en responsprocessen binnen rijksoverheid of vergelijkbare instellingen
Wensen:
CISSP, CISM of CISA gecertificeerd
Certificering in ISO 27001 Lead Implementer of Lead Auditor, of vergelijkbaar.
Aantoonbare ervaring met inrichting van AI-beleid of AI-riskmanagement binnen overheid of grote organisatie.
Aantoonbare ervaring met opstellen en faciliteren van risico-acceptaties op bestuurlijk niveau.
Aantoonbare ervaring met inrichting van AI-beleid of AI-riskmanagement binnen overheid of grote organisatie. Solliciteer nu!
Duur: 01-12-2026 - 31-12-2026
Optie tot verlenging: Ja
Reageren voor: 10-02-2026
Security Officer
- DSO Rijkswaterstaat (RWS) is verantwoordelijk voor de ontwikkeling en het beheer van het Digitaal Stelsel Omgevingswet (DSO). Binnen dit stelsel levert het team Gebruikerstoepassingen en het team Samenwerkingsomgeving & Portalen een aantal cruciale componenten en diensten. Het programma Digitaal Stelsel Omgevingswet (DSO) werkt continu aan de verdere professionalisering van de beveiliging van het stelsel en de onderliggende componenten, in lijn met de Baseline Informatiebeveiliging Overheid (BIO 2.0) en actuele beveiligingsnormen. Voor deze opdracht zoekt Rijkswaterstaat een ervaren Security Officer die zelfstandig de huidige beveiligingsprocessen beoordeelt, risico's in kaart brengt en verbetervoorstellen opstelt en implementeert. De Security Officer draagt verantwoordelijkheid voor de inhoudelijke kwaliteit van de beveiligingsaanpak binnen DSO en werkt zelfstandig aan het realiseren van concrete resultaten. De nadruk ligt op advies, inrichting en borging, niet op operationele uitvoering. De professional bepaalt zelf de aanpak, prioritering en middelen, in overleg met de opdrachtgever. De inzet van een externe specialist is noodzakelijk, omdat de opdracht een gedetailleerd inzicht in de bestaande DSO-beveiligingsarchitectuur, audit-processen en de integratie van het authenticatiestelsel (waaronder DigiD en IAM en APIM) vereist. Deze kennis is op dit moment niet volledig aanwezig binnen de interne organisatie en is essentieel om binnen de looptijd te voldoen aan de wettelijke en organisatorische kaders.
Noodzaak van specifieke expertise
De beveiligingsarchitectuur van DSO omvat een groot aantal ketencomponenten, waaronder het API Management-platform, authenticatievoorzieningen voor DigiD en eHerkenning, en maatwerk-integraties tussen diverse overheidsorganisaties. De uitvoering van deze opdracht vereist grondige kennis van:
• de nieuwe inrichting en risico's van de nieuwe te implementeren APIM (API Manager) en IAM (Identity Access Manager) componenten voor het DSO (APIM en IAM worden in 2026 vervangen en dienen opnieuw geanalyseerd te worden),
• de DigiD-auditprocessen en afhankelijkheden met ketenpartners,
Deze kennis is niet generiek toepasbaar, maar sterk verweven met de huidige technische en organisatorische inrichting van het DSO. Om reële risico's te identificeren, auditbevindingen te adresseren en verbeteringen door te voeren zonder verstoring van operationele processen, is specifieke ervaring met het DSO-securitydomein en de huidige architectuur-keuzes onmisbaar. Daarom wordt deze opdracht uitsluitend aan een externe specialist gegund die aantoonbare kennis heeft van deze omgeving, zodat binnen de gestelde tijd concrete, toetsbare resultaten kunnen worden behaald.
Resultaten
De Security Officer levert gedurende de looptijd de volgende resultaten op. Elk resultaat bevat een toetsbaar eindproduct dat direct toepasbaar is binnen het DSO-programma en aansluit op de BIO 2.0-richtlijnen.
•
Doel: In kaart brengen van kwetsbaarheden, configuratie-afwijkingen en afhankelijkheden binnen de APIM en IAM-product.
Resultaat: Uitgewerkte risicoanalyse inclusief dreigingsmodellering, prioritering en mitigerende maatregelen. Overzicht van technische en organisatorische risico's inclusief bijbehorende risicobeoordeling (impact x kans). Adviesdocument voor verbetermaatregelen en opvolging.
•
Doel: Vaststellen van een effectieve en risicogedreven scope voor periodieke pentesten.
Resultaat: Scope-document met testdoelen, te testen componenten en randvoorwaarden. Afstemming met leveranciers en teams over testdata en -omgeving.
•
Doel: Zorgen dat de komende DigiD-audit efficiënt en aantoonbaar succesvol verloopt.
Resultaat: Auditdraaiboek met rollen, verantwoordelijkheden en bewijsvoering. Coördinatie van documentatie en interviews. Eindrapportage met auditbevindingen en opvolgingsplan.
•
Doel: Verbeteren van detectie en incidentrespons binnen de SOC-keten.
Resultaat: Use-casecatalogus met beschrijving van dreigingen, detectielogica en escalatiepaden. Integratievoorstellen voor SIEM-platform. Overdrachtsdocumentatie aan monitoringteams.
•
Doel: Toetsen van de weerbaarheid van de DSO-infrastructuur tegen DDoS-aanvallen.
Resultaat: Testplan met scenario's, partners, risico-mitigatie en rapportagevorm. Afstemming met hostingpartners en Netwerkveiligheid Rijkscloud. Evaluatierapport en aanbevelingen voor verbetermaatregelen.
Functie-eisen:
Aanbiedingen kunnen alleen gedaan worden via onze portal Striive voorzien van een volledig Nederlands CV van max. 5 pagina's, anders kunnen we deze helaas niet in behandeling nemen. Mocht je hulp hierbij nodig hebben dan kan je contact opnemen met onze afdeling support.
WO-werk- en denkniveau (bevoegd door opleiding of >10 jaar relevante ervaring in informatiebeveiliging)
Minimaal 10 jaar ervaring als Security Officer of Information Security Consultant in complexe overheidsdomeinen met meerdere ketenpartijen
Minimaal 10 jaar ervaring met BIO (of vergelijkbare standaarden) implementaties in grote IT-organisaties
Minimaal 3 jaar ervaring met DigiD-audits of vergelijkbare audittrajecten in overheidscontext
Minimaal 10 jaar ervaring met risicomanagementprocessen waaronder risico-acceptaties en mitigaties binnen BIO- of ISO-kaders
Minimaal 10 jaar ervaring met security monitoring (SIEM/SOC) en het opstellen van use-cases voor detectie en alerting
Minimaal 10 jaar ervaring met security-testen en pentest-voorbereiding inclusief scope-definitie en opvolging van bevindingen
Aantoonbare kennis van DDoS-weerbaarheid en responsprocessen binnen rijksoverheid of vergelijkbare instellingen
Wensen:
CISSP, CISM of CISA gecertificeerd
Certificering in ISO 27001 Lead Implementer of Lead Auditor, of vergelijkbaar.
Aantoonbare ervaring met inrichting van AI-beleid of AI-riskmanagement binnen overheid of grote organisatie.
Aantoonbare ervaring met opstellen en faciliteren van risico-acceptaties op bestuurlijk niveau.
Aantoonbare ervaring met inrichting van AI-beleid of AI-riskmanagement binnen overheid of grote organisatie. Solliciteer nu!