Il ruolo del CISO sta cambiando in modo sostanziale: In Europa e in Svizzera, una combinazione di pressione regolatoria, richieste del mercato e governance interna spinge i responsabili della sicurezza verso un mandato strategico. Secondo le PwC Global Digital Trust Insights 2025 e il CISO Report 2025, i CISO partecipano più spesso alle riunioni del consiglio – al contempo aumentano le richieste dovute a DORA, NIS2 e disposizioni nazionali.
Perché la leadership del CISO è ora una priorità della direzione
Il coinvolgimento del CISO nella direzione aziendale non è più un tema meramente formale. Gli studi indicano: l’83% dei CISO europei partecipa regolarmente alle riunioni del board, ma solo il 29% degli organi di vigilanza dispone di un’expertise comprovata in cybersecurity (Bitkom CISO Report 2025). In Svizzera, analisi come quella di PwC segnalano che i CISO sono presenti, ma più raramente coinvolti nelle decisioni operative. Questa discrepanza definisce tensioni centrali – dalla responsabilità di budget alla comunicazione del rischio.
Come parte di questa serie (Parte 1) delineo lo stato attuale in Europa e in Svizzera, presento dati verificabili ed esempi reali – le parti successive approfondiranno le relazioni CISO–CFO, CISO–Legal e le conseguenze concrete di DORA e NIS2.
Coinvolgimento nel board versus responsabilità operativa
La sola presenza al tavolo non basta: i dati mostrano chiaramente che presenza non equivale a influenza. Mentre l’83% dei CISO partecipa alle riunioni del consiglio, solo il 52% dei board valuta il ruolo del CISO come abilitante per il business – a fronte di appena il 34% dei CISO che condivide questa visione (CISO Report 2025). In Svizzera, lo studio PwC aggiunge: solo circa un sesto delle aziende struttura i budget cyber in modo orientato al rischio; i processi di budget avvengono spesso senza un ampio coinvolgimento del responsabile della sicurezza (PwC Global Digital Trust Insights 2025).
Il risultato sono ricorrenti fratture comunicative: il CISO misura rischi tecnici, il consiglio di amministrazione si aspetta indicatori rilevanti per il business. Le best practice – come la traduzione di indicatori tecnici in Key Risk Indicators – sono quindi centrali e vengono applicate in casi svizzeri di successo (vedi esempi pratici sotto).
Cambiamento regolatorio come motore: DORA, NIS2 e contesto nazionale
Il panorama regolatorio sposta le responsabilità verso l’alto. DORA e NIS2 introducono prescrizioni vincolanti per governance, gestione del rischio ICT, gestione dei rischi dei terzi e obblighi di notifica; DORA entra, per gli istituti finanziari, in una fase sostanzialmente vincolante a partire dal 2025 (Baggenstos – panorama NIS2/DORA).
Per le organizzazioni svizzere si aggiungono requisiti nazionali: la Legge federale sulla protezione dei dati revisionata (LPD 2023), le circolari FINMA per gli istituti finanziari e le raccomandazioni del BACS irrigidiscono gli obblighi di notifica e documentazione. Ne deriva che i CISO devono collaborare più strettamente con Legal e Compliance e adeguare i modelli di governance, affinché canali di notifica, responsabilità e questioni di responsabilità civile siano chiaramente definiti.
Responsabilità finanziaria e la questione del ROI degli investimenti cyber
Un nodo centrale riguarda CISO e CFO: scarsità di budget e attesa di giustificare economicamente gli investimenti in cybersecurity. I dati PwC mostrano che l’allocazione del budget orientata al rischio è ancora carente in molte aziende svizzere – solo un’impresa su sei procede in tal senso (PwC Svizzera, 2025).
La risposta risiede in KRI misurabili, analisi di scenario e misurazioni dell’impatto sul business: i CISO che traducono la sicurezza in indicatori economici (costi evitati, tempo di ripristino, impatto economico dei downtime) ottengono più facilmente il sostegno di budget desiderato. Questa capacità è ormai un criterio della qualità di leadership nel ruolo.
Esempi pratici dalla Svizzera: integrazione nel board e governance
Esempi concreti e verificabili mostrano come si configurano oggi i compiti di leadership:
Logitech (Swiss CISO Awards 2024): Tana Dubel ha ricevuto riconoscimento per l’introduzione di una strategia Zero‑Trust, il focus su ISO‑27001 e il forte allineamento con direzione e board (Swiss CISO Awards / Computerworld; Swiss Cybersecurity).
SMG Swiss Marketplace Group (Swiss CISO Awards 2024): Mostafa Hassanin riporta direttamente alla direzione e ha istituito un reporting basato su KRI e processi coordinati con Legal/Compliance – un caso esemplare di cyber‑governance trasparente (Swiss CISO Awards / Computerworld).
Questi esempi dimostrano: quando i CISO riportano direttamente al CEO o al board e sono implementati meccanismi di governance come KRI e interfacce chiare con Legal e Finance, aumentano la trasparenza e la capacità d’azione dell’azienda.
Cosa si aspettano i consigli di amministrazione e i CEO — e cosa manca
I board richiedono sempre più due elementi: indicatori chiari e rilevanti per il business e prova dell’esecuzione, ad esempio, di test di resilienza. La realtà è però segnata da differenze percettive: solo una parte dei board riconosce il ruolo del CISO come abilitatore, mentre i CISO condividono più raramente questa autopercezione (CISO Report 2025).
Le best practice a livello di board comprendono dashboard decisionali regolari e sintetici, briefing basati su scenari, responsabilità chiaramente definite per gli obblighi di notifica e il ricorso a verifiche esterne (test di resilienza). Questi elementi affrontano sia le questioni di governance sia quelle di responsabilità, che vengono acuite da NIS2/DORA e dalle prescrizioni nazionali.
