Gli attacchi informatici sono da tempo parte della quotidianità di imprese, autorità e infrastrutture critiche. Secondo il Global Digital Trust Insights 2025, i dirigenti svizzeri segnalano tuttora una gestione dei budget cyber poco orientata al rischio: solo una azienda su sei alloca i fondi in base alle priorità di rischio. La conseguenza: lacune di governance, comunicazione e risorse ai vertici.
Perché la funzione CISO deve ora unire direzione e responsabilità finanziaria (Parte 2)
Nella Parte 1 abbiamo delineato lo spostamento evolutivo della funzione CISO da responsabilità puramente tecnica a governance strategica e la definiamo ora ruolo di leadership del CISO. In questo secondo contributo della serie ci concentriamo sulle interfacce in cui i CISO oggi devono generare il massimo impatto: reporting a consiglio e direzione, negoziazione del budget con il CFO e stretta collaborazione con l’ufficio legale. Il punto di partenza sono evidenze empiriche dall’Europa e dalla Svizzera, nonché esempi concreti di pratica.
Tema centrale di questo contributo: la funzione CISO non può più perseguire un’agenda tecnica isolata – deve tradurre rischio, costi e obblighi legali in indicatori economicamente comprensibili.
Board‑Reporting: presenza non equivale a influenza
Studi recenti mostrano un quadro sfaccettato: l’83% dei CISO europei partecipa regolarmente alle riunioni del consiglio, ma solo il 29% dei board dispone di competenze cyber proprie, come rileva il CISO Report 2025. In Svizzera le analisi PwC confermano che i CISO sono sì invitati più spesso, ma sono meno coinvolti nelle decisioni operative di business.
Lo squilibrio si spiega in parte con lacune di comunicazione: i consigli si aspettano affermazioni chiare e fondate economicamente – ad esempio su rischi residuali, probabilità di perdita e costi in caso di danno. Molti CISO però continuano a riferire con metriche tecniche o logiche IT. Ne derivano percezioni divergenti: il 52% dei consigli vede il CISO come abilitatore del business, ma solo il 34% dei CISO condivide questa visione (reporting Splunk/Bitkom).
Elementi di best practice per un Board‑Reporting efficace:
– Traduzione dei rischi tecnici in indicatori finanziari (Business Impact, Annualized Loss Expectancy).
– Uso di Key Risk Indicator (KRI) collegati agli obiettivi di business.
– Aggiornamenti regolari e strutturati con opzioni d’azione chiare e conseguenze di budget.
CISO e CFO: negoziazione del budget come dialogo strategico
La discussione di budget è in molte aziende svizzere un campo di tensione centrale. Secondo PwC Svizzera solo un’azienda su sei alloca le risorse cyber in modo orientato al rischio. Ciò genera conflitti con il CFO, che misura gli investimenti secondo indicatori economico‑aziendali. I CISO devono quindi tradurre i fabbisogni di investimento in termini di ROI e potenziali di riduzione del rischio per definire le priorità.
Approcci concreti già funzionanti sono stati testati in aziende svizzere: Mostafa Hassanin della SMG Swiss Marketplace Group riferisce direttamente alla direzione e ha implementato KRI che mostrano un beneficio chiaro sia agli stakeholder operativi sia a quelli finanziari. Tali metriche permettono al CFO di integrare la spesa cyber nel budget complessivo e di valutare i rischi in termini di capitale.
Raccomandazioni per la cooperazione CISO‑CFO:
– Sviluppate metriche orientate al business (ad es. danno finanziario atteso per scenario).
– Definite le priorità con un modello di scorecard basato sul rischio.
– Concordate cicli di review in cui efficacia e KPI siano verificati in modo trasparente.
CISO e ufficio legale: obblighi di notifica e responsabilità
Le novità regolatorie intensificano la collaborazione tra CISO e Legal. DORA e NIS2 ampliano governance e obblighi di notifica nell’UE; gli istituti svizzeri devono inoltre osservare le prescrizioni FINMA e il DSG 2023 riveduto. Una panoramica compatta dei quadri giuridici rilevanti è offerta da Baggenstos nel suo compendio su NIS2/DORA/FINMA/DSG.
La conseguenza: i CISO assumono sempre più la responsabilità operativa dei controlli di compliance, mentre responsabilità legale e questioni contrattuali restano a Legal. Una collaborazione efficace richiede quindi ruoli chiari (modelli RACI), playbook congiunti per gli incidenti e processi di notifica allineati – inclusa una matrice di comunicazione graduata verso autorità di vigilanza e interessati.
Esempio pratico Logitech: sotto la guida di Tana Dubel (vincitrice degli Swiss CISO Awards) la strategia cyber, incluse certificazione ISO e processi di governance, è stata configurata in modo che compliance, misure tecniche e Board‑Reporting siano coerentemente integrati. L’esempio mostra come il coordinamento stretto con Legal faciliti l’attuazione dei requisiti regolatori (Swiss Cyber Institute, 2024).
Conseguenze regolatorie per governance e risorse
DORA e NIS2 impongono alle imprese nell’UE e a quelle con relazioni d’affari UE di rafforzare le strutture di governance: framework obbligatori di gestione dei rischi ICT, valutazioni del rischio dei terzi e test di resilienza. Per gli istituti finanziari DORA entra in vigore dal 2025; in Svizzera FINMA integra con circolari settoriali. Baggenstos ha riassunto bene i requisiti centrali per CH/UE.
Impatto pratico:
– Maggior fabbisogno di risorse: test di vigilanza, documentazione e monitoraggio dei terzi richiedono budget e personale aggiuntivi.
– Maggiore responsabilità del board: i consigli devono poter decidere in modo tracciabile sui rischi cyber.
– Più forte coinvolgimento del CISO nei processi di pianificazione strategica, per individuare precocemente le lacune di compliance.
Cosa fare ora in modo pragmatico
Sulla base di studi ed esempi svizzeri di pratica si possono derivare passi a breve termine che rafforzano governance e responsabilità finanziaria:
– Standardizzate una dashboard con 6–8 KRI che coinvolgano direzione e CFO (Business Impact, Mean Time to Detect, Third‑Party Exposure, stato di compliance).
– Formalizzate i ritmi di reporting: revisioni strategiche trimestrali e briefing ad hoc sugli incidenti a consiglio e CEO.
– Istituite un playbook degli incidenti allineato tra CISO, CFO e Legal che copra gli obblighi di notifica (DSG/NIS2/DORA).
– Investite nella capacità di storytelling dei CISO: le presentazioni devono evidenziare con chiarezza rischi di business e conseguenze di costo.
Conclusione
Il ruolo del CISO oggi è in larga misura un compito di leadership: richiede comunicazione strategica verso il board, una razionalità economica verso il CFO e una collaborazione conforme al diritto con Legal. Evidenze europee e svizzere – ad esempio dal CISO Report 2025 e dai PwC Global Digital Trust Insights 2025 – confermano: la sola presenza al tavolo non basta. I CISO devono monetizzare i rischi, rendere operativi i processi di governance e gestire proattivamente gli obblighi regolatori.
Governance del CISO: il vostro prossimo passo
Se la vostra organizzazione vuole rafforzare la propria cyber‑resilienza, iniziate con responsabilità chiare: definite KRI, ancorate i ritmi di reporting e allineate i canali di notifica degli incidenti con CFO e Legal. Esempi come Logitech e SMG mostrano che ciò crea valore sia per la compliance sia per il business (Swiss Cyber Institute; Computerworld). Per un’analisi approfondita e un’implementazione operativa offriamo un accompagnamento pragmatico – dal design di governance fino all’implementazione dei KRI.
Key Take‑away – Allineate rischio, costi e diritto
Ancorate la funzione CISO in modo che raggiunga allo stesso modo direzione, CFO e Legal. Passi concreti: budgeting basato sul rischio, reporting supportato dai KRI e processi di notifica allineati (DSG / NIS2 / DORA). Fonti affidabili ed esempi di pratica: PwC Global Digital Trust Insights 2025, CISO Report 2025, Swiss CISO Awards / Computerworld, Baggenstos – panoramica NIS2/DORA/FINMA/DSG.
