contact@techway.ch
+41 44 585 23 09
TECHWAY Schweiz Logo
IT
DEFREN

Leadership del CISO – Parte 4/5

I cyber-rischi sono materia da direzione: la leadership CISO in governance, finanze e diritto cambia a ritmo sostenuto. In Europa, NIS2 e DORA impongono obblighi di reporting più severi; in Svizzera, le circolari FINMA e la legge federale sulla protezione dei dati revisionata (LPD 2023) precisano la responsabilità dei responsabili della sicurezza.

Perché la leadership CISO oggi deve rientrare di più nel reporting al management

La leadership CISO evolve da esperto tecnologico a ponte tra rischio, diritto e finanziamento. Secondo il CISO Report 2025, l’83% dei CISOs europei partecipa regolarmente alle riunioni del consiglio. Tuttavia, solo il 29% dei consigli dispone di una comprovata competenza cyber, un divario che sottolinea la necessità di una comunicazione chiara e rilevante per il business.

In Svizzera, l’analisi di PwC mostra inoltre che solo circa una società su sei assegna i budget cyber in modo orientato al rischio e che i CISOs sono coinvolti meno spesso nelle decisioni operative rispetto alla media globale (PwC Global Digital Trust Insights 2025). Ne deriva una conclusione semplice per consigli di amministrazione e CEO: senza un’integrazione chiara della leadership CISO, le decisioni finanziarie e le misure di compliance restano frammentate.

Responsabilità di budget e aree di tensione con il CFO

Tradurre i rischi tecnici in indicatori economico-aziendali è un nodo centrale di tensione tra CISO e CFO. PwC rileva che in molte aziende svizzere gli investimenti cyber non vengono prioritizzati sulla base di valutazioni del rischio (PwC, 2024). Di conseguenza, senza un’economia del rischio solida manca al CFO la base per autorizzare risorse in modo mirato.

Approccio best practice: la leadership CISO sviluppa Key Risk Indicators (KRIs) e modelli di Total Cost of Risk che monetizzano scenari di perdita e rendono possibili decisioni d’investimento. Un esempio concreto arriva dalla SMG Swiss Marketplace Group: il Group CISO Mostafa Hassanin riferisce direttamente alla direzione e ha istituito un sistema di reporting con KRIs, che facilita l’allineamento con Finance e Legal (Swiss CISO Awards / SMG).

Responsabilità legale: collaborazione con Legal e questioni di responsabilità

I requisiti regolatori aumentano il carico d’interfaccia tra CISO e ufficio legale. Oggi i CISOs condividono la responsabilità del rispetto delle regole di protezione dei dati e di notifica (LPD/RGPD), così come degli standard di compliance quali ISO 27001. Perciò, un’integrazione stretta con Legal è indispensabile, in particolare per gli obblighi di notifica e per la revisione dei contratti con fornitori terzi.

In pratica, CISO, Legal e Compliance devono definire in modo vincolante i canali di notifica, le regole di escalation e i ruoli nell’Incident Response. Inoltre, l’agenda regolatoria lo impone: DORA e NIS2 prescrivono strutture di governance formalizzate e scadenze di notifica chiare, che sovrappongono responsabilità tecniche e giuridiche.

Pressione regolatoria: DORA, NIS2, FINMA e LPD

Le norme europee modificano in modo sostanziale i requisiti di governance. DORA entrerà in vigore dal 2025 per gli istituti finanziari e richiede, tra l’altro, framework obbligatori di gestione del rischio ICT, test di resilienza e obblighi di notifica rigorosi. Parallelamente, NIS2 amplia i doveri per gli operatori di servizi essenziali e per i loro fornitori.

In Svizzera, le circolari FINMA integrano i requisiti per banche e assicurazioni, mentre la legge federale sulla protezione dei dati revisionata (LPD 2023) definisce dal settembre 2023 obblighi più severi di trasparenza e notifica. Nel loro insieme, queste regole aumentano il carico operativo per i CISOs e richiedono una chiara collocazione della leadership CISO nella direzione e nel board.

Comunicazione al board: cosa si aspettano davvero i consigli

Una buona comunicazione al board significa tradurre il rischio in metriche di business, fornire raccomandazioni operative e chiarire i margini decisionali. Le ricerche mostrano differenze di percezione rilevanti: il 52% dei consiglieri vede il CISO come business enabler, mentre solo il 34% dei CISOs condivide questa lettura (CISO Report 2025).

Aspettative concrete per i report al board: – panoramica di breve periodo sui KRIs critici, – valutazione dei possibili impatti finanziari (loss scenarios), – stato delle misure di compliance (DORA/NIS2/LPD), – decisioni da approvare con implicazioni di budget e rischio.

Esempi pratici: aziende svizzere come modello

Nella prassi svizzera, riconoscimenti e casi mostrano come le funzioni CISO possano essere integrate efficacemente nella governance. La CISO di Logitech, Tana Dubel, premiata come Swiss CISO of the Year 2024, ha introdotto una strategia Zero Trust, ha raggiunto la compliance ISO 27001 e ha istituito aggiornamenti regolari al board, oltre a una maggiore diversità nel team. Di conseguenza, compliance e resilienza sono migliorate insieme (Swiss CISO Awards / Logitech).

In modo analogo, la SMG Swiss Marketplace Group riferisce di linee di reporting dirette alla direzione e di un reporting basato su KRIs, che ha rafforzato la collaborazione con Finance e Legal e ha accorciato i tempi di risposta ai requisiti regolatori (Swiss CISO Awards / SMG).

Raccomandazioni operative per CISO, CFO e Legal

Dagli studi disponibili e dagli esempi pratici si possono derivare passi concreti:

  • Introdurre un framework di reporting vincolante: standardizzare KRIs, loss scenarios e stato della compliance.
  • Integrare indicatori finanziari: utilizzare Total Cost of Risk e Return-on-Security-Investment (RoSI) nelle discussioni di budget.
  • Ancorare la governance: orientare il reporting del CISO idealmente al CEO o al board, integrandolo con briefing regolari per CFO e Legal.
  • Definire una roadmap regolatoria: tradurre i requisiti DORA/NIS2/FINMA in piani di progetto e prioritizzare i rischi dei fornitori terzi.
  • Chiarire i ruoli interni: documentare con Legal i canali di notifica degli incidenti, i livelli di escalation e le questioni di responsabilità.

Conclusione

La funzione CISO è diventata un compito di leadership che tocca in egual misura governance, finanze e diritto. La regolazione europea (DORA, NIS2) e le prescrizioni svizzere (FINMA, LPD 2023) accelerano ulteriormente questa evoluzione. Tuttavia, le aziende che allineano presto leadership CISO, CFO e Legal su un linguaggio comune e su meccanismi di reporting strutturati riducono i rischi di compliance e creano le condizioni per decisioni d’investimento fondate.

CISO, CFO e Legal: il vostro prossimo passo

Se volete rafforzare la funzione CISO: iniziate con un reporting basato su KRIs e con una gap analysis regolatoria per DORA/NIS2/LPD. A titolo di orientamento servono i PwC Global Digital Trust Insights 2025 e il CISO Report 2025.

Key take-away: disciplinare ora le responsabilità convergenti

Ancorate la funzione CISO nella direzione, standardizzate il reporting di crisi e di compliance (KRIs, loss scenarios, roadmap DORA/NIS2) e stabilite processi di coordinamento chiari con CFO e Legal. Solo così la leadership CISO può governare in modo efficace obblighi regolatori, implicazioni finanziarie e rischi operativi.

Il Darknet si interessa alle aziende svizzere: perché il Darknet Monitoring è ora decisivo
Security Rating: cosa rivela davvero il punteggio della vostra azienda
TECHWAY - leadership CISO

Inviaci un messaggio!

Compila questo campo
Compila questo campo
Inserisci un indirizzo email valido.
Compila questo campo

Di: 

Kris Kormany