contact@techway.ch
+41 44 585 23 09
TECHWAY Schweiz Logo
IT
DEFREN

Ruolo del CISO in Europa e in Svizzera: Governance Parte 5/5

Il nuovo ruolo CISO leadership è il risultato di un irrigidimento normativo, di una maggiore attenzione dei consigli di amministrazione e della pressione sulla distribuzione delle risorse. Secondo il PwC Global Digital Trust Insights 2025, in Svizzera solo una azienda su sei alloca i budget cyber in modo davvero orientato al rischio, un chiaro indizio che governance e responsabilità finanziaria restano spesso collegate in modo insufficiente.

Perché l’atto finale: il CISO come ponte tra rischio, diritto e finanze

In questa quinta e ultima parte della nostra serie riassumiamo le evidenze principali e proponiamo raccomandazioni concrete e operative per consiglio di amministrazione, direzione e CISOs. I dati indicano che i CISOs sono molto più presenti nei board meeting, infatti secondo il CISO Report 2025 l’83% dei CISOs europei partecipa regolarmente al consiglio, tuttavia in molti organi mancano competenze cyber specifiche. Di conseguenza emerge un problema pratico: le decisioni di budget vengono spesso prese senza un coinvolgimento sistematico dei responsabili della sicurezza (PwC Svizzera).

Raccomandazioni operative per il consiglio di amministrazione

Il consiglio di amministrazione deve trattare i rischi cyber come un rischio strategico d’impresa e definire le condizioni quadro entro cui il ruolo CISO leadership può agire con efficacia:

1. Linea di reporting e mandato chiari: Ancorate formalmente la funzione CISO nella governance, con reporting diretto al CEO o a un comitato del board. Gli esempi svizzeri, come il percorso di reporting diretto presso SMG Swiss Marketplace Group (Swiss CISO Awards / SMG), mostrano che trasparenza e velocità decisionale aumentano quando la catena di reporting resta corta. In questo modo, il ruolo CISO leadership guadagna peso e continuità.

2. Completare le competenze del board: Assicuratevi che nel consiglio di amministrazione sia presente competenza su cyber e rischio IT, se necessario tramite consulenti esterni o comitati dedicati. Secondo il CISO Report, solo il 29% dei board dispone di questa expertise, il che apre lacune di governance. Proprio perciò, il ruolo CISO leadership deve poter dialogare con interlocutori preparati.

3. Pretendere un’approvazione del budget orientata al rischio: Richiedete al management e al CISO un modello di budget basato sul rischio con KPI chiari. L’analisi PwC mostra che in Svizzera l’allocazione orientata al rischio è rara, quindi il consiglio di amministrazione dovrebbe attivare questo leva in modo esplicito (PwC Global Digital Trust Insights 2025). Così il ruolo CISO leadership si traduce in scelte finanziarie verificabili.

Raccomandazioni per CEO, CFO e CISO: rendere operativa la collaborazione

Le interfacce CISO–CFO e CISO–Legal sono spesso campi di tensione. Tuttavia, misure pragmatiche riducono gli attriti e rafforzano il ruolo CISO leadership:

1. Definire indicatori economici per gli investimenti cyber: CFO e CISO dovrebbero stabilire KPI comuni, ad esempio riduzione della perdita attesa, Mean Time to Recovery e costo per incidente. Solo così le misure cyber si possono valutare in modo oggettivo nel processo di budgeting, inoltre si risponde a un risultato centrale dello studio PwC. In pratica, il ruolo CISO leadership diventa misurabile.

2. Regime ordinario: reporting mensile Finance–Security: Report brevi e standardizzati per CFO e controlling, su costi, rispetto dei Service Level Agreement e rischi di terze parti, creano trasparenza e, di conseguenza, prevengono sorprese. Questo formato stabilizza il ruolo CISO leadership nel ciclo di gestione.

3. Coinvolgere Legal in anticipo, non solo durante gli incident: La collaborazione con l’ufficio legale non è una nota a margine. Nuovi obblighi di notifica sotto NIS2/DORA e la revisione della LPD svizzera richiedono un allineamento continuo (si veda la panoramica normativa di Baggenstos). In questo modo, il ruolo CISO leadership opera con copertura giuridica.

Paletti operativi: governance, rischio di terze parti e test di resilienza

I requisiti normativi, come DORA, NIS2 e le circolari FINMA, impongono obblighi concreti. Pertanto le aziende dovrebbero dare priorità alle seguenti misure, anche per consolidare il ruolo CISO leadership:

1. Introdurre un ICT risk management framework: Implementate un framework che unisca governance, risk assessment, Key Risk Indicator e reporting. DORA richiede queste strutture per gli istituti finanziari dal 2025, mentre NIS2 impone obblighi estesi di notifica e sulla supply chain (Baggenstos, 2024). Di conseguenza, il ruolo CISO leadership deve guidare la standardizzazione.

2. Rendere operativo il Third-Party-Risk-Management: I rischi della catena di fornitura sono un punto centrale di NIS2/DORA. Assessment standardizzati di terze parti, modelli dinamici di risk scoring e Service Level Agreement contrattuali devono entrare nei cataloghi di obblighi di governance e procurement. Inoltre, questo rafforza il ruolo CISO leadership nelle trattative interne.

3. Eseguire regolarmente test di resilienza e tabletop: Le verifiche della capacità di Incident Response, incluse le catene di comunicazione verso board, CFO e ufficio legale, devono svolgersi secondo un piano. L’implementazione europea di DORA alza le aspettative su test documentati e prove. In parallelo, il ruolo CISO leadership guadagna credibilità operativa.

Esempi pratici: cosa funziona in Svizzera

Gli Swiss CISO Awards e i casi del 2024 mostrano come l’esecuzione possa riuscire. Inoltre offrono indicazioni concrete su come impostare il ruolo CISO leadership:

Logitech (Tana Dubel): Approccio Zero Trust, certificazione ISO 27001 e stretta integrazione con il board hanno portato a maggiore resilienza e migliore compliance, quindi rappresentano un modello di come governance, misure tecniche e diversity possano agire insieme (Swiss CISO Awards / Logitech). In questo contesto, il ruolo CISO leadership emerge come funzione di coordinamento.

SMG Swiss Marketplace Group (Mostafa Hassanin): Reporting diretto alla direzione, introduzione di Key Risk Indicator e stretta collaborazione con Legal hanno migliorato trasparenza e processi decisionali. Di conseguenza, questo caso mostra come gli standard di reporting si possano attuare in modo operativo (Swiss CISO Awards / SMG). Anche qui, il ruolo CISO leadership risulta determinante.

Panoramica dei fatti: punti chiave verificabili

– L’83% dei CISOs europei partecipa regolarmente ai board meeting, tuttavia solo il 29% dei board ha competenze cyber (CISO Report 2025), 2024.
– Solo 1 azienda svizzera su 6 alloca i budget cyber in modo orientato al rischio (PwC Global Digital Trust Insights 2025), luglio 2024.
– DORA entra in vigore per gli istituti finanziari dal 2025; i requisiti su ICT risk management, test di resilienza e obblighi di notifica sono vincolanti (Baggenstos, 2024).

Conclusione: cosa fare adesso

Il ruolo CISO leadership si è evoluto da funzione puramente tecnica a compito di leadership integrato. L’ancoraggio nella governance, responsabilità finanziarie chiare e una collaborazione stretta con CFO e Legal non sono più elementi opzionali. Al contrario, sono la precondizione per la compliance normativa e la resilienza operativa. Le organizzazioni che ignorano questo passaggio rischiano costi regolatori ed economici elevati. Per un supporto operativo, si veda anche TECHWAY.

Pratica CISO: prossimi passi (checklist)

– Ancorate formalmente il ruolo CISO leadership nella governance, con reporting a CEO o a un comitato del board.
– Pretendete un modello di budget basato sul rischio con KPI chiari, con coinvolgimento del CFO, affinché il ruolo CISO leadership incida sulle scelte.
– Implementate un ICT risk management framework in linea con DORA/NIS2.
– Rendete operativi i Third-Party-Risk-Assessments e i Service Level Agreement contrattuali.
– Svolgete regolarmente test di resilienza e tabletop e riportate i risultati a board e Legal, così il ruolo CISO leadership resta ancorato all’evidenza.

Fonti e letture consigliate

Per approfondimenti e supporto all’implementazione consigliamo: PwC Global Digital Trust Insights 2025, il CISO Report 2025 (Bitkom / Splunk) e la panoramica normativa di Baggenstos. Per esempi pratici dalla Svizzera rimandiamo ai report sugli Swiss CISO Awards 2024, che illustrano bene anche il ruolo CISO leadership.

Key Take-away – Agite ora

Il consiglio di amministrazione e la direzione devono ancorare strategicamente la funzione CISO, mentre CFO e CISO devono stabilire un reporting congiunto e solido dal punto di vista economico, inoltre Legal va coinvolto tempestivamente. La regolamentazione europea, DORA e NIS2, rende questi passi urgenti. Pertanto la domanda non è più se un’azienda abbia bisogno di un CISO, bensì come il ruolo CISO leadership venga guidato, finanziato e tutelato sul piano giuridico.

Security Rating: cosa rivela davvero il punteggio della vostra azienda
Piattaforma di cybersecurity Coro: sostituire sei strumenti con un’unica soluzione
TECHWAY - ruolo CISO leadership

Inviaci un messaggio!

Compila questo campo
Compila questo campo
Inserisci un indirizzo email valido.
Compila questo campo

Di: 

Kris Kormany