contact@techway.ch
+41 44 585 23 09
TECHWAY Schweiz Logo
IT
DEFREN

Ruolo del CISO in Europa e in Svizzera – Parte 3/5

Attacchi informatici e pressione regolatoria hanno cambiato il dovere di Führung per la sicurezza delle informazioni. In Europa e in Svizzera i CISO non si vedono più solo come responsabili tecnici, bensì come figure di leadership strategica che devono connettere temi di budget, legali e di board – una dinamica ulteriormente accelerata da DORA, NIS2 e dalle disposizioni nazionali.

Il nuovo ruolo di leadership del CISO: reporting, budget e governance

L’integrazione del CISO nella direzione aziendale è in evidente crescita in Europa: secondo il CISO Report 2025, l’83% dei CISO europei partecipa regolarmente alle riunioni del consiglio. Allo stesso tempo, solo il 29% dei board dispone di competenze specifiche in ambito cyber. Questo divario influisce sul modo in cui i CISO devono colmare la distanza tra tecnica e direzione aziendale.

In Svizzera, l’analisi Global Digital Trust Insights 2025 di PwC mostra che solo un’azienda su sei pianifica i budget cyber in base al rischio. I responsabili del budget – spesso i CFO – e i CISO si trovano quindi davanti a domande di fondo: come tradurre gli investimenti in sicurezza in indicatori economici? E come ottenere per il CISO l’autorità decisionale desiderata? Esempi pratici dalla Svizzera indicano la via: tra i vincitori degli Swiss CISO Awards diversi CISO riportano direttamente alla direzione, creando linee decisionali e di budget più chiare (Swiss CISO Awards, 2024).

CISO e CFO: allocazione del budget come campo di conflitto

Il rapporto tra CISO e CFO è ormai una componente centrale di una cyber governance efficace. Gli studi mostrano che i board vogliono trattare il cyber come rischio di business e non solo come rischio IT: il 52% dei board vede il CISO come un abilitatore del business, ma solo il 34% dei CISO condivide questa visione (CISO Report 2025). Le conseguenze sono pratiche: i progetti di sicurezza competono con altre iniziative di investimento per risorse limitate. Un modello di budget basato sul rischio impone quindi ai CISO di tradurre gli investimenti in metriche monetarie – come la perdita attesa evitata, i rischi reputazionali o i costi sanzionatori regolatori.

Esempi di best practice dalla Svizzera illustrano come avviene questa traduzione: presso SMG Swiss Marketplace Group il Group CISO riporta direttamente alla direzione e ha introdotto Key Risk Indicator (KRI) che forniscono al CFO e al board basi decisionali concrete. Questo approccio ha aumentato la trasparenza e accelerato le approvazioni di budget (Swiss CISO Awards / SMG, 2024).

CISO e ufficio legale: responsabilità, obblighi di notifica e compliance

Con DORA, NIS2 e la revisione della Legge svizzera sulla protezione dei dati (DSG 2023) aumenta la responsabilità regolatoria dei CISO. La stretta collaborazione con Legal e Compliance è quindi imprescindibile: i CISO devono tradurre i rischi tecnici in eventi giuridicamente rilevanti, coordinare gli obblighi di notifica e garantire conservazione delle prove e documentazione.

La prassi mostra ampie aree di sovrapposizione: ai CISO viene richiesto sempre più spesso di garantire conformità a standard ISO, prescrizioni privacy e processi di notifica. Contributi specialistici sulla pratica dei CISO in Svizzera sottolineano la necessità di chiari confini di ruolo e di processi tra tecnica e ufficio legale per ridurre i rischi di responsabilità personale e rispettare le scadenze regolatorie (Wirz & Partners, pratica CISO Svizzera, 2024).

Quadro regolatorio: DORA, NIS2, FINMA e DSG

La normativa europea inasprisce visibilmente i requisiti di governance. DORA richiede alle istituzioni finanziarie, dal 2025, framework completi di gestione del rischio ICT, test di resilienza e obblighi di notifica; NIS2 estende i requisiti per governance e gestione della catena di fornitura. Le istituzioni svizzere si ispirano a tali disposizioni e le completano con circolari FINMA e raccomandazioni nazionali del NCSC. Una panoramica consolidata degli impatti su governance, rischio terze parti e reporting si trova nell’analisi di Baggenstos (Baggenstos, 2024).

Per i CISO ciò significa concretamente: maggiore coinvolgimento nei processi decisionali strategici, obblighi di reporting formalizzati verso board e regolatori, nonché requisiti più elevati per la due diligence sui terzi e la testabilità delle misure di resilienza. Banche e assicurazioni svizzere sono inoltre soggette alla vigilanza FINMA, che esige la gestione del rischio ICT a livello di direzione e professionalizza ulteriormente la posizione del CISO.

Board communication: cosa si aspettano Consiglio di amministrazione e CEO

I consigli di amministrazione oggi richiedono informazioni incisive e rilevanti per il business: quantificazione del rischio, indicatori di tendenza, scenari d’impatto e raccomandazioni azionabili. Ai CISO spetta tradurre i contenuti tecnici in Key Risk Indicator (KRI), analisi di scenario e opzioni decisionali. La mancanza di traduzione genera divergenze percettive – lo evidenzia lo scarto tra aspettative del board e auto-percezione dei CISO nel CISO Report 2025.

Strumenti pratici per la comunicazione al board sono dashboard standardizzate, reporting a livelli (operativo, tattico, strategico) e punti decisionali preformulati con analisi costi-benefici. I premiati svizzeri sottolineano inoltre l’efficacia di briefing più frequenti e brevi rispetto a report rari e lunghi – un formato che mantiene meglio l’attenzione di CEO e responsabili finanziari (Swiss CISO Awards, 2024).

Panoramica dei fatti: messaggi chiave con fonti

– L’83% dei CISO europei partecipa regolarmente alle riunioni del board; solo il 29% dei board dispone di competenze cyber (CISO Report 2025, 2024).

– Solo 1 azienda su 6 in Svizzera alloca i budget cyber in base al rischio; i CISO svizzeri sono meno coinvolti nelle decisioni operative di business (PwC Global Digital Trust Insights 2025, luglio 2024).

– I ruoli CISO in Svizzera mostrano sempre più linee di reporting dirette a direzione/CEO e introducono KRI a supporto delle decisioni (candidature agli Swiss CISO Awards; Swiss Cyber Institute / Computerworld, 2024).

– DORA e NIS2 aumentano gli obblighi di governance, reporting e gestione dei terzi; Baggenstos riassume gli impatti per CH/UE dal punto di vista dei CISO (Baggenstos, 2024).

Esempi pratici Svizzera / Europa

– Logitech (Swiss CISO of the Year 2024): la CISO Tana Dubel ha introdotto una strategia Zero Trust, ottenuto la certificazione ISO 27001 e rafforzato l’integrazione a livello di board e la diversità nel team cyber. Fonte: Swiss CISO Awards / Computerworld e Swiss Cyber Institute.

– SMG Swiss Marketplace Group: il Group CISO Mostafa Hassanin riporta direttamente alla direzione, ha introdotto KRI e migliorato l’allineamento con Legal/Compliance. Fonte: Swiss CISO Awards.

– Settore finanziario europeo: DORA/NIS2 impongono a banche e assicurazioni test di resilienza, framework di gestione del rischio ICT e obblighi di notifica rapidi, rafforzando il coinvolgimento del CISO in governance e obblighi di reporting (Baggenstos, 2024).

Sfide attuali e raccomandazioni operative

Dagli studi e dai casi emergono raccomandazioni pratiche:

– Ancoraggio nella direzione: i CISO dovrebbero puntare a una linea di reporting diretta verso CEO o direzione per migliorare qualità decisionale e accesso al budget (esempio SMG).

– Traduzione economica dei rischi: implementare KRI e modelli di impatto monetari per offrire a CFO e board basi decisionali solide (PwC, 2024).

– Allineamento legale: istituire interfacce formali con Legal/Compliance per processi di notifica e documentazione; definizioni chiare di ruoli e responsabilità riducono i rischi di responsabilità (Wirz & Partners, 2024).

– Roadmap regolatoria: pianificare la conformità a DORA/NIS2 come compito di governance di lungo periodo; investire nella gestione del rischio di terze parti e nei test di resilienza.

Conclusione

Il ruolo del CISO in Europa e in Svizzera si è evoluto da funzione puramente tecnica a incarico di leadership multidimensionale. Linee di reporting, responsabilità di budget e stretto allineamento con CFO e ufficio legale sono oggi requisiti centrali. Disposizioni regolatorie come DORA, NIS2 e il DSG revisionato rafforzano questa tendenza e rendono urgenti strutture di governance chiare. Le aziende che ancorano i CISO come partner strategici in direzione e board creano migliori premesse per resilienza e compliance.

CISO as a Service – il suo prossimo passo

Se risorse interne o ostacoli strutturali rendono difficile un ancoraggio diretto, modelli esterni offrono un’alternativa. L’expertise per governance, board reporting, quantificazione del rischio e roadmap regolatorie può essere ottenuta in modo flessibile tramite fornitori esperti. Per un primo confronto su modelli possibili e misure concrete siamo a sua disposizione come spezializzato provider.

Key take-away – connettere ora governance, budget e compliance

Ancorate la funzione CISO nella direzione, traducete i rischi in indicatori economici, istituite interfacce vincolanti con Legal/Compliance e pianificate i compiti DORA/NIS2 nel lungo periodo. Solo così il ruolo del CISO diventa un incarico di leadership stabilizzante – e non un’istanza tecnica isolata.

Ruolo di leadership del CISO in Europa e in Svizzera – Parte 2/5
Digital Risk Protection: una questione per i vertici contro il CEO fraud
Die neue Führungsrolle des CISO in Europa und der Schweiz – Governance, Regulierung und finanzielle Verantwortung - Teil 3/5

Inviaci un messaggio!

Compila questo campo
Compila questo campo
Inserisci un indirizzo email valido.
Compila questo campo

Di: 

Kris Kormany