LET’S TALK & CONNECT

Il ruolo del CISO (Chief Information Security Officer) si sta consolidando ma con differenze di maturità e riconoscimento. È quanto emerge dalla survey “Il Ruolo del CISO Survey 2025” di TIG e AssoCISO

Quella del Chief Information Security Officer (CISO) o Responsabile Cybersecurity è una figura sempre più matura, che oggi è chiamata non solo a proteggere l’impresa, i suoi dati e le sue persone, anche a guidare il cambiamento, a tradurre la sicurezza in valore per l’impresa. Il percorso professionale del CISO si apre a ruoli di vertice. È quanto emerge dall’indagine “Il Ruolo del CISO Survey 2025”, realizzata tra luglio e settembre 2025 da TIG – The Innovation Group e AssoCISO, su un campione di 172 organizzazioni italiane in prevalenza di grande dimensione, per investigare appunto le evoluzioni di questo ruolo alla luce dei cambiamenti tecnologici, normativi e geopolitici.

Il risultato è che il ruolo del CISO si sta consolidando ma con differenze di maturità e riconoscimento: ad esempio,è presente solo nel 61% delle aziende intervistate (che già dispongono di una strategia formale di cybersecurity) mentre negli altri casi la responsabilità sulla cybersecurity ricade su altre funzioni (CIO, CTO, CSO). Con riferimento alla collocazione aziendale del Responsabile Cybersecurity, si osserva una situazione molto disomogenea: nel 30% dei casi riporta al CIO e nel 29% al vertice.

Inoltre, solo la metà delle aziende prevede un flusso strutturato di comunicazione del CISO verso il CdA, mentre altrove il dialogo resta sporadico o intermediato. Questo limita la capacità del CISO di influenzare le decisioni strategiche.

Responsabilità e relazioni con il vertice aziendale

Nelle organizzazioni più strutturate, il CISO gestisce un portafoglio di attività ampio — dalla threat intelligence alla cloud security — mentre nelle realtà più piccole può trovarsi a coprire responsabilità afferenti tipicamente ad altri ruoli, come le funzioni di compliance. La comunicazione verso il CdA avviene in modo strutturato (su base trimestrale, semestrale o annuale) solo in 1 azienda su 2 (il 48% delle risposte). Negli altri casi, avviene solo su richiesta, in situazioni particolari oppure è disintermediata dal Comitato rischi, dal CIO o dal CSO, o anche non avviene mai.

Le principali criticità per il CISO

Il reperimento di personale qualificato rappresenta oggi la difficoltà più sentita, indicata dal 57% dei rispondenti. Seguono la difficoltà di far comprendere il valore della cybersecurity (39%) e la scarsa valorizzazione del ruolo all’interno dell’organizzazione (38%). Solo al quarto posto, rispetto al passato, si colloca la mancanza di fondi adeguati (36%), segno di una maggiore attenzione al tema. Tra le richieste ricorrenti per lavorare meglio, i CISO indicano appunto la necessità di ampliare e strutturare il team di sicurezza, ottenere maggior supporto dal top management, avere chiarezza su ruoli e responsabilità, budget adeguati e strumenti di automazione per ridurre il carico operativo. Rilevante anche la domanda di una maggiore integrazione con le altre funzioni aziendali. La comunicazione con il CdA è importante, ma comporta molte sfide (come mostra la figura successiva).

Trasformazione digitale e nuovi trend tecnologici

Le aziende italiane sono oggi impegnate in profondi processi di trasformazione digitale, che portano con sé anche la necessità di ripensare la cybersecurity. Secondo gli intervistati, il trend tecnologico destinato ad avere maggiore impatto in cybersecurity è l’intelligenza artificiale, seguita da migrazione al cloud, evoluzione dell’identity management e connettività degli oggetti.  Il livello di automazione delle difese cyber — sia nei Security Operations Center (SOC) sia a livello architetturale — è giudicato buono: il 61% delle organizzazioni dichiara un grado di automazione “abbastanza o molto elevato”.

Fattori geopolitici e scelte tecnologiche

In un contesto internazionale sempre più instabile, gli aspetti geopolitici influenzano in modo crescente le valutazioni su tecnologie e fornitori di cybersecurity. Le principali preoccupazioni riguardano le normative che impongono vincoli di scelta, la sovranità e localizzazione dei dati, le tensioni nelle aree chiave della supply chain, la dipendenza da tecnologie extra-UE, i rischi di backdoor o ingerenze statali e le sanzioni verso determinati vendor o Paesi. Ben il 39% delle organizzazioni dichiara di aver rivalutato o modificato le proprie scelte tecnologiche (vendor, servizi cloud, soluzioni di sicurezza) a causa di dinamiche geopolitiche, e il 63% prevede che questa influenza crescerà nei prossimi anni.

 Un ruolo sempre più strategico e complesso

La ricerca, condotta tra luglio e settembre 2025, ha raccolto 172 risposte da professionisti del settore, in prevalenza CISO e manager della cybersecurity. La maggior parte dei rispondenti appartiene a organizzazioni di grande dimensione (60% con oltre 1.000 addetti) e, in misura minore, a realtà medie (24%) e piccole (16%). I settori più rappresentati sono Industria e Finanza, confermando la rilevanza del tema per i comparti più esposti ai rischi cyber.

I risultati dell’indagine “Il Ruolo del CISO Survey 2025” delineano una figura professionale in forte evoluzione: più matura, più integrata nei processi decisionali, ma ancora alle prese con sfide legate a risorse, competenze e riconoscimento interno. Con la cybersecurity ormai divenuta parte integrante del business, il ruolo del CISO è sempre più strategico e trasversale. Alle competenze tecniche si affiancano oggi abilità manageriali e comunicative, fondamentali per dialogare con il top management, guidare il cambiamento e tradurre la sicurezza in valore per l’impresa.