TIG – The Innovation Group e AssoCISO presenteranno il prossimo 19 novembre, in occasione del CYBERSECURITY SUMMIT 2025 di Roma, i risultati della prima edizione dell’Indagine “Il Ruolo del CISO Survey 2025”, che ha avuto l’obiettivo di analizzare come si sta configurando oggi la figura del Responsabile Cybersecurity (Chief Information Security Officer, CISO) nelle organizzazioni italiane, alla luce dei cambiamenti tecnologici, normativi e geopolitici. I messaggi chiave che emergono dall’indagine:
- Il CISO evolve verso un ruolo di leadership Dalla survey emerge una figura sempre più matura, chiamata non solo a proteggere, anche a guidare il cambiamento, a tradurre la sicurezza in valore per l’impresa. Il percorso professionale del Responsabile Cybersecurity si apre a ruoli di vertice.
- Il ruolo del CISO si consolida ma con differenze di maturità e riconoscimento: è presente solo nel 61% delle aziende intervistate (che già dispongono di una strategia formale di cybersecurity) mentre negli altri casi la responsabilità sulla cybersecurity ricade su altre funzioni (CIO, CTO, CSO). Con riferimento alla collocazione aziendale del Responsabile Cybersecurity, si osserva una situazione molto disomogenea: nel 30% dei casi riporta al CIO e nel 29% al vertice.
- Solo la metà delle aziende prevede un flusso strutturato di comunicazione del CISO verso il CdA, mentre altrove il dialogo resta sporadico o intermediato. Questo limita la capacità del Responsabile Cybersecurity di influenzare le decisioni strategiche.
- Manca ancora una piena integrazione della sicurezza nei processi aziendali: solo il 65% dichiara che la strategia di cybersecurity è pienamente attuata. La comprensione della strategia di cybersecurity da parte del business è buona solo nel 46% delle aziende, la disponibilità di risorse adeguate nel 36%.
- La carenza di personale è la principale criticità. Il team ideale di cybersecurity dovrebbe essere del 54% più ampio (in media). Il reperimento di personale qualificato è la difficoltà segnalata più spesso, seguita dalla scarsa comprensione del valore della cybersecurity e dal limitato riconoscimento del ruolo del Responsabile Cybersecurity.
- L’evoluzione tecnologica, così come la situazione geopolitica, impongono un ripensamento della sicurezza. La trasformazione digitale e l’adozione di nuove tecnologie – in primis AI, cloud e identity management – stanno ridefinendo le priorità della cybersecurity. Le tensioni internazionali e i vincoli normativi legati alla sovranità digitale influenzano le decisioni su fornitori e tecnologie. Molti hanno già modificato le proprie scelte per effetto di fattori geopolitici, e la maggioranza prevede che questo trend crescerà nei prossimi anni.
Responsabilità e relazioni con il vertice aziendale
Nelle organizzazioni più strutturate, il CISO gestisce un portafoglio di attività ampio — dalla threat intelligence alla cloud security — mentre nelle realtà più piccole può trovarsi a coprire responsabilità afferenti tipicamente ad altri ruoli, come le funzioni di compliance. La comunicazione verso il CdA avviene in modo strutturato (su base trimestrale, semestrale o annuale) solo in 1 azienda su 2 (il 48% delle risposte). Negli altri casi, avviene solo su richiesta, in situazioni particolari oppure è disintermediata dal Comitato rischi, dal CIO o dal CSO, o anche non avviene mai.
Le principali criticità per il Responsabile Cybersecurity
Il reperimento di personale qualificato rappresenta oggi la difficoltà più sentita dalla figura del Responsabile Cybersecurity, indicata dal 57% dei rispondenti. Seguono la difficoltà di far comprendere il valore della cybersecurity (39%) e la scarsa valorizzazione del ruolo all’interno dell’organizzazione (38%). Solo al quarto posto, rispetto al passato, si colloca la mancanza di fondi adeguati (36%), segno di una maggiore attenzione al tema. Tra le richieste ricorrenti per lavorare meglio, i CISO indicano appunto la necessità di ampliare e strutturare il team di sicurezza, ottenere maggior supporto dal top management, avere chiarezza su ruoli e responsabilità, budget adeguati e strumenti di automazione per ridurre il carico operativo. Rilevante anche la domanda di una maggiore integrazione con le altre funzioni aziendali. La comunicazione con il CdA è importante, ma comporta molte sfide (come mostra la figura successiva).
Trasformazione digitale e nuovi trend tecnologici
Le aziende italiane sono oggi impegnate in profondi processi di trasformazione digitale, che portano con sé anche la necessità di ripensare la cybersecurity. Secondo gli intervistati, il trend tecnologico destinato ad avere maggiore impatto in cybersecurity è l’intelligenza artificiale, seguita da migrazione al cloud, evoluzione dell’identity management e connettività degli oggetti. Il livello di automazione delle difese cyber — sia nei Security Operations Center (SOC) sia a livello architetturale — è giudicato buono: il 61% delle organizzazioni dichiara un grado di automazione “abbastanza o molto elevato”.
Le preoccupazioni del Responsabile Cybersecurity: fattori geopolitici e scelte tecnologiche
In un contesto internazionale sempre più instabile, gli aspetti geopolitici influenzano in modo crescente le valutazioni su tecnologie e fornitori di cybersecurity. Le principali preoccupazioni del Responsabile Cybersecurity riguardano le normative che impongono vincoli di scelta, la sovranità e localizzazione dei dati, le tensioni nelle aree chiave della supply chain, la dipendenza da tecnologie extra-UE, i rischi di backdoor o ingerenze statali e le sanzioni verso determinati vendor o Paesi. Ben il 39% delle organizzazioni dichiara di aver rivalutato o modificato le proprie scelte tecnologiche (vendor, servizi cloud, soluzioni di sicurezza) a causa di dinamiche geopolitiche, e il 63% prevede che questa influenza crescerà nei prossimi anni.
Un ruolo sempre più strategico e complesso
La ricerca, condotta tra luglio e settembre 2025, ha raccolto 170 risposte da professionisti del settore, in prevalenza CISO e manager della cybersecurity. La maggior parte dei rispondenti appartiene a organizzazioni di grande dimensione (60% con oltre 1.000 addetti) e, in misura minore, a realtà medie (24%) e piccole (16%). I settori più rappresentati sono Industria e Finanza, confermando la rilevanza del tema per i comparti più esposti ai rischi cyber.
I risultati dell’indagine “Il Ruolo del CISO Survey 2025” delineano una figura professionale in forte evoluzione: più matura, più integrata nei processi decisionali, ma ancora alle prese con sfide legate a risorse, competenze e riconoscimento interno. Con la cybersecurity ormai divenuta parte integrante del business, il ruolo del Responsabile Cybersecurity è sempre più strategico e trasversale. Alle competenze tecniche si affiancano oggi abilità manageriali e comunicative, fondamentali per dialogare con il top management, guidare il cambiamento e tradurre la sicurezza in valore per l’impresa.
