Intelligenza Artificiale Big Data Cybersecurity Data Center Internet4Things VitaDaCIO Agile4Executive

le riflessioni dei cio

Direttiva NIS2: come cambia la gestione della cybersicurezza tra CIO e CISO

Home Cybersecurity
Partecipa al dibattito
Indirizzo copiato

Ruoli, competenze e responsabilità di queste due figure chiave cambiano ed evolvono. Le opinioni a confronto di D’Accolti (AMA), Cibrario (Libera Università Vita-Salute San Raffaele), Guma (De’ Longhi Group), Telmon (P4I) e Ardolino (Graded)

Pubblicato il 7 apr 2026
Shutterstock_2697761095
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

La cybersicurezza continua a richiedere la massima attenzione ai CIO. E, sempre più spesso, ai loro colleghi CISO (Chief Information Security Officer), che li affiancano nelle funzioni specificamente legate alla difesa informatica e agli adempimenti normativi – compliance NIS2 in testa.

Secondo il Rapporto Clusit 2026 sulla cybersecurity in Italia e nel mondo, nel 2025 si sono registrati cinquemila incidenti cyber, il numero più alto di sempre e pari a un incremento del 49% rispetto al 2024. Il dato sottolinea un’accelerazione senza precedenti all’interno di un trend quinquennale che già ha visto gli eventi aumentare di oltre il 150%.

È cresciuta anche la media mensile degli attacchi: da poco più di 170 incidenti al mese a oltre 430. Si tratta di una pressione continua sulle organizzazioni che, unita alle responsabilità di adeguamento alla NIS2, ha portato un numero crescente di imprese a includere la figura manageriale del CISO, con un team di dimensioni più o meno grandi e in stretta collaborazione col CIO.

NIS2, come trasformare l’obbligo normativo in leva strategica

Compliance NIS2: si rafforza la sinergia tra CISO e CIO

Il CISO ha responsabilità che includono la gestione del rischio cyber, la definizione delle strategie di sicurezza, il coordinamento delle attività di compliance e il dialogo con il vertice aziendale (spesso riporta direttamente al CDA). Il suo ruolo si estende, quindi, a tutta l’organizzazione, per integrarsi sia con l’IT che con le altre funzioni.

Parallelamente, il CIO mantiene un ruolo più focalizzato sull’innovazione tecnologica e l’abilitazione del business, liberandosi dagli oneri di conformità ampi previsti dalla NIS2.

Il rapporto tra CIO e CISO è, dunque, una collaborazione tra due figure complementari e sempre più in sinergia, come spiega Lucio D’Accolti, CIO di AMA. Nella municipalizzata romana, il CISO dipende dal CIO dal punto di vista organizzativo e funzionalmente dal CDA, in quanto responsabile per l’adeguamento alla NIS2. «La sinergia tra queste due figure è quanto mai necessaria, perché l’impatto della NIS2 è pervasivo sull’organizzazione aziendale. CIO e CISO devono collaborare affinché l’azienda sia complessivamente compliant», osserva D’Accolti.

Nelle PMI, tuttavia, prevale ancora oggi una figura manageriale unica. È ancora possibile gestire IT e sicurezza insieme?

CIO e CISO: alleati o rivali? Dentro le nuove dinamiche della governance digitale

La rivincita del CISO

Tradizionalmente, la sicurezza informatica è stata considerata una componente dell’IT, sotto la responsabilità diretta del CIO. La nascita di un ruolo manageriale separato si lega a due fattori fondamentali.

Da un lato, l’aumento esponenziale delle minacce informatiche – come rilevato dal Rapporto Clusit – che richiede un approccio strutturato di gestione del rischio. Dall’altro lato, il rafforzamento del quadro normativo, in particolare la compliance NIS2, che ha imposto alle organizzazioni obblighi stringenti oltre l’ambito IT, coinvolgendo direttamente il top management e introducendo responsabilità chiare in termini di governance.

«Si lavora insieme per far capire a tutti quanto sia importante rispondere in modo corretto alle esigenze normative ma anche alla situazione tecnologica, che vede un aumento di volume e aggressività delle minacce potenziate dall’AI, e geopolitica, che moltiplica le azioni cyber-criminali», specifica il CIO di AMA.

Risk management: cos’è, come si fa, esempi e vantaggi per le aziende

Compliance NIS2: rivedere la postura sui temi della cybersecurity

«Il rapporto tra CIO e CISO si è intensificato con le attività che ci vedono coinvolti per l’adeguamento alla NIS2 – conferma Lorenzo Cibrario, CIO di Libera Università Vita-Salute San Raffaele –. È un percorso impegnativo ma necessario e rappresenta un’opportunità di revisione di quella che è la postura sui temi cyber, con una maggiore condivisione tra tutti gli attori, da quelli tecnici al board».

Per Debora Guma, CIO di De’ Longhi Group, la scelta che appare più adeguata è un CISO che dipende dal CIO. «In questo caso, si riesce ad ottenere il focus che ormai le aziende devono obbligatoriamente avere sulla cybersecurity e, contestualmente, la collaborazione sulle tecnologie di base che determina il successo delle attività del CISO – afferma la manager –. In questo scenario, il CIO ha il compito di smussare tutte le eventuali asperità che possono sorgere con gli altri manager IT nella sua struttura. Le priorità dei manager delle infrastrutture e delle applicazioni possono, infatti, essere diverse rispetto alla cura dei dettagli che alcuni aspetti della sicurezza informatica impongono».

Ruoli uniti o separati?

«Il CISO è la figura più opportuna per occuparsi degli aspetti di adeguamento, che non spettano solo ai sistemi informativi, ma all’area della gestione del rischio aziendale», osserva Claudio Telmon, Senior Partner Information & Cyber Security di P4I.

In molte aziende italiane, tuttavia, i due ruoli restano uniti e la gestione dei rischi e della compliance NIS2 può funzionare altrettanto bene. Come spiega Gennaro Ardolino, CIO e CISO della energy saving company Graded, la fusione delle funzioni IT e sicurezza per Graded è un vantaggio a favore della velocità decisionale e della riduzione della burocrazia. «Questa organizzazione ci permette di agire sui nuovi processi, che nascono cybersicuri by design –evidenzia Ardolino –. La sicurezza non è un intervento ex post sui processi ma è concepita fin dall’inizio grazie alla visione unica tra infrastruttura IT e cybersicurezza. Questo ci collega anche più velocemente alle funzioni di business».

Certificazione ISO 27001 e compliance NIS2, una strategia a tutto campo

Se, tuttavia, la responsabilità di CIO e CISO ricade sulla stessa figura manageriale, all’interno del team di Ardolino sono stati creati due gruppi di lavoro diversi per IT e sicurezza. Il primo si compone di otto persone e al momento sta gestendo – in parte internamente in parte con l’outsourcing – più di 30 progetti. Il secondo ha due risorse dedicate a tempo pieno che si occupano di attività di Vulnerability Assessment, i pen test e le campagne interne anti-phishing, nonché del monitoraggio della certificazione ISO 27001 e dell’adeguamento alla normativa NIS2 (Graded è soggetto strategico). La formazione e la Cyber Awareness sono, invece, affidate a una società esterna.

«Sono stato io stesso a fondare l’area cybersicurezza in azienda, nel 2021, dopo che l’emergenza Covid aveva portato alla ribalta i rischi cyber connessi con la forte digitalizzazione. Un focus dedicato alla sicurezza informatica era irrinunciabile – racconta Ardolino –. Abbiamo iniziato con le certificazioni e l’adeguamento con le checklist ISO 27001, e questo è stato il punto di partenza per una strategia a tutto campo che deve necessariamente restare aggiornata, perché le tecniche di attacco evolvono in continuazione e occorre una vigilanza costante sul comportamento umano, spesso l’anello debole della catena».

Direttiva NIS2: l’impatto sull’organizzazione

«Per quanti baluardi si possano erigere (e le tecnologie permettono una mitigazione del rischio efficace, anche grazie all’AI), non c’è difesa che tenga di fronte a un comportamento poco consapevole», evidenzia Ardolino. Resta preoccupante, in particolare, «la continua evoluzione degli attacchi di phishing che fanno leva sulla distrazione dei dipendenti, anche con messaggi via sms e app di messaggistica sul cellulare, che contengono codici e link su cui cliccare».

I sistemi di monitoraggio e assessment, dunque, non bastano: la cybersicurezza dipende dalla consapevolezza del personale ed è per questo che le aziende puntano sulla formazione. Nel caso di Graded, è stato avviato un piano triennale con il supporto di un partner che prevede una formazione continua e costante delle risorse, in modo da alimentare l’awareness e tenere le persone aggiornate rispetto all’evoluzione delle tecniche di attacco.

Lo stesso discorso vale per la Libera Università Vita-Salute San Raffaele: da alcuni anni sono stati inseriti dei percorsi di formazione sui rischi cyber obbligatori per tutti i dipendenti. Vengono anche promosse delle campagne e-mail di awareness con cadenza mensile, per restare informati sui pericoli in corso. A questo, rivela il CIO Cibrario, viene affiancata una formazione specifica per il top management mirata alla compliance NIS2.

Awareness e sensibilizzazione: il valore della formazione continua

Anche AMA conduce attività di formazione e cyber-awareness, poste sotto la diretta responsabilità del CISO. Sono incluse le campagne interne di sensibilizzazione sul phishing, la minaccia più temuta dalle imprese. «Conduciamo campagne di sensibilizzazione, effettuate a oggi con circa 20.000 e-mail, e abbiamo verificato che questo aumenta l’attenzione dei dipendenti e fa scendere il click rate», evidenzia D’Accolti.

La gestione della cybersicurezza non si esaurisce, naturalmente, nella collaborazione tra CIO e CISO: la NIS2, infatti, è una direttiva che tocca i processi e le procedure nei vari dipartimenti aziendali e richiede il coinvolgimento attivo di tutti.

«CIO e CISO devono lavorare a contatto con le altre funzioni aziendali, perché la gestione della sicurezza è un tema che tocca tutta l’azienda – ribadisce Telmon di P4I –. Un esempio è la valutazione dell’impatto di eventuali incidenti, che non è una valutazione sui sistemi informativi ma sui processi operativi, l’immagine e gli stakeholder interni ed esterni dell’azienda».

In particolare, CIO e CISO devono lavorare in perfetta sinergia con l’Ufficio legale dell’azienda, come sottolinea Guma. Questo è essenziale viste le prossime scadenze fissate per gli adempimenti della legge europea, conferma D’Accolti: «Col nostro General Counsel stiamo già predisponendo un gruppo di lavoro comune per affrontare i prossimi mesi della NIS2».

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

foto di patrizia licata
Patrizia Licata

Patrizia Licata, nata a Roma, laureata in Lettere, giornalista professionista, moderatrice e editor, specializzata in tecnologie (Tlc e Ict) ed economia digitale, energia e ambiente, automotive e mobilità, salute. Collabora con CorCom e altre testate del gruppo Nextwork360 e con Il Messaggero-Motori. Ha scritto per agenzie di stampa, riviste, quotidiani e siti internet. È autrice di romanzi gialli e poesie.

Leggi anche:

guest
0 Commenti
Più recenti Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Aziende

Argomenti

Canali

VITA DA CIO

Vedi tutti gli approfondimenti >

Articoli correlati

  • cybersecurity della supply chain zerouno

  • scenari

    Cybersecurity della supply chain: gestire il rischio tra compliance e resilienza

    05 Mar 2026

    di Mattia Lanzarone

    Condividi
  • Shutterstock_2291084033

  • Infrastrutture

    OVHcloud: operativo il nuovo data center italiano

    12 Dic 2025

    di Redazione ZeroUno

    Condividi
  • Shutterstock_2231242951

  • guida

    Digital Employee Experience: come evolvono le piattaforme per il nuovo workplace ibrido

    11 Nov 2025

    di Federico Parravicini

    Condividi
  • GenAI

  • Analisi

    Intelligenza artificiale generativa, dal clamore mediatico al valore reale

    13 Ott 2025

    di Giorgio Fusari

    Condividi