Un CISO su cinque è spinto a tacere sugli attacchi, cresce il rischio per le imprese


Un responsabile della sicurezza su cinque dichiara di avere subito pressioni dalla propria organizzazione per non segnalare un incidente o un problema di conformità. Il dato, pari al 20%, emerge nell’analisi pubblicata da TechRadar Pro sul CISO Report 2026 di Splunk. Nel frattempo, il 78% degli intervistati teme responsabilità personali per gli incidenti. Per le imprese italiane questa tensione si inserisce in procedure che possono coinvolgere contemporaneamente ACN, CSIRT Italia e Garante per la protezione dei dati personali.

La ricerca si basa sulle risposte di 650 CISO. Secondo la metodologia pubblicata da Splunk, Oxford Economics ha condotto le interviste tra luglio e agosto 2025 in nove Paesi, tra cui Francia, Germania e Regno Unito. L’Italia non rientra nel campione: il 20% non costituisce quindi una stima diretta del mercato italiano, ma descrive una pressione organizzativa che le aziende devono gestire dentro regole europee e nazionali già operative.





Il 20% tra silenzio e responsabilità

Il rapporto descrive una contraddizione nella funzione del CISO. Le organizzazioni affidano al responsabile della sicurezza la resilienza informatica, l’escalation degli incidenti e una quota crescente della governance aziendale; in alcuni casi, però, la stessa struttura esercita pressioni affinché un evento o una criticità di conformità non vengano comunicati. La decisione non riguarda soltanto il contenimento tecnico dell’attacco, ma anche chi ha valutato l’accaduto, quali informazioni erano disponibili e perché è stata superata o esclusa una soglia di notifica.

La percezione del rischio personale è cresciuta rapidamente. Nel CISO Report 2026 di Splunk, il 78% dei responsabili intervistati dichiara di essere preoccupato per la propria responsabilità in relazione agli incidenti di sicurezza. TechRadar riporta che l’anno precedente la quota era del 56%. Il confronto indica un aumento di 22 punti percentuali mentre gli obblighi di trasparenza e la complessità delle indagini continuano a ricadere sulla stessa funzione.

Anche il perimetro operativo si è allargato. Il 79% afferma che il ruolo è diventato più complesso, mentre il 43% ha ricevuto nuove responsabilità in ambiti come le frodi e le indagini sui reati finanziari. Il 96% dei partecipanti è inoltre responsabile della governance e della gestione dei rischi legati all’intelligenza artificiale. Il CISO assume così una funzione che collega sicurezza, dati, conformità e politiche sull’adozione dell’IA.


La pressione ha conseguenze anche sulla continuità delle competenze: il 26% degli intervistati ha considerato di lasciare del tutto il settore della cybersicurezza. Il rischio organizzativo non si esaurisce quindi nella gestione dell’incidente. Un processo nel quale responsabilità e potere decisionale non coincidono può aumentare il carico sulle figure più specializzate proprio mentre all’azienda servono conoscenze tecniche, documentazione e capacità di dialogo con autorità e vertici.

La notifica diventa una scelta operativa

TechRadar collega questa tensione al Cyber Security and Resilience Bill, il disegno di legge in esame nel Parlamento del Regno Unito al momento descritto dalla fonte. La proposta è destinata ad aumentare la pressione sulle organizzazioni nell’identificazione, valutazione e comunicazione degli incidenti, includendo eventi significativi e casi prossimi all’incidente che potrebbero causare interruzioni. Per il CISO il problema diventa individuare il momento in cui le evidenze disponibili giustificano la notifica.

Segnalare troppo presto può produrre conseguenze operative, finanziarie e reputazionali quando il quadro tecnico è ancora incompleto. Segnalare troppo poco, oppure occultare un evento, espone invece l’organizzazione a sanzioni, perdita di fiducia e contestazioni sulla trasparenza. La ricerca del punto di equilibrio non può essere affidata a una valutazione informale o a un ordine impartito durante l’emergenza: deve poggiare su soglie definite, responsabilità riconoscibili e prove conservate.

Le prime ore di un attacco sono anche quelle in cui le informazioni risultano più frammentarie. I team devono difendere i sistemi e, contemporaneamente, stabilire gravità, impatto, servizi coinvolti e possibile origine dell’evento. Le decisioni di segnalazione vengono quindi prese mentre l’indagine è ancora in corso e alcuni fatti restano incerti. Un processo documentato permette di aggiornare la valutazione senza cancellare il percorso seguito nelle fasi precedenti.

Un intervento del National Cyber Security Centre britannico richiamato dalla fonte definisce le minacce informatiche una priorità urgente e invita i dirigenti ad agire per rafforzare la resilienza collettiva. Il messaggio sposta la gestione dell’incidente oltre il solo reparto IT: interruzioni nei settori essenziali incidono sulla continuità dei servizi e richiedono decisioni comprese, assegnate e provate prima che si presenti una crisi.


In Italia scattano due cronometri

In Italia il riferimento per i soggetti essenziali e importanti è il decreto legislativo 138/2024, che recepisce la direttiva NIS2. La norma individua nell’Agenzia per la cybersicurezza nazionale l’autorità competente e impone di notificare al CSIRT Italia gli incidenti con impatto significativo sulla fornitura dei servizi. Un evento è significativo quando può causare una grave perturbazione operativa, perdite finanziarie oppure conseguenze materiali o immateriali considerevoli per altre persone.

La pressione sui CISO incontra obblighi di notifica sempre più precisi: alle imprese servono soglie condivise, audit trail e responsabilità definite prima dell’incidente.

Nel testo italiano degli obblighi di notifica la sequenza prevede una pre-notifica entro 24 ore dalla conoscenza dell’incidente significativo, una notifica entro 72 ore e una relazione finale entro un mese. Il meccanismo riprende l’impostazione contenuta nell’articolo 23 della direttiva NIS2 e consente di comunicare rapidamente l’esistenza dell’evento, integrando in seguito gravità, impatto, indicatori di compromissione, causa probabile e misure di mitigazione.

Se l’incidente coinvolge dati personali, si apre un secondo percorso. Il GDPR stabilisce che il titolare notifichi la violazione all’autorità di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore, salvo che sia improbabile un rischio per i diritti e le libertà delle persone. Come riepilogato nella guida del Garante sui data breach, quando il rischio è elevato occorre anche informare gli interessati senza ingiustificato ritardo; tutte le violazioni devono comunque essere documentate.

Incidente NIS2 e violazione di dati personali non sono categorie automaticamente coincidenti. Per questo un’impresa italiana deve verificare in parallelo l’impatto sui servizi, il coinvolgimento di informazioni personali e le rispettive soglie normative. Il responsabile privacy, il CISO, la direzione legale e i vertici aziendali devono lavorare sulla stessa cronologia tecnica, evitando che due procedure separate producano valutazioni incompatibili o date diverse per la conoscenza dell’evento.


L’audit trail difende ogni decisione

La risposta indicata nell’analisi di TechRadar è una governance basata sulle evidenze. Al CISO non basta individuare rapidamente la minaccia: deve poter dimostrare che l’incidente è stato valutato in modo appropriato, portato al livello decisionale corretto e comunicato con trasparenza. Questa capacità protegge sia l’organizzazione sia le persone chiamate a decidere, perché rende verificabile la differenza tra un errore di valutazione e una scelta deliberata di non segnalare.

Il punto di partenza è un audit trail completo: cosa è accaduto, quando è stato rilevato, chi ha partecipato alle decisioni e quali informazioni erano disponibili in ciascun momento. Vanno conservati gli aggiornamenti della classificazione, le motivazioni dell’escalation, le soglie applicate e gli eventuali pareri legali o privacy. La documentazione deve seguire il processo dall’apertura dell’allarme alla relazione conclusiva, senza ricostruzioni retrospettive affidate soltanto alla memoria dei partecipanti.

La qualità della decisione dipende inoltre dalla possibilità di correlare in tempo reale attività provenienti da reti, endpoint, ambienti cloud e sistemi operativi. Una visione frammentata rende più difficile stabilire se un evento abbia superato la soglia di divulgazione; dati collegati consentono invece di ricostruire propagazione, servizi interessati e impatto. La tecnologia non sostituisce la decisione, ma fornisce le prove sulle quali sicurezza e direzione possono motivarla.

Per PMI ed enterprise il passaggio operativo consiste nel predisporre prima dell’incidente una matrice delle soglie applicabili, un registro delle decisioni e un percorso di escalation con sostituti già individuati. Le simulazioni dovrebbero includere non soltanto il contenimento dell’attacco, ma anche la compilazione delle notifiche nelle prime 24 e 72 ore. Contratti con fornitori cloud, gestori di servizi e responsabili del trattamento devono consentire all’impresa di ricevere tempestivamente gli elementi necessari.

Il consiglio entra nel flusso cyber

L’estensione delle mansioni alla governance dell’IA, alle frodi e allo sviluppo sicuro rende insufficiente trattare il CISO come un responsabile puramente tecnico. Budget, accettazione del rischio e comunicazioni alle autorità coinvolgono decisioni aziendali che richiedono una responsabilità condivisa. Se il vertice può chiedere il silenzio mentre il responsabile della sicurezza resta esposto personalmente, la catena di governo dell’incidente è già compromessa prima dell’attacco.


Il quadro delineato dal rapporto non lascia alle imprese la scelta tra silenzio e comunicazione prematura. La soluzione passa da notifiche progressive, criteri fissati in anticipo e prove che mostrino ciò che l’organizzazione sapeva al momento della decisione. Per le aziende italiane, la sovrapposizione tra NIS2 e GDPR rende questa disciplina documentale parte della continuità operativa: serve a rispettare i termini, aggiornare correttamente le autorità e impedire che la pressione interna cancelli la tracciabilità dell’incidente.


#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
 Tom’s Hardware

Source link

Di