Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

L proposta

La relazione annuale del CISO nel modello NIS 2: un tassello della resilienza aziendale

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

La relazione annuale del CISO, pur non essendo prevista come adempimento formale nel sistema disegnato dalla NIS 2, è uno strumento con cui governare il rischio e orientare risorse e priorità. Ecco perché potrebbe diventare un asse portante della governance

Pubblicato il 10 dic 2025
Giuseppe Alverone

Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024

Monica Perego

Consulente, Formatore Privacy & DPO

CISO sicurezza acceleratore; La relazione annuale del CISO nel modello NIS 2: un quadro operativo della resilienza aziendale

Nel sistema disegnato dalla NIS 2 e dal D.Lgs. 138/2024, la relazione annuale del CISO – o, in sua assenza, del Responsabile It – non è prevista come adempimento formale.

Tuttavia è uno strumento con cui, comunque, il vertice può esercitare consapevolmente il proprio ruolo, governare il rischio e orientare risorse e priorità.

Ecco la proposta di una struttura della relazione, distinguendo tra consuntivazione e pianificazione e spiegandone la valenza strategica e la natura dinamica. Si tratta di un documento che può diventare un asse portante della governance.

NIS 2 come sicurezza misurabile: come riconoscere un incidente significativo

La relazione annuale del CISO come quadro operativo della resilienza aziendale

La direttiva NIS 2 (che punta a rafforzare la cyber security e la resilienza delle infrastrutture digitali in tutta l’UE) non impone la figura del CISO. Eppure, ovunque esista una reale esposizione ai rischi digitali, quella funzione è ormai parte naturale dell’organigramma.

Il D.lgs. 138/2024, all’art. 23 (1), impone agli organi di vertice di:

  • approvare le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica;
  • sovrintendere all’implementazione degli obblighi posto dal decreto NIS.

Per farlo, serve un documento che renda:

  • il rischio leggibile;
  • i fatti verificabili;
  • le decisioni informate.

È qui che entra in gioco la relazione del CISO. Un atto ufficiale, consegnato almeno una volta l’anno, in grado di raccontare quanto è stato fatto, ciò che è accaduto nonché gli ostacoli, le vulnerabilità emerse, gli audit, le remediation, lo stato dei fornitori, la formazione, gli incidenti, la maturità organizzativa e ciò che deve essere realizzato nel periodo successivo.

Si tratta di un documento che, se redatto bene, diventa uno dei tasselli della resilienza aziendale.

Perché la relazione è necessaria

La finalità della relazione consiste nel mettere il vertice organizzativo nelle condizioni di decidere con cognizione di causa.

Il Consiglio di Amministrazione o l’organo equivalente devono poter esercitare il proprio ruolo non per sentito dire, ma sulla base di evidenze ed ecco che la relazione permette al vertice di:

  • comprendere lo stato reale di implementazione delle misure NIS 2;
  • valutare gli scostamenti rispetto al piano di implementazione;
  • deliberare l’adeguatezza delle misure;
  • orientare budget e priorità;
  • assumersi la responsabilità prevista dalla legge.

La relazione appare quindi come il ponte tra chi deve sapere e chi deve agire.

La struttura logica della relazione

La relazione potrebbe/dovrebbe essere articolata in due grandi blocchi: la consuntivazione del periodo passato e la pianificazione del periodo successivo.

Questa suddivisione trasforma il documento in un vero strumento di governo.

Consuntivazione: ciò che è stato fatto, ciò che è successo, ciò che manca

In questa sezione confluiscono tutte le informazioni necessarie a fotografare la maturità aziendale e in particolare lo stato di implementazione delle misure NIS 2 cioè un aggiornamento puntuale sulla presa in carico delle misure del piano approvato.

Il CISO dovrebbe evidenziare ciò che è stato fatto, gli ostacoli incontrati, le misure implementate e quelle ancora in corso.

Aggiornamento del piano

La realtà non è statica. Per questo motivo dovrebbero essere illustrate le esigenze di revisione del piano dovute a:

  • nuove disposizioni dell’ACN;
  • nuove vulnerabilità individuate;
  • nuove soluzioni tecnologiche;
  • eventi interni/esterni che hanno inciso sulla sicurezza;
  • cambi organizzativi;
  • evoluzioni normative o operative.

Fornitori e catena di dipendenze

La relazione dovrebbe anche riportare:

  • la valutazione dell’adeguatezza dei fornitori critici;
  • i rischi emersi;
  • eventuali penalità;
  • gli SLA non rispettati;
  • gli audit condotti e i risultati ottenuti.

Formazione del personale

Resoconto delle attività formative svolte, grado di copertura, budget consumato, ricadute operative.

Incidenti e notifiche

Dovrebbero essere riportati:

  • gli incidenti avvenuti;
  • gli eventi che avrebbero potuto compromette la sicurezza;
  • le notifiche volontarie;
  • lo stato della procedura di notifica che deve essere operativa dal primo gennaio 2026.

Audit, ispezioni, controlli

La relazione riporta inoltre:

  • audit interni;
  • audit sui fornitori;
  • audit dei clienti;
  • ispezioni previste dagli artt. 35, 36 e 37 D.lgs. 138/2024;
  • remediation avviate;
  • remediation completate.

Aggiornamento su Acn, CSIRT e punti di contatto

Elenco delle modifiche intervenute, nomine, sostituzioni e stato dei referenti.

Aspetti societari e organizzativi

Ogni variazione societaria, acquisizione, cessione, riorganizzazione, ampliamento tecnologico deve essere illustrata per chiarire l’impatto sulla sicurezza.

Relazione con il DPO e altre funzioni

Sintesi del coordinamento, dei rischi condivisi e delle problematiche emerse.

Pianificazione: ciò che si farà, ciò che serve, ciò che deve essere deciso

La seconda parte della relazione è la rappresentazione del futuro. È qui che si definisce la maturazione progressiva del sistema NIS 2.

Questo secondo blocco della relazione potrebbe/dovrebbe comprendere:

  • l’aggiornamento del piano di implementazione delle misure NIS 2: la nuova versione del piano, modifiche richieste, nuove priorità, milestone e responsabilità;
  • i fornitori da rivedere o da sostituire: le analisi delle criticità e proposte di cambiamento o adeguamento;
  • la formazione da completare: programmazione, ampliamenti, priorità per le figure critiche, budget previsto;
  • gli audit futuri: agenda degli audit interni ed esterni e motivazione strategica delle scelte;
  • le modifiche organizzative previste: eventuali rischi, impatti, dipendenze, vulnerabilità latenti;
  • l’aggiornamento delle informazioni da comunicare all’ACN/CSIRT, contatti e governance interna: proposte di completamento o rafforzamento;
  • le nuove remediation: elenco delle azioni correttive da programmare con priorità e risorse;
  • il budget richiesto: la parte più delicata: la traduzione economica delle scelte di sicurezza.

La valenza dinamica della relazione

La relazione non è un documento chiuso cioè non va intesa come un qualcosa che si consegna a fine anno e si archivia con soddisfazione.

Invece è un modello di consuntivazione e pianificazione continua che deve accompagnare l’azienda oltre ottobre 2026, quando – in teoria – tutte le misure NIS 2 dovrebbero essere già applicate.

Il rischio evolve e le vulnerabilità cambiano velocemente; per cui il piano deve essere costantemente aggiornato e il vertice deve essere continuamente messo nelle condizioni di deliberare.

Dunque, la relazione annuale diventa la spina dorsale della sicurezza, il documento che allinea strategia, governance e operatività.

La relazione annuale del CISO per trasformare la sicurezza in scelta strategica

La relazione annuale del CISO per la NIS 2, benché non sia un obbligo, può comunque costituire un efficace atto di comando, perché può rappresentare lo strumento attraverso il quale la complessità viene resa leggibile, il rischio prende forma e il vertice organizzativo può finalmente governare non per intuizione, ma per conoscenza.

Una buona relazione annuale del CISO può davvero contribuire a trasformare la sicurezza da risposta tecnica a scelta strategica.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

A
Giuseppe Alverone
Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024
Fondatore e amministratore unico di DATA FABER s.r.l.s., società specializzata in formazione, consulenza e progettazione sui temi della protezione dei dati, della sicurezza digitale e della gestione del rischio. Già Generale dei Carabinieri, DPO dell’Arma e Recruiter in ambito militare, oggi svolge l’attività di consulente, formatore e divulgatore nei campi della privacy, cyber security e governance del rischio. Laureato in Giurisprudenza (Università “La Sapienza” di Roma) e in Scienze della Sicurezza Interna ed Esterna (Università di Roma Tor Vergata), con Master e Corsi di Perfezionamento all’Università Statale di Milano, ha alle spalle un percorso militare di eccellenza: Scuola Militare Nunziatella di Napoli, Accademia Militare di Modena, Scuola Ufficiali Carabinieri, Scuola di Guerra di Civitavecchia, oltre a specializzazioni in alpinismo, in paracadutismo e quale Ufficiale Perito Selettore (Recruiter in ambito militare). Oggi accompagna vertici pubblici e privati nel comprendere e applicare norme come GDPR e NIS 2, trasformandole in leve strategiche di difesa, reputazione e continuità operativa. È DPO certificato UNI CEI EN 17740:2024, Auditor/Lead Auditor ISO 27001:2022, membro del Comitato Scientifico dell’Istituto ASAPIENS e docente nei corsi propedeutici alla certificazione dei DPO. Autore di manuali e saggi tra cui “Quaderno operativo di cybersecurity e privacy”, “Il modello organizzativo NIS 2 (MONIS)”, “Compliance privacy: Percorsi per imprese e P.A.”, “La DPIA nelle smart city”, oltre a numerosi articoli su riviste specialistiche. Il suo lavoro unisce visione strategica, rigore giuridico e capacità operativa, con l’obiettivo di diffondere cultura e strumenti concreti per una protezione dei dati e una cyber security a misura di persone e organizzazioni reali.
P
Monica Perego
Consulente, Formatore Privacy & DPO

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
AI per il lavoro
Mobile security
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Videocamere di sorveglianza

  • I SUGGERIMENTI

    Videocamere di sorveglianza: un buco nero per la security?

    21 Ott 2025

    di Marco Schiaffino

    Condividi
  • cyber attacchi russi - Dal cyberspazio al territorio: come la Russia arruola volontari locali per sabotaggi in Europa (e ora in Italia)

  • guerra ibrida

    Dal cyberspazio al territorio: come la Russia arruola volontari per sabotaggi, anche in Italia

    28 Ott 2025

    di Luca Mella

    Condividi
  • Videosorveglianza nei negozi

  • l'analisi

    Videosorveglianza nei negozi, il Garante privacy richiama Confcommercio: cosa impariamo

    04 Ago 2025

    di Stefano Manzelli

    Condividi
  • Mic-E-Mouse

  • l'analisi tecnica

    Mic-E-Mouse, il mouse che ascolta: quando un sensore ottico diventa un microfono

    14 Ott 2025

    di Salvatore Lombardo

    Condividi
0
Lascia un commento, la tua opinione conta.x