CISO vs DPO vs RSSI: chi fa davvero cosa.

I confini pratici tra tre ruoli che le organizzazioni confondono. Di cosa risponde ciascuno, dove si sovrappongono e quali certificazioni segnalano quale ruolo.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCertifications & credentialsAll pillars

Il punto di vista di Cyber Academy

Il CISO (Chief Information Security Officer) è responsabile della strategia e del programma di sicurezza delle informazioni. Il DPO (Data Protection Officer) è responsabile della supervisione indipendente, imposta dal GDPR, dei trattamenti di dati personali. Il RSSI (Responsable de la Sécurité des Systèmes d'Information) è l'equivalente francese del CISO. I tre ruoli si sovrappongono sul perimetro della sicurezza dei dati ma rispondono a mandati diversi: CISO e RSSI all'organo esecutivo, DPO all'autorità di controllo.

TL;DR

  • 1CISO e RSSI sono lo stesso ruolo con un vocabolario diverso. RSSI è il titolo francese; CISO è il titolo internazionale. Stesso ambito.
  • 2Il DPO è indipendente per impostazione del GDPR, riferisce al più alto livello dirigenziale, non può essere rimosso per lo svolgimento del ruolo ed è il punto di contatto per l'autorità di controllo.
  • 3Responsabilità del CISO/RSSI: strategia di sicurezza delle informazioni, registro dei rischi, risposta agli incidenti, reporting al consiglio. Mandato dall'organo esecutivo.
  • 4Responsabilità del DPO: supervisione della conformità al GDPR, revisione delle DPIA, diritti degli interessati, dialogo con l'autorità di controllo. Mandato dalla normativa.
  • 5Si sovrappongono sulla sicurezza dei dati (Article 32 del GDPR) e sulla risposta agli incidenti. Una sola persona non dovrebbe ricoprire entrambi i ruoli nelle organizzazioni di dimensioni significative: il DPO deve restare indipendente dalle decisioni di trattamento dei dati che il CISO gestisce.

Due responsabilità, un solo perimetro

La confusione tra questi ruoli non riguarda i titoli professionali. Riguarda l'autorità a cui ciascuna persona risponde. Il CISO e il RSSI gestiscono un programma per conto dell'organo esecutivo: sono giudicati sul fatto che l'organizzazione sia abbastanza sicura da continuare a operare e sul fatto che il consiglio comprenda il rischio residuo che sta accettando. Il DPO risponde a un padrone del tutto diverso. Il ruolo esiste perché il GDPR ha collocato una funzione di conformità indipendente all'interno dell'organizzazione, e quella funzione riferisce al più alto livello dirigenziale pur restando fuori dalle decisioni operative che deve valutare. Una parte ottimizza per il business. L'altra deve poter dire al business che sta sbagliando.

In termini operativi, il CISO e il RSSI costruiscono e difendono; il DPO esamina e contesta. Quando un team di marketing vuole arricchire un database clienti con dati di terze parti, il CISO chiede se possa essere fatto in modo sicuro e il DPO chiede se debba essere fatto del tutto, alla luce dei criteri di liceità, minimizzazione e limitazione delle finalità. Entrambe le domande sono legittime. Non sono la stessa domanda, e nel momento in cui le si fa convergere in una sola persona si perde la seconda.

Il confronto che conta davvero

La maggior parte dei confronti pubblicati si ferma alle definizioni. La distinzione che decide le contese sull'organigramma è la linea di riporto e la fonte del mandato, perché è ciò che determina chi può prevalere su chi e chi porta la responsabilità quando qualcosa va storto.

CISO vs DPO vs RSSI: mandato, linea di riporto e certificazioni di segnalazione
DimensioneCISODPORSSI
Mandato primarioStrategia e programma di sicurezza delle informazioniSupervisione indipendente del trattamento dei dati personaliCome il CISO (titolo francese)
Fonte dell'autoritàDelegata dall'organo esecutivoRichiesta e tutelata dal GDPRDelegata dall'organo esecutivo
Riferisce aCEO, consiglio o comitato rischiPiù alto livello dirigenziale, con indipendenzaDirection générale o DSI
Responsabile diRegistro dei rischi, controlli, risposta agli incidenti, reporting al consiglioRevisione delle DPIA, diritti degli interessati, registri dei trattamenti, dialogo con l'autorità di controlloStesso ambito del CISO, contesto normativo francese
Può essere rimosso per aver svolto il proprio lavoro?Sì, come qualsiasi dirigenteNo, tutelato contro la rimozione per lo svolgimento del ruoloSì, come qualsiasi dirigente
Certificazioni di segnalazioneCISM, PECB CCISO, Lead Cybersecurity Manager, CRISCGDPR DPO, CDPSE, ISO 27701 Lead ImplementerCome il CISO, spesso più ISO 27001 per il mercato francese

La colonna delle certificazioni è il segnale pratico che un responsabile delle assunzioni legge. Un profilo di leader della sicurezza si costruisce su CISM per la credenziale di livello manageriale, sul PECB Certified CISO per l'inquadramento esecutivo e su Lead Cybersecurity Manager per la costruzione del programma. Un profilo di protezione dei dati si segnala attraverso la credenziale Certified Data Protection Officer e uno strato di privacy engineering come CDPSE. I due stack non sono intercambiabili, e un CV che li mescola senza un ruolo primario chiaro di solito segnala una persona che non ha fatto nessuno dei due in profondità.

Dove si sovrappongono davvero: Article 32 e incidenti

La sovrapposizione è reale, e fingere il contrario è il modo in cui le organizzazioni finiscono per avere lacune. L'Article 32 del GDPR richiede misure tecniche e organizzative adeguate per proteggere i dati personali: cifratura, resilienza, capacità di ripristinare la disponibilità e test regolari di tali misure. È lavoro di sicurezza. Il CISO è responsabile dei controlli che lo realizzano. Ma il DPO deve poter valutare se quelle misure siano adeguate al rischio per gli interessati, che è una lente diversa da adeguate al business.

Il modo corretto di gestirlo: il CISO è responsabile dell'implementazione e dell'operatività delle misure dell'Article 32, e il DPO è responsabile di formarsi un'opinione indipendente sulla loro adeguatezza. Il CISO costruisce lo standard di cifratura dei dati a riposo; il DPO registra nella DPIA che è sufficiente per il trattamento in ambito, oppure segnala che non lo è. Nessuno dei due approva i propri compiti.

ISO 27701 si colloca esattamente su questa cucitura. Estende un ISMS ISO 27001 in un sistema di gestione delle informazioni sulla privacy, dando al CISO e al DPO un framework di controllo condiviso anziché due vocabolari scollegati. Il corso ISO 27701 Lead Implementer è la singola qualificazione più utile per la persona che deve far dialogare il programma di sicurezza e il programma di privacy.

La risposta agli incidenti è la seconda sovrapposizione ed è quella che cede sotto pressione. Il CISO gestisce la risposta tecnica: contenere, eradicare, ripristinare. Il DPO gestisce l'orologio normativo: il GDPR concede 72 ore per notificare all'autorità di controllo una violazione di dati personali, e quella valutazione (è una violazione, è notificabile, gli interessati sono a rischio) è una decisione del DPO, non del CISO. Se queste due persone non sono nella stessa stanza entro la prima ora di un incidente grave, finirete per notificare in eccesso bruciando credibilità con l'autorità, oppure per notificare in difetto violando la scadenza.

Perché una sola persona non dovrebbe ricoprire CISO e DPO

La ragione è strutturale, non di carico di lavoro. Il GDPR richiede che il DPO sia libero da qualsiasi conflitto di interessi: il DPO non può ricoprire una posizione che comporti la determinazione delle finalità e dei mezzi del trattamento di dati personali. Un CISO fa esattamente questo. Il CISO decide quali log vengono conservati, per quanto tempo vivono i backup, quale monitoraggio ispeziona il traffico dei dipendenti, quali fornitori trattano i dati. Quelle sono decisioni di trattamento. Una sola persona che le prende e dovrebbe al contempo verificarle in modo indipendente non può svolgere il secondo compito, perché l'autorità di controllo non accetterà l'auto-revisione come supervisione indipendente.

Questa non è un'opinione di Cyber Academy. Le autorità di controllo europee hanno già sanzionato organizzazioni per aver nominato un DPO che ricopriva anche un ruolo operativo sui trattamenti che era incaricato di supervisionare. In una piccola organizzazione potreste davvero avere una persona capace in grado di fare entrambe le cose. La risposta in quel caso non è combinare i ruoli; è rendere quella persona il CISO e nominare il DPO esternamente, o viceversa. Un DPO esterno è una soluzione riconosciuta e spesso più pulita proprio perché l'indipendenza è integrata per costruzione.

La realtà nella sala di audit

Quando un auditor ISO 27001 o un'autorità di controllo esamina questo aspetto, sta verificando una cosa sola: siete in grado di dimostrare che le decisioni di sicurezza e le decisioni di privacy sono state prese da persone con la giusta autorità e la giusta indipendenza. Le prove che vogliono sono banali e specifiche.

  1. Una RACI o equivalente che indichi chi è responsabile del registro dei rischi rispetto ai registri dei trattamenti, senza che nessuna persona ricopra sia il ruolo di gestione sia quello di supervisione per lo stesso controllo.
  2. Registri degli incidenti che dimostrino che il DPO è stato coinvolto sulla notificabilità e il CISO sul contenimento, con marcature temporali che rientrano nella finestra delle 72 ore.
  3. DPIA che riportino un'opinione indipendente del DPO sulle misure di sicurezza, non un'approvazione di sicurezza rietichettata come revisione di privacy.

Le competenze di audit e assurance che rendono tutto questo dimostrabile appartengono ancora una volta a un profilo distinto. CISA costruisce la disciplina dell'audit e delle prove, e CRISC costruisce il linguaggio di quantificazione del rischio che consente al CISO di presentare il rischio residuo al consiglio in termini su cui possa effettivamente decidere. Sono queste le credenziali che trasformano una struttura difendibile in una dimostrabile.

Errori comuni da evitare

  • Trattare CISO e RSSI come due ruoli da coprire separatamente. Sono lo stesso ruolo; il titolo segue la lingua e il contesto normativo, non l'ambito.
  • Lasciare che il DPO riferisca al CISO o alla funzione IT. Questo distrugge l'indipendenza che il GDPR richiede ed è un rilievo facile per qualsiasi autorità.
  • Presumere che vinca la certificazione di rango più elevato. Chi possiede una CISM non è per ciò stesso qualificato come DPO, e una forte credenziale da DPO non rende qualcuno un leader della sicurezza. Abbinare la credenziale al mandato.
  • Scrivere un report al consiglio che fonde il rischio di sicurezza e il rischio di privacy in un unico numero. Il consiglio deve vedere entrambi, perché le conseguenze e le autorità coinvolte sono diverse.

Le organizzazioni che gestiscono bene questo aspetto non hanno più organico di quelle che lo gestiscono male. Hanno una risposta chiara a una sola domanda: per qualsiasi decisione sui dati personali, chi la costruisce e chi la giudica in modo indipendente. Tenete queste due risposte in due persone diverse, date a ciascuna la credenziale che corrisponde al suo mandato, e l'organigramma smette di essere una fonte di rilievi di audit.

Frequently asked questions

01La stessa persona può essere CISO e DPO?

Tecnicamente sì nelle piccole organizzazioni, ma l'EDPB lo sconsiglia fortemente. Il DPO deve restare indipendente dalle decisioni di trattamento; il CISO gestisce quelle decisioni. In una piccola organizzazione in cui la stessa persona prende la decisione, l'indipendenza è fittizia.

In qualsiasi organizzazione di dimensioni rilevanti (oltre 50 FTE che trattano dati personali in misura significativa), separare i ruoli. Il DPO può collocarsi nel team legale, nel team di gestione del rischio o riferire direttamente al CEO. Il CISO si colloca nell'organizzazione tecnologica o di sicurezza.

02Quali certificazioni segnalano un CISO?

CISM (ISACA) è la credenziale più comune in un curriculum da CISO: circa il 60% degli annunci per CISO in Europa la richiede. ISO 27001 Lead Implementer o Lead Auditor (PECB) è la successiva più comune. CISSP è la tradizionale alternativa di stampo statunitense.

Per i ruoli di RSSI francesi, le qualificazioni riconosciute da ANSSI (EBIOS Risk Manager, qualificazioni tramite i programmi SecNumCloud o PASSI) hanno peso in aggiunta o in alternativa alle credenziali internazionali.

03Quali certificazioni segnalano un DPO?

Il Certified Data Protection Officer (CDPO, rilasciato da PECB, allineato al GDPR) è il riferimento europeo. Il CIPP/E (IAPP) è la credenziale internazionale alternativa in materia di privacy, particolarmente riconosciuta nelle aziende con presenza negli Stati Uniti.

Per i DPO tecnici (privacy engineer che operano all'interno o a fianco del team di sicurezza), CDPSE (ISACA) è il complemento tecnico. ISO/IEC 27701 Lead Implementer (PECB) è la credenziale di sistema di gestione per le organizzazioni che gestiscono un ISMS orientato alla privacy.

04Come si confrontano i loro stipendi in Europa?

Ampia variabilità per paese e settore. In Francia nel 2026, un CISO/RSSI esperto in un'azienda del CAC 40 guadagna da 130.000 a 220.000 euro di base. Un DPO esperto nella stessa azienda guadagna da 90.000 a 150.000 euro di base. Nei servizi finanziari, entrambi i ruoli tendono a essere dal 20% al 30% più alti. Nel mid-market, entrambi i ruoli tendono a essere dal 30% al 40% più bassi.

La forbice salariale riflette l'ambito: il CISO/RSSI è responsabile di budget, organico e scelte tecnologiche. Il DPO è responsabile di supervisione, indipendenza e contatto con l'autorità di controllo.

Coorti che trasformano la lettura in una credenziale.

CISM: ISACA credential badgeISACA★ Featured

CISM: Certified Information Security Manager

Manager4 days
Self-paced. Inizio in qualsiasi momento

La certificazione di riferimento ISACA per la gestione della sicurezza. Quattro domini, richiesta in circa il 60% delle offerte per CISO. Corso di quattro giorni con un esame di recupero incluso.

Live €2900

Self-paced €790

Book
Certified CISO by PECBPECB★ Featured

Certified CISO by PECB

Expert5 days
Self-paced. Inizio in qualsiasi momento

Formazione ufficiale PECB per la certificazione Certified CISO by PECB. Corso live online con istruttori esperti e garanzia certificazione-o-rimborso. Iscriviti...

Live €2499

Self-paced €899

Book
Lead Cybersecurity ManagerPECB

Lead Cybersecurity Manager

Manager5 days
Self-paced. Inizio in qualsiasi momento

Certificazione PECB Lead Cybersecurity Manager. Formazione live online con garanzia certificato o rimborso.

Live €2499

Self-paced €899

Book
GDPR - Certified Data Protection OfficerPECB

GDPR - Certified Data Protection Officer

Expert5 days
Self-paced. Inizio in qualsiasi momento

Certificazione GDPR - Certified Data Protection Officer accreditata PECB. Formazione live online con garanzia soddisfatti o rimborsati.

Live €2499

Self-paced €899

Book
CDPSE: ISACA credential badgeISACA

CDPSE: Certified Data Privacy Solutions Engineer

Practitioner3 days
Self-paced. Inizio in qualsiasi momento

La certificazione ISACA all'intersezione tra privacy e tecnologia. Tre domini che coprono governance della privacy, architettura della privacy e ciclo di vita dei dati. La certificazione per i privacy engineer che costruiscono sistemi conformi al GDPR, non semplici policy.

Live €2900

Self-paced €790

Book
ISO 27701 Lead ImplementerPECB

ISO 27701 Lead Implementer

Lead Implementer5 days
Self-paced. Inizio in qualsiasi momento

Certificazione ISO 27701 Lead Implementer accreditata PECB. Formazione online in diretta con garanzia certificato o rimborso.

Live €2499

Self-paced €899

Book
CISA: ISACA credential badgeISACA★ Featured

CISA: Certified Information Systems Auditor

Practitioner4 days
Self-paced. Inizio in qualsiasi momento

La certificazione di riferimento ISACA per l'audit IT. Cinque domini, esame di quattro ore, la credenziale di audit predefinita per gli incarichi Big Four. Corso di quattro giorni con un re-sit incluso.

Live €2900

Self-paced €790

Book
CRISC: ISACA credential badgeISACA★ Featured

CRISC: Certified in Risk and Information Systems Control

Risk Manager4 days
Self-paced. Inizio in qualsiasi momento

La certificazione di riferimento ISACA per il rischio IT. Quattro domini che collegano il rischio di business ai controlli dei sistemi informativi. Il complemento naturale a CISA e a ISO 31000 / 27005 per il vocabolario ISACA.

Live €2900

Self-paced €790

Book

Pillar letto. E adesso?

Ogni pillar rimanda alla coorte che lo trasforma in una credenziale. Sfoglia il catalogo o parlaci per un percorso su misura.