Log Management e Normativa Italiana: Cosa Deve Sapere Ogni Azienda
I log sono la scatola nera dell'IT aziendale. In Italia, raccoglierli non è facoltativo: dal Provvedimento del Garante 2008 alla NIS2, ecco tutti gli obblighi e come implementarli senza complicarsi la vita.
Cybersecurity & Compliance Specialist presso BullTech Informatica
Perché i Log Sono un Obbligo, Non un'Opzione
Ogni volta che un amministratore di sistema accede a un server, ogni login su Active Directory, ogni connessione VPN: tutto dovrebbe essere registrato. Non per paranoia, ma perché la legge italiana lo richiede da quasi vent'anni.
Eppure, nella nostra esperienza con PMI lombarde, il 60-70% non ha un sistema di log management conforme. Molte non sanno nemmeno di dover raccogliere questi dati. Il problema emerge solo quando succede qualcosa: un data breach, un'ispezione del Garante, o un ex dipendente che ha fatto danni.
Il Provvedimento del Garante 2008
Il “Provvedimento in materia di amministratori di sistema” del 27 novembre 2008 (aggiornato nel 2009) è il riferimento normativo principale per il log management in Italia. Ecco cosa richiede:
- Cosa registrare: accessi logici (login, logout, tentativi falliti) ai sistemi di elaborazione e agli archivi elettronici
- Chi riguarda: tutti gli “amministratori di sistema”, intesi come figure con privilegi di accesso ai sistemi (non solo i sysadmin)
- Requisiti dei log: completi, inalterabili e verificabili. Devono contenere: timestamp, username, sistema acceduto, tipo di evento
- Conservazione: almeno 6 mesi
- Verifica annuale: l'azienda deve verificare l'operato degli amministratori almeno una volta all'anno
Attenzione: il Provvedimento si applica a TUTTE le aziende che trattano dati personali con strumenti elettronici, quindi sostanzialmente a tutte le aziende italiane.
GDPR e Log Management
Il GDPR non menziona esplicitamente i log, ma li rende necessari attraverso diversi articoli:
- Art. 5 (Accountability): il titolare deve dimostrare la conformità — i log sono la prova
- Art. 30 (Registro dei trattamenti): deve includere le misure di sicurezza, tra cui il log management
- Art. 32 (Sicurezza del trattamento): richiede misure tecniche adeguate, inclusa la capacità di “ripristinare tempestivamente la disponibilità e l'accesso ai dati”
- Art. 33-34 (Data breach): in caso di violazione, i log sono essenziali per ricostruire cosa è successo e notificare entro 72 ore
NIS2 e Obblighi di Logging
La Direttiva NIS2, in vigore da ottobre 2024, alza significativamente l'asticella del log management per i soggetti essenziali e importanti:
- Logging esteso: non solo accessi admin, ma tutti gli eventi di sicurezza rilevanti (accessi, modifiche, anomalie)
- Correlazione eventi: capacità di correlare log da fonti diverse per identificare attacchi complessi
- Incident response: i log devono supportare la ricostruzione completa di un incidente di sicurezza
- Conservazione: almeno 12 mesi per i log relativi a incidenti
- Segnalazione: capacità di generare report automatici per le autorità competenti (ACN)
Implementazione Tecnica: Dal Syslog al SIEM
Livello Base: Syslog Centralizzato
Il minimo indispensabile per la conformità al Provvedimento Garante:
- Server syslog centralizzato (rsyslog, syslog-ng)
- Raccolta log da Active Directory, firewall, server, VPN
- Storage con hash di integrità (o invio a storage immutabile)
- Costo: 1.000-3.000 € una tantum + gestione
Livello Avanzato: SIEM
Per la conformità NIS2 e una reale capacità di detection:
- Piattaforma SIEM (Wazuh open source, oppure soluzioni cloud come Microsoft Sentinel, Elastic SIEM)
- Correlazione automatica degli eventi
- Alert in tempo reale per comportamenti anomali
- Dashboard e reportistica per il management
- Costo: 500-2.000 €/mese per una PMI
Livello Enterprise: SOC/MDR
Per chi vuole la massima protezione, il SOC/MDR as a Service include log management, correlazione, analisi 24/7 e risposta agli incidenti. BullTech offre questo servizio con analisti dedicati e tecnologia all'avanguardia.
I 4 Errori Più Comuni
- Log locali non centralizzati: se i log restano sulla macchina che li genera, un attaccante li cancella per primo. Centralizzare sempre.
- Nessun controllo di integrità: senza hash o firma digitale, i log non sono “inalterabili” come richiesto dal Garante.
- Conservazione insufficiente: 30 giorni non bastano. Minimo 6 mesi (Garante), meglio 12-24 mesi.
- Log non monitorati: raccogliere log senza analizzarli è come avere telecamere di sorveglianza senza guardare i filmati.
Da Dove Iniziare: Piano in 4 Step
- Inventario fonti log: mappare tutti i sistemi che generano log rilevanti (AD, firewall, server, applicativi, VPN)
- Centralizzazione: configurare un server syslog centralizzato con storage immutabile
- Policy di retention: definire per quanto tempo conservare ogni tipo di log (minimo 6 mesi, consigliati 12-24)
- Monitoraggio: configurare alert per eventi critici (login falliti ripetuti, accessi anomali, modifiche non autorizzate)
BullTech supporta le PMI nell'implementazione del log management conforme: dalla progettazione alla gestione continuativa con monitoraggio proattivo 24/7.
Domande Frequenti
Quali log sono obbligatori per legge in Italia?
Il Provvedimento del Garante Privacy del 2008 richiede la registrazione degli accessi logici (login, logout, tentativi falliti) degli amministratori di sistema. Il GDPR richiede la tracciabilità degli accessi ai dati personali. La NIS2 estende gli obblighi di logging a tutti i sistemi critici.
Per quanto tempo vanno conservati i log?
Il Provvedimento Garante 2008 richiede un minimo di 6 mesi per i log degli amministratori di sistema. La best practice è conservare 12-24 mesi. Per la NIS2, i log degli incidenti vanno conservati per almeno 12 mesi.
Cos'è un SIEM e serve a una PMI?
Un SIEM (Security Information and Event Management) è un sistema che raccoglie, correla e analizza i log da tutte le fonti aziendali. Per le PMI, esistono soluzioni cloud accessibili a partire da 500-1.000 euro/mese che coprono le esigenze normative e di sicurezza.
I log devono essere inalterabili?
Sì. Il Provvedimento Garante richiede che i log siano completi, inalterabili e verificabili. Questo si ottiene con firma digitale dei log, storage WORM (Write Once Read Many) o invio a un sistema di log centralizzato con accesso separato.
Cosa rischia un'azienda che non raccoglie i log?
In caso di ispezione del Garante o data breach, la mancanza di log è un'aggravante che può portare a sanzioni maggiorate. In più, senza log è impossibile ricostruire un incidente di sicurezza, identificare la portata di una violazione o dimostrare la compliance GDPR.