Log Management e Normativa Italiana: Cosa Deve Sapere Ogni Azienda
I log sono la scatola nera dell'IT aziendale. In Italia, raccoglierli non è facoltativo: dal Provvedimento del Garante 2008 alla NIS2, ecco tutti gli obblighi e come implementarli senza complicarsi la vita.
Cybersecurity & Compliance Specialist presso BullTech Informatica
Perché i Log Sono un Obbligo, Non un'Opzione
Ogni volta che un amministratore di sistema accede a un server, ogni login su Active Directory, ogni connessione VPN: tutto dovrebbe essere registrato. Non per paranoia, ma perché la legge italiana lo richiede da quasi vent'anni.
Eppure, nella nostra esperienza con PMI lombarde, il 60-70% non ha un sistema di log management conforme. Molte non sanno nemmeno di dover raccogliere questi dati. Il problema emerge solo quando succede qualcosa: un data breach, un'ispezione del Garante, o un ex dipendente che ha fatto danni.
Il Provvedimento del Garante 2008
Il “Provvedimento in materia di amministratori di sistema” del 27 novembre 2008 (aggiornato nel 2009) è il riferimento normativo principale per il log management in Italia. Ecco cosa richiede:
- Cosa registrare: accessi logici (login, logout, tentativi falliti) ai sistemi di elaborazione e agli archivi elettronici
- Chi riguarda: tutti gli “amministratori di sistema”, intesi come figure con privilegi di accesso ai sistemi (non solo i sysadmin)
- Requisiti dei log: completi, inalterabili e verificabili. Devono contenere: timestamp, username, sistema acceduto, tipo di evento
- Conservazione: almeno 6 mesi
- Verifica annuale: l'azienda deve verificare l'operato degli amministratori almeno una volta all'anno
Attenzione: il Provvedimento si applica a TUTTE le aziende che trattano dati personali con strumenti elettronici, quindi sostanzialmente a tutte le aziende italiane.
GDPR e Log Management
Il GDPR non menziona esplicitamente i log, ma li rende necessari attraverso diversi articoli:
- Art. 5 (Accountability): il titolare deve dimostrare la conformità — i log sono la prova
- Art. 30 (Registro dei trattamenti): deve includere le misure di sicurezza, tra cui il log management
- Art. 32 (Sicurezza del trattamento): richiede misure tecniche adeguate, inclusa la capacità di “ripristinare tempestivamente la disponibilità e l'accesso ai dati”
- Art. 33-34 (Data breach): in caso di violazione, i log sono essenziali per ricostruire cosa è successo e notificare entro 72 ore
NIS2 e Obblighi di Logging
La Direttiva NIS2, in vigore da ottobre 2024, alza significativamente l'asticella del log management per i soggetti essenziali e importanti:
- Logging esteso: non solo accessi admin, ma tutti gli eventi di sicurezza rilevanti (accessi, modifiche, anomalie)
- Correlazione eventi: capacità di correlare log da fonti diverse per identificare attacchi complessi
- Incident response: i log devono supportare la ricostruzione completa di un incidente di sicurezza
- Conservazione: almeno 12 mesi per i log relativi a incidenti
- Segnalazione: capacità di generare report automatici per le autorità competenti (ACN)
Implementazione Tecnica: Dal Syslog al SIEM
Livello Base: Syslog Centralizzato
Il minimo indispensabile per la conformità al Provvedimento Garante:
- Server syslog centralizzato (rsyslog, syslog-ng)
- Raccolta log da Active Directory, firewall, server, VPN
- Storage con hash di integrità (o invio a storage immutabile)
- Costo: 1.000-3.000 € una tantum + gestione
Livello Avanzato: SIEM
Per la conformità NIS2 e una reale capacità di detection:
- Piattaforma SIEM (Wazuh open source, oppure soluzioni cloud come Microsoft Sentinel, Elastic SIEM)
- Correlazione automatica degli eventi
- Alert in tempo reale per comportamenti anomali
- Dashboard e reportistica per il management
- Costo: 500-2.000 €/mese per una PMI
Livello Enterprise: SOC/MDR
Per chi vuole la massima protezione, il SOC/MDR as a Service include log management, correlazione, analisi 24/7 e risposta agli incidenti. BullTech offre questo servizio con analisti dedicati e tecnologia all'avanguardia.
I 4 Errori Più Comuni
- Log locali non centralizzati: se i log restano sulla macchina che li genera, un attaccante li cancella per primo. Centralizzare sempre.
- Nessun controllo di integrità: senza hash o firma digitale, i log non sono “inalterabili” come richiesto dal Garante.
- Conservazione insufficiente: 30 giorni non bastano. Minimo 6 mesi (Garante), meglio 12-24 mesi.
- Log non monitorati: raccogliere log senza analizzarli è come avere telecamere di sorveglianza senza guardare i filmati.
Da Dove Iniziare: Piano in 4 Step
- Inventario fonti log: mappare tutti i sistemi che generano log rilevanti (AD, firewall, server, applicativi, VPN)
- Centralizzazione: configurare un server syslog centralizzato con storage immutabile
- Policy di retention: definire per quanto tempo conservare ogni tipo di log (minimo 6 mesi, consigliati 12-24)
- Monitoraggio: configurare alert per eventi critici (login falliti ripetuti, accessi anomali, modifiche non autorizzate)
BullTech supporta le PMI nell'implementazione del log management conforme: dalla progettazione alla gestione continuativa con monitoraggio proattivo 24/7. Per un quadro completo sulla protezione dei dati aziendali, leggi anche la nostra guida alla sicurezza informatica aziendale.
Log Management e SIEM: Integrazione
Il log management da solo raccoglie e conserva i log. Ma raccogliere migliaia di eventi al giorno senza analizzarli è come registrare le telecamere di sicurezza senza mai guardare i filmati. Qui entra in gioco il SIEM.
Un SIEM (Security Information and Event Management) fa tre cose fondamentali: raccolta centralizzata dei log da tutte le fonti (firewall, server, endpoint, cloud, applicazioni), correlazione automatica degli eventi per identificare pattern sospetti che un singolo log non rivelerebbe, e alerting in tempo reale quando rileva qualcosa di anomalo.
Esempio pratico: un singolo login fallito non è allarmante. Ma se il SIEM correla 50 tentativi di login falliti da IP diversi sullo stesso account in 10 minuti, seguiti da un login riuscito da un IP mai visto prima e da un accesso immediato al file server con download massivo di documenti — scatta l'alert e il team SOC interviene prima che il danno sia fatto.
Per le PMI, il SIEM non deve per forza essere un investimento enorme. Wazuh è una piattaforma SIEM open source con costi di infrastruttura contenuti. Microsoft Sentinel è una buona opzione per chi usa già Microsoft 365. BullTech integra il SIEM nel proprio servizio SOC/MDR, così il cliente ha raccolta log, correlazione e risposta in un unico pacchetto gestito.
Retention dei Log per Normativa
Ogni normativa ha le sue regole su quanto a lungo conservare i log. Ecco un riepilogo per non sbagliare:
| Normativa | Retention minima | Tipo log | Note |
|---|---|---|---|
| GDPR | 12 mesi | Accessi a dati personali | Provvedimento Garante richiede min. 6 mesi, best practice 12 |
| NIS2 | 18 mesi | Tutti i log di sicurezza | Infrastrutture critiche, obbligo segnalazione CSIRT |
| PCI-DSS | 12 mesi | Dati carte di pagamento, accessi | 3 mesi immediatamente disponibili, audit annuale |
| AgID | 6 mesi | Log amministratori di sistema | PA e fornitori della PA |
| Provvedimento Garante 2008 | 6 mesi | Accessi logici admin di sistema | Tutte le aziende italiane, log inalterabili |
Il nostro consiglio: anche se la normativa chiede 6 mesi, conserva almeno 12 mesi. Un attacco informatico può restare nascosto per mesi prima di essere scoperto (il cosiddetto dwell time medio è di 21 giorni secondo il report M-Trends 2025). Avere log che coprono un periodo più lungo ti permette di ricostruire l'intera catena di eventi.
Integrazione Log Management e SIEM: Guida Pratica
Raccogliere i log è il primo passo. Farli parlare tra loro è il secondo, ed è quello che fa la differenza tra “ho i log da qualche parte” e “so esattamente cosa sta succedendo sulla mia rete”. L'integrazione tra log management e SIEM trasforma dati grezzi in intelligence operativa.
Le tre piattaforme SIEM più usate nelle PMI italiane sono Splunk, Elastic SIEM e Wazuh. Splunk è il leader di mercato, potentissimo ma con costi significativi (licensing a volume di dati ingestiti, che può diventare oneroso per le PMI). Elastic SIEM (basato su Elasticsearch) offre un buon equilibrio tra funzionalità e costo, soprattutto nella versione open source. Wazuh è la scelta più comune per le PMI attente al budget: open source al 100%, include SIEM + HIDS + vulnerability detection in un'unica piattaforma.
L'integrazione funziona così: il log management raccoglie e conserva tutti i log in modo conforme (inalterabilità, retention, integrità). Il SIEM si collega a questa base di dati e aggiunge tre livelli di intelligenza: normalizzazione (converte log da formati diversi in un formato unico e ricercabile), correlazione (incrocia eventi da fonti diverse per identificare pattern che un singolo log non rivelerebbe) e detection (applica regole e machine learning per generare alert quando qualcosa non torna). Il risultato è che invece di setacciare milioni di righe di log a mano, il team di sicurezza riceve alert mirati con contesto: “Utente X ha fatto login da un IP anomalo, poi ha acceduto a 200 file in 5 minuti — probabile compromissione account”.
Per le PMI che non vogliono gestire un SIEM internamente, BullTech integra la raccolta log nel servizio SOC/MDR: Wazuh come motore SIEM, analisti dedicati per il triage degli alert, e risposta agli incidenti inclusa. Il cliente non deve preoccuparsi di configurare regole di correlazione o gestire falsi positivi — ci pensiamo noi.
Domande Frequenti
Quali log sono obbligatori per legge in Italia?
Il Provvedimento del Garante Privacy del 2008 richiede la registrazione degli accessi logici (login, logout, tentativi falliti) degli amministratori di sistema. Il GDPR richiede la tracciabilità degli accessi ai dati personali. La NIS2 estende gli obblighi di logging a tutti i sistemi critici.
Per quanto tempo vanno conservati i log?
Il Provvedimento Garante 2008 richiede un minimo di 6 mesi per i log degli amministratori di sistema. La best practice è conservare 12-24 mesi. Per la NIS2, i log degli incidenti vanno conservati per almeno 12 mesi.
Cos'è un SIEM e serve a una PMI?
Un SIEM (Security Information and Event Management) è un sistema che raccoglie, correla e analizza i log da tutte le fonti aziendali. Per le PMI, esistono soluzioni cloud accessibili a partire da 500-1.000 euro/mese che coprono le esigenze normative e di sicurezza.
I log devono essere inalterabili?
Sì. Il Provvedimento Garante richiede che i log siano completi, inalterabili e verificabili. Questo si ottiene con firma digitale dei log, storage WORM (Write Once Read Many) o invio a un sistema di log centralizzato con accesso separato.
Cosa rischia un'azienda che non raccoglie i log?
In caso di ispezione del Garante o data breach, la mancanza di log è un'aggravante che può portare a sanzioni maggiorate. In più, senza log è impossibile ricostruire un incidente di sicurezza, identificare la portata di una violazione o dimostrare la compliance GDPR.
Quanto tempo vanno conservati i log per il GDPR?
Il GDPR non specifica un periodo esatto, ma il Provvedimento del Garante Privacy richiede un minimo di 6 mesi per i log degli amministratori di sistema. La best practice per i log relativi ad accessi a dati personali è 12-24 mesi. Per la NIS2, i log di sicurezza vanno conservati almeno 12 mesi. Il consiglio è definire una retention policy scritta e rispettarla.
Serve un SIEM per la compliance NIS2?
Non è obbligatorio avere un SIEM per la NIS2, ma è molto difficile rispettare i requisiti di correlazione eventi e rilevamento minacce senza uno. La NIS2 richiede capacità di rilevamento, analisi e risposta agli incidenti che presuppongono una raccolta centralizzata e correlata dei log. Un SIEM (anche cloud) semplifica enormemente la compliance.
Quanto costa una soluzione di log management?
Dipende dalla complessità. Un syslog centralizzato con rsyslog costa 1.000-3.000 euro una tantum più la gestione. Un SIEM cloud come Wazuh (open source) ha costi di infrastruttura da 200-500 euro al mese. Soluzioni commerciali come Microsoft Sentinel partono da 500 euro al mese per una PMI con 50 endpoint. Il servizio SOC/MDR di BullTech include la raccolta e analisi dei log nel canone.
Qual è la differenza tra log management e SIEM?
Il log management raccoglie, conserva e indicizza i log in modo conforme alle normative. Il SIEM fa di più: correla gli eventi da fonti diverse, applica regole di detection per identificare minacce e genera alert in tempo reale. In pratica, il log management è l'archivio, il SIEM è l'analista che legge l'archivio e ti avvisa quando qualcosa non torna. Per la sola compliance al Provvedimento Garante basta il log management; per la NIS2 e una reale protezione dalle minacce, serve un SIEM.
Wazuh è adatto a una PMI per il log management?
Sì, Wazuh è una delle soluzioni migliori per le PMI: è open source (nessun costo di licenza), include SIEM + HIDS + vulnerability scanner in un'unica piattaforma e supporta la raccolta log da Windows, Linux, firewall e dispositivi di rete. I costi sono solo infrastrutturali: un server dedicato o cloud da 200-500 euro al mese per una PMI con 50 endpoint. Lo svantaggio è che richiede competenze per la configurazione e la gestione: per questo molte PMI scelgono di affidarsi a un MSP come BullTech che gestisce Wazuh nel servizio SOC/MDR.
Come si integra il log management con il SIEM aziendale?
L'integrazione avviene tramite agent installati sui sistemi che inviano i log al SIEM centralizzato (Wazuh, Splunk, Elastic). I log vengono normalizzati in un formato comune, indicizzati per la ricerca rapida e processati dalle regole di correlazione. Le piattaforme più diffuse — Splunk, Elastic SIEM e Wazuh — supportano nativamente centinaia di fonti log (Active Directory, firewall, endpoint, cloud). Per una PMI, il setup completo richiede 1-2 settimane con un partner esperto.