Cos'è un SIEM e perché ogni PMI ne ha bisogno nel 2026?
SIEM sta per Security Information and Event Management. In parole semplici: è la centrale operativa della tua sicurezza informatica. Raccoglie i log di tutti i sistemi — firewall, server, PC, applicazioni cloud — e li analizza in tempo reale cercando pattern anomali che singolarmente non sembrano pericolosi ma insieme indicano un attacco in corso.
Pensa a come funziona un furto con scasso ben pianificato. Il ladro non sfonda la porta: prima studia il palazzo per giorni, poi disattiva l'allarme, poi entra dalla finestra del bagno. Se guardi solo una telecamera vedi niente. Se guardi tutte insieme, vedi il pattern. Il SIEM fa esattamente questo con i tuoi sistemi IT.
Senza un SIEM, un attaccante può muoversi lateralmente nella tua rete per settimane prima che qualcuno se ne accorga. Il tempo medio di rilevamento di una violazione senza strumenti dedicati è di 197 giorni (fonte IBM Cost of a Data Breach 2025). Con un SIEM attivo, scende sotto le 24 ore.
Come funziona un SIEM: la risposta completa
Un SIEM funziona in quattro fasi: (1) Raccolta — aggrega log da firewall, endpoint, server, applicazioni e servizi cloud tramite agenti o protocolli standard come Syslog e SNMP. (2) Normalizzazione — converte formati eterogenei in un formato comune. (3) Correlazione — applica regole e modelli comportamentali (MITRE ATT&CK) per identificare sequenze di eventi sospetti. (4) Alerting — genera alert prioritizzati per i team di sicurezza, con dettagli per la risposta agli incidenti e per audit di conformità NIS2/GDPR. Il tutto avviene in tempo reale, 24 ore su 24, 7 giorni su 7.
SIEM, EDR e SOC: qual è la differenza?
La confusione tra questi termini è normale. Ecco come stanno le cose:
| Strumento | Cosa fa | Copertura | Costo indicativo |
|---|---|---|---|
| EDR | Rileva e blocca minacce sul singolo endpoint | PC, server, laptop | da €3/endpoint/mese |
| SIEM | Correla log di tutta l'infrastruttura | Endpoint + rete + cloud + app | da €6/endpoint/mese |
| SOC gestito | Team analisti H24 che usa EDR + SIEM | Tutto + risposta umana | da €15/endpoint/mese |
Per le PMI il percorso consigliato è: inizia con un EDR aziendale (protezione endpoint), aggiungi il SIEM quando superi i 15-20 dipendenti o hai infrastruttura ibrida cloud/on-premise, valuta il SOC as a Service se sei soggetto a NIS2 e hai bisogno di copertura H24.
Top 5 SIEM per PMI nel 2026: confronto completo
Abbiamo analizzato le soluzioni SIEM più diffuse in Italia per PMI con 10-200 dipendenti. Ecco il confronto onesto, con prezzi reali 2026.
#1 — Wazuh
Best For: PMI budget-consapevoli + NIS2Wazuh è il SIEM open source più diffuso al mondo: oltre 20 milioni di deployment attivi nel 2026. Nato come fork di OSSEC, è diventato una piattaforma SIEM completa con regole MITRE ATT&CK, compliance automatica per NIS2 e GDPR, e integrazione nativa con Microsoft Defender, AWS e Azure. La licenza è completamente gratuita — si paga solo l'infrastruttura e, se non hai un team interno, la gestione. BullTech lo gestisce da €6/endpoint/mese, tutto incluso: installazione, configurazione regole, alerting, report mensili e risposta agli incidenti.
Pro
- Zero costo licenza — scalabile senza sorprese
- Regole MITRE ATT&CK preconfigurate
- Compliance report automatici NIS2/GDPR/PCI-DSS
- Supporta Windows, Linux, macOS, container
- Community attiva, aggiornamenti frequenti
Contro
- Configurazione iniziale complessa senza esperienza
- Richiede infrastruttura (server dedicato o cloud)
- Dashboard meno raffinata delle soluzioni enterprise
#2 — Microsoft Sentinel
Best For: aziende full Microsoft 365 / AzureMicrosoft Sentinel è il SIEM cloud-native di Azure, integrato nativamente con Microsoft 365 Defender, Entra ID, Defender for Endpoint e tutti i servizi Microsoft. Se la tua azienda usa già Microsoft 365 Business Premium, Sentinel è la scelta naturale per il passo successivo. Il prezzo si basa sul volume di dati ingeriti: per una PMI di 30 persone con infrastruttura Microsoft, aspettati €150-400/mese di costi Azure inclusi. Ottimo per correlazione automatica con Microsoft 365, meno conveniente se usi sistemi eterogenei.
Pro
- Integrazione nativa con tutto l'ecosistema Microsoft
- AI Copilot per analisi automatica degli incidenti
- Oltre 200 connettori data source pronti
- Scalabilità cloud senza gestione infrastruttura
Contro
- Costi difficili da prevedere (pay-per-GB)
- Richiede competenze Azure per la configurazione
- Vendor lock-in Microsoft
#3 — Splunk Enterprise Security
Best For: medie imprese con team IT internoSplunk è lo standard de facto per i grandi SOC aziendali: potenza di ricerca impareggiabile, dashboard personalizzabili, marketplace di app e integrazioni enorme. Il problema per le PMI è il prezzo: la versione cloud parte da €150/GB/giorno, che per un'azienda di 50 persone può significare facilmente €2.000-5.000/mese. Dall'acquisizione di Cisco (2024), Splunk si sta integrando sempre di più con le soluzioni di rete Cisco.
Pro
- Potenza di ricerca e correlazione superiore
- Ecosistema di app e integrazioni enorme (Splunkbase)
- Dashboard e report completamente personalizzabili
- Integrazione Cisco post-acquisizione
Contro
- Costo molto elevato — non per PMI sotto 100 dipendenti
- Curva di apprendimento ripida (linguaggio SPL)
- Richiede personale dedicato per sfruttarlo
#4 — IBM QRadar SIEM
Best For: settori regolamentati (finance, healthcare)IBM QRadar è una piattaforma SIEM matura, presente sul mercato da oltre 15 anni. Nel 2026 IBM ha lanciato QRadar Suite, che unifica SIEM, SOAR (automazione risposta) e XDR in un'unica piattaforma SaaS. La Community Edition è gratuita fino a 50 eventi per secondo — sufficiente per testare la soluzione ma non per un ambiente produttivo. Per le PMI il costo è raramente giustificato: IBM punta ai grandi enterprise, finance e healthcare.
Pro
- Maturità e affidabilità enterprise comprovata
- Suite unificata SIEM + SOAR + XDR
- Community Edition gratuita per test
Contro
- Prezzi non trasparenti — solo su preventivo
- Pensato per enterprise, non per PMI
- Interfaccia datata rispetto ai concorrenti
#5 — Elastic SIEM (Elastic Security)
Best For: team DevOps con già ELK stackElastic Security è la componente SIEM dell'Elastic Stack (ELK): Elasticsearch, Logstash e Kibana. Se hai già un ELK stack per l'osservabilità dei tuoi sistemi, aggiungere le funzionalità SIEM ha senso economico. Elastic Cloud parte da €95/mese per un cluster da 8 GB, ma i costi crescono rapidamente con i volumi. Le funzionalità SIEM avanzate — regole ML e risposta agli incidenti — richiedono la licenza Enterprise. Ideale per team con competenze tecniche interne.
Pro
- Perfetto se hai già stack ELK in produzione
- Ricerca full-text su log ultra veloce
- Regole detection basate su ML
Contro
- Funzioni SIEM avanzate solo su licenza a pagamento
- Alta complessità operativa
- Non consigliato senza team tecnico interno
Tabella comparativa: qual SIEM scegliere nel 2026?
| SIEM | Costo | Complessità | NIS2 | Consigliato PMI |
|---|---|---|---|---|
| Wazuh (gestito) | €6/endpoint/mese | Bassa (gestita) | Sì — prima scelta | |
| Microsoft Sentinel | €2,46/GB + Azure | Media | Se full Microsoft | |
| Splunk | €150+/GB/giorno | Alta | Solo 200+ dipendenti | |
| IBM QRadar | Su preventivo | Alta | No — troppo costoso | |
| Elastic SIEM | da €95/mese cloud | Molto alta | Solo con team DevOps |
SIEM e NIS2: cosa richiede la normativa nel 2026?
La Direttiva NIS2 (recepita in Italia con D.Lgs. 138/2024) richiede alle aziende soggette misure tecniche per la gestione del rischio informatico. L'articolo 21 cita esplicitamente:
- Monitoraggio continuo — rilevamento anomalie e accessi non autorizzati in tempo reale
- Gestione degli incidenti — capacità di rilevare, contenere e notificare violazioni entro 24-72 ore
- Log retention — conservazione dei log di sicurezza per almeno 12 mesi
- Reportistica audit — documentazione degli eventi di sicurezza per ispezioni ACN
Un SIEM gestito con Wazuh soddisfa tutti e quattro i requisiti out-of-the-box. Le sanzioni NIS2 per mancata conformità arrivano fino a €10 milioni o il 2% del fatturato globale. Il costo di un SIEM gestito da €6/endpoint/mese è una frazione del rischio. Scopri di più sul nostro servizio di sicurezza informatica per PMI.
BullTech SIEM-as-a-Service: come funziona
Da anni gestiamo la sicurezza informatica di PMI lombarde. Il nostro servizio SIEM gestito si basa su Wazuh e include tutto quello che serve, senza sorprese in fattura.
Monitoraggio H24
Alert in tempo reale su Teams, email o SMS. Nessun incidente passa inosservato.
Log retention 12 mesi
Tutti i log conservati e consultabili per audit NIS2/GDPR. Export PDF on demand.
Attivazione in 5-10 giorni
Installiamo gli agent da remoto tramite Atera RMM, senza interventi fisici.
Regole MITRE ATT&CK
Oltre 1.800 regole di correlazione preconfigurate, aggiornate ogni settimana.
Compliance automatica
Report mensili di conformità NIS2, GDPR e ISO 27001 generati automaticamente.
Incident response inclusa
In caso di incidente, il nostro team interviene per contenere e risolvere.
SIEM gestito da €6/endpoint/mese
Per 20 postazioni: ~€120/mese. Attivazione in 5-10 giorni, senza hardware dedicato. NIS2 compliant. Disdici quando vuoi.
Richiedi una consulenza gratuitaRisposta entro 4 ore lavorative — nessun impegno
Domande frequenti sul SIEM aziendale
Quanto costa un SIEM aziendale nel 2026?
Cos'è un SIEM e a cosa serve in azienda?
Il SIEM è obbligatorio con la normativa NIS2?
Qual è il miglior SIEM per una PMI italiana nel 2026?
Qual è la differenza tra SIEM, EDR e SOC?
Quanto tempo ci vuole per attivare un SIEM aziendale?
Wazuh è abbastanza per una piccola azienda?
Fondatore di BullTech, MSP con sede a Vimercate. Dal 2009 gestisco la sicurezza informatica di PMI lombarde. Mi occupo personalmente di SIEM, EDR e incident response per i clienti che ne hanno più bisogno.