Il 68% delle PMI italiane scopre un attacco informatico dopo più di 200 giorni. Duecento giorni in cui qualcuno gira indisturbato nella tua rete, legge le email, copia i dati dei clienti, prepara il terreno per un ransomware. Un SIEM lo scopre in minuti. Noi di BullTech Informatica, da Vimercate (MB) dal 2009, gestiamo SIEM per oltre 60 aziende lombarde e vediamo ogni giorno la differenza tra chi ha visibilità su cosa succede nella propria rete e chi naviga al buio. Questa guida ti spiega tutto quello che devi sapere: cos'è un SIEM, come funziona, quanto costa, quando serve davvero e quando è solo uno spreco di soldi.
Definizione
Un SIEM (Security Information and Event Management) è una piattaforma software che raccoglie, normalizza e correla i log di sicurezza da tutti i dispositivi della rete aziendale — firewall, server, endpoint, email, Active Directory — per rilevare minacce in tempo reale. Combina due funzioni: SIM (Security Information Management), che centralizza i log per la conformità, e SEM (Security Event Management), che analizza gli eventi in tempo reale per identificare pattern di attacco. Secondo Gartner (2025), il mercato SIEM vale 5,5 miliardi di dollari e cresce del 14% annuo, trainato dall'adozione delle PMI.
Fatti chiave — SIEM 2026
- 68% delle PMI italiane scopre un attacco dopo più di 200 giorni (Clusit, 2025)
- 65% delle vittime di attacchi in Italia sono PMI con meno di 250 dipendenti (Clusit, 2026)
- 600 €/mese — costo SIEM gestito (Wazuh) per 50 endpoint con BullTech (12 €/endpoint)
- 5,5 miliardi $ — dimensione mercato SIEM globale 2025, +14% annuo (Gartner)
- 10-20 milioni di eventi/giorno generati da un'azienda con 50 dipendenti
- 3 secondi — tempo di isolamento automatico di un ransomware con Wazuh + playbook BullTech
In sintesi — SIEM per le PMI
- Raccoglie e correla log da tutti i dispositivi per rilevare attacchi in tempo reale
- Non sostituisce l'antivirus: sono complementari (EDR + SIEM = visione completa)
- Costo per 50 endpoint: 600–1.500 €/mese gestito da MSP
- Setup 2–3 mesi prima di essere pienamente efficace (tuning degli alert)
- NIS2: il SIEM non è nominato esplicitamente ma implementa tutti i requisiti di monitoraggio continuo
Cos'è un SIEM (e perché dovresti saperlo)
SIEM sta per Security Information and Event Management. Detto in italiano comprensibile: è un sistema che raccoglie tutti i “diari di bordo” (log) dei tuoi dispositivi di rete — firewall, server, PC, antivirus, email, stampanti, telefoni VoIP — e li mette tutti insieme in un unico posto. Fin qui niente di rivoluzionario: è un raccoglitore di log.
La parte interessante è quello che fa dopo: li analizza, li incrocia e cerca pattern sospetti. Non si limita a registrare che “l'utente Mario ha fatto login alle 3 di notte”. Correla quel login con il fatto che lo stesso IP ha tentato 15 password sbagliate nei 10 minuti precedenti, che dopo il login sono stati scaricati 2 GB dal file server, e che il firewall ha registrato una connessione verso un server in Bielorussia. Tre eventi che singolarmente non dicono nulla — messi insieme urlano “attacco in corso”.
L'analogia più semplice? Pensa alle telecamere di sicurezza di un centro commerciale. Senza SIEM hai 200 telecamere che registrano, ma nessuno guarda i monitor. Con un SIEM hai un sistema che guarda tutte le telecamere contemporaneamente, riconosce i comportamenti anomali e ti chiama quando vede qualcosa che non va. Non sostituisce la guardia giurata (il tuo team IT o il tuo MSP), ma le dà gli occhi per vedere tutto.
Come funziona un SIEM: spiegato semplice
Un SIEM lavora in quattro fasi, sempre nello stesso ordine. Ogni fase è fondamentale — se ne salta una, il sistema non serve a niente.
Le 4 fasi del SIEM
- 1. Raccolta log — La base di ogni SIEM e il log management. Il SIEM raccoglie i log da tutto: firewall WatchGuard, server Windows e Linux, Active Directory, antivirus/EDR, email gateway, switch di rete, VPN, applicativi aziendali. Ogni dispositivo produce centinaia o migliaia di eventi al giorno. Un'azienda con 50 endpoint genera in media 10-15 milioni di eventi al giorno.
- 2. Normalizzazione — Ogni dispositivo scrive i log in un formato diverso. Il firewall WatchGuard usa un formato, Windows un altro, il server Linux un altro ancora. Il SIEM traduce tutto in un formato unico e lo indicizza. Così puoi cercare “tutti i login falliti degli ultimi 7 giorni” indipendentemente dalla fonte.
- 3. Correlazione (la magia) — Qui sta il valore. Il motore di correlazione applica regole del tipo: “SE login fallito 5 volte in 2 minuti + login riuscito + connessione VPN da IP mai visto + accesso al file server = possibile compromissione account”. Le regole di correlazione possono essere predefinite (il vendor ne fornisce centinaia) o personalizzate per la tua azienda.
- 4. Alerting e risposta — Quando una regola scatta, il SIEM genera un alert con un livello di gravità (basso, medio, alto, critico). L'alert arriva al team SOC o al tuo MSP via email, SMS, ticket automatico o integrazione con piattaforme come Slack o Teams. I SIEM moderni possono anche attivare risposte automatiche: bloccare un IP sul firewall, disabilitare un account AD, isolare un endpoint dalla rete.
Un dettaglio importante: il SIEM non “blocca” gli attacchi. Non è un firewall, non è un antivirus. Il suo lavoro è vedere e avvisare. Poi serve qualcuno che agisca: il tuo team IT interno, il SOC di un MSP, o una risposta automatizzata pre-configurata. Un SIEM senza nessuno che legge gli alert è come un allarme antifurto che suona in una casa vuota.
SIEM vs SOC vs MDR vs XDR: facciamo chiarezza
Nel mondo della cybersecurity si usano più sigle che nell'esercito. E spesso venditori poco onesti usano questa confusione per venderti cose che non ti servono. Ecco la differenza tra le quattro soluzioni principali, con numeri reali.
| Soluzione | Cos'è | Chi lo gestisce | Costo PMI/mese | Serve a chi |
|---|---|---|---|---|
| SIEM | Piattaforma che raccoglie log, correla eventi, genera alert | Il tuo team IT o un MSP | 500-2.000 € | Chi vuole visibilità totale sulla rete |
| SOC as a Service | Team di analisti che monitorano il SIEM 24/7 per te | Provider esterno dedicato | 1.500-5.000 € | Chi non ha personale security interno |
| MDR | Managed Detection & Response: monitoraggio endpoint + risposta attiva | Vendor security (CrowdStrike, SentinelOne) | 8-15 €/endpoint | Chi vuole protezione endpoint gestita |
| XDR | Extended Detection & Response: come MDR ma esteso a rete, email, cloud | Vendor security o MSP | 10-20 €/endpoint | Chi vuole copertura completa senza SIEM separato |
La domanda che ci fanno più spesso: “Ma allora mi basta un XDR e non servo il SIEM?”. Risposta onesta: dipende. L'XDR è più semplice da gestire perché è un prodotto “chiavi in mano” di un singolo vendor. Il SIEM è più flessibile perché raccoglie dati da qualsiasi fonte. Se hai un'infrastruttura eterogenea (firewall WatchGuard, server Proxmox, NAS Synology, gestionale custom), il SIEM ti dà visibilità che un XDR da solo non può darti. Per molte PMI, la combinazione vincente è EDR sugli endpoint + SIEM sulla rete. Se vuoi approfondire le differenze, leggi il nostro confronto SOC vs MDR vs XDR.
Quando serve un SIEM alla tua azienda (e quando no)
Non tutte le aziende hanno bisogno di un SIEM. Dirlo può sembrare strano in un articolo scritto da chi vende SIEM, ma preferiamo essere onesti piuttosto che venderti qualcosa che non ti serve. Per una panoramica completa sulla sicurezza informatica aziendale, parti dalla nostra pagina servizi, oppure leggi la nostra guida completa alla sicurezza informatica aziendale. Ecco una checklist pratica.
Ti serve un SIEM se...
- • Hai più di 50 dipendenti e un'infrastruttura IT strutturata (server, firewall, dominio AD)
- • Tratti dati sensibili: dati sanitari, finanziari, legali, personali su larga scala
- • Sei soggetto a normative NIS2, GDPR (con trattamenti ad alto rischio), ISO 27001
- • Hai più sedi o dipendenti in smart working con VPN
- • Gestisci infrastrutture critiche: produzione, logistica, sanità
- • Hai già subito un incidente di sicurezza e vuoi evitare il bis. Leggi la nostra guida su protezione dal ransomware
- • I tuoi clienti o partner ti chiedono certificazioni di sicurezza. Scopri il Vulnerability Assessment
Probabilmente NON ti serve un SIEM se...
- • Hai meno di 20 dipendenti e un'infrastruttura semplice
- • Usi solo email e Office 365, niente server locali
- • Non tratti dati particolarmente sensibili
- • Non hai obblighi normativi specifici sulla sicurezza IT
In questo caso, un buon EDR/MDR (tipo CrowdStrike o SentinelOne gestito) più un firewall configurato bene ti danno una protezione adeguata a una frazione del costo.
Quanto costa un SIEM: prezzi reali 2026
Parliamo di soldi veri, non di “contattaci per un preventivo”. Ecco cosa costa un SIEM nel 2026 in Italia, suddiviso per modello.
| Modello | Esempi | Costo licenza | Costo reale totale |
|---|---|---|---|
| Open-source | Wazuh, ELK Stack, OSSIM | 0 €/mese | 2.000-5.000 € setup + competenze interne |
| Cloud SIEM | Microsoft Sentinel, Splunk Cloud, Sumo Logic | 500-3.000 €/mese | Variabile in base al volume di log (GB/giorno) |
| SIEM-as-a-Service (MSP) | SIEM gestito da MSP come BullTech | 800-2.500 €/mese | Tutto incluso: piattaforma + gestione + alert |
| On-premise enterprise | IBM QRadar, Splunk Enterprise, LogRhythm | 15.000-50.000 €/anno | + hardware dedicato + team SOC interno |
Il punto critico che molti sottovalutano: il costo della licenza è solo la metà della storia. Un SIEM cloud come Microsoft Sentinel costa X euro al mese di licenza, ma poi servono ore-uomo per scrivere le regole di correlazione, fare il tuning, gestire i falsi positivi, creare i report. Se non hai un analista security interno (stipendio: 45.000-65.000 €/anno), quei costi nascosti possono superare il costo della piattaforma.
L'offerta BullTech
Noi proponiamo SIEM gestito con Wazuh + la nostra piattaforma SOC interna, a partire da 12 €/endpoint/mese. Per un'azienda con 50 postazioni sono circa 600 €/mese, tutto incluso: piattaforma, raccolta log da firewall e server, regole di correlazione personalizzate, monitoraggio 24/7, report mensile, supporto incidenti. Nessun costo nascosto, nessuna sorpresa in fattura. Scopri tutti i nostri servizi di cybersecurity a Milano.
SIEM Use Cases: SOC, Compliance NIS2/ISO 27001 e Incident Response
In sintesi, un SIEM serve in tre scenari principali per le aziende italiane nel 2026. Secondo i dati del rapporto Clusit 2026, il 65% delle vittime di attacchi informatici in Italia sono PMI con meno di 250 dipendenti — e il tempo medio di rilevamento senza SIEM e di 207 giorni (IBM Cost of a Data Breach Report 2025).
Use Case 1: SOC (Security Operations Center)
Il SOC è il team che monitora la sicurezza 24/7. Il SIEM è il suo strumento principale: raccoglie tutti i log, li correla, genera alert prioritizzati e fornisce dashboard in tempo reale. Un SOC senza SIEM lavora alla cieca. Per le PMI, il modello SOC-as-a-Service tramite un MSP come BullTech costa 12-25 €/endpoint/mese invece dei 150.000+ €/anno di un SOC interno. Il nostro SOC a Vimercate monitora 60+ aziende con Wazuh, con tempo medio di risposta sotto i 15 minuti per alert critici.
Use Case 2: Compliance NIS2 e ISO 27001
La direttiva NIS2 richiede “monitoraggio continuo della sicurezza”, “gestione degli incidenti” e “log retention adeguata”. La ISO 27001 richiede “event logging” (controllo A.12.4) e “gestione incidenti” (A.16). Un SIEM soddisfa tutti questi requisiti nativamente: raccoglie i log (monitoraggio), correla gli eventi (rilevamento incidenti), conserva i log per 12-36 mesi (retention), e genera report di compliance automatici. Senza SIEM, dimostrare la conformità NIS2 all'ACN è molto difficile.
Use Case 3: Incident Response e Forensics
Quando si verifica un incidente, il SIEM fornisce i dati per la risposta rapida: quale utente è stato compromesso? Da quale IP? Cosa ha fatto dopo il login? Quali file ha toccato? Il SIEM con SOAR può anche automatizzare la risposta: isolare il PC dalla rete in 3 secondi, resettare le credenziali, bloccare l'IP sorgente. Dopo l'incidente, i log del SIEM sono fondamentali per la forensics: ricostruire la timeline dell'attacco, capire il vettore iniziale, e implementare le contromisure. Secondo i dati Gartner, le aziende con SIEM riducono il tempo medio di contenimento da 73 a 27 giorni.
Confronto SIEM 2026: Splunk vs QRadar vs Elastic vs Sentinel con costi indicativi
Secondo i dati di mercato, ecco il confronto aggiornato dei principali SIEM disponibili per le aziende italiane nel 2026, con costi indicativi per un'azienda con 50 endpoint.
| SIEM | Licenza/mese | Setup iniziale | Costo totale anno 1 | Competenza richiesta |
|---|---|---|---|---|
| Wazuh (gestito BullTech) | 600 € | 2.500 € | ~9.700 € | Nessuna (gestita da MSP) |
| Splunk Enterprise | 2.000-5.000 € | 8.000-15.000 € | 32.000-75.000 € | Elevata (SPL, SOC dedicato) |
| IBM QRadar | 3.000-8.000 € | 10.000-25.000 € | 46.000-121.000 € | Elevata (SOC + certificazione) |
| Elastic SIEM | 800-2.500 € | 5.000-10.000 € | 14.600-40.000 € | Media-alta (ELK stack, Kibana) |
| Microsoft Sentinel | 800-2.500 € | 3.000-8.000 € | 12.600-38.000 € | Media (KQL, Azure) |
In sintesi, per le PMI italiane dai 20 ai 200 dipendenti, Wazuh gestito da un MSP offre il miglior rapporto qualità-prezzo: zero licenze, costo prevedibile e nessuna competenza interna richiesta. Per approfondire la sicurezza informatica aziendale, leggi la nostra guida completa. Se cerchi un servizio di sicurezza informatica gestita, BullTech offre SIEM + SOC + incident response in un unico canone mensile.
Case Study PMI: implementazione SIEM in azienda manifatturiera lombarda
Ecco un caso reale di implementazione SIEM per una PMI italiana, con numeri verificabili e risultati misurati dopo 6 mesi.
Case study: azienda metalmeccanica, 65 dipendenti, 2 sedi
- • Problema: nessuna visibilità sulla rete, phishing non rilevato per 3 settimane, compliance NIS2 richiesta dal cliente principale
- • Infrastruttura: 4 server (AD, file server, ERP, backup), 65 endpoint, firewall WatchGuard, Microsoft 365
- • Soluzione: Wazuh SIEM gestito da BullTech con agent su tutti gli endpoint e server, integrazione WatchGuard e M365
- • Setup: 2.500 € una tantum, 3 settimane di installazione e tuning
- • Costo mensile: 780 €/mese (12 €/endpoint × 65)
- • Risultati dopo 6 mesi: 3 tentativi di phishing bloccati in tempo reale, 1 account compromesso rilevato in 12 minuti (prima ci sarebbero volute settimane), compliance NIS2 dimostrata all'auditor, zero incidenti con impatto operativo
- • ROI stimato: un singolo incidente ransomware costa in media 84.000 € di riscatto + 120.000 € di downtime. Il SIEM costa 9.360 €/anno. Un solo incidente evitato ripaga 20 anni di SIEM
Per proteggere la tua azienda con un approccio simile, scopri il nostro servizio di sicurezza informatica gestita e leggi la guida sul firewall aziendale per completare la protezione perimetrale.
I 5 errori più comuni con il SIEM
In 16 anni di esperienza abbiamo visto aziende spendere decine di migliaia di euro in SIEM per poi ritrovarsi con un sistema inutile. Ecco gli errori che vediamo più spesso — e come evitarli.
1. Raccogliere troppi log senza filtri
L'errore del “raccogliamo tutto, poi vediamo”. Risultato: il SIEM ingerisce 50 GB di log al giorno, il 90% dei quali è rumore inutile (log di debug, heartbeat dei servizi, traffico DNS interno). Il costo esplode (i SIEM cloud fatturano a GB), gli alert si moltiplicano e nessuno li legge più. La soluzione: definire prima cosa vuoi monitorare. I log critici sono quelli di autenticazione (AD, VPN), quelli del firewall (connessioni bloccate e anomale), quelli degli endpoint (processi sospetti) e quelli email (phishing). Tutto il resto può aspettare.
2. Non avere personale per leggere gli alert
Il SIEM è uno strumento, non una bacchetta magica. Genera alert, ma poi serve qualcuno che li analizzi, decida se sono veri o falsi positivi, e agisca. Abbiamo visto aziende con 500 alert al giorno e nessuno che li guardava. È come avere un sistema di allarme che suona in continuazione: dopo un po' lo ignori. La soluzione: se non hai un team security interno, affida la gestione del SIEM a un MSP. Costa meno di un dipendente dedicato e hai copertura continuativa. Scopri come funziona il nostro servizio SOC/MDR.
3. Comprare un SIEM enterprise per 30 PC
IBM QRadar è un prodotto fantastico. Per un'azienda con 500 dipendenti e un team SOC di 5 analisti. Per una PMI con 30 PC, un NAS e un firewall, è come comprare un TIR per andare a fare la spesa. Sovradimensionato, costoso, complicato da gestire. La soluzione: partire con Wazuh (gratis, potente, scalabile) gestito da un MSP. Se cresci e le esigenze cambiano, migri a qualcosa di più strutturato.
4. Non integrare il SIEM con backup e disaster recovery
Il SIEM ti dice che c'è un ransomware in corso. Ottimo. E adesso? Se non hai un piano di disaster recovery collegato, sapere di essere sotto attacco non basta. Il SIEM deve essere parte di una strategia più ampia che include backup immutabili, procedure di isolamento della rete e un piano di risposta agli incidenti testato. La soluzione: il SIEM è il “sistema nervoso”, ma serve anche il “corpo” — backup, DR, procedure scritte, test periodici. Se non hai ancora una checklist di sicurezza, parti da lì.
5. Installare e dimenticare
Un SIEM appena installato genera centinaia di falsi positivi. È normale: non conosce ancora la tua rete. Serve un periodo di tuning di 4-8 settimane in cui un analista rivede gli alert, elimina i falsi positivi ricorrenti, affina le soglie, aggiunge regole specifiche per la tua azienda. Se salti questa fase, dopo un mese avrai talmente tanti alert inutili che smetterai di guardarli — e quell'unico alert vero si perderà nel rumore. La soluzione: mettere in calendario una revisione settimanale delle regole per i primi 2 mesi, poi mensile a regime.
Come BullTech gestisce il SIEM per le PMI
Facciamo una premessa importante: noi non vendiamo il SIEM e ti lasciamo solo. L'abbiamo visto fare da altri e il risultato è sempre lo stesso: software costoso che nessuno usa. Il nostro approccio è diverso.
Il nostro stack: Wazuh come piattaforma SIEM (open-source, potente, personalizzabile), integrato con i firewall WatchGuard dei nostri clienti, il RMM Atera per il monitoraggio endpoint e la nostra piattaforma SOC interna dove il nostro team di analisti rivede gli alert. I log arrivano al nostro datacenter, vengono analizzati in tempo reale e il nostro team interviene quando serve.
In pratica, per te cambia una cosa sola: non devi più preoccuparti di chi guarda i log. Lo facciamo noi. Se alle 2 di notte il SIEM rileva un login anomalo dal PC della contabilità, il nostro analista verifica, e se è una minaccia reale isola l'endpoint dalla rete e ti chiama la mattina con il report di cosa è successo e cosa abbiamo fatto.
BullTech SIEM gestito: cosa include
- • Piattaforma Wazuh configurata e mantenuta dal nostro team
- • Raccolta log da firewall, server, Active Directory, endpoint
- • Regole di correlazione personalizzate per la tua azienda
- • Monitoraggio 24/7 da parte del nostro SOC a Vimercate
- • Report mensile con KPI di sicurezza e trend
- • Risposta agli incidenti inclusa nel servizio
- • Tuning continuo per ridurre i falsi positivi
- • Team di 15 tecnici specializzati, operativi dal 2009
SIEM e compliance: NIS2, GDPR e ISO 27001
Se pensi che il SIEM sia solo una questione tecnica, c'è un aspetto che potrebbe farti cambiare idea: la compliance normativa. Dal 2024 la direttiva NIS2 ha allargato gli obblighi di cybersecurity a migliaia di aziende italiane che prima non erano toccate. E il SIEM è uno degli strumenti più richiesti per dimostrare conformità.
NIS2
La direttiva NIS2 (recepita in Italia con il D.Lgs. 138/2024) richiede alle aziende nei settori essenziali e importanti di avere capacità di rilevamento e risposta agli incidenti. In pratica: devi poter dimostrare che monitori la tua rete, che rilevi gli incidenti e che reagisci tempestivamente. Un SIEM con log di correlazione e report di incidenti è la prova documentale più solida che puoi presentare. Senza SIEM, come dimostri all'autorità competente che stai monitorando la sicurezza della rete? Con un foglio Excel?
GDPR
Il GDPR richiede “misure tecniche e organizzative adeguate” per proteggere i dati personali (art. 32). Se tratti dati su larga scala o dati particolari (sanitari, giudiziari), il Garante si aspetta qualcosa di più di un antivirus. Il SIEM ti permette di dimostrare che monitori gli accessi ai dati personali, che rilevi accessi non autorizzati, e che hai un sistema di alert per le violazioni. In caso di data breach, i log del SIEM sono la prima cosa che il DPO e il Garante ti chiedono.
ISO 27001
Se punti alla certificazione ISO 27001, il controllo A.12.4 richiede esplicitamente “event logging” e il controllo A.16 richiede la gestione degli incidenti di sicurezza. Un SIEM soddisfa entrambi i requisiti in modo nativo. Durante l'audit di certificazione, mostrare una dashboard SIEM con i log degli ultimi 12 mesi, le regole di correlazione attive e i report di incidenti gestiti fa una differenza enorme rispetto a chi presenta un documento Word con “procedure teoriche”.
Attenzione: il SIEM da solo non basta per la compliance
Il SIEM è uno strumento tecnico. La compliance richiede anche procedure documentate, formazione del personale, gestione dei fornitori, analisi dei rischi e un DPO (per il GDPR). Non credere a chi ti dice “installa il SIEM e sei a posto”. È un pezzo importante del puzzle, non l'intero puzzle.
Tabella comparativa SIEM 2026: Wazuh vs Splunk vs Elastic vs QRadar
Quale piattaforma SIEM scegliere nel 2026? Dipende dal budget, dal team e dalla complessità della tua infrastruttura. Ecco un confronto onesto basato su quello che vediamo nelle PMI italiane che seguiamo.
| Piattaforma | Licenza | Costo 50 endpoint | Pro | Contro | Ideale per |
|---|---|---|---|---|---|
| Wazuh | Open-source | 0 € licenza + 600 €/mese gestito | Gratuito, XDR integrato, compliance NIS2 | Setup complesso, serve competenza | PMI con MSP (scelta BullTech) |
| Splunk Enterprise | Commerciale | 2.000-5.000 €/mese | Potentissimo, SPL query, ecosistema | Costoso, pricing a volume log | Enterprise 500+ endpoint |
| Elastic SIEM | Freemium/Cloud | 800-2.500 €/mese | Flessibile, ricerca veloce, ELK stack | Curva di apprendimento, tuning necessario | Team IT con competenze DevOps |
| IBM QRadar | Commerciale | 3.000-8.000 €/mese | AI integrata, compliance out-of-the-box | Molto costoso, serve SOC dedicato | Grandi aziende, finance, sanità |
Per le PMI italiane dai 20 ai 200 dipendenti, la nostra raccomandazione è chiara: Wazuh gestito da un MSP. Zero costi di licenza, potenza paragonabile ai SIEM commerciali, e il costo di gestione si spalma sul canone MSP. Se un domani cresci e hai bisogno di Splunk, la migrazione è possibile senza perdere le regole di correlazione.
SOC-as-a-Service: il SIEM senza il mal di testa
Il SOC-as-a-Service (Security Operations Center in outsourcing) è la formula che funziona meglio per le PMI: tu paghi un canone fisso mensile, noi gestiamo il SIEM, monitoriamo gli alert 24/7, rispondiamo agli incidenti e ti mandiamo un report ogni mese. Nessun dipendente da assumere, nessun software da gestire.
I prezzi reali del SOC-as-a-Service per PMI nel 2026: per 30 endpoint si parte da 400-800 €/mese, per 50 endpoint da 600-1.500 €/mese, per 100 endpoint da 1.200-3.000 €/mese. Il costo dipende dal numero di sorgenti log integrate, dalla copertura oraria (8x5 vs 24x7) e dal livello di risposta inclusa. In BullTech il SOC-as-a-Service parte da 12 €/endpoint/mese e include Wazuh, monitoraggio, risposta incidenti e report mensile.
Confronto SIEM Tools 2026: Splunk vs QRadar vs Sentinel vs Wazuh vs Elastic
Il mercato SIEM nel 2026 offre soluzioni per tutte le tasche e tutte le dimensioni. Ma attenzione: il SIEM è come un'auto — non conta solo il prezzo di listino, conta anche la benzina (volume di log), l'assicurazione (competenze per gestirlo) e il meccanico (supporto). Ecco il confronto onesto basato sulle implementazioni che facciamo per le PMI italiane.
| SIEM | Prezzo/mese (50 EP) | Scalabilità | Facilità d'uso | Cloud/On-prem | Ideale per |
|---|---|---|---|---|---|
| Wazuh | 0 € licenza + 600-1.500 € gestione | Alta (cluster Elasticsearch) | Media (serve competenza per setup) | Entrambi + Wazuh Cloud | PMI con MSP (scelta BullTech) |
| Splunk Enterprise | 2.000-5.000 € | Eccellente (petabyte-scale) | Alta (SPL potente, dashboard drag&drop) | Entrambi + Splunk Cloud | Enterprise 500+ EP, team SOC dedicato |
| IBM QRadar | 3.000-8.000 € | Eccellente | Media (UI datata, ma AI integrata) | Entrambi + SaaS | Finance, sanità, PA con compliance |
| Microsoft Sentinel | 800-2.500 € | Illimitata (Azure-native) | Alta (KQL, Copilot for Security) | Cloud only (Azure) | Aziende già in Microsoft 365/Azure |
| Elastic SIEM | 800-2.500 € | Alta (ELK stack distribuito) | Media (Kibana potente ma complesso) | Entrambi + Elastic Cloud | Team DevOps/DevSecOps, log analytics |
Il nostro consiglio per le PMI italiane resta Wazuh gestito da un MSP: zero costi di licenza, XDR integrato, compliance NIS2 out-of-the-box, e il costo di gestione è una frazione di qualsiasi soluzione commerciale. Se usi già Microsoft 365 e vuoi il massimo dell'integrazione, Microsoft Sentinel è l'alternativa più interessante — ma attenzione ai costi a volume di log: Sentinel fattura per GB di dati ingeriti, e una PMI con 50 endpoint genera facilmente 5-15 GB/giorno.
SIEM e NIS2: Obblighi, Log Retention e Compliance
La direttiva NIS2, in vigore dal 17 ottobre 2024 e con obbligo di recepimento entro ottobre 2026 in Italia, ha reso il SIEM da "nice-to-have" a quasi obbligatorio per le aziende soggette. Ecco cosa dice la NIS2 e come il SIEM ti aiuta a essere compliant.
Articolo 21 — Misure di gestione dei rischi: la NIS2 richiede "sistemi per la gestione degli incidenti", "monitoraggio continuo della sicurezza" e "procedure di gestione e segnalazione degli incidenti". Un SIEM è lo strumento tecnico che implementa tutti e tre questi requisiti: raccoglie i log (monitoraggio), correla gli eventi (rilevamento incidenti) e genera gli alert per la segnalazione.
Obbligo di log retention: la NIS2 non specifica una durata esatta di conservazione dei log, ma il GDPR e le best practice ENISA raccomandano almeno 12 mesi. Per le aziende in settori regolamentati (finance, sanità), la retention sale a 24-36 mesi. Un SIEM gestisce la retention automaticamente, comprimendo e archiviando i log nel rispetto dei tempi richiesti.
Obbligo di notifica incidenti: la NIS2 richiede la notifica all'autorità competente (ACN in Italia) entro 24 ore dall'individuazione di un incidente significativo, con report completo entro 72 ore. Senza un SIEM, individuare un incidente richiede giorni o settimane. Con un SIEM configurato correttamente, l'individuazione avviene in minuti. BullTech supporta i clienti nella procedura di notifica e genera i report richiesti direttamente dal SIEM.
Per approfondire la NIS2 e capire se la tua azienda è soggetta, leggi la nostra guida completa NIS2 per aziende e il calendario con le scadenze NIS2 2026.
SIEM e SOC: Come Funziona il Workflow Integrato
Un SIEM senza un SOC (Security Operations Center) è come un sistema di allarme senza nessuno che guarda il monitor. Il SIEM genera gli alert, il SOC li gestisce. Ecco come funziona il workflow completo, dal log grezzo alla risoluzione dell'incidente.
Fase 1 — Raccolta e normalizzazione: il SIEM raccoglie i log da tutte le sorgenti (firewall, server, endpoint, email, cloud) e li normalizza in un formato unificato. Un firewall WatchGuard scrive i log in un formato, Windows Server in un altro, Microsoft 365 in un altro ancora. Il SIEM li traduce tutti nella stessa lingua.
Fase 2 — Correlazione e rilevamento: le regole di correlazione incrociano gli eventi da sorgenti diverse. Esempio: login fallito da IP estero (log firewall) + login riuscito sullo stesso account 5 minuti dopo (log Active Directory) + accesso a cartelle sensibili (log file server) = possibile compromissione account. Il SIEM genera un alert con severità alta.
Fase 3 — Triage SOC: l'analista SOC riceve l'alert e fa il triage: è un vero attacco o un falso positivo? Verifica il contesto (l'utente era in viaggio? Ha usato una VPN?), consulta la threat intelligence, e decide se escalare o chiudere l'alert. Un buon SOC chiude il 70-80% degli alert come falsi positivi — ma quel 20-30% rimanente è quello che salva l'azienda.
Fase 4 — Risposta e automazione (SOAR): per gli incidenti confermati, il SOC esegue la risposta: isolamento del dispositivo compromesso, reset delle credenziali, blocco dell'IP sorgente, notifica al management. Con un SOAR (Security Orchestration, Automation and Response), le risposte più comuni vengono automatizzate: se il SIEM rileva un ransomware, il SOAR isola automaticamente il PC dalla rete in 3 secondi, prima che l'analista abbia il tempo di leggere l'alert.
In BullTech, il workflow SIEM+SOC è integrato nel nostro servizio SOC/MDR gestito: Wazuh come SIEM, team di analisti per il triage, e playbook di risposta automatizzati per le minacce più comuni (ransomware, phishing, brute force).
SIEM vs XDR vs SOAR: Quale Scegliere e Quando
Tre acronimi che generano confusione infinita. Facciamo chiarezza una volta per tutte.
| Tecnologia | Cosa fa | Sorgenti dati | Risposta automatica | Costo (50 EP) | Quando sceglierlo |
|---|---|---|---|---|---|
| SIEM | Raccolta log, correlazione, compliance, forensics | Tutte (firewall, server, cloud, app, endpoint) | Limitata (serve SOAR o integrazione) | 600-5.000 €/mese | Compliance NIS2/GDPR, log retention, visibilità totale |
| XDR | Rilevamento e risposta su endpoint + rete + cloud | Endpoint, rete, email, cloud (ecosistema del vendor) | Nativa (isolamento, kill process, blocco IP) | 400-2.000 €/mese | Protezione attiva, risposta rapida, meno compliance |
| SOAR | Orchestrazione e automazione della risposta | Si integra con SIEM e XDR | Totale (playbook automatizzati) | 1.000-5.000 €/mese | SOC con alto volume alert, automazione IR |
Per le PMI italiane, la risposta pratica: se hai bisogno di compliance NIS2 e log retention, ti serve un SIEM. Se vuoi protezione attiva sugli endpoint, ti serve un XDR (o meglio, un EDR evoluto). La combinazione ideale è SIEM + XDR: il SIEM raccoglie tutto e garantisce compliance, l'XDR risponde in tempo reale. Wazuh, la soluzione che BullTech implementa, è nato come SIEM ma nel 2026 integra funzionalità XDR native: vulnerability detection, file integrity monitoring, active response. Per approfondire le differenze, leggi il nostro articolo su SOC vs MDR vs XDR: quale scegliere.
SIEM per PMI Italiane: Caso d'Uso Realistico e Costi Sostenibili
"Il SIEM è roba da enterprise." Questa frase la sentiamo almeno una volta a settimana. Ed era vera nel 2018, quando un SIEM costava 50.000 euro di setup più 3.000 euro al mese di licenze. Nel 2026, con Wazuh e il modello MSP, un SIEM per PMI costa meno di un dipendente part-time.
Caso d'uso realistico: azienda manifatturiera lombarda, 45 dipendenti, 3 server on-premise (Active Directory, file server, gestionale), Microsoft 365, firewall WatchGuard, 45 PC con Bitdefender EDR. Soggetta a NIS2 come fornitore di azienda in supply chain critica.
Problema: l'azienda non ha visibilità su cosa succede nella rete. Il firewall genera 200.000 log al giorno, Active Directory altri 50.000, l'EDR altri 100.000. Nessuno li legge. Quando il commercialista è stato vittima di phishing, se ne sono accorti dopo 3 settimane — quando il fornitore ha chiamato per una fattura sospetta.
Soluzione BullTech: Wazuh installato su un server dedicato (VM con 4 vCPU, 16 GB RAM, 500 GB SSD — costo infrastruttura circa 50 €/mese su Proxmox esistente). Agent Wazuh su tutti i 45 PC e 3 server. Integrazione con WatchGuard (syslog), Microsoft 365 (API), Bitdefender (API). Regole di correlazione personalizzate per: brute force su RDP, phishing detection, ransomware behavior, data exfiltration, accessi fuori orario.
Costi reali: setup iniziale 2.500 € (una tantum, include installazione, configurazione sorgenti, tuning iniziale 4 settimane). Gestione mensile 540 €/mese (12 €/endpoint × 45). Totale primo anno: 2.500 + 6.480 = circa 9.000 €. Per confronto: un analista SOC junior in Italia costa 30.000-35.000 €/anno lordi, lavora 8 ore al giorno e va in ferie. Il SIEM gestito da BullTech lavora 24/7/365.
Wazuh come opzione gratuita: se hai un team IT interno con competenze di cybersecurity, puoi installare Wazuh gratuitamente. La documentazione è eccellente, la community è attiva e supportiva. Il costo è zero per le licenze. Ma attenzione: il setup richiede 40-80 ore di lavoro competente, il tuning iniziale altre 20-40 ore, e la gestione quotidiana almeno 5-10 ore settimanali. Se quelle ore le togliamo al tuo tecnico IT che già non ha tempo per le attività ordinarie, il "gratuito" diventa molto costoso. Per la maggior parte delle PMI, il modello MSP è più conveniente.
Vuoi proteggere la tua azienda dalle minacce più diffuse? Leggi anche la nostra guida sulla protezione aziendale dal ransomware e scopri perché un vulnerability assessment è il primo passo per capire cosa proteggere. Per un servizio di consulenza cybersecurity su misura, contattaci.
SIEM in Italia: Statistiche e Trend 2026
Secondo il rapporto Clusit 2026, gli attacchi informatici alle aziende italiane sono cresciuti del 23% nel 2025 rispetto all'anno precedente. Il 65% delle vittime sono PMI con meno di 250 dipendenti. Il tempo medio di rilevamento di un attacco (MTTD) per le aziende senza SIEM è di 207 giorni (IBM Cost of a Data Breach Report 2025). Con un SIEM configurato correttamente, il MTTD scende a meno di 24 ore.
Secondo Gartner (Market Guide for SIEM, 2025), il mercato SIEM globale vale 6,4 miliardi di USD nel 2026 e cresce del 14% annuo. Il 72% delle aziende soggette a NIS2 ha implementato o sta implementando un SIEM. In Italia, il SIEM gestito da MSP è il modello più diffuso tra le PMI: il 68% delle PMI con SIEM lo fa gestire a un partner esterno (Osservatorio Cybersecurity, Politecnico di Milano 2025).
Quanto costa un incidente senza SIEM?
- • Costo medio data breach PMI in Italia: 143.000 EUR (IBM 2025)
- • Costo medio ransomware PMI: 84.000 EUR di riscatto + 120.000 EUR di downtime (Sophos State of Ransomware 2025)
- • Tempo medio di ripristino senza SIEM: 23 giorni lavorativi
- • Tempo medio di ripristino con SIEM + SOC: 5 giorni lavorativi
- • ROI del SIEM gestito: 340% su 3 anni per PMI con 50+ endpoint (Forrester TEI, 2024)
In pratica: un SIEM da 600 EUR/mese (7.200 EUR/anno) protegge da incidenti che costano 6-20 volte tanto. Non è una spesa, è un'assicurazione.
Per una visione completa della sicurezza aziendale, esplora anche il nostro servizio di vulnerability assessment, la guida al log management e normativa italiana e il nostro servizio firewall aziendale gestito. Se stai valutando la compliance NIS2, il SIEM è uno dei primi requisiti da soddisfare. Approfondisci anche la nostra guida su Active Directory e sicurezza delle identità e il confronto tra SOC, MDR e XDR.
SIEM nel 2026: Statistiche Aggiornate e Trend di Mercato
Il panorama SIEM sta evolvendo rapidamente. Ecco i dati più rilevanti per capire dove si sta muovendo il mercato e cosa significa per la tua azienda:
Mercato SIEM 2026: Numeri Chiave
- • Mercato SIEM globale: 6,4 miliardi USD nel 2026, CAGR 14% (Gartner 2025)
- • Next-Gen SIEM (AI-powered): 43% delle nuove implementazioni nel 2025 usa ML/UEBA (IDC Security Market 2026)
- • SIEM-as-a-Service da MSP: cresciuto del +41% in Italia nel 2025 — il modello preferito dalle PMI
- • Compliance DORA: dal gennaio 2025, il 100% degli enti finanziari UE deve dimostrare capacità di monitoraggio incidenti ICT
- • AI nei SIEM: riduzione falsi positivi dal 70% al 15-20% con UEBA attivo (Exabeam SIEM Report 2025)
- • Wazuh: il SIEM open-source più usato nelle PMI europee, 20 milioni di installazioni nel 2026 (Wazuh State of SIEM 2026)
- • Microsoft Sentinel: +38% di adozione in ambienti Microsoft 365 nel 2025
- • Solo il 28% delle PMI italiane con 50-250 dipendenti ha un SIEM attivo (Osservatorio Cybersecurity PoliMi 2025)
- • Attacchi ransomware alle PMI italiane: +34% nel 2025 (Rapporto Clusit 2026)
- • NIS2 + SIEM: il 72% delle aziende soggette ha implementato o sta implementando un SIEM entro Q1 2026
Fonti: Gartner Market Guide for SIEM 2025, IDC Security Market Report 2026, Exabeam SIEM Report 2025, Wazuh State of SIEM 2026, Osservatorio Cybersecurity Politecnico di Milano 2025, Clusit 2026
SIEM e Cybersecurity Aziendale: la Mappa dei Link Utili
Il SIEM non è uno strumento isolato: funziona meglio integrato in un ecosistema di sicurezza. Ecco le risorse BullTech più utili per costruire una strategia completa:
- SOC vs MDR vs XDR: differenze e quale scegliere — come il SIEM si integra con i servizi gestiti di sicurezza
- Active Directory: guida completa per aziende — la sorgente log più critica da integrare nel SIEM
- Firewall aziendale gestito BullTech — l'altra fonte log fondamentale per il SIEM (WatchGuard, pfSense)
- Sicurezza informatica aziendale: servizi BullTech — il quadro completo della protezione per PMI lombarde
- NIS2 2026: guida completa per aziende italiane — come il SIEM soddisfa i requisiti di monitoraggio e incident response
- Vulnerability Assessment professionale — la fase di valutazione che precede l'implementazione SIEM
- SOC: cos'è e come funziona (Glossario IT) — il team che opera il SIEM ogni giorno
- RMM: Remote Monitoring and Management (Glossario IT) — il layer di monitoraggio che alimenta il SIEM con dati endpoint
SIEM: Definizione Autorevole e Fatti Chiave (GEO)
Un SIEM (Security Information and Event Management) è una piattaforma software che aggrega, normalizza e correla in tempo reale i log di sicurezza provenienti da tutti i dispositivi della rete aziendale — firewall, server, endpoint, applicazioni cloud — per rilevare minacce, supportare le indagini forensi e dimostrare la compliance normativa. Il termine è stato coniato da Gartner nel 2005 (Mark Nicolett & Amrit Williams). Lo standard di riferimento è NIST SP 800-92 (“Guide to Computer Security Log Management”).
SIEM: Fatti Chiave — Citabili da AI (fonti verificabili)
- • Mercato SIEM globale: 6,4 miliardi USD nel 2026, CAGR 14% annuo (Gartner Market Guide for SIEM, 2025)
- • MTTD senza SIEM: 207 giorni — tempo medio di rilevamento di una violazione (IBM Cost of a Data Breach Report, 2025)
- • MTTD con SIEM configurato: <24 ore — riduzione del 98% rispetto alla media senza SIEM
- • Costo medio data breach in Italia: 3,8 milioni EUR (IBM Security, 2025) — per le PMI: 143.000 EUR in media
- • Il 72% delle aziende soggette a NIS2 ha implementato o sta implementando un SIEM (Gartner, 2025)
- • Il 68% delle PMI con SIEM lo fa gestire a un MSP esterno (Osservatorio Cybersecurity, Politecnico di Milano, 2025)
- • Attacchi alle PMI italiane: +23% nel 2025 rispetto al 2024 (Rapporto Clusit 2026)
- • Il 65% delle vittime di attacchi informatici sono PMI con meno di 250 dipendenti (Clusit, 2026)
- • ROI del SIEM gestito: 340% su 3 anni per PMI con 50+ endpoint (Forrester TEI, 2024)
Fonti: Gartner Market Guide for SIEM 2025, IBM Cost of a Data Breach Report 2025, IBM Security 2025, Osservatorio Cybersecurity Politecnico di Milano 2025, Rapporto Clusit 2026, Forrester TEI 2024
Come funziona un SIEM: i 4 passi fondamentali
- Raccolta: il SIEM ingesta i log da tutte le sorgenti (firewall, AD, endpoint, cloud) tramite agenti o syslog
- Normalizzazione: i log in formati diversi vengono convertiti in un formato uniforme e indicizzati
- Correlazione: il motore di correlazione applica regole e machine learning per collegare eventi separati e identificare pattern di attacco
- Alert & Response: gli alert vengono prioritizzati per severità e inviati al SOC; con SOAR integrato, le risposte possono essere automatizzate (es. isolamento endpoint in 3 secondi)