Log management e NIS2: perché la gestione dei log è diventata un obbligo operativo
Ogni responsabile IT di una PMI italiana conosce la situazione. Firewall con log locali. Domain controller che scrivono su partizioni quasi piene. Piattaforme cloud con retention limitata. Sistemi VPN che sovrascrivono i dati settimanalmente. Quando arriva la domanda sulla NIS2 e la conservazione dei log, la risposta è spesso un silenzio imbarazzato. Eppure il log management NIS2 non è un dettaglio tecnico. È un requisito normativo. Impatta direttamente la capacità dell’organizzazione di rilevare incidenti, ricostruire timeline e dimostrare la propria diligenza durante audit e procedimenti legali. Per le PMI italiane che rientrano nel perimetro NIS2, strutturare una gestione dei log solida, verificabile e sostenibile è oggi una priorità concreta, non un progetto da rimandare.
Cosa significa gestire i log in ottica NIS2
La gestione dei log conforme alla NIS2 ruota attorno a quattro domande fondamentali che ogni organizzazione deve saper affrontare. La prima riguarda la selezione degli eventi: quali attività registrare dai sistemi critici, inclusi firewall, VPN, sistemi di autenticazione, domain controller, applicazioni e servizi cloud. La seconda concerne il rilevamento delle anomalie. Analisi automatizzate identificano pattern sospetti: accessi ripetuti falliti, escalation di privilegi non autorizzate, connessioni da IP anomali. La terza tocca i periodi di conservazione. Per i log di sicurezza critici, la pratica di settore converge su 12-18 mesi. I requisiti specifici variano per settore e obblighi di compliance esistenti. La quarta, la più importante, riguarda la credibilità dei log. Devono essere completi, leggibili e dimostrabilmente integri. Verificabili sia per audit sia per procedimenti legali. È fondamentale distinguere log management e SIEM. Il log management centralizza, normalizza, archivia e rende i log ricercabili. Il SIEM aggiunge correlazione avanzata, analisi comportamentale e rilevamento sofisticato. Le organizzazioni possono soddisfare i requisiti NIS2 con un log management robusto. Non serve obbligatoriamente una piattaforma SIEM enterprise.
Immutabilità, timestamp e firme digitali: i tre pilastri tecnici
Tre concetti tecnici definiscono la differenza tra log che hanno valore probatorio e log che restano semplici file di testo. L’immutabilità si ottiene attraverso sistemi progettati per impedire la modifica dei log dopo la scrittura, utilizzando storage append-only, firme digitali periodiche, catene di hash o sistemi di archiviazione esterni. I timestamp affidabili richiedono orologi sincronizzati su tutti i sistemi tramite NTP, eventualmente rafforzati attraverso ancoraggio blockchain o meccanismi di prova crittografica dell’esistenza. Le firme digitali su blocchi di log o hash aggregati, realizzabili con strumenti come GPG, certificano integrità e provenienza, abilitando la verifica e la resistenza alle contestazioni. Nella pratica questi tre pilastri si traducono in scenari concreti: ricostruire un incidente di sicurezza grave con una timeline a prova di manomissione, difendersi in caso di dispute su accessi interni o esterni con evidenze firmate e temporizzate, superare audit di compliance dimostrando meccanismi di integrità dei log realmente implementati e funzionanti.
Strumenti open source per l’integrità dei log
Il panorama open source offre soluzioni mature per implementare i tre pilastri senza dipendere da vendor proprietari. OpenTimestamps ancora gli hash dei blocchi di log alla blockchain Bitcoin attraverso calendari pubblici, creando prove crittografiche di esistenza senza dipendenza da autorità centrali. Rekor è un transparency log che utilizza alberi di Merkle per la registrazione immutabile e append-only di metadati, abilitando prove di inclusione e verifica di consistenza. EBSI Timestamp, il servizio di timestamping della European Blockchain Services Infrastructure, registra su blockchain permissioned governata dall’Unione Europea, offrendo un’alternativa infrastrutturale europea. L’architettura raccomandata prevede la convergenza centralizzata dei log dai sistemi critici con formati e timestamp normalizzati, meccanismi di integrità tramite hashing, firma e ancoraggio esterno, ricerca e dashboarding efficaci, policy di retention definite con enforcement automatizzato e alerting di base su eventi come accessi falliti ripetuti, attività amministrative fuori orario, escalation di privilegi non autorizzate e modifiche alle configurazioni.
Punti chiave per le PMI
- Il log management NIS2 non richiede necessariamente un SIEM enterprise: centralizzazione, normalizzazione e integrità dei log possono essere realizzate con architetture più leggere e strumenti open source
- L’immutabilità dei log è il requisito tecnico più critico e si ottiene combinando storage append-only, firme digitali e ancoraggio esterno tramite blockchain o transparency log
- I periodi di conservazione di riferimento sono dodici-diciotto mesi per i log di sicurezza critici, con policy automatizzate per gestire il ciclo di vita dei dati
- Strumenti come OpenTimestamps, Rekor e EBSI Timestamp offrono soluzioni mature e gratuite per certificare l’integrità temporale dei log senza dipendenze vendor
- La priorità non è scegliere il tool ma identificare i log essenziali, definire i casi d’uso di sicurezza e proporzionare i meccanismi di integrità al livello di rischio reale
Un approccio pragmatico alla compliance dei log
La gestione dei log conforme a NIS2 non parte dalla selezione del tool ma dalla comprensione di cosa serve davvero all’organizzazione. Le priorità sono identificare i log essenziali dai sistemi critici, definire i casi d’uso di sicurezza che richiedono analisi specifiche, proporzionare i meccanismi di integrità al livello di rischio effettivo e progettare architetture sostenibili con le risorse e le competenze disponibili. 10punto10 opera come systems integrator nell’implementazione di stack open source per il log management e i meccanismi di compliance, partendo dall’assessment fino alla messa in opera graduale, scegliendo le tecnologie in base al contesto organizzativo e non alle relazioni commerciali con i vendor.