Gestione e raccolta dei log nella Direttiva NIS2

Gestione e raccolta dei log nella Direttiva NIS2

Come soddisfare il requisito PR.PS-04 con una procedura efficace e documentata

La gestione dei log di sicurezza rappresenta uno dei pilastri fondamentali della Direttiva NIS2, poiché consente il monitoraggio continuo degli eventi, il rilevamento tempestivo degli incidenti e il supporto alle attività di analisi forense.
Il requisito PR.PS-04 dell’Allegato 1 impone ai soggetti NIS di generare, conservare e rendere disponibili i registri di log in modo strutturato e coerente con il livello di rischio dell’organizzazione .

Il requisito PR.PS-04: cosa richiede la NIS2

Il punto 3.4.2 – PR.PS-04 stabilisce quattro obblighi principali:

  1. Registrazione degli accessi critici
    Devono essere tracciati tutti gli accessi remoti e quelli effettuati tramite utenze con privilegi amministrativi.
  2. Conservazione sicura e centralizzata dei log
    I log rilevanti per la sicurezza devono essere conservati in modo sicuro e, ove possibile, centralizzati, così da facilitarne il monitoraggio e l’analisi.
  3. Definizione delle tempistiche di conservazione
    I tempi di retention dei log devono essere definiti e documentati, sulla base degli esiti della valutazione del rischio.
  4. Adozione di procedure documentate
    Tutte le attività di raccolta, conservazione e gestione dei log devono essere formalizzate in procedure coerenti con le politiche di sicurezza dell’organizzazione.

Questi requisiti rendono il logging non solo un’attività tecnica, ma un processo organizzativo strutturato.

 Perché i log sono strategici per la sicurezza

Una corretta gestione dei log consente di:

  • individuare accessi non autorizzati o anomali;
  • supportare il monitoraggio continuo previsto dal dominio Detect della NIS2;
  • ricostruire la catena degli eventi in caso di incidente;
  • dimostrare la conformità normativa durante audit e ispezioni.

In assenza di log affidabili, anche le migliori misure di sicurezza risultano inefficaci.

 

Integrazione operativa: una procedura pratica di raccolta log su sistemi Windows

Un esempio concreto di attuazione del requisito PR.PS-04 è rappresentato dalla procedura di generazione ed esportazione dei log di Windows, utile soprattutto per ambienti endpoint e server non ancora integrati in un SIEM centralizzato .

Raccolta dei log di sistema

La procedura prevede l’utilizzo di PowerShell per estrarre gli eventi dal registro System relativi agli ultimi giorni e salvarli in formato CSV, facilmente consultabile e archiviabile.

Caratteristiche principali della procedura:

  • estrazione automatica dei log di sistema;
  • filtraggio temporale (ad esempio ultimi 7 giorni);
  • sovrascrittura controllata del file per evitare accumuli non gestiti;
  • archiviazione in una directory predefinita e protetta.

Automazione e continuità del monitoraggio

Per garantire continuità e affidabilità:

  • lo script PowerShell viene eseguito tramite un file .bat;
  • l’esecuzione è pianificata con l’Utilità di pianificazione di Windows;
  • è possibile definire frequenza, condizioni e test manuali.

Questa automazione soddisfa il principio di monitoraggio continuo richiesto dalla NIS2, riducendo il rischio di errore umano e garantendo la disponibilità dei log in caso di necessità.

Conservazione e sicurezza dei log

In linea con PR.PS-04, i log devono essere:

  • archiviati in percorsi dedicati e con accessi limitati;
  • protetti da alterazioni o cancellazioni non autorizzate;
  • conservati per un periodo coerente con:
  • obblighi normativi,
  • esigenze di audit,
  • valutazione del rischio informatico.

La procedura deve indicare chiaramente chi è responsabile, dove sono conservati i log e per quanto tempo.

 Logging e governance NIS2

Il requisito PR.PS-04 non può essere isolato dal contesto più ampio della governance NIS2. La gestione dei log deve essere:

  • coerente con le politiche di sicurezza approvate;
  • integrata con i processi di incident response;
  • periodicamente riesaminata e migliorata.

Documentare le procedure di logging significa trasformare un’attività tecnica in una misura di sicurezza verificabile e difendibile.

 Conclusioni

La gestione e raccolta dei log, così come prevista dal PR.PS-04, rappresenta un requisito chiave per la conformità alla Direttiva NIS2.
Attraverso procedure documentate, strumenti adeguati e automazione dei processi, le organizzazioni possono:

  • rafforzare la propria postura di sicurezza;
  • migliorare la capacità di rilevamento degli incidenti;
  • dimostrare in modo concreto l’adozione delle misure richieste dalla normativa.

Il logging non è più un’opzione tecnica, ma un obbligo strategico di sicurezza e governance.

Richiedi la guida illustrata per la procedura automatica di raccolta dei log

Compila il form qui sotto