“Compriamo un SIEM e siamo a posto con la NIS2.” È la frase che apre più progetti di sicurezza fuori budget di tutti. Per una PMI il punto non è il software: è chi monitora, chi risponde e quanto costa davvero nel tempo. Vediamo cosa cambia tra un SOC gestito su stack open e un SIEM proprietario.
Il problema reale di una PMI soggetta a NIS2
Il D.Lgs. 138/2024 (NIS2) non chiede di “avere un SIEM”: chiede di gestire il rischio, rilevare gli incidenti, rispondere e notificarli nei tempi previsti. Sono attività continuative, non un acquisto una tantum. Una PMI senza SOC interno deve quindi scegliere come erogare queste capacità.
Confronto su ciò che conta
| Dimensione | SOC gestito open (Wazuh + SOCFortress) | SIEM proprietario tipico |
|---|---|---|
| Costo licenza | Nessun costo per evento o volume di log | Tariffazione a GB/eventi ingeriti |
| Lock-in | Stack open e portabile | Dipendenza dal vendor e dal formato |
| Trasparenza | Vedi cosa viene monitorato e con quali regole | Logica di detection chiusa |
| Chi lo gestisce | Team SOC continuativo incluso | Spesso a carico del cliente |
| Prevedibilità costi | Canone gestito chiaro | Costi variabili difficili da stimare |
| Compliance NIS2 | Reporting ed evidenze incluse | Modulo aggiuntivo a pagamento |
Perché il costo a volume di log è una trappola per le PMI
I SIEM proprietari fatturano in base ai GB di log ingeriti o agli eventi al secondo. Per una PMI che cresce, questo significa che migliorare la visibilità di sicurezza fa aumentare la bolletta in modo non lineare. Con uno stack open il costo è legato al servizio gestito, non al volume: puoi loggare di più senza penalità economiche.
Open-source non vuol dire “fai da te”
Wazuh è una piattaforma SIEM/XDR adottata in ambienti enterprise; SOCFortress aggiunge detection engineering e threat intelligence con regole curate e mappate su MITRE ATT&CK. In un SOC gestito non installi e mantieni nulla da solo: il partner eroga monitoraggio 24/7, tuning continuo e risposta agli incidenti come servizio.
Cosa portarsi a casa
Per una PMI soggetta a NIS2 la domanda giusta non è “quale SIEM compro”, ma “chi monitora e risponde, con quali costi e quale trasparenza”. Un SOC gestito open risponde a tutte e tre senza lock-in e con una spesa prevedibile.
Vuoi capire se la tua azienda rientra nel perimetro NIS2 e cosa monitoreremmo? Richiedi un assessment SOC gratuito di 20 minuti.