{"id":1351,"date":"2026-02-26T08:00:00","date_gmt":"2026-02-26T07:00:00","guid":{"rendered":"https:\/\/darioiannascoli.it\/blog\/plesk-conforme-direttiva-nis2-logging-action-log-autenticazione-checklist\/"},"modified":"2026-02-26T08:00:00","modified_gmt":"2026-02-26T07:00:00","slug":"plesk-conforme-direttiva-nis2-logging-action-log-autenticazione-checklist","status":"publish","type":"post","link":"https:\/\/darioiannascoli.it\/blog\/plesk-conforme-direttiva-nis2-logging-action-log-autenticazione-checklist\/","title":{"rendered":"Come Rendo il Mio Server Plesk Conforme alla Direttiva NIS2: Logging, Action Log Esterno, Autenticazione e Checklist Pratica per Web Agency"},"content":{"rendered":"

Se gestisci server Plesk per conto di clienti che rientrano nel perimetro della Direttiva NIS2<\/strong>, il 2026 \u00e8 l’anno in cui non puoi pi\u00f9 rimandare. Nella mia esperienza di system administrator per web agency, ho dovuto affrontare concretamente la questione: come rendere un server Plesk conforme ai requisiti NIS2 in termini di logging<\/em>, action log esterno<\/em>, autenticazione multi-fattore<\/strong> e gestione degli incidenti? In questo articolo vi mostro la procedura completa che ho applicato sui miei server, passo dopo passo.<\/p>\n

La Direttiva NIS2 (Directive EU 2022\/2555) \u00e8 entrata in vigore in Italia con il D.Lgs. 138\/2024<\/strong> il 16 ottobre 2024. A partire da gennaio 2026, i soggetti essenziali e importanti devono rispettare gli obblighi di notifica degli incidenti significativi, ed entro ottobre 2026 dovranno dimostrare di aver adottato tutte le misure tecniche e organizzative minime. La cosa che molti sottovalutano \u00e8 che la NIS2 non riguarda solo le grandi aziende: se la tua web agency fornisce servizi digitali (hosting, DNS, email) a enti che rientrano nei 18 settori critici, potresti essere coinvolto come parte della supply chain<\/em>.<\/p>\n

Ho scritto questa guida perch\u00e9, all’inizio, credevo bastasse attivare qualche opzione in Plesk. Mi sbagliavo. La conformit\u00e0 NIS2 su Plesk richiede interventi a pi\u00f9 livelli: configurazione del panel.ini<\/em>, invio dei log a server esterni, enforcement della MFA, e una documentazione puntuale. Vediamo come fare.<\/p>\n

Cos’\u00e8 la Direttiva NIS2 e Perch\u00e9 Riguarda Chi Gestisce Server Plesk<\/h2>\n

La Direttiva NIS2<\/strong> stabilisce un quadro giuridico unificato per la cybersecurity in 18 settori critici dell’UE. Rispetto alla precedente NIS1, introduce requisiti pi\u00f9 stringenti su gestione del rischio, notifica degli incidenti, sicurezza della supply chain e responsabilit\u00e0 diretta del management<\/strong>. Le sanzioni possono arrivare fino a 10 milioni di euro o il 2% del fatturato globale annuo.<\/p>\n

In Italia, l’ACN<\/strong> (Agenzia per la Cybersicurezza Nazionale) \u00e8 l’autorit\u00e0 competente. A partire da ottobre 2026, potr\u00e0 avviare attivit\u00e0 ispettive, transitando dalla fase di accompagnamento alla fase di verifica. Questo significa che le misure devono essere documentate e verificabili.<\/p>\n

Per chi gestisce server Plesk, il punto chiave \u00e8 questo: Plesk offre una modalit\u00e0 di compatibilit\u00e0 NIS2 che rende impossibile disabilitare il logging delle modifiche DNS e degli eventi di autenticazione, e impedisce la cancellazione completa degli eventi dell’Action Log. Ma attivare questa modalit\u00e0 \u00e8 solo il primo passo.<\/p>\n

Step 1: Attivare la Modalit\u00e0 NIS2 Compatibility in Plesk<\/h2>\n

Plesk Obsidian include una sezione dedicata alla NIS2 Directive Compliance<\/em> nella documentazione ufficiale. La modalit\u00e0 NIS2 rende impossibile la disabilitazione del logging degli eventi relativi a DNS e autenticazione (login riusciti e falliti) e impedisce la rimozione completa degli eventi dell’Action Log. Inoltre, in questa modalit\u00e0, Plesk logga le richieste API che modificano le impostazioni.<\/p>\n

Per attivarla, accedi via SSH al tuo server e modifica il file panel.ini<\/strong>:<\/p>\n

# Percorso Linux:\n\/usr\/local\/psa\/admin\/conf\/panel.ini\n\n# Aggiungi o modifica la sezione:\n[actionLog]\nnis2 = true<\/code><\/pre>\n
Dopo la modifica, riavvia il servizio Plesk:<\/p>\n
systemctl restart psa<\/code><\/pre>\n
Verifica che nella sezione Tools & Settings \u2192 Action Log<\/strong> non sia pi\u00f9 possibile disabilitare il logging degli eventi critici. Se hai gi\u00e0 configurato Fail2Ban su Plesk<\/a> per bloccare gli attacchi brute force, questa modalit\u00e0 complementa perfettamente quella protezione, perch\u00e9 garantisce che ogni tentativo di login venga registrato in modo inalterabile.<\/p>\n
Step 2: Configurare l’Invio dell’Action Log a un Server Esterno via Syslog<\/h2>\n
Questo \u00e8 il passaggio pi\u00f9 importante per la conformit\u00e0 NIS2. La direttiva richiede che i log siano completi, accurati e protetti contro modifiche o interruzioni non autorizzate. Per questo, bisogna configurare Plesk per inviare una copia degli Action Log a un server di log esterno<\/strong>.<\/p>\n
Abilitare il Syslog nel panel.ini<\/h3>\n
Aggiungi queste righe al file panel.ini<\/em>:<\/p>\n
[actionLog]\nsyslog = true\nsyslogFacility = local0<\/code><\/pre>\n
La direttiva syslog = true<\/code> abilita l’invio degli eventi di Plesk al servizio di logging di sistema (syslog su Linux). La syslogFacility<\/code> permette di scegliere la facility syslog da utilizzare (di default \u00e8 local0<\/em>).<\/p>\n
Configurare rsyslog sul Server Plesk<\/h3>\n
Sul server Plesk, aggiungi al file \/etc\/rsyslog.conf<\/code> (o crea un file in \/etc\/rsyslog.d\/<\/code>):<\/p>\n
# Invia i log Plesk al server esterno\nlocal0.* action(type=\"omfwd\" target=\"192.168.1.100\" port=\"514\" protocol=\"tcp\")<\/code><\/pre>\n
Sostituisci 192.168.1.100<\/code> con l’IP del tuo server di log esterno. Poi riavvia rsyslog:<\/p>\n
systemctl restart rsyslog<\/code><\/pre>\n
Configurare il Server di Log Esterno<\/h3>\n
Sul server esterno (quello che ricever\u00e0 i log), configura rsyslog per accettare connessioni TCP:<\/p>\n
# In \/etc\/rsyslog.conf del server esterno\nmodule(load=\"imtcp\")\ninput(type=\"imtcp\" port=\"514\")\n\n# Salva i log Plesk in un file dedicato\nlocal0.* \/var\/log\/pleskactions<\/code><\/pre>\n
Riavvia rsyslog sul server esterno:<\/p>\n
systemctl restart rsyslog<\/code><\/pre>\n
Attenzione GDPR<\/strong>: i log copiati dal server Plesk a quello esterno possono contenere dati personali (indirizzi IP, login, ecc.). Assicurati che il server esterno sia configurato correttamente per trattare questi dati nel rispetto del GDPR.<\/p>\n
Se hai gi\u00e0 implementato un sistema di monitoraggio con Grafana e Prometheus<\/a>, puoi integrare anche l’analisi dei log tramite Loki<\/em> o uno stack ELK per una visibilit\u00e0 ancora pi\u00f9 completa.<\/p>\n
Step 3: Attivare e Forzare l’Autenticazione Multi-Fattore (MFA)<\/h2>\n
La NIS2 richiede esplicitamente l’uso della multi-factor authentication<\/strong> dove appropriato. In Plesk, l’estensione MFA \u00e8 installata di default e supporta app come Google Authenticator e Microsoft Authenticator. Ma attivarla per il singolo admin non basta: va imposta obbligatoriamente<\/strong> per tutti gli account.<\/p>\n
Attivare la MFA per il proprio account<\/h3>\n
    \n
  1. Accedi a Plesk<\/li>\n
  2. Vai su My Profile<\/strong> \u2192 sezione Multi-Factor Authentication (MFA)<\/em><\/li>\n
  3. Attiva la checkbox Enable Multi-factor Authentication<\/em><\/li>\n
  4. Scansiona il QR code con l’app di autenticazione<\/li>\n
  5. Inserisci il codice di verifica e conferma<\/li>\n<\/ol>\n
    Forzare la MFA per tutti gli utenti Plesk<\/h3>\n
    Questo \u00e8 il passaggio cruciale per la conformit\u00e0 NIS2. Modifica il panel.ini<\/strong>:<\/p>\n
    [ext-mfa]\nenforce = true\nallowSkipEnforce = false<\/code><\/pre>\n
    Con enforce = true<\/code>, tutti gli utenti Plesk (amministratori, reseller, clienti) saranno obbligati ad abilitare la 2FA al prossimo login. Con allowSkipEnforce = false<\/code>, non sar\u00e0 possibile saltare l’attivazione. Nella mia esperienza, all’inizio qualche cliente si \u00e8 lamentato, ma dopo aver spiegato che si tratta di un obbligo normativo, tutti hanno compreso.<\/p>\n
    Se gestisci anche la sicurezza WordPress contro attacchi brute force<\/a>, ricorda che la MFA su Plesk protegge il pannello di gestione, ma dovresti implementare una protezione equivalente anche a livello applicativo sui siti WordPress dei tuoi clienti.<\/p>\n
    Step 4: Configurare la Retention dei Log e la Rotazione<\/h2>\n
    La NIS2 richiede la conservazione dei log per un periodo adeguato. Alcune interpretazioni indicano almeno 18 mesi<\/strong> di conservazione. In Plesk, puoi configurare la retention dell’Action Log da Tools & Settings \u2192 Action Log \u2192 Settings<\/em>.<\/p>\n
    Ho configurato i miei server per mantenere i log locali per 12 mesi in Plesk (per non sovraccaricare il database), mentre sul server esterno conservo i log per 24 mesi, usando logrotate<\/em> per gestire lo spazio disco:<\/p>\n
    # \/etc\/logrotate.d\/pleskactions\n\/var\/log\/pleskactions {\n    monthly\n    rotate 24\n    compress\n    delaycompress\n    missingok\n    notifempty\n    create 0640 root adm\n}<\/code><\/pre>\n
    Per la gestione dei cronjob su Plesk<\/a>, ho anche creato un job settimanale che verifica l’integrit\u00e0 dei file di log sul server esterno, calcolando un hash SHA-256 e salvandolo in un file separato.<\/p>\n
    Step 5: Logging Aggiuntivo per SSH e Accessi di Sistema<\/h2>\n
    L’Action Log di Plesk registra le azioni eseguite tramite interfaccia grafica e API, ma non copre le azioni eseguite via CLI\/SSH. Per una copertura completa conforme alla NIS2, \u00e8 necessario inviare anche altri log al server esterno:<\/p>\n