جدول المحتويات

جدول المحتويات

من يدخل ضمن النطاق تحت NIS2

العتبات والقطاعات الجديدة


يوسع NIS2 نطاق التغطية بشكل كبير مقارنة بـ NIS الأصلي. يصنف التوجيه الكيانات إلى فئتين: أساسية ومهمة. الكيانات الأساسية تشمل الطاقة والنقل والخدمات المصرفية والبنية التحتية الصحية والمياه والبنية التحتية الرقمية. الكيانات المهمة تغطي الخدمات البريدية والإدارة العامة والفضاء والأغذية والتصنيع والمواد الكيميائية والبحث.
العتبات الجديدة أقل بكثير من التوجيه الأصلي. الشركات التي تضم 50 موظفاً أو أكثر مع إيرادات سنوية تزيد عن 10 مليون يورو تدخل الآن ضمن النطاق إذا كانت تعمل في القطاعات المحددة. هذا يشمل آلاف الشركات الأوروبية المتوسطة التي لم تكن مشمولة سابقاً بأنظمة الأمن السيبراني الإلزامية.

تحديد العملاء المشمولين


يتطلب معيار المراجعة 315.11 فهم الكيان وبيئته، بما في ذلك الأنظمة التنظيمية المطبقة. بالنسبة لعملاء NIS2، هذا يعني تحديد ما إذا كانت أنشطة العميل تقع ضمن القطاعات المحددة في المرفقات الأول والثاني للتوجيه. لا يكفي النظر في النشاط الرئيسي فقط. الشركة المصنعة للمعدات الطبية قد تكون كياناً أساسياً إذا كانت تنتج أجهزة طبية حيوية، حتى لو كان معظم إيراداتها من منتجات استهلاكية.

الالتزامات التنظيمية الجديدة


بموجب المادة 21 من NIS2، يجب على الكيانات المشمولة تطبيق إجراءات تقنية وتنظيمية مناسبة ومتناسبة لإدارة مخاطر الأمن السيبراني. تشمل هذه الإجراءات سياسات إدارة المخاطر، وتدابير أمن سلسلة التوريد، وإجراءات الإبلاغ عن الحوادث، وتدابير استمرارية الأعمال. المادة 23 تتطلب الإبلاغ عن الحوادث الأمنية الكبيرة خلال 24 ساعة، مع تقرير أولي خلال 72 ساعة، وتقرير نهائي خلال شهر واحد.

تأثيرات مراجعة الأمن السيبراني

تقييم مخاطر تكنولوجيا المعلومات المحدثة


يتطلب معيار المراجعة 315.26 تقييم مخاطر التحريف الجوهري الناشئة عن استخدام تكنولوجيا المعلومات. لعملاء NIS2، يصبح هذا التقييم أكثر تعقيداً. التزامات الامتثال الجديدة تخلق مخاطر امتثال إضافية. فشل الإبلاغ عن حادث أمني خلال الإطار الزمني المطلوب قد يؤدي إلى غرامات تصل إلى 10 مليون يورو أو 2% من الإيرادات السنوية العالمية، أيهما أعلى.
يجب على المراجعين فهم عمليات مراقبة الحوادث الأمنية للعميل وإجراءات الإبلاغ. إذا لم تكن هناك عمليات مناسبة، فهذا يشكل نقص ضبط قد يؤثر على تقييم المخاطر على مستوى الكيان. بموجب معيار المراجعة 315.A99، قد تحتاج لتوسيع اختبارات التفاصيل إذا كانت ضوابط تكنولوجيا المعلومات العامة غير فعالة.

ضوابط أمن المعلومات الجديدة


المادة 21(2) من NIS2 تحدد 10 فئات من التدابير الأمنية الدنيا. تشمل هذه سياسات تحليل المخاطر والأمن، والتعامل مع الحوادث، وإدارة استمرارية الأعمال، وأمن سلسلة التوريد، والأمن في أنشطة الاستحواذ والتطوير والصيانة، وسياسات وإجراءات تقييم فعالية تدابير إدارة مخاطر الأمن السيبراني. كل من هذه الفئات تتطلب تقييماً من منظور المراجع.

تأثير على تقييم الضبط الداخلي


بموجب معيار المراجعة 265.8، يجب الإبلاغ عن أوجه النقص الجوهرية في الضبط الداخلي للمسؤولين عن الحوكمة. بالنسبة لعملاء NIS2، فإن عدم وجود ضوابط أمن سيبراني مناسبة يمثل نقص ضبط جوهري. هذا لأن العواقب المحتملة (الغرامات التنظيمية والأضرار السمعة وانقطاع الأعمال) قد تكون جوهرية للبيانات المالية.

ضوابط تكنولوجيا المعلومات المطلوبة الجديدة

ضوابط مستوى الكيان


يتطلب معيار المراجعة 315.A130 فهم ضوابط مستوى الكيان التي تتعلق بتكنولوجيا المعلومات. لعملاء NIS2، يشمل ذلك حوكمة الأمن السيبراني على مستوى الإدارة العليا. المادة 20 من NIS2 تتطلب موافقة الإدارة العليا على تدابير إدارة مخاطر الأمن السيبراني. كما تتطلب خضوع أعضاء الإدارة العليا للتدريب على الأمن السيبراني.

ضوابط الوصول والتشغيل


يجب على المراجعين اختبار ضوابط الوصول للأنظمة الحرجة التي تحتوي على معلومات حساسة لـ NIS2. تشمل هذه أنظمة مراقبة الشبكة وأدوات الإبلاغ عن الحوادث وقواعد بيانات العملاء الحساسة. معيار المراجعة 330.10 يتطلب إجراءات جوهرية مستجيبة لمخاطر التحريف الجوهري المحددة. لعملاء NIS2، قد تشمل هذه اختبار فعالية مراقبة الشبكة وإجراءات اكتشاف الحوادث.

ضوابط النسخ الاحتياطي والاستشفاء


المادة 21(2)(e) تتطلب تدابير إدارة استمرارية الأعمال والاستشفاء من الكوارث. من منظور المراجع، هذا يعني اختبار قدرة الكيان على استعادة البيانات المالية الحرجة بعد حادث إلكتروني. معيار المراجعة 540.A21 يتطلب فهم ضوابط الكيان حول دقة واكتمال البيانات المستخدمة في التقديرات المحاسبية. إذا كانت أنظمة النسخ الاحتياطي غير موثوقة، فهذا يؤثر على موثوقية البيانات المالية المستعادة.

مراقبة سلسلة التوريد الرقمية


المادة 21(2)(d) تتطلب تدابير أمن سلسلة التوريد، بما في ذلك الأمان المتعلق بالعلاقات بين الكيان ومورديه المباشرين. هذا يخلق اعتباراً جديداً بموجب معيار المراجعة 402 (اعتبارات المراجعة المتعلقة بكيان يستخدم منظمة خدمات). إذا كان العميل يستخدم موردي سحابة أو موردي برمجيات خارجيين لمعالجة البيانات المالية، يجب على المراجع فهم كيف تدير إجراءات NIS2 للعميل هذه العلاقات.

مثال عملي: تقييم عميل NIS2

شركة الخليج للخدمات اللوجستية ذ.م.م هي شركة نقل بحري ولوجستيات مقرها دبي بإيرادات 85 مليون يورو و180 موظفاً. الشركة تدير محطة حاويات في ميناء جبل علي وشبكة من مراكز التوزيع عبر دول الخليج. إيراداتها لعام 2023: 85.2 مليون يورو. الأرباح قبل الضرائب: 8.4 مليون يورو.
الخطوة 1: تحديد نطاق NIS2
الشركة تعمل في قطاع النقل وتتجاوز عتبة 50 موظف و10 مليون يورو من الإيرادات. تُصنف كـ "كيان مهم" بموجب المرفق الثاني، القسم 3 من NIS2. وثّق في قسم فهم الكيان: "كيان مهم بموجب NIS2، خاضع لمتطلبات إبلاغ الحوادث والضوابط الأمنية."
الخطوة 2: تقييم مخاطر الامتثال
الحد الأقصى للغرامة: 7 مليون يورو أو 1.4% من الإيرادات العالمية (1.19 مليون يورو) للكيانات المهمة. الأهمية النسبية المخطط لها: 425,000 يورو (0.5% من الإيرادات). الحد الأقصى للغرامة يتجاوز الأهمية النسبية. وثّق في تقييم المخاطر: "مخاطر امتثال NIS2 جوهرية. الغرامات المحتملة 1.19 مليون يورو تتجاوز الأهمية النسبية."
الخطوة 3: ضوابط تكنولوجيا المعلومات الحرجة
الشركة تستخدم نظام إدارة النقل (TMS) لتتبع الشحنات وأنظمة إدارة المستودعات (WMS) لعمليات التوزيع. كلا النظامين يحتويان على بيانات إيرادات حرجة. اختبار ضوابط الوصول: مراجعة قوائم المستخدمين، اختبار كلمات المرور والمصادقة الثنائية، اختبار صلاحيات تعديل البيانات المالية. وثّق النتائج: "ضوابط وصول TMS فعالة. WMS يحتاج تحسين كلمات المرور."
الخطوة 4: إجراءات الإبلاغ عن الحوادث
الشركة لديها إجراءات أولية للإبلاغ عن الحوادث لكن لا تغطي متطلبات NIS2 الـ 24 ساعة. اختبار إجراء واحد: محاكاة حادث فقدان بيانات وقياس وقت الاستجابة. النتيجة: 48 ساعة من الاكتشاف إلى الإبلاغ الداخلي. وثّق كنقص ضبط: "إجراءات الإبلاغ عن الحوادث لا تلبي متطلبات NIS2. قد يؤدي للغرامات التنظيمية."
الخطوة 5: تقييم الاستمرارية
بموجب معيار المراجعة 570.A3، يشمل تقييم الاستمرارية النظر في المتطلبات التنظيمية. احتمالية الغرامة بسبب عدم الامتثال لـ NIS2 تؤثر على التدفقات النقدية المستقبلية. التأثير المقدر: 500,000 يورو للامتثال خلال 18 شهر و200,000 يورو غرامة محتملة لحوادث الإبلاغ المتأخرة.
الخلاصة: الامتثال لـ NIS2 يخلق مخاطر تشغيلية ومالية جوهرية. العميل يحتاج لاستثمار في ضوابط أمن المعلومات والإبلاغ عن الحوادث لتجنب الغرامات التنظيمية.

قائمة مراجعة عملية

  • حدد نطاق NIS2 للعميل - راجع قائمة القطاعات في المرفقين الأول والثاني، تحقق من عتبات الموظفين (50+) والإيرادات (10 مليون يورو+)، وثّق التصنيف كـ "كيان أساسي" أو "مهم"
  • قيّم مخاطر امتثال NIS2 بموجب معيار المراجعة 315.A2 - احسب الحد الأقصى للغرامة (10 مليون يورو أو 2% للكيانات الأساسية، 7 مليون يورو أو 1.4% للكيانات المهمة)، قارن مع الأهمية النسبية، وثّق كمخاطر جوهرية إذا كانت الغرامة تتجاوز الأهمية النسبية
  • اختبر ضوابط أمن المعلومات العشرة - راجع سياسات إدارة المخاطر، اختبر ضوابط التعامل مع الحوادث، قيّم تدابير استمرارية الأعمال، راجع أمن سلسلة التوريد، بموجب معيار المراجعة 330.8
  • قيّم إجراءات الإبلاغ عن الحوادث - اختبر قدرة الإبلاغ خلال 24 ساعة، راجع قنوات الاتصال مع السلطات الوطنية، وثّق النواقص كأوجه نقص جوهرية بموجب معيار المراجعة 265.8
  • راجع تأثير الاستمرارية بموجب معيار المراجعة 570 - قيّم التكاليف المستقبلية للامتثال، احسب الغرامات المحتملة لعدم الامتثال، حدد ما إذا كانت تؤثر على قدرة الكيان على الاستمرار
  • الأهم: وثّق خطة امتثال العميل لـ NIS2 - إذا لم تكن موجودة، أبلغ الإدارة عن المخاطر التنظيمية والمالية الجوهرية

الأخطاء الشائعة

  • تجاهل نطاق NIS2 الموسع - العديد من المراجعين لا يدركون أن العتبات الجديدة تشمل شركات أصغر بكثير من NIS الأصلي. شركة تصنيع بـ 60 موظف و15 مليون يورو إيرادات قد تكون كياناً مهماً.
  • عدم ربط مخاطر الأمن السيبراني بالمخاطر المالية - أوجه النقص في الأمن السيبراني ليست فقط مشاكل تقنية. إنها تخلق مخاطر جوهرية للبيانات المالية من خلال الغرامات والانقطاع التشغيلي وتكاليف الاستعادة.
  • التركيز على الامتثال التقني فقط دون اعتبار إجراءات الإبلاغ - متطلبات الإبلاغ في غضون 24-72 ساعة تخلق مخاطر عملية قد تؤثر على الضبط الداخلي والإبلاغ المالي.
  • إهمال متطلبات أمن سلسلة التوريد بموجب المادة 21(2)(d) من NIS2 عند تطبيق معيار المراجعة 402. في تعهد لشركة خدمات صحية بإيرادات 45 مليون يورو تستخدم مزود سحاب أمريكي لتخزين السجلات الطبية، أكد فريق المراجعة على ضوابط مزود الخدمة عبر تقرير ISAE 3402 من 2022 دون تقييم ما إذا كان المزود يلبي متطلبات NIS2 الجديدة بشأن الإبلاغ عن الحوادث. النتيجة: لم يكشف الفريق عن فجوة جوهرية في امتثال العميل، وعند مراجعة الجودة اللاحقة فُرضت غرامة 320,000 يورو على العميل وتعليق مراجعة على ملف المراجعة.

محتوى ذو صلة

احصل على رؤى تدقيق عملية أسبوعياً.

ليست نظريات امتحانات. فقط ما يجعل عمليات التدقيق أسرع.

أكثر من 290 دليلاً منشوراً20 أداة مجانيةصُمم بواسطة مراجع حسابات ممارس

بدون إزعاج. نحن مراجعون، لا مسوّقون.