كيف يعمل

دخل توجيه NIS2 حيز التنفيذ في مايو 2024 وحل محل توجيه NIS الأصلي. ينص المتطلب على أن المنظمات في القطاعات الحساسة (مثل الطاقة والمياه والنقل والصحة والمرافق الرقمية والعاملين في المجال الرقمي) يجب أن تقيم مخاطر الأمن السيبراني بشكل منهجي وتعتمد تدابير تخفيف الأخطار الملائمة.
من منظور المراجع، يتطلب معيار المراجعة ٣٤٠ فهم البيئة القانونية والتنظيمية ذات الصلة بالكيان (الفقرة ١٣). هذا يعني أنك بحاجة إلى توثيق ما إذا كان التزام NIS2 ساري المفعول على عميلك، وإذا كان الحال كذلك، فإن فهمك لكيفية تعاملك مع هذا الالتزام.
في الممارسة العملية، يعني هذا سؤالان أساسيان:
معيار المراجعة ٣١٥ (المعدل ٢٠١٩) يتطلب منك تقييم المخاطر على مستوى الكيان والحسابات. بيئة الرقابة الضعيفة في مجال الأمن السيبراني قد ترفع تقييمات مخاطر المادية المتعلقة بتوفر البيانات والبنية التحتية.

  • هل ينطبق توجيه NIS2 على هذه المنظمة؟ (تتحقق من حالة التصنيف: كيان حساس أم كيان مهم؟)
  • إذا كان ينطبق، هل قامت الإدارة بتقييم مخاطر الأمن السيبراني بموجب الفقرات ١٤-١٩ من التوجيه، وهل اعتمدت تدابير فعالة لتقليل المخاطر المحددة؟

مثال عملي: شركة البحر الأبيض المتوسط للطاقة

العميل: شركة بولندية لإمداد الطاقة، إيرادات العام المالي 2024 بقيمة 180 مليون يورو، مراسل IFRS.
الخطوة 1: تحديد نطاق التطبيق
قررت تحديد ما إذا كانت NIS2 تنطبق. الشركة توفر الكهرباء لمناطق سكنية وتجارية. بموجب التوجيه، فإن موفري الخدمات الحيوية الأساسية (بما في ذلك الطاقة) يُصنفون كـ "كيانات حساسة" (Entities of Essential Services). يندرجون تحت نطاق التوجيه.
ملاحظة التوثيق: في ورقة العمل الخاصة بفهم البيئة القانونية (معيار المراجعة ٣١٥، الملف A-10)، وثّقت: "الشركة مصنفة كمورد خدمات حيوية أساسية بموجب توجيه NIS2 (مايو 2024). التزام الأمن السيبراني الذي تم تقييمه بالتسلسل الهرمي للمخاطر: المتطلب 1 للمخاطر المرتفعة."
الخطوة 2: تقييم جهود الإدارة
التقيت برئيس تكنولوجيا المعلومات وطلبت ما يلي: (1) نتائج تقييم مخاطر الأمن السيبراني الذي أجرته الإدارة، (2) الفجوات المحددة بين الموقف الحالي والمتطلبات الصادرة عن التوجيه، (3) خطة معالجة المخاطر. الشركة قد أجرت تقييماً، لكن التوثيق كان موجزاً للغاية.
ملاحظة التوثيق: "تقييم المخاطر الذي أجرته الإدارة (يناير 2024) حدد ثلاث مجالات من الضعف: (أ) غياب نظام مراقبة الوصول المركزي، (ب) نقص خطة الاستجابة لحالات الطوارئ، (ج) غياب التدريب السنوي المنتظم للموظفين. لم تكن الخطة الزمنية للمعالجة واضحة. طلبت من الإدارة الكشف عن الجدول الزمني."
الخطوة 3: تقييم فعالية الضوابط الموضوعة
الشركة وعدت بتنفيذ نظام مراقبة الوصول بحلول نهاية Q3 2024. اختبرت سياسة الوصول الموثقة للتحقق من أن الضوابط الموجودة كانت نشطة. وجدت أن المستودعات الخاصة بها على المستويات الإدارية تفتقر إلى ضوابط وصول قوية. أدّى هذا إلى ملاحظة استكمال.
ملاحظة التوثيق: "اختبار ضوابط الوصول: عينة من 10 حسابات إدارية. 7 منها تم فحصها من قبل الشخص الذي يقوم بالتدقيق. المراجعة اليدوية لا تزيل الحاجة إلى ضابط فني. نسبة الفشل 70%. الخاتمة: ضوابط الوصول غير فعالة. يلزم المعالجة قبل الإغلاق."
الخطوة 4: تقرير النتائج
كانت النتيجة ملاحظة استكمال: "فشل الكيان في تنفيذ ضوابط تقنية فعالة للتحكم في الوصول المادي والمنطقي بالكامل. معيار المراجعة ٣١٥ يتطلب تقييم بيئة الرقابة كجزء من فهم الكيان والمخاطر ذات الصلة. بيئة الرقابة الضعيفة على مستوى الوصول تثير أسئلة بشأن الموثوقية الشاملة للبيانات المالية المنشورة على الأنظمة المحمية بهذه الضوابط الضعيفة."
الخلاصة: كان على الشركة تقديم خطة معالجة مكتوبة مع تواريخ محددة. وافقت الإدارة على تسريع التنفيذ. تم حل الملاحظة في النسخة النهائية من ملف الاستكمال.

ما الذي يخطئ به المراجعون والممارسون

  • المخاطر المفرطة: معظم الفرق تصنف مخاطر الأمن السيبراني كمخاطر متوسطة وتتجاهلها لاحقاً. توجيه NIS2 يعني أن الفشل في التحكم في الوصول قد يؤدي إلى تشويه البيانات على مستوى النظام. وضع تقييم المخاطر على مستوى "مرتفع" (بمعنى: قد يؤثر على البيانات المالية) مبرر.
  • عدم الفصل بين الالتزام والتصحيح: بعض الفرق توثق أن الشركة "على دراية" بـ NIS2 وتترك الأمر عند هذا الحد. تقييم الإدارة نفسها للالتزام بالمتطلبات (أي: ماذا عرّفوا على أنه مخاطر حقيقية؟) هو ما يجب التحقق منه. الوعي وحده غير كافٍ.
  • التوثيق غير الكافي للتقييم: معيار المراجعة ٣١٥ يتطلب توثيق فهمك للبيئة القانونية. أوراق العمل من نوع "الامتثال يتم من خلال قسم تكنولوجيا المعلومات" لا توفر دليلاً على أن المراجع قد قيّم فعلاً الفعالية. القضاء على هذا يتطلب أدلة على الاختبار.
  • عدم تقييم تأثير NIS2 على الإفصاحات المالية: معيار المراجعة 250.14 يتطلب تقييم ما إذا كان عدم الامتثال للقوانين واللوائح يؤثر على البيانات المالية. في مراجعة شركة طاقة بإيرادات 90 مليون يورو، فشلت الشركة في الامتثال لمتطلبات NIS2 وتلقت غرامة بقيمة 2 مليون يورو في فبراير. المراجع لم يقيّم ما إذا كان يجب تسجيل مخصص للغرامة في 31 ديسمبر بموجب معيار المحاسبة الدولي 37.

المقارنة: معيار المراجعة 320 والأمن السيبراني

توجيه NIS2 ليس بديلاً لتقييم الأهمية النسبية بموجب معيار المراجعة 320. بدلاً من ذلك، فإنه يعدل بيئة الرقابة التي قيّمتها. كيانات NIS2 التي فشلت في الامتثال قد يكون لديها بيئة رقابة أضعف على مستوى النظام، مما يرفع الأهمية النسبية الأداء (الفقرة 320.11). هذا يعني عينة أكبر، أو حد أعلى لتراكم الأخطاء المتعلقة بالأمن السيبراني.

المصطلحات ذات الصلة

---

احصل على رؤى تدقيق عملية أسبوعياً.

ليست نظريات امتحانات. فقط ما يجعل عمليات التدقيق أسرع.

أكثر من 290 دليلاً منشوراً20 أداة مجانيةصُمم بواسطة مراجع حسابات ممارس

بدون إزعاج. نحن مراجعون، لا مسوّقون.