Contenidos

Alcance de NIS2 y obligaciones de las entidades

Entidades sujetas a la directiva


La Directiva NIS2 aplica a entidades de sectores específicos que superan determinados umbrales de tamaño. Como auditor, debes identificar durante la fase de aceptación si tu cliente está dentro del alcance.
Entidades necesaries (Anexo I de NIS2):
Entidades importantes (Anexo II de NIS2):
Los umbrales de aplicación varían según el sector. Para entidades necesaries, aplica a empresas medianas y grandes (50+ empleados y €10M+ facturación anual, o €10M+ balance). Para entidades importantes, aplica principalmente a empresas medianas y grandes con criterios específicos por sector.

Requisitos específicos de ciberseguridad


NIS2 exige que las entidades implementen medidas técnicas y organizativas apropiadas y proporcionadas para gestionar riesgos de ciberseguridad según el Artículo 21:

  • Energía (electricidad, gas, hidrógeno, petróleo)
  • Transporte (aéreo, ferroviario, acuático, por carretera)
  • Servicios bancarios y infraestructuras de mercados financieros
  • Salud (proveedores de atención sanitaria, laboratorios)
  • Agua potable y aguas residuales
  • Infraestructura digital (IXP, DNS, TLD)
  • Administración pública (nivel central)
  • Espacio
  • Servicios postales y de mensajería
  • Gestión de residuos
  • Fabricación de productos químicos, farmacéuticos, equipos médicos
  • Producción y distribución de alimentos
  • Fabricación de equipos informáticos y electrónicos
  • Fabricación de maquinaria y vehículos de motor
  • Proveedores de servicios digitales
  • Investigación
  • Políticas de análisis y evaluación de riesgos de ciberseguridad
  • Gestión de incidentes de ciberseguridad
  • Continuidad empresarial (backup, recuperación ante desastres, gestión de crisis)
  • Seguridad de la cadena de suministro
  • Seguridad en adquisición, desarrollo y mantenimiento de sistemas
  • Políticas y procedimientos para evaluar la eficacia de medidas de gestión de riesgos
  • Prácticas básicas de ciberhigiene y formación en ciberseguridad
  • Políticas y procedimientos sobre el uso de criptografía y cifrado
  • Seguridad del personal, políticas de control de acceso y gestión de activos
  • Uso de autenticación multifactor, comunicaciones de voz, vídeo y texto seguras

Impacto en la evaluación de riesgos de auditoría

Identificación de riesgos según NIA-ES 315


La NIA-ES 315.25 requiere que el auditor identifique y evalúe los riesgos de incorrección material tanto a nivel de estados financieros como de aseveraciones. En entidades sujetas a NIS2, la ciberseguridad puede generar riesgos específicos:
Riesgos a nivel de estados financieros:
Riesgos a nivel de aseveraciones:
La NIA-ES 315.26 establece que cuando los riesgos identificados son riesgos importantes, el auditor debe obtener entendimiento de los controles de la entidad relacionados con dichos riesgos. Para entidades NIS2, esto incluye controles de ciberseguridad.

Comprensión del sistema de control interno


La evaluación del entorno de control según NIA-ES 315.14 debe considerar específicamente:
Para entidades importantes bajo NIS2, el Artículo 23 requiere que el órgano de administración apruebe las medidas de gestión de riesgos de ciberseguridad y supervise su aplicación. Esta responsabilidad de gobierno afecta directamente tu evaluación del tono al más alto nivel.

  • Riesgo de fraude a través de sistemas comprometidos
  • Integridad de datos contables procesados electrónicamente
  • Continuidad del negocio por interrupciones cibernéticas
  • Provisiones por sanciones regulatorias o costes de recuperación
  • Integridad de transacciones registradas automáticamente
  • Exactitud de cálculos realizados por sistemas IT
  • Corte de operaciones al cierre del ejercicio
  • Valoración de activos tecnológicos vulnerables
  • La estructura de gobierno de ciberseguridad y responsabilidades del órgano de administración
  • Políticas y procedimientos de seguridad IT implementados para cumplir NIS2
  • Competencia del personal responsable de ciberseguridad
  • Supervisión de terceros que procesan información crítica

Procedimientos de auditoría específicos

Procedimientos de evaluación de riesgos ampliados


Bajo NIA-ES 315.A131, cuando las actividades de la entidad dependen intensivamente de IT, el auditor debe obtener entendimiento de cómo la tecnología y los sistemas soportan el flujo de transacciones. Para entidades NIS2:

Procedimientos sustantivos adicionales


La NIA-ES 330.18 permite reducir procedimientos sustantivos solo cuando las pruebas de controles demuestran que operan eficazmente. En entidades NIS2, considera estos procedimientos específicos:

Documentación según NIA-ES 230


La NIA-ES 230.8 requiere documentación suficiente para que un auditor experimentado comprenda la naturaleza, momento y alcance de procedimientos ejecutados. Para auditorías de entidades NIS2, documenta específicamente:

  • Mapeo de sistemas críticos: Identifica todos los sistemas IT que procesan información financiera y evalúa su exposición a riesgos cibernéticos.
  • Revisión de políticas NIS2: Examina las políticas implementadas para cumplir los requisitos del Artículo 21 y evalúa si están operando eficazmente.
  • Testing de controles de acceso: Verifica que los controles de acceso a sistemas financieros cumplan los requisitos de autenticación multifactor y gestión de privilegios.
  • Evaluación de backup y recuperación: Confirma que los procedimientos de backup incluyen datos financieros y que los tiempos de recuperación son compatibles con los plazos de reporte financiero.
  • Conciliaciones de integridad de datos: Compara saldos financieros procesados en diferentes momentos para detectar alteraciones no autorizadas
  • Análisis de logs de acceso: Revisa registros de acceso a sistemas financieros durante el período de auditoría
  • Confirmaciones directas ampliadas: Solicita confirmaciones de saldos bancarios y con terceros usando canales seguros e independientes
  • Testing de corte específico: Verifica transacciones registradas inmediatamente antes y después de interrupciones de sistema conocidas
  • Evaluación de si la entidad está sujeta a NIS2 y en qué categoría
  • Riesgos de ciberseguridad identificados y su impacto potencial en estados financieros
  • Controles evaluados y resultados de pruebas de eficacia
  • Procedimientos sustantivos ejecutados para direccionar riesgos identificados
  • Comunicaciones con la dirección sobre deficiencias en controles de ciberseguridad

Ejemplo práctico: evaluación de controles

> Navarra Infraestructuras Eléctricas S.A.
Sector: Distribución eléctrica (entidad necesari bajo NIS2)
Ingresos: €180 millones
Empleados: 1.250
Sistemas: ERP SAP para contabilidad, SCADA para operaciones de red
Auditor: Auditores Técnicos del Norte S.L.
Paso 1. Identificación del alcance NIS2
La entidad califica como necesari por operar distribución eléctrica con más de 100.000 usuarios conectados. El cumplimiento NIS2 es obligatorio desde octubre 2024 según la transposición nacional.
Documentación: Memorándum de planificación confirma aplicabilidad NIS2 y identifica obligaciones específicas del sector eléctrico.
Paso 2. Mapeo de sistemas críticos para información financiera
Los sistemas SCADA registran automáticamente el consumo medido que alimenta la facturación mensual en SAP. Una brecha de ciberseguridad podría alterar mediciones y afectar el reconocimiento de ingresos.
Documentación: Diagrama de flujo de datos desde medidores hasta estados financieros, identificando puntos de control críticos.
Paso 3. Evaluación de controles NIS2 implementados
Documentación: Lista de controles testados con evidencia de operación eficaz durante los 12 meses anteriores.
Paso 4. Testing específico de integridad de ingresos
Selección de 25 mediciones de alta tensión registradas en enero 2024. Conciliación entre datos de SCADA, facturas generadas automáticamente y asientos contables en SAP. Sin excepciones identificadas.
Documentación: Papeles de trabajo con muestras seleccionadas, procedimientos ejecutados y conclusiones por cada elemento testado.
Conclusión: Los controles de ciberseguridad implementados para cumplir NIS2 proporcionan aseguramiento razonable sobre la integridad de información financiera. Riesgo de incorrección material por vulnerabilidades cibernéticas evaluado como bajo.

  • Autenticación multifactor operativa en SAP y sistemas SCADA
  • Backup diario de datos contables con restore testing mensual
  • Monitorización 24/7 de accesos a sistemas financieros con alertas automáticas
  • Política de gestión de parches actualizada trimestralmente

Lista de verificación práctica

  • Durante la aceptación del encargo: Confirma si la entidad está sujeta a NIS2 revisando sector de actividad, número de empleados e ingresos anuales según umbrales del Anexo I y II.
  • En planificación de auditoría: Identifica sistemas IT que procesan información financiera y evalúa su exposición a riesgos cibernéticos según NIA-ES 315.A131.
  • Al evaluar controles internos: Verifica que controles de acceso, backup y monitorización incluyen sistemas que afectan información financiera conforme NIA-ES 315.26.
  • Durante procedimientos sustantivos: Ejecuta conciliaciones adicionales de integridad de datos y análisis de logs para transacciones procesadas automáticamente.
  • En comunicación con dirección: Informa deficiencias identificadas en controles de ciberseguridad que puedan afectar información financiera según NIA-ES 265.9.
  • Lo más importante: Si identificas controles de ciberseguridad ineficaces que generen riesgo importante de incorrección material, considera si esto requiere mención como asunto principal de auditoría según NIA-ES 701.10.

Errores frecuentes

  • Asumir que cumplimiento NIS2 garantiza controles eficaces para auditoría. Las medidas de ciberseguridad requeridas por NIS2 se enfocan en protección general, no específicamente en integridad de información financiera.
  • Documentar solo la existencia de políticas sin probar su operación eficaz. La NIA-ES 330.10 requiere testing de eficacia operativa, no solo diseño de controles.
  • No considerar el impacto de terceros en la evaluación de riesgos. Muchas entidades NIS2 dependen de proveedores de servicios IT cuyas vulnerabilidades pueden afectar información financiera del cliente.

Contenido relacionado

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.