Indice

Chi è soggetto alla Direttiva NIS2

La NIS2 definisce due categorie di entità: essenziali e importanti. Le entità essenziali includono fornitori di servizi pubblici (energia, trasporti, sanità), mentre quelle importanti coprono settori come servizi digitali, gestione dei rifiuti, e manifattura di prodotti chimici. L'articolo 2 della NIS2 stabilisce le soglie dimensionali: 50 dipendenti e fatturato annuo o bilancio totale di €10 milioni.
Per i revisori, questa classificazione determina il livello di controlli attesi. Le entità essenziali devono implementare misure più rigorose rispetto a quelle importanti, inclusa la segnalazione obbligatoria degli incidenti alle autorità nazionali entro 24 ore (articolo 23). Questa tempistica impatta sui controlli interni: se il cliente non ha processi per identificare e segnalare incidenti di cybersicurezza entro 24 ore, presenta una carenza nel sistema di controllo interno.

Identificazione durante la fase di accettazione


L'ISA 315.A1 richiede che il revisore comprenda l'entità e il suo ambiente. Per i clienti potenzialmente soggetti alla NIS2, questa comprensione include:
La classificazione errrata espone il cliente a sanzioni fino al 2% del fatturato annuo globale per le entità essenziali, 1,4% per quelle importanti (articolo 34). Questi importi possono essere significativi per la valutazione della continuità aziendale ai sensi dell'ISA 570.

  • Settore di attività: verificare se rientra nell'Allegato I (entità essenziali) o Allegato II (entità importanti)
  • Soglie dimensionali: 50+ dipendenti E (fatturato €10M+ O attivo €10M+)
  • Catena di approvvigionamento: fornitori di servizi critici potrebbero essere soggetti indirettamente

Impatto sui rischi di audit finanziario

La NIS2 introduce rischi che si traducono direttamente in potenziali errori nei bilanci. L'articolo 21 richiede misure tecniche, operative e organizzative appropriate. Il mancato rispetto genera tre categorie di rischio finanziario:
Passività per sanzioni normative: le multe NIS2 possono superare €1 milione anche per entità di medie dimensioni. Se la probabilità di sanzione è probabile e l'importo stimabile, l'IAS 37.14 richiede un accantonamento. Se solo possibile, serve una passività potenziale in nota integrativa.
Costi di rimedio post-incidente: l'articolo 23 obbliga la notifica entro 24 ore e un rapporto finale entro un mese. I costi per consulenti forensi, ripristino sistemi, e comunicazione clienti possono essere significativi. L'ISA 540.13 richiede che il revisore valuti se le stime contabili della direzione sono ragionevoli.
Impatto operativo su ricavi e costi: un attacco informatico può interrompere la produzione o compromettere la capacità di fatturazione. L'ISA 315.A104 richiede che il revisore consideri come i controlli IT supportano il flusso delle transazioni. Se i controlli sono inadeguati, aumenta il rischio di interruzioni non rilevate che impattano sui ricavi.

Applicazione dell'ISA 315 ai controlli NIS2

L'ISA 315.26 richiede che il revisore identifichi e valuti i rischi di errori significativi a livello di bilancio e di asserzione. I controlli di cybersicurezza NIS2 operano a entrambi i livelli:

Controlli a livello di bilancio


L'ambiente di controllo include ora la governance di cybersicurezza. L'articolo 20 della NIS2 assegna responsabilità specifiche agli organi di amministrazione. Il revisore deve valutare se:
La carenza in quest'area aumenta il rischio di controllo per tutte le asserzioni che dipendono da sistemi informativi, in particolare completezza e accuratezza delle transazioni elaborate elettronicamente.

Controlli applicativi specifici


L'ISA 315.A135 distingue tra controlli generali IT e controlli applicativi. I requisiti NIS2 generano controlli in entrambe le categorie:
Controlli generali: gestione degli accessi, backup dei dati, monitoraggio della sicurezza. L'articolo 21.2(a) richiede politiche di sicurezza per l'accesso ai sistemi. Se inefficaci, tutti i controlli applicativi che dipendono dall'integrità degli accessi risultano inaffidabili.
Controlli applicativi: controlli di completezza sui dati trasmessi, controlli di accuratezza su calcoli automatici, controlli di esistenza su transazioni registrate. L'articolo 21.2(f) richiede procedure di continuità operativa. Se i sistemi non garantiscono la continuità dei controlli applicativi, il revisore non può fare affidamento su di essi.

Documentazione dei controlli valutati


L'ISA 315.32 richiede la documentazione della comprensione dei controlli rilevanti. Per i controlli NIS2, la documentazione include:
La documentazione deve collegare esplicitamente i controlli NIS2 ai rischi di bilancio. Non è sufficiente documentare che "i controlli IT sono adeguati." Serve il collegamento specifico: "Il controllo di backup automatico giornaliero mitiga il rischio di perdita di dati contabili che potrebbe portare alla sottovalutazione delle passività."

  • Il consiglio di amministrazione ha approvato formalmente le politiche di cybersicurezza
  • Esiste un responsabile della sicurezza informatica con linee di reporting chiare
  • Le politiche di gestione del rischio includono scenari di cybersicurezza
  • Mappatura dei controlli: quale controllo NIS2 mitiga quale rischio di errore significativo
  • Test dei controlli: come il revisore ha verificato l'efficacia operativa (ISA 330.8)
  • Carenze identificate: controlli assenti o inefficaci e loro impatto sui rischi valutati

Esempio pratico: Valutazione presso un operatore logistico

Contesto: Trasporti Mediterrani S.r.l. opera una flotta di 120 camion con fatturato annuo di €15 milioni. Come operatore di trasporto merci, rientra tra le entità importanti secondo l'Allegato II della NIS2. Il sistema di gestione flotta è completamente digitalizzato e gestisce la fatturazione automatica ai clienti.

Passaggio 1: Identificazione dei rischi rilevanti per l'audit


Il revisore identifica che il 85% dei ricavi dipende dal sistema di tracciamento GPS che calcola automaticamente le distanze percorse per la fatturazione. Un attacco informatico che comprometta questo sistema potrebbe:
Nota di documentazione: documentare nel memorandum di pianificazione il collegamento tra sistema GPS e rischio di errori sui ricavi, con riferimento all'ISA 315.A104.

Passaggio 2: Valutazione dei controlli implementati


Il revisore esamina i controlli implementati da Trasporti Mediterrani per la conformità NIS2:
Controlli di accesso: autenticazione a due fattori per accedere al sistema di gestione flotta, log degli accessi conservati per 12 mesi. Controllo efficace secondo l'articolo 21.2(a) NIS2.
Backup dei dati: backup automatico ogni 6 ore su server cloud geograficamente separato, test di ripristino trimestrale documentato. Mitiga il rischio di perdita di dati di fatturazione.
Monitoraggio degli incidenti: sistema di allerta automatico per anomalie nel tracciamento GPS, ma nessuna procedura formale per la segnalazione entro 24 ore richiesta dall'articolo 23. Carenza identificata.
Nota di documentazione: documentare nella carta di lavoro dei controlli IT l'efficacia dei controlli di backup e la carenza nella procedura di segnalazione incidenti.

Passaggio 3: Impatto sulla strategia di audit


A causa della carenza nella segnalazione degli incidenti, il revisore conclude che non può fare pieno affidamento sui controlli applicativi del sistema GPS. La strategia di audit viene modificata:
Nota di documentazione: aggiornare la strategia di audit complessiva documentando che l'affidamento sui controlli IT è limitato a causa delle carenze NIS2.

Passaggio 4: Valutazione delle potenziali passività


Trasporti Mediterrani non ha ancora implementato la procedura di segnalazione rapida degli incidenti richiesta dall'articolo 23. Questo espone l'entità a sanzioni potenziali fino a €210.000 (1,4% del fatturato di €15M).
Il revisore valuta che la sanzione sia possibile ma non probabile, dato che la NIS2 è appena entrata in vigore e le autorità nazionali stanno ancora sviluppando le linee guida operative. Tuttavia, richiede la disclosure di questa passività potenziale nelle note al bilancio secondo l'IAS 37.86.
Nota di documentazione: documentare la valutazione della passività potenziale nella carta di lavoro delle contingenze, con riferimento all'articolo 34 NIS2.
Il controllo risulta complessivamente efficace per i controlli di accesso e backup, ma presenta una carenza significativa nella gestione degli incidenti che richiede procedure di audit aggiuntive e disclosure nei bilanci.

  • Sottovalutazione dei ricavi: se il sistema non registra parte dei viaggi completati
  • Sovravalutazione dei ricavi: se il sistema duplica le registrazioni di viaggio
  • Interruzione operativa: se il sistema diventa indisponibile per periodi prolungati
  • Test sostantivi aggiuntivi: riconciliazione mensile tra km registrati nel sistema GPS e km dichiarati nelle schede carburante
  • Conferme esterne: conferma di un campione di spedizioni direttamente con i clienti principali
  • Analisi comparativa: confronto tra ricavi mensili e variazioni della flotta operativa

Checklist operativa

  • Classificazione del cliente: verificare se supera le soglie NIS2 (50 dipendenti E €10M fatturato/attivo) e se opera nei settori dell'Allegato I o II. Documentare la conclusione nel memorandum di accettazione cliente.
  • Valutazione dei controlli generali IT: testare i controlli di accesso, gestione delle modifiche ai sistemi, e procedure di backup richiesti dall'articolo 21 NIS2. Documentare l'efficacia nella carta di lavoro dei controlli IT.
  • Collegamento ai rischi di bilancio: per ogni controllo NIS2 valutato, identificare quale rischio di errore significativo mitiga. Aggiornare la matrice rischi-controlli di conseguenza.
  • Test dei controlli dipendenti: se i controlli generali IT presentano carenze, aumentare l'estensione dei test sui controlli applicativi o passare a una strategia sostantiva secondo l'ISA 330.15.
  • Valutazione delle passività: considerare sanzioni potenziali, costi di rimedio, e impatti operativi. Applicare l'IAS 37 per determinare se serve un accantonamento o una disclosure.
  • La cosa più importante: i controlli di cybersicurezza non sono più solo una questione IT. Sono controlli interni che impattano direttamente sull'affidabilità del bilancio. Valutarli con la stessa rigorosità dei controlli finanziari tradizionali.

Errori comuni

  • Delegare interamente la valutazione ai consulenti IT: il revisore rimane responsabile della valutazione dei controlli rilevanti per l'audit finanziario, indipendentemente dall'uso di esperti secondo l'ISA 620.
  • Non collegare i controlli NIS2 ai rischi di bilancio: valutare i controlli di cybersicurezza in isolamento senza considerare il loro impatto sui rischi di errori significativi nei bilancio.
  • Sottovalutare l'impatto finanziario delle violazioni: non considerare adeguatamente le potenziali sanzioni e costi di rimedio nella valutazione della continuità aziendale e delle passività.

Contenuti correlati

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.