Punti chiave

  • La NIS2 si applica alle entità critiche (energia, trasporti, acqua, sanità, alimentare, infrastrutture digitali) e ai fornitori di servizi digitali di grandi dimensioni; le entità più piccole hanno obblighi proporzionali a partire da ottobre 2024.
  • Il revisore deve valutare se il cliente è soggetto a NIS2 e, in caso affermativo, se dispone di una governance della sicurezza informatica conforme ai requisiti della direttiva.
  • La non conformità alla NIS2 comporta sanzioni amministrative significative e rischi di responsabilità civile, con impatto potenziale sulla continuità aziendale e sulla valutazione dei rischi di revisione.
  • La documentazione dei controlli sulla sicurezza informatica è diventata una componente essenziale delle carte di lavoro di revisione per le entità critiche.

Come funziona

La NIS2 introduce un approccio risk-based obbligatorio per le entità identificate come critiche. Le entità critiche devono implementare misure tecniche e organizzative per garantire un livello di sicurezza adeguato al loro contesto operativo. La direttiva richiede una governance robusta della sicurezza, la designazione di responsabili della sicurezza informatica, l'implementazione di incidenti reporting, e la conduzione di valutazioni regolari del rischio informatico.
Sul piano della revisione contabile, la valutazione della sicurezza informatica si colloca all'interno del ciclo dei sistemi informativi e della continuità aziendale. L'ISA 315 (Identificazione e valutazione dei rischi di errori significativi) richiede che il revisore comprenda l'ambiente di controllo dell'entità, inclusi i controlli sugli accessi ai sistemi informativi critici. Per le entità soggette a NIS2, la mancanza di un programma di sicurezza informatica conforme rappresenta un debolezza significativa nel controllo interno che il revisore deve documentare e valutare in termini di effetto sul rischio di errore significativo.
La responsabilità del revisore non è di certificare la conformità a NIS2 (a meno che non sia esplicitamente richiesto da un incarico di assurance separato), ma di comprendere se gli obblighi di sicurezza informatica impatti sui bilanci dell'entità e sulle asserzioni critiche. Ad esempio, un attacco informatico riuscito potrebbe comportare perdite di dati rilevanti per la continuità aziendale, interruzioni del processo di chiusura contabile, o perdite economiche significative da divulgare in nota integrativa.

Esempio pratico: Maroncelli Logistica S.p.A.

Cliente: Operatore logistico italiano, ricavi FY2024 di EUR 187M, classificato come entità critica secondo la NIS2 per il settore dei trasporti.
Step 1: Identificare lo status NIS2 dell'entità
Durante la fase di pianificazione della revisione, il senior ha identificato che Maroncelli rientra nella categoria di entità critica. La NIS2 richiede la nomina di una persona responsabile della sicurezza informatica e l'implementazione di un piano di gestione dei rischi informatici. Nota di documentazione: nella carta di pianificazione si documenta la categoria NIS2, l'area organizzativa responsabile della sicurezza informatica, e il nome del responsabile identificato dalla direzione.
Step 2: Valutare i controlli sulla sicurezza informatica nel contesto dei sistemi informativi
Il revisore ha condotto un colloquio con il responsabile della sicurezza informatica (CIO) per comprendere il programma di sicurezza implementato. Maroncelli ha documentato una valutazione dei rischi informatici aggiornata a giugno 2024, ha implementato autenticazione multi-fattore sugli accessi ai sistemi critici (fatturazione, ordini, gestione magazzino), e ha condotto test di penetrazione annuali. Tuttavia, è emerso che il piano di continuità aziendale non include procedure dettagliate di ripristino per scenari di attacco ransomware su larga scala. Nota di documentazione: tabella dei controlli chiave sulla sicurezza informatica, con riferimento ai requisiti della NIS2 articoli 20-24, e identificazione della debolezza relativa al piano di continuità (ISA 570.A8 richiede che il revisore consideri gli eventi che potrebbero ostacolare la continuità).
Step 3: Valutare se la debolezza di controllo costituisce un rischio di errore significativo
La mancanza di procedure specifiche di ripristino dopo un attacco ransomware costituisce una debolezza nel controllo interno che potrebbe impedire l'accesso ai dati contabili critici, con conseguente impossibilità di chiudere i bilanci in tempi ragionevoli. Il revisore ha concluso che questo rappresenta un rischio di errore significativo nel ciclo della continuità aziendale (ISA 570.11). Nota di documentazione: valutazione del rischio registrata nel foglio di sintesi dei rischi, con collegamento al piano di azioni correttive che Maroncelli si è impegnata a implementare entro marzo 2025.
Step 4: Progettazione di procedure di revisione specifiche
Il revisore ha progettato procedure di validità specifiche per testare i controlli sulla sicurezza informatica (verifica della configurazione multi-fattore su un campione di account amministratori, revisione dei log di accesso non autorizzato, test dell'efficacia del piano di continuità tramite simulazione). Inoltre, ha valutato la necessità di un esperto in sicurezza informatica per supportare la revisione (ISA 620 Utilizzo del lavoro di un esperto). Nota di documentazione: programma di revisione per il ciclo dei sistemi informativi, con riferimento specifico ai requisiti della NIS2 e alle procedure determinate.
Conclusione: Maroncelli rimane soggetta a un rischio di errore significativo nel ciclo della continuità aziendale legato alla sicurezza informatica. Il revisore ha documentato tale rischio, ha valutato i controlli implementati, e ha progettato procedure di revisione proporzionate al rischio. La conformità a NIS2 non è stata certificata formalmente (non era in scope della revisione dell'anno), ma l'impatto potenziale sulla capacità dell'entità di produrre bilanci tempestivamente è stato adeguatamente considerato nella valutazione complessiva dei rischi.

Cosa catturano i revisori e gli ispettori

  • Tier 1: Rilievo ispettivo documentato: Gli ispettori CONSOB hanno osservato in revisioni di enti critici che il fascicolo di revisione non documenta formalmente la valutazione dello status NIS2 dell'entità, con la conseguenza che i controlli sulla sicurezza informatica non vengono sottoposti a procedure di revisione strutturate. Questo è un rilievo ricorrente nelle revisioni di operatori nel settore energia e trasporti.
  • Tier 2: Errore pratico standard: Il team di revisione identifica correttamente che il cliente è soggetto a NIS2, ma non ricollega questa circostanza alla valutazione dei rischi di continuità aziendale (ISA 570). Di conseguenza, non vengono eseguite procedure specifiche per testare la resilienza del cliente a scenari di attacco informatico, anche se tali scenari rappresentano una minaccia materiale alla continuità. L'ISA 570.12 richiede che il revisore consideri gli eventi o le circostanze che potrebbero sollevare dubbi sulla continuità aziendale; un attacco informatico riuscito su sistemi critici di un'entità NIS2 rientra chiaramente in questa categoria.
  • Tier 3: Divario di pratica documentato: In numerose revisioni di entità critiche, il piano di continuità aziendale del cliente esiste e affronta scenari convenzionali (interruzione di fornitori, guasti infrastrutturali), ma non contiene procedure specifiche di ripristino per attacchi informatici. Il revisore documenta l'esistenza del piano, ma non valuta l'adeguatezza specifica in relazione ai rischi informatici, lasciando una lacuna tra ciò che la NIS2 richiede (valutazione continua dei rischi informatici) e ciò che il fascicolo di revisione contiene (test dei controlli generici sulla continuità).

NIS2 vs. Conformità normativa generale

La NIS2 è una normativa sulla sicurezza informatica specifica, non una norma contabile generale. La differenza pratica è rilevante sulla revisione.
Conformità normativa generale (es. conformità a regolamenti su rifiuti, etichettatura prodotti, rapporti di sostenibilità): il revisore valuta se la direzione ha identificato i requisiti applicabili, ha messo in atto controlli per garantire la conformità, e ha registrato adeguatamente eventuali violazioni nei bilanci. La conformità non incide direttamente sulle asserzioni contabili, ma l'inadempienza incide sulla continuità aziendale se comporta sanzioni significative.
Conformità NIS2: la direttiva richiede un programma di governance della sicurezza informatica che impatta direttamente sui sistemi che il revisore utilizza per testare le asserzioni (accesso ai sistemi di contabilità, integrità dei dati finanziari, disponibilità dei registri e dei giustificativi). Se i controlli NIS2 sono insufficienti (es. accesso ai sistemi di contabilità non protetto da autenticazione multi-fattore, backup dei dati non crittografati), il rischio di errore nei bilanci aumenta direttamente perché i controlli preventivi e detective sui dati contabili risultano indeboliti.
La NIS2 è pertanto una considerazione sia nella valutazione della continuità aziendale sia nella valutazione dell'ambiente di controllo generale su cui poggia l'affidabilità dei bilanci.

Termini correlati

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.