Direttiva NIS2

Punti chiave

- L'ACN distingue tra soggetti "essenziali" e "importanti"; la registrazione sulla piattaforma ACN, con termini differenziati stabiliti dal DPCM attuativo, è il primo adempimento che il cliente potrebbe aver omesso. - Art. 24 D.Lgs. 138/2024 colloca la responsabilità di approvazione delle misure in capo all'organo amministrativo, non al responsabile IT; questo sposta l'oggetto della verifica del revisore dall'area tecnica all'area di governance. - Ai fini ISA Italia 315, la mancata registrazione ACN o la mancata approvazione formale delle misure ex art. 24 rappresenta una carenza nell'ambiente di controllo che incide sul rischio di errore significativo nei cicli IT-dipendenti. - Il collegio sindacale, ex art. 2403 C.C., vigila sull'adeguatezza dell'assetto organizzativo anche sotto il profilo cyber; il revisore osserva gli effetti sui bilanci. I due perimetri vanno tenuti distinti nelle carte.

Come funziona

La Direttiva NIS2 (Network and Information Systems Security Directive 2) è il quadro UE che impone obblighi di sicurezza informatica e di notifica degli incidenti a soggetti essenziali e importanti individuati per settore e dimensione. In Italia vale il testo del D.Lgs. 138/2024, con l'ACN (Agenzia per la Cybersicurezza Nazionale) come autorità competente.

Gli articoli 24, 25 e 26 del decreto costruiscono tre blocchi distinti che tendono a confondersi nella pratica. L'art. 24 assegna all'organo di amministrazione il compito di approvare le misure di gestione dei rischi e di riceverne formazione adeguata; la responsabilità è individuale dei componenti dell'organo, non delegabile al CIO. L'art. 25 elenca le misure minime che il soggetto deve adottare, dalla gestione degli incidenti alla sicurezza della supply chain, dalla gestione degli accessi alla continuità operativa. L'art. 26 disciplina gli obblighi di notifica, con un preallarme entro 24 ore e una notifica completa entro 72 ore dalla conoscenza dell'incidente significativo.

Cosa succede davvero negli studi: il cliente classificato come "importante" ha compilato il modulo ACN ma non ha ancora verbalizzato l'approvazione delle misure ex art. 24 in CdA, perché il consigliere delegato al digitale non esiste e nessun amministratore vuole firmare per competenze che non ha. La direzione chiede al revisore di "validare" il pacchetto misure. Non è quello che fa il revisore sotto il D.Lgs. 39/2010. Le carte in questi mesi tendono a essere leggere su questo punto preciso, perché nessuno vuole tracciare per iscritto il rifiuto di un incarico che il cliente pensava di avere ottenuto.

Sul piano della revisione contabile, la NIS2 si innesta sull'ISA Italia 315. Se il soggetto rientra nel perimetro del D.Lgs. 138/2024, la comprensione dell'ambiente di controllo dovrebbe includere la verifica dell'avvenuta registrazione ACN, l'esistenza della delibera consiliare ex art. 24 e la mappatura delle misure ex art. 25 nei sistemi che generano dati contabili. L'assenza di uno qualsiasi di questi elementi non è di per sé un errore di bilancio; diventa rilievo quando la carenza nell'ambiente di controllo si propaga ai controlli applicativi sui cicli ricavi, acquisti, tesoreria.

Il revisore non certifica la conformità NIS2. Questo punto va scritto nella carta di pianificazione, non solo detto in riunione. L'incarico di assurance specifico (tipicamente ex ISAE 3000) è separato e richiede competenze ICT che gli studi generalisti quasi mai possiedono internamente; in quel caso l'ISA 620 sul lavoro di un esperto diventa il riferimento operativo.

Esempio pratico: Maroncelli Logistica S.p.A.

Cliente: Operatore logistico italiano, ricavi FY2024 EUR 187M, classificato soggetto essenziale ex D.Lgs. 138/2024 (allegato I, settore trasporti). Revisione chiusa al 31/12/2024, relazione in emissione ad aprile 2026.

Step 1: Verificare lo status ACN e la delibera ex art. 24 Nella carta di pianificazione si documenta la classificazione dimensionale e settoriale. Dall'estratto del registro ACN risulta la registrazione del 14 gennaio 2025; dal libro verbali CdA si rileva la delibera del 27 marzo 2025 che approva le misure di gestione del rischio. Nessun consigliere risulta avere profilo ICT documentato. Nota di documentazione: copia della delibera, estratto ACN, nota del revisore sul gap di competenze dell'organo amministrativo in relazione all'art. 24 comma 2 (formazione).

Step 2: Mappare le misure ex art. 25 sui cicli contabili Il colloquio con il responsabile IT evidenzia autenticazione multi-fattore sui sistemi SAP (fatturazione, ciclo ordini, magazzino), crittografia dei backup, penetration test semestrale eseguito da fornitore esterno a luglio 2024. Il piano di continuità operativa, versione giugno 2024, affronta guasti infrastrutturali ma non scenari ransomware con criptazione estesa dei dati contabili. Il DPO è esterno e condiviso con altre tre società del gruppo. Nota di documentazione: tabella misure art. 25 con collegamento ai controlli IT general (ITGC) testati ai fini ISA Italia 315 e 330.

Step 3: Valutare l'effetto sui rischi di revisione La carenza del piano di continuità sugli scenari ransomware non tocca direttamente le asserzioni del FY2024 chiuso, però incide sull'assunto di continuità aziendale ex ISA Italia 570. Se un evento ransomware si verificasse tra la data di chiusura e l'emissione della relazione, l'ente potrebbe non essere in grado di ripristinare i dati contabili in tempi utili. La valutazione si colloca quindi su due piani: controlli generali IT ai fini dell'affidamento sui sistemi, e continuità aziendale ai fini del giudizio. Nota di documentazione: risk assessment memo con riferimento ISA Italia 570.A8 e 315.A146.

Step 4: Gestire la complicazione CONSOB art. 114 se Maroncelli fosse quotata Maroncelli non è quotata, ma il caso insegna: il 18 febbraio 2025 il gruppo subisce un tentativo di accesso non autorizzato classificato "incidente significativo" ex art. 26 D.Lgs. 138/2024. Termine ACN: preallarme 24h, notifica 72h. Se l'emittente fosse stato quotato, l'art. 114 TUF avrebbe richiesto la comunicazione al mercato senza indugio, con MAR sulle informazioni privilegiate. Il sequencing tra notifica ACN riservata e disclosure CONSOB non è coperto da una procedura scritta in azienda. Il revisore documenta la carenza di procedura e la segnala al collegio sindacale, che ex art. 2403 C.C. vigila sull'adeguatezza dell'assetto organizzativo. Nota di documentazione: comunicazione al collegio sindacale ex ISA Italia 260 e ISA Italia 265.

Conclusione: La revisione FY2024 si chiude con relazione senza rilievi sul bilancio, ma con segnalazione scritta al collegio sindacale sulle carenze NIS2 nel piano di continuità e nel coordinamento art. 26 / art. 114 TUF. Il fascicolo documenta espressamente che la conformità NIS2 non è stata oggetto di assurance: quell'incarico, se richiesto, andrà strutturato separatamente ex ISAE 3000 con specialisti ICT.

Cosa catturano i revisori e gli ispettori

- Tier 1: Rilievo ispettivo documentato. Nelle prime verifiche di qualità successive al 16 ottobre 2024, il fascicolo non distingue tra valutazione ai fini ISA Italia 315 (rischio di errore significativo nei bilanci) e valutazione di conformità NIS2 (fuori scope della revisione). Il risultato è una carta ibrida che sembra promettere assurance su NIS2 senza che sia stata acquisita evidenza sufficiente ex ISA Italia 500. La carenza rileva sia ai fini CONSOB, per gli EIP in perimetro, sia nei controlli MEF sugli studi non-EIP.

- Tier 2: Errore pratico standard. Il team identifica il cliente come soggetto NIS2 ma non richiede la delibera ex art. 24. Le carte riportano che "le misure sono state implementate dal CIO". Sotto il D.Lgs. 138/2024 questo non è sufficiente: la responsabilità è dell'organo amministrativo, e l'assenza della delibera è un indicatore di carenza di governance che dovrebbe alimentare la valutazione ISA Italia 315 sull'ambiente di controllo.

- Tier 3: Divario di pratica documentato. Negli studi di dimensione media, che servono clienti in perimetro NIS2 a compensi irrisori rispetto al lavoro ICT richiesto, si osserva un pattern ricorrente: si ticka la casella "NIS2 verificato" sulla base di una dichiarazione della direzione, senza ispezionare l'estratto ACN né il verbale consiliare. Scrivere le carte dopo, in questo contesto, significa ricostruire a posteriori una valutazione che in corso d'opera non è mai avvenuta. Il rischio professionale personale sale in proporzione.

NIS2 vs. conformità normativa generale

Tra conformità NIS2 e conformità normativa generica la differenza non è di intensità, è di natura.

La conformità normativa generale (etichettatura prodotti, rifiuti, rendicontazione di sostenibilità) entra nella revisione attraverso l'ISA Italia 250: il revisore considera le leggi e i regolamenti che potrebbero avere un effetto diretto sulla determinazione di importi e informative nei bilanci, e verifica le comunicazioni di non conformità. L'effetto sulle asserzioni è tipicamente indiretto e passa attraverso sanzioni, passività potenziali, o continuità aziendale se la sanzione supera la capacità di assorbimento dell'impresa.

La conformità NIS2 tocca direttamente i sistemi su cui il revisore poggia per ottenere evidenza. Se la gestione degli accessi non è conforme all'art. 25, i controlli di segregazione dei compiti nei cicli ricavi e acquisti perdono affidabilità; se i backup non sono testati, la strategia di test sul ciclo chiusura può saltare; se la notifica ex art. 26 non è proceduralizzata, un incidente tra data di chiusura e emissione della relazione può trovare la società impreparata e il revisore senza un'informativa tempestiva ex ISA Italia 560.

È questa la ragione per cui la NIS2 non si colloca nell'angolo della conformità generica. Si colloca nell'ambiente di controllo e nel ciclo IT general controls.

Un disaccordo legittimo in pratica. Il Partner A sostiene che la verifica della registrazione ACN e della delibera ex art. 24 sia parte integrante della procedura ISA Italia 315 sull'ambiente di controllo, e che l'omissione lasci un buco documentale sanzionabile in ispezione. Il Partner B obietta che la NIS2 è materia di assurance separata, che nel compenso di revisione non è stato inserito nessun corrispettivo per lavoro ICT, e che estendere il perimetro significa regalare ore che il mercato non paga. Entrambe le posizioni sono difendibili. Il punto che risolve la disputa non è dottrinale ma operativo: se il cliente è in perimetro e il revisore si astiene da qualsiasi verifica, l'ispettore chiederà come l'ambiente di controllo sia stato considerato ex ISA Italia 315.12.

La trappola NIS2 nella revisione italiana non è la carenza di competenze ICT negli studi: è che l'art. 24 sposta la responsabilità sull'organo amministrativo, il CdA chiede comfort al revisore, e il revisore (sotto il D.Lgs. 39/2010) non è il firmatario giusto per quel comfort.

Termini correlati

- Continuità aziendale (ISA Italia 570): valutazione degli scenari cyber che potrebbero compromettere la continuità tra chiusura ed emissione. - Ciclo dei sistemi informativi: ITGC e controlli applicativi su cui le misure ex art. 25 si proiettano. - Rischio di errore significativo (ISA Italia 315): l'assenza di delibera ex art. 24 come indicatore di carenza di governance. - Controllo interno (COSO): sovrapposizione concettuale tra art. 25 D.Lgs. 138/2024 e componenti COSO su valutazione del rischio e attività di controllo. - Ambiente di controllo (ISA Italia 315): la governance cyber come parte dell'ambiente di controllo osservato dal revisore. - Utilizzo del lavoro di un esperto (ISA Italia 620): impiego di specialisti cyber quando la revisione richieda valutazioni ICT oltre le competenze del team.