Contenidos

- Alcance de NIS2 y obligaciones de las entidades - Impacto en la evaluación de riesgos de auditoría - Procedimientos de auditoría específicos - Ejemplo práctico: evaluación de controles - Lista de verificación práctica - Errores frecuentes - Contenido relacionado

Alcance de NIS2 y obligaciones de las entidades

Entidades sujetas a la directiva

Lo que veo en los papeles que reviso es que el alcance se decide a ojo, casi siempre por un comentario verbal del cliente. Si el cliente dice "no, a nosotros no nos aplica", el equipo lo apunta y pasa página. Eso ya es un fallo de aceptación bajo NIA-ES 220.

La Directiva NIS2 aplica a entidades de sectores específicos que superan determinados umbrales de tamaño. En la práctica, hay que confirmarlo por escrito y documentarlo en el memorándum de planificación, no aceptar la declaración del cliente como evidencia suficiente.

Entidades esenciales (Anexo I de NIS2): - Energía (electricidad, gas, hidrógeno, petróleo) - Transporte (aéreo, ferroviario, marítimo, por carretera) - Servicios bancarios e infraestructuras de los mercados financieros - Salud (proveedores de atención sanitaria, laboratorios) - Agua potable y aguas residuales - Infraestructura digital (IXP, DNS, TLD) - Administración pública (nivel central) - Espacio

Entidades importantes (Anexo II de NIS2): - Servicios postales y de mensajería - Gestión de residuos - Fabricación de productos químicos, farmacéuticos y equipos médicos - Producción y distribución de alimentos - Fabricación de equipos informáticos y electrónicos - Fabricación de maquinaria y vehículos de motor - Proveedores de servicios digitales - Investigación

Los umbrales de aplicación varían por sector. Para entidades esenciales aplica a empresas medianas y grandes (50+ empleados y €10M+ de facturación anual o €10M+ de balance). Para entidades importantes aplica principalmente a empresas medianas y grandes con criterios específicos por sector.

Requisitos específicos de ciberseguridad

NIS2 exige que las entidades apliquen medidas técnicas y organizativas apropiadas y proporcionadas para gestionar riesgos de ciberseguridad según el Artículo 21:

- Políticas de análisis y evaluación de riesgos de ciberseguridad - Gestión de incidentes de ciberseguridad - Continuidad empresarial (copias de seguridad, recuperación ante desastres, gestión de crisis) - Seguridad de la cadena de suministro - Seguridad en adquisición, desarrollo y mantenimiento de sistemas - Políticas y procedimientos para evaluar la eficacia de medidas de gestión de riesgos - Prácticas básicas de ciberhigiene y formación en ciberseguridad - Políticas y procedimientos sobre el uso de criptografía y cifrado - Seguridad del personal, políticas de control de acceso y gestión de activos - Uso de autenticación multifactor (MFA) y comunicaciones de voz, vídeo y texto seguras

Impacto en la evaluación de riesgos de auditoría

Identificación de riesgos según NIA-ES 315

Pues la verdad es que aquí es donde los papeles están flojos en la mayoría de los expedientes que he revisado en los últimos dos ejercicios. La sección de evaluación de riesgos de TI es un copia y pega del año anterior, con la misma matriz, los mismos riesgos y, sospechosamente, las mismas conclusiones. Falta chicha.

La NIA-ES 315.25 requiere que el auditor identifique y evalúe los riesgos de incorrección material tanto a nivel de estados financieros como de afirmaciones. En entidades sujetas a NIS2, la ciberseguridad puede generar riesgos específicos.

Riesgos a nivel de estados financieros: - Riesgo de fraude a través de sistemas comprometidos - Integridad de datos contables procesados electrónicamente - Continuidad del negocio por interrupciones cibernéticas - Provisiones por sanciones regulatorias o costes de recuperación

Riesgos a nivel de afirmaciones: - Integridad de transacciones registradas automáticamente - Exactitud de cálculos realizados por sistemas de TI - Corte de operaciones al cierre del ejercicio - Valoración de activos tecnológicos vulnerables

La NIA-ES 315.26 establece que cuando los riesgos identificados son significativos, el auditor debe obtener un entendimiento de los controles de la entidad relacionados con dichos riesgos. Para entidades NIS2 esto incluye los controles de ciberseguridad. En mi experiencia, ese "entendimiento" se traduce en una entrevista de cuarenta minutos con el responsable de TI y poco más, lo cual no es entendimiento sino conversación.

Comprensión del sistema de control interno

La evaluación del entorno de control según NIA-ES 315.14 debe considerar específicamente:

- La estructura de gobierno de ciberseguridad y responsabilidades del órgano de administración - Políticas y procedimientos de seguridad de TI aplicados para cumplir NIS2 - Competencia del personal responsable de ciberseguridad - Supervisión de terceros que procesan información crítica

Para entidades importantes bajo NIS2, el Artículo 23 requiere que el órgano de administración apruebe las medidas de gestión de riesgos de ciberseguridad y supervise su aplicación. Esa responsabilidad afecta directamente la evaluación del tono al más alto nivel.

Procedimientos de auditoría específicos

Procedimientos de evaluación de riesgos ampliados

A ver, lo que pasa en realidad es que la "evaluación de riesgos ampliada" se reduce a dos preguntas más en el cuestionario de TI. Y cuando uno mira el papel, ve que esas dos preguntas tienen siempre la misma respuesta: "el cliente dispone de políticas adecuadas". Sin evidencia, sin testeo, sin nada. Bombas de relojería para cuando el ICAC abra la carpeta.

Bajo NIA-ES 315.A131, cuando las actividades de la entidad dependen intensivamente de TI, el auditor debe obtener un entendimiento de cómo la tecnología y los sistemas soportan el flujo de transacciones. Para entidades NIS2:

1. Mapeo de sistemas críticos. Identificar todos los sistemas de TI que procesan información financiera y evaluar su exposición a riesgos cibernéticos.

2. Revisión de políticas NIS2. Examinar las políticas aplicadas para cumplir los requisitos del Artículo 21 y evaluar si están operando eficazmente.

3. Pruebas de controles de acceso. Verificar que los controles de acceso a sistemas financieros cumplen los requisitos de autenticación multifactor y gestión de privilegios.

4. Evaluación de copia de seguridad y recuperación. Confirmar que los procedimientos de backup incluyen datos financieros y que los tiempos de recuperación son compatibles con los plazos de reporte financiero.

Procedimientos sustantivos adicionales

La NIA-ES 330.18 permite reducir procedimientos sustantivos solo cuando las pruebas de controles demuestran que operan eficazmente. En la práctica, casi nadie tiene base para esa reducción en entornos NIS2, porque las pruebas de controles de TI no se han ejecutado realmente. En entidades NIS2, considere estos procedimientos específicos:

- Conciliaciones de integridad de datos. Comparar saldos financieros procesados en distintos momentos para detectar alteraciones no autorizadas. - Análisis de logs de acceso. Revisar registros de acceso a sistemas financieros durante el período de auditoría. - Confirmaciones directas ampliadas. Solicitar confirmaciones de saldos bancarios y con terceros usando canales seguros e independientes. - Pruebas de corte específicas. Verificar transacciones registradas inmediatamente antes y después de interrupciones de sistema conocidas.

Documentación según NIA-ES 230

La NIA-ES 230.8 requiere documentación suficiente para que un auditor experimentado comprenda la naturaleza, momento y alcance de los procedimientos ejecutados. Para auditorías de entidades NIS2 documente, en concreto:

- Evaluación de si la entidad está sujeta a NIS2 y en qué categoría - Riesgos de ciberseguridad identificados y su impacto potencial sobre los estados financieros - Controles evaluados y resultados de pruebas de eficacia - Procedimientos sustantivos ejecutados para responder a los riesgos identificados - Comunicaciones con la dirección sobre deficiencias en controles de ciberseguridad

Discrepancia legítima entre socios sobre el alcance técnico

Aquí hay un debate real, no de manual. El Socio A defiende que somos auditores financieros, no peritos en seguridad ofensiva, y que la evaluación de NIS2 se limita al gobierno y al diseño de políticas porque la NIA-ES 315 nunca exigió pruebas de penetración. El Socio B contesta que sin al menos una prueba técnica por sistema de alto riesgo (revisión de privilegios elevados en SAP, traza de un parche crítico desde el ticket hasta producción, lectura de un log de MFA fallida) no se puede afirmar que el control opera eficazmente bajo NIA-ES 330.10.

Yo me sitúo más cerca del Socio B. No porque desconfíe de los financial auditors clásicos, sino porque desde mi punto de vista la afirmación de "riesgo bajo" sin una sola prueba técnica es una opinión, no una conclusión de auditoría. Y un día la diferencia importará: el socio necesita el cliente, sí, pero el regulador necesita evidencia, y entre las dos lealtades se cuelan los expedientes débiles.

Ejemplo práctico: evaluación de controles

> Navarra Infraestructuras Eléctricas S.A. > - Sector: Distribución eléctrica (entidad esencial bajo NIS2) > - Ingresos: €180 millones > - Empleados: 1.250 > - Sistemas: ERP SAP para contabilidad, SCADA para operaciones de red > - Auditor: Auditores Técnicos del Norte S.L.

Paso 1. Identificación del alcance NIS2. La entidad califica como esencial por operar distribución eléctrica con más de 100.000 usuarios conectados. El cumplimiento NIS2 es obligatorio desde octubre de 2024 según la transposición nacional.

Documentación: el memorándum de planificación confirma la aplicabilidad de NIS2 e identifica obligaciones específicas del sector eléctrico.

Paso 2. Mapeo de sistemas críticos para información financiera. Los sistemas SCADA registran automáticamente el consumo medido que alimenta la facturación mensual en SAP. Una brecha de ciberseguridad podría alterar mediciones y afectar el reconocimiento de ingresos.

Documentación: diagrama de flujo de datos desde medidores hasta estados financieros con identificación de puntos de control críticos.

Paso 3. Evaluación de controles NIS2 aplicados: - Autenticación multifactor operativa en SAP y sistemas SCADA - Backup diario de datos contables con prueba de restauración mensual - Monitorización 24/7 de accesos a sistemas financieros con alertas automáticas - Política de gestión de parches actualizada trimestralmente

Documentación: lista de controles probados con evidencia de operación eficaz durante los 12 meses anteriores.

Paso 4. Prueba específica de integridad de ingresos. Selección de 25 mediciones de alta tensión registradas en enero de 2024. Conciliación entre datos de SCADA, facturas generadas automáticamente y asientos contables en SAP.

Y aquí aparece la complicación. Una de las facturas seleccionadas tiene un asiento manual posterior por un usuario con privilegios elevados sobre el módulo financiero, una cuenta de servicio que, según el procedimiento del cliente, debería tener MFA obligatorio. El log dice que ese día el inicio de sesión se hizo con contraseña simple porque "la aplicación de tesorería no soporta MFA y opera con un control compensatorio". El director de sistemas insiste en que el control compensatorio (la doble validación de transferencias por encima de €50.000) sustituye plenamente al MFA del directorio activo.

¿Qué hacemos? La afirmación de auditoría afectada es exactitud y existencia de ingresos, no integridad del proceso de pago, así que el control compensatorio no aborda el mismo riesgo. La conclusión razonable es ampliar la muestra de asientos manuales sobre ingresos del trimestre y, si la incidencia se repite, comunicar la deficiencia al órgano de administración bajo NIA-ES 265.9 y reconsiderar la conclusión sobre la operación eficaz del control de acceso.

Documentación: papeles de trabajo con muestras seleccionadas, procedimientos ejecutados, excepción identificada, ampliación de muestra y conclusiones por elemento testado.

Conclusión. Tras la ampliación, los controles de ciberseguridad aplicados para cumplir NIS2 proporcionan aseguramiento razonable sobre la integridad de la información financiera, salvo por la deficiencia en MFA para cuentas de servicio sobre tesorería que se comunica como deficiencia significativa y requiere seguimiento.

La conexión que nadie pone por escrito

Y aquí va una observación incómoda. Cuando el ICAC publique en los próximos años los hallazgos de inspección sobre auditorías de entidades NIS2, esos hallazgos van a parecerse, casi palabra por palabra, a los hallazgos del informe anual de control de calidad sobre firmas con honorarios bajos. Misma raíz, distinto vocabulario. La causa estructural no es la complejidad de NIS2 ni la falta de guía técnica. La causa es que los honorarios por hora de auditoría de TI en firmas medianas no permiten contratar al perfil que ejecuta esas pruebas, y por eso las pruebas no se ejecutan. La directiva no menciona la estructura de tarifas, pero los fallos se concentran en las firmas con menor ratio de horas de TI por encargo.

Si los honorarios suben, los papeles mejoran. Si no, no.

Lista de verificación práctica

1. Durante la aceptación del encargo. Confirme si la entidad está sujeta a NIS2 revisando sector de actividad, número de empleados e ingresos anuales según los umbrales del Anexo I y II.

2. En planificación de auditoría. Identifique sistemas de TI que procesan información financiera y evalúe su exposición a riesgos cibernéticos según NIA-ES 315.A131.

3. Al evaluar controles internos. Verifique que los controles de acceso, copia de seguridad y monitorización incluyen los sistemas que afectan a la información financiera conforme a NIA-ES 315.26.

4. Durante procedimientos sustantivos. Ejecute conciliaciones adicionales de integridad de datos y análisis de logs para transacciones procesadas automáticamente.

5. En comunicación con la dirección. Informe de las deficiencias identificadas en controles de ciberseguridad que puedan afectar a la información financiera según NIA-ES 265.9.

6. Lo más importante. Si identifica controles de ciberseguridad ineficaces que generen riesgo importante de incorrección material, valore si esto requiere mención como cuestión de auditoría según NIA-ES 701.10.

Errores frecuentes

Contenido relacionado

- Evaluación de riesgos de TI según NIA-ES 315 - Procedimientos específicos para identificar y evaluar riesgos en entornos IT complejos - Kit de evaluación de controles generales de TI - Plantillas y checklists para documentar pruebas de controles de TI bajo normas de auditoría - Comunicación de deficiencias en control interno - Cómo reportar hallazgos de ciberseguridad a la dirección y a los responsables del gobierno corporativo

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.