Indice

1. Chi è soggetto alla Direttiva NIS2 2. Impatto sui rischi di audit finanziario 3. Applicazione dell'ISA 315 ai controlli NIS2 4. Esempio pratico: valutazione presso un operatore logistico 5. Checklist operativa 6. Errori comuni 7. Contenuti correlati

Chi è soggetto alla Direttiva NIS2

La NIS2 definisce due categorie di entità: essenziali e importanti. Le entità essenziali includono fornitori di servizi pubblici (energia, trasporti, sanità). Quelle importanti coprono settori come servizi digitali, gestione dei rifiuti, manifattura di prodotti chimici e fornitori di servizi gestiti. L'articolo 2 della NIS2 stabilisce le soglie dimensionali: 50 dipendenti e fatturato annuo o bilancio totale di 10 milioni di euro.

Per il revisore, questa classificazione determina il livello dei controlli attesi. Le entità essenziali devono implementare misure più rigorose rispetto a quelle importanti, inclusa la segnalazione obbligatoria degli incidenti alle autorità nazionali entro 24 ore (articolo 23). Si potrebbe pensare che la tempistica sia un problema operativo del cliente, però impatta direttamente sui controlli interni: se la SRL (società a responsabilità limitata) non ha processi per identificare e segnalare incidenti entro 24 ore, presenta una carenza nel sistema di controllo interno che il fascicolo deve documentare.

Identificazione durante la fase di accettazione

L'ISA 315.A1 richiede che il revisore comprenda l'entità e il suo ambiente. Per i clienti potenzialmente soggetti alla NIS2, questa comprensione include:

- Settore di attività: verificare se rientra nell'Allegato I (entità essenziali) o Allegato II (entità importanti) - Soglie dimensionali: 50+ dipendenti E (fatturato 10 M€+ O attivo 10 M€+) - Catena di approvvigionamento: fornitori di servizi critici potrebbero essere soggetti indirettamente

La classificazione errata espone il cliente a sanzioni fino al 2% del fatturato annuo globale per le entità essenziali, 1,4% per quelle importanti (articolo 34). Questi importi possono essere significativi per la valutazione della continuità aziendale ai sensi dell'ISA 570 e per gli obblighi di allerta del Codice della Crisi d'Impresa e dell'Insolvenza (CCII).

Impatto sui rischi di audit finanziario

La NIS2 introduce rischi che si traducono direttamente in potenziali errori nei bilanci. L'articolo 21 richiede misure tecniche, operative e organizzative appropriate. Il mancato rispetto genera tre categorie di rischio finanziario.

Passività per sanzioni normative: le multe NIS2 possono superare 1 milione di euro anche per entità di medie dimensioni. Se la probabilità di sanzione è probabile e l'importo stimabile, lo IAS 37.14 richiede un accantonamento. Se solo possibile, serve una passività potenziale in nota integrativa.

Costi di rimedio post-incidente: l'articolo 23 obbliga la notifica entro 24 ore e un rapporto finale entro un mese. I costi per consulenti forensi, ripristino sistemi e comunicazione clienti possono essere significativi. L'ISA 540.13 richiede che il revisore valuti se le stime contabili della direzione siano ragionevoli (congiuntivo dovuto, non opzionale).

Impatto operativo su ricavi e costi: un attacco informatico può interrompere la produzione o compromettere la capacità di fatturazione. L'ISA 315.A104 richiede che il revisore consideri come i controlli IT supportino il flusso delle transazioni. Nei fascicoli che esaminiamo, le carte sono leggere proprio qui: il revisore documenta che "i controlli generali IT sono efficaci" senza tracciare la catena dal sistema gestionale alla singola asserzione di completezza dei ricavi.

Applicazione dell'ISA 315 ai controlli NIS2

Negli ultimi anni abbiamo trattato i controlli IT come "verifica generale dell'ambiente di controllo". Tickare la casella, una nota di mezza pagina nel memorandum di pianificazione, avanti. La NIS2 chiude questo spazio.

Sul campo, accade ancora questo: il revisore tratta la cybersicurezza come questione IT delegata al consulente del cliente, e nel fascicolo entra una mail del fornitore IT che dice "tutto a posto". Non basta più. L'ISA 315.26 chiede di identificare e valutare i rischi di errori significativi a livello di bilancio e di asserzione, e l'ISA 315.A135 distingue esplicitamente i controlli generali IT da quelli applicativi. La NIS2 trasforma la cybersicurezza in un controllo interno valutabile: il che significa che ogni studio mid-tier che non sviluppa una metodologia di test diventa, dal punto di vista del MEF, uno studio con carenze sistematiche nell'ambiente di controllo.

Esiste una zona grigia. Quando un ingaggio ISA 620 (esperto del revisore) diventa necessario? Si potrebbe argomentare che ogni cliente sopra le soglie NIS2 richieda un IT auditor esterno, però per molti clienti SRL sotto i 50 milioni di euro di fatturato un'inquiry estesa più walkthrough più dependency mapping è già sufficiente. Riteniamo che il discrimine non sia dimensionale ma di concentrazione del rischio: se l'85% dei ricavi passa da un singolo sistema, ISA 620 si impone.

Partner A vs Partner B: il dibattito sulla profondità del test

Nei nostri studi sentiamo argomenti opposti, entrambi difendibili.

Partner A: "I controlli NIS2 richiedono un ingaggio ISA 620 su ogni cliente sopra le soglie. Senza un IT auditor che faccia penetration testing del controllo accessi e tracci la mappa delle dipendenze, il revisore non può sostenere di aver compreso i controlli applicativi. Il MEF nei controlli qualitativi 2025 chiederà la firma dell'esperto. Costa di più, ma è l'unica strategia difendibile davanti a un'ispezione."

Partner B: "Per i clienti sub-50 milioni di euro, inquiry rafforzata più walkthrough più dependency mapping coprono l'ISA 315.A135. ISA 620 introduce costi che lo studio non può ribaltare al cliente (compensi irrisori sul mid-tier, lo sappiamo tutti) e che non producono evidenze migliori sulla soglia di significatività di bilancio. Proporzionalità: dottrina CONSOB e ISA Italia."

Entrambi hanno ragione. La risposta dipende dal peso del sistema IT nei processi che generano i numeri del bilancio, non dalla taglia anagrafica del cliente.

Controlli a livello di bilancio

L'ambiente di controllo include ora la governance di cybersicurezza. L'articolo 20 della NIS2 assegna responsabilità specifiche agli organi di amministrazione (per la SPA italiana, il Consiglio di Amministrazione ex art. 2381 C.C.). Il revisore deve valutare se:

- Il consiglio di amministrazione ha approvato formalmente le politiche di cybersicurezza - Esiste un responsabile della sicurezza informatica con linee di reporting chiare - Le politiche di gestione del rischio includono scenari di cybersicurezza

La carenza in quest'area aumenta il rischio di controllo per tutte le asserzioni che dipendono da sistemi informativi, in particolare completezza e accuratezza delle transazioni elaborate elettronicamente.

Controlli applicativi specifici

L'ISA 315.A135 distingue tra controlli generali IT e controlli applicativi. I requisiti NIS2 generano controlli in entrambe le categorie.

Controlli generali: gestione degli accessi, backup dei dati, monitoraggio della sicurezza. L'articolo 21.2(a) richiede politiche di sicurezza per l'accesso ai sistemi. Se inefficaci, tutti i controlli applicativi che dipendono dall'integrità degli accessi risultano inaffidabili.

Controlli applicativi: completezza sui dati trasmessi, accuratezza sui calcoli automatici, esistenza sulle transazioni registrate. L'articolo 21.2(f) richiede procedure di continuità operativa. Se i sistemi non garantiscono la continuità dei controlli applicativi, il revisore non può fare affidamento su di essi.

Documentazione dei controlli valutati

L'ISA 315.32 richiede la documentazione della comprensione dei controlli rilevanti. Per i controlli NIS2, il fascicolo deve contenere:

- Mappatura dei controlli (quale controllo NIS2 mitiga quale rischio di errore significativo) e test dei controlli con riferimento all'ISA 330.8 - Carenze identificate: controlli assenti o inefficaci e loro impatto sui rischi valutati

Lo standard dice di documentare. Sul campo, le carte sono leggere: si trova spesso "i controlli IT sono adeguati" senza il collegamento specifico. Serve invece la frase scomoda: "Il controllo di backup automatico giornaliero mitiga il rischio di perdita di dati contabili che potrebbe portare alla sottovalutazione delle passività."

Esempio pratico: valutazione presso un operatore logistico

Contesto: Trasporti Mediterrani S.r.l. opera una flotta di 120 camion con fatturato annuo di 15 milioni di euro. Come operatore di trasporto merci, rientra tra le entità importanti secondo l'Allegato II della NIS2. Il sistema di gestione flotta è completamente digitalizzato e gestisce la fatturazione automatica ai clienti tramite un fornitore GPS terzo.

Passaggio 1: identificazione dei rischi rilevanti per l'audit

Il revisore identifica che l'85% dei ricavi dipende dal sistema di tracciamento GPS che calcola automaticamente le distanze percorse per la fatturazione. Un attacco informatico che comprometta questo sistema potrebbe:

- Sottovalutare i ricavi (se il sistema non registra parte dei viaggi completati) - Sovravalutare i ricavi (se il sistema duplica le registrazioni di viaggio) - Interrompere l'operatività (se il sistema diventa indisponibile per periodi prolungati) - Compromettere la documentazione di supporto alle conferme con i clienti

Nota di documentazione: documentare nel memorandum di pianificazione il collegamento tra sistema GPS e rischio di errori sui ricavi, con riferimento all'ISA 315.A104.

Passaggio 2: valutazione dei controlli implementati

Si esaminano i controlli implementati da Trasporti Mediterrani per la conformità NIS2.

Controlli di accesso: autenticazione a due fattori per accedere al sistema di gestione flotta, log degli accessi conservati per 12 mesi. Controllo efficace secondo l'articolo 21.2(a) NIS2.

Backup dei dati: backup automatico ogni 6 ore su server cloud geograficamente separato, test di ripristino trimestrale documentato. Mitiga il rischio di perdita di dati di fatturazione.

Monitoraggio degli incidenti: sistema di allerta automatico per anomalie nel tracciamento GPS, ma nessuna procedura formale per la segnalazione entro 24 ore richiesta dall'articolo 23. Carenza identificata.

Nota di documentazione: documentare nella carta di lavoro dei controlli IT l'efficacia dei controlli di backup e la carenza nella procedura di segnalazione incidenti.

Passaggio 2-bis: la complicazione che emerge in osservazione delle rimanenze

Durante l'osservazione delle rimanenze a fine dicembre, un autista racconta al revisore di un tentativo di phishing ricevuto a novembre sul suo terminale aziendale. Il fornitore GPS terzo (la società che gestisce la piattaforma di tracciamento) aveva subito a sua volta una violazione a novembre, con possibile esposizione dei dati di tracciamento dei clienti. La direzione di Trasporti Mediterrani non ha notificato l'incidente entro 24 ore: il responsabile IT ha ritenuto che si trattasse di un evento del fornitore, non del cliente, e quindi fuori dall'obbligo dell'articolo 23.

Si pone una domanda concreta: l'obbligo di notifica si estende alla violazione del fornitore quando i dati impattati sono del cliente?

Riteniamo che la risposta sia affermativa, perché l'articolo 21.2(d) richiede al destinatario della NIS2 di gestire i rischi della catena di approvvigionamento. Non avere notificato è una potenziale carenza di conformità, e la sanzione fino al 1,4% del fatturato (210.000 euro) diventa una passività potenziale ai sensi dello IAS 37.86. Il revisore deve decidere se questa singola sotto-segnalazione è sufficiente a richiedere la disclosure in nota integrativa. Negli incarichi che gestiamo, la nostra opinione è che sì: perché il MEF, nei controlli qualitativi 2025, chiederà evidenza che il fascicolo abbia considerato il punto. Una concessione onesta: non tutti i partner sono d'accordo, e l'argomento opposto (la violazione era del fornitore, non del cliente) non è privo di forza.

Passaggio 3: impatto sulla strategia di audit

A causa della carenza nella segnalazione degli incidenti, e dell'episodio del fornitore GPS, il revisore conclude che non possa fare pieno affidamento sui controlli applicativi del sistema di tracciamento. La strategia di audit viene modificata:

- Test sostantivi aggiuntivi: riconciliazione mensile tra km registrati nel sistema GPS e km dichiarati nelle schede carburante - Conferme esterne: conferma di un campione di spedizioni direttamente con i clienti principali - Analisi comparativa: confronto tra ricavi mensili e variazioni della flotta operativa - Procedura aggiuntiva sul terzo: richiesta di una SOC 1 o ISAE 3402 al fornitore GPS, oppure walkthrough diretto

Nota di documentazione: aggiornare la strategia di audit complessiva documentando che l'affidamento sui controlli IT è limitato a causa delle carenze NIS2 e dell'incidente del fornitore.

Passaggio 4: valutazione delle potenziali passività

Trasporti Mediterrani non ha implementato la procedura di segnalazione rapida richiesta dall'articolo 23, e ha mancato la notifica sull'incidente del fornitore. Questo espone l'entità a sanzioni potenziali fino a 210.000 euro (1,4% del fatturato di 15 M€).

Il revisore valuta che la sanzione sia possibile ma non probabile, poiché la NIS2 sia appena entrata in vigore e le autorità nazionali stiano ancora sviluppando le linee guida operative (congiuntivo per evento incerto). Richiede comunque la disclosure di questa passività potenziale nelle note al bilancio secondo lo IAS 37.86.

Nota di documentazione: documentare la valutazione della passività potenziale nella carta di lavoro delle contingenze, con riferimento all'articolo 34 NIS2.

Il controllo risulta efficace per accessi e backup, ma presenta una carenza significativa nella gestione degli incidenti che richiede procedure di audit aggiuntive e disclosure nei bilanci.

Checklist operativa

1. Classificazione del cliente: verificare se supera le soglie NIS2 (50 dipendenti E 10 M€ fatturato/attivo) e se opera nei settori dell'Allegato I o II. Documentare la conclusione nel memorandum di accettazione cliente.

2. Valutazione dei controlli generali IT: testare i controlli di accesso, gestione delle modifiche ai sistemi, e procedure di backup richiesti dall'articolo 21 NIS2. Documentare l'efficacia nella carta di lavoro dei controlli IT (non basta tickare).

3. Collegamento ai rischi di bilancio: per ogni controllo NIS2 valutato, identificare quale rischio di errore significativo mitiga. Aggiornare la matrice rischi-controlli di conseguenza.

4. Test dei controlli dipendenti: se i controlli generali IT presentano carenze, aumentare l'estensione dei test sui controlli applicativi o passare a una strategia sostantiva secondo l'ISA 330.15.

5. Valutazione delle passività: considerare sanzioni potenziali, costi di rimedio, e impatti operativi. Applicare lo IAS 37 per determinare se serva un accantonamento o una disclosure (congiuntivo).

6. La cosa più importante: i controlli di cybersicurezza non sono più solo una questione IT. Sono controlli interni che impattano direttamente sull'affidabilità del bilancio. Si valutano con la stessa rigorosità dei controlli finanziari tradizionali.

Errori comuni

Contenuti correlati

- Valutazione dei controlli generali IT nell'audit ISA 315 - Glossario dei controlli IT rilevanti per l'audit finanziario e come valutarli secondo l'ISA 315 - Calcolatore di accantonamenti IAS 37 - Strumento per valutare quando e come contabilizzare le passività per sanzioni normative - Audit della continuità aziendale ISA 570 - Come valutare l'impatto delle violazioni normative sulla continuità aziendale

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.