06. juni 2024
FSR - danske revisorer lancerer en ny NIS2 (net- og informationssystemer) erklæringstemplate i relation til leverandører eller tjenesteudbydere
FSR - danske revisorer har udarbejdet en ny revisorerklæring, som dækker kravene i NIS2-direktivet og de forpligtelser, som leverandører har i forhold til NIS2-reguleringen.
Kasper Frølich Kristensen
Fagchef for revision og regnskab
Kravet i NIS2 om forsyningskædesikkerhed, som blandt andet dækker sikkerhedsrelaterede aspekter ved forholdene mellem den enkelte organisation, som er omfattet af reguleringen, og dens direkte leverandører eller tjenesteudbydere, gør, at det er relevant for revisorer at arbejde i feltet mellem de enheder, der er underlagt reguleringen, og den forsyningskæde, de anvender.
For at assistere den enkelte organisation, som er omfattet af NIS2-reguleringen, med overvågningen af dens direkte leverandører eller tjenesteudbydere, må der opstilles et fælles udgangspunkt, og det er netop, hvad FSR – danske revisorer har gjort med udarbejdelsen af denne erklæring.
Erklæringen har fået navnet ”Uafhængig revisors ISAE 3000-erklæring med begrænset sikkerhed om foranstaltninger til styring af risici i relation til net- og informationssystemer og rapporteringsforpligtelser i henhold til aftale med [Kunde]”.
Erklæringen er ikke et udtryk for minimumskrav og indeholder en række eksempler på kontrolaktiviteter og revisionshandlinger. Disse er alene til inspiration og bør altid tilpasses til den konkrete risikovurdering, de foranstaltninger, der i øvrigt måtte være aftalt parterne imellem, og under hensyn til revisors professionelle vurdering.
Samlet set giver en revisorerklæring med begrænset sikkerhed en balance mellem behov for overbevisning og omkostningseffektivitet. Denne balance kan med tiden ændre sig, og når der er indhentet erfaring med kontrolaktiviteter og revisionshandlinger på alle de relevante områder, vil disse også kunne gennemføres mere effektivt. Det må også forventes, at der med tiden vil opstå konsensus om, hvor omfattende opfølgningen på forsyningskæden skal være, så handlingerne kan tilpasses mere præcist. Til den tid vil det eventuelt være relevant at udarbejde erklæringer med høj grad af sikkerhed, hvis der er efterspørgsel efter sådanne.
Erklæringen er udarbejdet til brug for de godkendte revisorer og må ikke anvendes af andre.
