DORA-Erstanwendung: BaFin und IDW vereinbaren Erleichterungen

Mit der EU-Verordnung (EU) 2022/2554 zur digitalen operationalen Resilienz im Finanzsektor (DORA) gelten seit dem 17.01.2025 neue verbindliche Anforderungen für Banken, Versicherungen und weitere Finanzunternehmen. Ziel ist es, die Widerstandsfähigkeit der Institute gegenüber IT-Risiken und Cyberbedrohungen nachhaltig zu stärken. Die Prüfung der DORA-Anforderungen durch den Abschlussprüfer erfolgt erstmals für Geschäftsjahre, die nach dem 31.12.2024 beginnen. Grundlage hierfür sind die Übergangsregelungen des Finanzmarktdigitalisierungsgesetzes (FinmadiG).

Erleichterungen bei der erstmaligen Prüfung

Um den Einstieg in die neuen Anforderungen praxisgerecht zu gestalten, haben sich die Bundesanstalt für

Finanzdienstleistungsaufsicht (BaFin) und das Institut der Wirtschaftsprüfer (IDW) auf wichtige Erleichterungen verständigt:

• Keine Berichterstattung über behobene Mängel: Werden Mängel im Umsetzungsprozess vollständig beseitigt, genügt ein Hinweis im Bericht – eine detaillierte Darstellung ist nicht erforderlich. Das schafft Übersichtlichkeit und vermeidet unnötige Doppelungen.
• Verkürzter Prüfungszeitraum: Wenn bestimmte Anforderungen erst im Verlauf des Geschäftsjahres umgesetzt wurden, kann der Zeitraum der Wirksamkeitsprüfung verkürzt werden. Dies verhindert, dass künstlich Folgefeststellungen entstehen.
• Regelung bei abweichendem Geschäftsjahr: Für Unternehmen mit Geschäftsjahren, die nicht dem Kalenderjahr entsprechen (z.B. 2024/2025), unterstützt die BaFin den pragmatischen Ansatz, bis zum Ende des Geschäftsjahres nur solche Anforderungen zu prüfen, die bereits aus bestehenden Regelwerken wie BAIT (Bankaufsichtliche Anforderungen an die IT), ZAIT (Zahlungsdiensteaufsichtliche Anforderungen an die IT) oder KAIT (Anforderungen an die IT von Kapitalverwaltungsgesellschaften (KAIT) bekannt sind – sofern diese auch in DORA enthalten sind.

Neuer IDW-Prüfungsstandard EPS 528 zur Konsultation

Parallel zu den Erleichterungen haben der Bankenfachausschuss (BFA), der Versicherungsfachausschuss (VFA) sowie der Fachausschuss Investment (FAIN) den Entwurf eines neuen Prüfungsstandards veröffentlicht: IDW EPS 528 (08.2025). Dieser Standard regelt die aufsichtsrechtliche Prüfung der DORA-Anforderungen und befindet sich nun bis zum 31.10.2025 in der Konsultationsphase.

Der Entwurf wurde gemeinsam von den zuständigen Fachgremien erarbeitet. Er basiert auf den Erkenntnissen aus dem Austausch mit der BaFin und integriert sich methodisch in die Struktur des bestehenden IDW PS 526.

Prinzipienbasierter und risikoorientierter Ansatz

Der neue Prüfungsstandard verfolgt einen prinzipienbasierten und proportionalitätsorientierten Ansatz. Das bedeutet, dass Prüfungsumfang und -tiefe an Größe, Geschäftsmodell und Risikosituation des geprüften Unternehmens angepasst werden können. So soll die Prüfung zielgerichtet und verhältnismäßig erfolgen, ohne den administrativen Aufwand unnötig zu erhöhen.

Darüber hinaus berücksichtigt der Entwurf bereits erwartete Anpassungen in den aufsichtsrechtlichen Prüfungsberichtsverordnungen und fordert eine klare Abgrenzung zu bestehenden Pflichten nach KWG (Kreditwesengesetz), ZAG (Zahlungsdiensteaufsichtsgesetz), VAG (Versicherungsaufsichtsgesetz), KAGB (Kapitalanlagegesetzbuch) und WpIG (Wertpapierinstitutsgesetz).

Hinweis: Mit den vereinbarten Erleichterungen und dem neuen Standardentwurf IDW EPS 528 haben BaFin und IDW wichtige Grundlagen geschaffen, um die erstmalige DORA-Prüfung praktikabel zu gestalten. Finanzunternehmen sollten sich frühzeitig mit den Anforderungen auseinandersetzen und die Konsultation nutzen, um eigene Erfahrungen und Anregungen einzubringen.