Das IDW hat sich mit der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zu Anwendungsfragen bei der erstmaligen Prüfung der Einhaltung der DORA-Anforderungen ausgetauscht. BaFin und IDW ist eine qualitativ hochwertige Prüfung wichtig, welche die besonderen Herausforderungen der erstmaligen Umsetzung der DORA-Anforderungen angemessen bzw. risikoorientiert berücksichtigt.
DORA gilt seit 17.01.2025
Mit der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act, DORA) hat die Europäische Union eine finanzsektorübergreifende europäische Regulierung für die Themen digitale operationale Resilienz, IKT-Risiken und Cybersicherheit geschaffen. Die Verordnung ist seit dem 17.01.2025 anzuwenden.
Mit dem Finanzmarktdigitalisierungsgesetz (FinmadiG) wurde für Finanzunternehmen (Institute, Versicherungsunternehmen sowie externe Kapitalverwaltungsgesellschaften und bestimmte Investmentvermögen) die Prüfung von bestimmten DORA-Anforderungen durch den Abschlussprüfer als Erweiterung der Jahresabschlussprüfung eingeführt. Die Übergangsvorschriften zum FinmadiG sehen vor, dass diese Prüfungspflicht erstmals für ein nach dem 31.12.2024 beginnendes Geschäftsjahr Anwendung findet.
Die Antworten der BaFin
Die BaFin hat die pragmatischen Erleichterungsvorschläge des IDW für die direkt von der BaFin beaufsichtigten Unternehmen befürwortet:
Ausnahmen von der Berichterstattung für vollständig beseitigte Mängel
Im Jahr der Erstprüfung kann es vorkommen, dass aufgrund der erstmaligen Umsetzung der DORA-Anforderungen viele Mängel festgestellt werden, die jedoch im Zuge der weiteren Umsetzung während des Jahres vollständig behoben werden. Abweichend von der grundsätzlichen Vorgabe, wonach auch abgestellte Mängel zu berichten sind, ist es bei der Erstprüfung ausnahmsweise zulässig, auf eine Berichterstattung über derartig vollständig abgestellte Mängel zu verzichten, wobei auf das Vorliegen solcher abgestellten Mängel zur Wahrung der Transparenz hinzuweisen ist. Dies erhöht vor allem die Lesbarkeit und erlaubt eine Fokussierung auf weiterhin bestehende Mängel. Auch ist es in Fällen, in denen die Implementierung der DORA-Anforderungen erst im Laufe des Berichtszeitraums erfolgte und daher eine Wirksamkeitsprüfung für den gesamten Zeitraum fraglich ist, ausnahmsweise zulässig, den Zeitraum der Wirksamkeitsprüfung zu verkürzen.
Prüfungsgegenstand bei einem vom Kalenderjahr abweichenden Geschäftsjahr 2024/2025
Bei Finanzunternehmen mit vom Kalenderjahr abweichenden Geschäftsjahren stellt sich die Frage, welche Anforderungen in dem Zeitraum vom 17.01.2025 bis zum Ende des Geschäftsjahres geprüft werden sollen. Die BaFin unterstützt hier den pragmatischen Vorschlag des IDW, in diesem Zeitraum die Einhaltung der Anforderungen der bisherigen BAIT, ZAIT bzw. KAIT zu prüfen, sofern sie auch in der DORA enthalten sind.
Im Einzelnen wird auf das aktuelle Schreiben der BaFin vom 11.08.2025 verwiesen.
