Das Europäische Parlament und der Rat der Europäischen Union haben im November 2022 eine Richtlinie und Verordnung zur Regulierung der digitalen Betriebsstabilität im Finanzsektor verabschiedet. Deren Entwürfe bezogen noch WP/vBP in ihrer Eigenschaft als Abschlussprüfer ein, wodurch es im Fall der Umsetzung zur Pflicht geworden wäre, einen Pflichtenkanon zu beachten.
WPK sprach sich gegen weitere Abschlussprüferregulierung aus
Die WPK hatte sich hiergegen und gegen eine weitere Regulierung von Abschlussprüfern ausgesprochen – mit Erfolg. Die Europäische Kommission veröffentlichte beide Vorschläge im September 2020 als Teil des „Digital Finance Package“. Ziel der Kommission war es, die digitale Transformation des Finanzwesens zu unterstützen und dabei gleichzeitig seine Risiken zu minimieren. WP/vBP betrafen die folgenden, nunmehr verabschiedeten Regelungswerke:
Verordnung über die digitale Betriebsstabilität im Finanzsektor
Verordnung über die digitale Betriebsstabilität im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014 und (EU) Nr. 909/2014 (Digital Operational Resilience in the Financial Sector – DORA)
Mit diesem Vorschlag sollte die Harmonisierung der Widerstandsfähigkeit von Finanzinstituten gegen Cyberattacken vorangetrieben werden. Die WPK hatte kritisiert, dass unter den Begriff „Finanzinstitute“ auch Abschlussprüfer und Prüfungsgesellschaften gefasst werden sollten. Danach sollten Abschlussprüfer dazu verpflichtet werden, sich einem umfassenden Pflichtenkatalog im Hinblick auf die Verwendung von Datenverarbeitungssystemen zu unterwerfen.
Im Rahmen der Trilog-Verhandlungen im Sommer 2022 wurden dann aber erfreulicherweise Abschlussprüfer aus dem Anwendungsbereich des Art. 2 herausgenommen. Nach Art. 58 Abs. 3 der Verordnung soll nach drei Jahren eine Evaluierung dahingehend erfolgen, ob Abschlussprüfer gegebenenfalls doch aufgenommen werden sollen.
Ergänzung des Art. 24a Abs. 1 der Abschlussprüferrichtlinie
Richtlinie zur Änderung der Richtlinien 2006/43/EG, 2009/65/EG, 2009/138/EU, 2011/61/EU, EU/2013/36, 2014/65/EU, (EU) 2015/2366 und EU/2016/2341
Hier sah der Vorschlag ursprünglich eine Ergänzung des Art. 24a Abs. 1 der Abschlussprüferrichtlinie 2006/43/EG vor. Demnach sollten Abschlussprüfer und Prüfungsgesellschaften in ihrem internen Qualitätssicherungssystem unter anderem auch Regelungen zur IT-Sicherheit vorsehen. Diese Änderung wurde in der nunmehr verabschiedeten Richtlinie gänzlich gestrichen.