Abschlussprüfer nicht mehr Teil des Anwendungsbereichs von DORA
Mit dem „Digital Operational Resilience Act“ (DORA) möchte die EU Finanzunternehmen und IT-Dienstleister widerstandsfähiger gegen IT-Risiken machen. Der DStV begrüßt, dass Abschlussprüfer und Prüfungsgesellschaften nicht mehr unter den Anwendungsbereich der Verordnung fallen.
Viele Branchen, darunter auch der Finanzsektor, verändern sich durch die fortschreitende Digitalisierung rasant. Angesichts der zunehmenden Gefahr von Cyberangriffen möchte die EU-Finanzunternehmen und IT-Anbieter besser schützen. Damit soll sichergestellt werden, dass der europäische Finanzsektor auch im Falle einer schwerwiegenden Störung in der Lage ist, seine Betriebsstabilität aufrechtzuerhalten.
Durch DORA werden Finanzunternehmen ab Ende 2024 dazu verpflichtet, eine eigene IT-Sicherheitsinfrastruktur zu entwickeln. Hiermit wird etwa die Einführung eines Reaktions- und Wiederherstellungsplans bei Cyberangriffen verpflichtend. Zudem müssen IT-Sicherheitssysteme regelmäßigen Belastungschecks unterzogen werden. Auch IT-Anbieter sind von der Verordnung betroffen. In Zukunft wird die ESA (European Supervisory Authorities) in letzter Instanz die Möglichkeit haben, Unternehmen aufzufordern, Verträge mit IT-Dienstleistern zu kündigen, falls diese die vorgeschriebenen Mindestanforderungen nicht erfüllen.
Der Deutsche Steuerberaterverband e.V. (DStV) begrüßt, dass Abschlussprüfer und Prüfungsgesellschaften nicht mehr Teil des Anwendungsbereichs der Verordnung sind. Im Kommissionsvorschlag waren diese noch vorgesehen. Das EU-Parlament hatte sich ursprünglich ebenfalls für eine Einbeziehung von Abschlussprüfern und Prüfungsgesellschaften in den Verordnungstext ausgesprochen. Während der Trilogverhandlungen setzte sich letztlich die Position des EU-Rats durch.
Allerdings haben die beiden EU-Institutionen vereinbart, dass innerhalb von drei Jahren überprüft werden soll, ob Abschlussprüfer und Prüfungsgesellschaften nicht doch in den Anwendungsbereich der Verordnung fallen sollen. Eine solche Entscheidung könnte erhebliche Investitionen einzelner Prüfungsgesellschaften erfordern.
Nach einer vorläufigen Einigung im Trilog wurde DORA nun im Plenum des EU-Parlaments angenommen. Im nächsten Schritt muss die Verordnung noch vom EU-Rat gebilligt werden. Die Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.