DORA stärkt Widerstandskraft von europäischen Finanzunternehmen gegen IT-Risiken
Mit dem Digital Operational Resilience Act (DORA) möchte die EU-Kommission Finanzunternehmen und IT-Dienstleister widerstandsfähiger gegen IT-Risiken machen. Noch ist nicht abzusehen, ob die beratenden und prüfenden Berufe unter den Anwendungsbereich der Verordnung fallen werden. Der DStV spricht sich vorsorglich dafür aus, Abschlussprüfer nicht als Finanzentitäten einzustufen.
Durch die fortschreitende Digitalisierung verändern sich viele Branchen rasant, darunter auch der Finanzsektor. Damit Finanzunternehmen weiterhin Dienstleistungen für ihre Kunden erbringen können, sind sie verstärkt auf die Unterstützung von IT-Anbietern angewiesen. Die EU-Kommission beobachtet diese steigende Abhängigkeit genau, da sie den Finanzsektor als Teil der kritischen Infrastruktur betrachtet. Deshalb möchte sie den Finanzsektor und deren IT-Anbieter dazu verpflichten, eine ganze Reihe von Maßnahmen umzusetzen, um sich besser gegen Cyberangriffe zu schützen.
Der „Digital Operational Resilience Act“ (DORA) soll Finanzunternehmen dazu verpflichten, eine eigene IT-Sicherheitsinfrastruktur zu entwickeln. Im Zuge dessen werden etwa die Einführung eines Reaktions- und Wiederherstellungsplans bei Cyberangriffen verpflichtend. Außerdem sollen laut Vorschlag der EU-Kommission IT-Sicherheitssysteme regelmäßigen Belastungschecks unterzogen werden. Neben Finanzunternehmen sind auch deren IT-Dienstleister von der Verordnung betroffen. Die ESA (European Supervisory Authorities) soll in Zukunft die Möglichkeit haben, Unternehmen aufzufordern, Verträge mit IT-Dienstleistern zu kündigen, falls diese die Mindestanforderungen nicht erfüllen.
Momentan ist noch nicht abzusehen, ob die beratenden und prüfenden Berufe unter den Anwendungsbereich von DORA fallen werden. Im Bericht des Europäischen Parlaments zu DORA werden Abschlussprüfer als „Finanzentitäten“ eingestuft und fallen somit unter den Anwendungsbereich der Verordnung. Im Entwurf des Ministerrates werden Abschlussprüfer nicht erwähnt.
Beide EU-Gesetzgebungsorgane weisen darauf hin, dass bei der Umsetzung der Maßnahmen die Verhältnismäßigkeit für kleine und mittelständische Kanzleien gewahrt werden müsse. Daher dürften diese, soweit sie vom Anwendungsbereich erfasst werden, wesentliche Erleichterungen bei der Erfüllung ihrer Verpflichtungen erhalten.
Seit Dezember 2021 wird im Trilog über den „Digital Operational Resilience Act“ (DORA) verhandelt. Mit einem Ende der interinstitutionellen Verhandlungen ist nicht vor Ende des Jahres zu rechnen. Der Deutsche Steuerberaterverband e.V. (DStV) spricht sich daher dafür aus, dass Abschlussprüfer nicht als Finanzentitäten eingestuft werden und somit nicht unter den Anwendungsbereich von DORA fallen.