EU-Cyberresilienz-Verordnung für den Finanzsektor im EU-Amtsblatt veröffentlicht: Abschlussprüfer und Prüfungsgesellschaften vorerst nicht einbezogen
Die EU hat am 27.12.2022 ein Gesetzespaket zur sog. „Cyberresilienz“ im Finanzsektor (Digital Operational Resilience Act, DORA) im Amtsblatt veröffentlicht. DORA beinhaltet eine Verordnung und ändert diverse Richtlinien. Ziel von DORA ist es, die Betriebsstabilität digitaler Systeme im Finanzsektor zu stärken, um möglichen negativen Auswirkungen von Cyberangriffen auf das betreffende Unternehmen im Finanzsektor und dessen Kunden sowie auf die Stabilität des europäischen Finanzsystems insgesamt zu begegnen.
Während des Gesetzgebungsverfahrens hatte das IDW mit seiner Stellungnahme vom 18.01.2021 die von der EU-Kommission vorgeschlagene Aufnahme von Abschlussprüfern und Prüfungsgesellschaften in den Anwendungsbereich der Cyberresilienz-Verordnung sowie eine diesbezügliche Änderung der EU-Abschlussprüferrichtlinie abgelehnt. Mit dem Kommissionsvorschlag wären Abschlussprüfer und Prüfungsgesellschaften wie operativ im Finanzsektor tätige Unternehmen behandelt worden, obwohl die IT-Systeme von Abschlussprüfern keine im Hinblick auf die Widerstandsfähigkeit des europäischen Finanzsystems gegen Cyberangriffe vergleichbar kritischen Systeme darstellen. Die vom IDW vertretene Position hat sich durchgesetzt (vgl. auch unsere Meldung zum Ergebnis der sog. Trilogverhandlungen), so dass Abschlussprüfer und Prüfungsgesellschaften nunmehr nicht im Anwendungsbereich der Cyberresilienz-Verordnung sind. Ebenso wurde die geplante Änderung der EU-Abschlussprüferrichtlinie fallen gelassen.
Gleichwohl enthält die Cyberresilienz-Verordnung in Artikel 58 Abs. 3 eine Review-Klausel, nach der die Frage der Anwendung von DORA auf Abschlussprüfer und Prüfungsgesellschaften innerhalb eines Zeitraums von drei Jahren einer Überprüfung unterzogen wird.
Die Cyberresilienz-Verordnung tritt am 17.01.2023 in Kraft.