EU-Cyberresilienz-Verordnung gilt vorerst nicht für Abschlussprüfer 12.05.2022

Abschlussprüfer und Prüfungsgesellschaften werden nun vorerst doch nicht im Anwendungsbereich der von der EU-Kommission geplanten sogenannten Cyberreslilienz-Verordnung für den Finanzsektor sein. Dieses Ergebnis wurde in den Trilogverhandlungen erzielt und vom Europäischen Parlament sowie vom Rat der Europäischen Union gestern veröffentlicht. In der Folge ist auch nicht von einer diesbezüglichen Änderung der EU-Abschlussprüferrichtline auszugehen.

Die EU-Kommission hatte im September 2020 einen Verordnungsvorschlag zur sog. "Cyberresilienz" im Finanzsektor vorgelegt und in diesem Zusammenhang auch den Entwurf einer Änderungsrichtlinie veröffentlicht, die u.a. die EU-Abschlussprüferrichtlinie betrifft (Digital Operational Resilience Act, DORA). Zielsetzung der EU‑Kommission ist es, die Betriebsstabilität digitaler Systeme im Finanzsektor zu stärken, um möglichen negativen Auswirkungen von Cyberangriffen auf das betreffende Unternehmen im Finanzsektor und dessen Kunden sowie auf die Stabilität des europäischen Finanzsystems insgesamt zu begegnen.

Das IDW hatte mit seiner Stellungnahme vom 18. Januar 2021 die geplante Aufnahme von Abschlussprüfern und Prüfungsgesellschaften in Sinne der EU-Abschlussprüferrichtlinie in den Anwendungsbereich der Cyberreslilienz-Verordnung abgelehnt.

Allerdings ist das Thema nur aufgeschoben. Denn es wurde vereinbart, dass die Frage der Anwendung von DORA auf Abschlussprüfer und Prüfungsgesellschaften innerhalb eines Zeitraums von drei Jahren einer Überprüfung unterzogen werden soll.