Aufsichtliche DORA-Prüfung im Rahmen der Abschlussprüfung
Mit der Verordnung (EU) 2022/2554 (Digital Operational Resilience Act – DORA) hat die Europäische Union einen einheitlichen Rechtsrahmen für die digitale operationale Resilienz im Finanzsektor geschaffen. Seit dem 17. Januar 2025 müssen Finanzunternehmen nachweisen, dass sie ihre Informations- und Kommunikationstechnologie (IKT) sicher, widerstandsfähig und prüfbar betreiben.
Deutschland hat diese Pflicht in allen wichtigen Finanzaufsichtsgesetzen verankert:
Bei der Prüfung des Jahresabschlusses muss der Abschlussprüfer ausdrücklich beurteilen, ob die Institute ihren Verpflichtungen aus den Artikeln 5 bis 14, 16 bis 19, 23 bis 25, 28 bis 30 und 45 Abs. 3 DORA sowie den zugehörigen Delegierten Verordnungen nachgekommen sind.
Kreditinstitute
Der Prüfer hat festzustellen, ob das Institut die DORA-Anforderungen erfüllt. Damit wird die Prüfung der digitalen Resilienz Teil der klassischen Jahresabschlussprüfung nach KWG. Betroffen sind insbesondere Governance, IKT-Risikomanagement und Outsourcing-Kontrollen.
Zahlungs- und E-Geld-Institute
Auch Zahlungsdienstleister und E-Geld-Institute müssen die Einhaltung der DORA-Artikel nachweisen. Die Prüfung erstreckt sich auf IKT-Strategie, Störfallmanagement, Drittparteiensteuerung und Berichterstattung.
Wertpapierinstitute
Für Wertpapierinstitute gilt die gleiche Prüfpflicht, soweit sie DORA-relevante Geschäfte erbringen. Der Abschlussprüfer beurteilt, ob das Institut über angemessene Systeme zur IKT-Sicherheit und Resilienz verfügt.
Kryptowerte-Dienstleister
Das Kryptomarktaufsichtsgesetz (KMAG) schreibt erstmals vor, dass auch Krypto-Dienstleister nach MiCAR einer DORA-Prüfung unterliegen. Geprüft wird die Einhaltung sämtlicher DORA-Artikel in Verbindung mit Delegierten Verordnungen nach Art. 15 und 20 DORA.
Versicherungsunternehmen
Versicherer müssen im Rahmen der Jahresabschlussprüfung nachweisen, dass ihre digitalen Prozesse und Systeme den Vorgaben zur operationellen Resilienz genügen. Damit wird DORA Teil der versicherungsaufsichtlichen Prüfungspflichten.
Kapitalverwaltungsgesellschaften, Investmentaktiengesellschaften und offene Investmentkommanditgesellschaften
Auch externe Kapitalverwaltungsgesellschaften, Investmentaktiengesellschaften und offene Investmentkommanditgesellschaften sind verpflichtet, DORA-Anforderungen einzuhalten. Die Prüfung umfasst insbesondere Governance, IKT-Sicherheit und die Steuerung von IT-Dienstleistern.
Institut der Wirtschaftsprüfer (IDW)
Das Institut der Wirtschaftsprüfer (IDW) hat mit dem Entwurf des Prüfungsstandards EPS 528 (08.2025) ein übergreifendes Rahmenwerk vorgestellt, das die praktische Durchführung der aufsichtlichen DORA-Prüfung unterstützt.
Der Standard konkretisiert, wie Prüfer die gesetzlichen Anforderungen aus KWG, ZAG, WpIG, KMAG, VAG und KAGB systematisch prüfen und dokumentieren sollen.
§ 29 Abs. 1 Satz 2 Nr. 2 Buchst. m KWG – Besondere Pflichten des Prüfers
(1) Als Teil der Prüfung des Jahresabschlusses sowie eines Zwischenabschlusses hat der Prüfer auch die wirtschaftlichen Verhältnisse des Instituts zu prüfen. Bei der Prüfung des Jahresabschlusses hat er insbesondere festzustellen, ob das Institut die folgenden Anzeigepflichten und Anforderungen erfüllt hat:
2. die Anforderungen
m) nach den Artikeln 5 bis 14, 16 bis 19, 23 bis 25, 28 bis 30 und 45 Absatz 3 der Verordnung (EU) 2022/2554, auch in Verbindung mit einer Delegierten Verordnung nach den Artikeln 15, 16, 20, 28 oder Artikel 30 der Verordnung (EU) 2022/2554.
Quelle: https://www.gesetze-im-internet.de/kredwg/__29.html
§ 24 Abs. 1 Satz 3 Nr. 5 ZAG – Besondere Pflichten des Prüfers
(1) Als Teil der Prüfung des Jahresabschlusses sowie eines Zwischenabschlusses hat der Prüfer auch die wirtschaftlichen Verhältnisse des Instituts zu prüfen. Bei der Prüfung des Jahresabschlusses hat er insbesondere festzustellen, ob das Institut die Anzeigepflichten nach § 10 Absatz 5, § 11 Absatz 4, § 21 Absatz 4 Satz 1, § 28 Absatz 1, auch in Verbindung mit einer Rechtsverordnung nach § 28 Absatz 4, erfüllt hat. Der Prüfer hat auch zu prüfen, ob das Institut seinen Verpflichtungen
5. nach den Artikeln 5 bis 14, 16 bis 19, 23 bis 25, 28 bis 30 und 45 Absatz 3 der Verordnung (EU) 2022/2554, auch in Verbindung mit einer Delegierten Verordnung nach den Artikeln 15 und 20 der Verordnung (EU) 2022/2554, nachgekommen ist.
Quelle: https://www.gesetze-im-internet.de/zag_2018/__24.html
§ 78 Abs. 1 Satz 3 Nr. 5 Buchst. h WpIG – Besondere Pflichten des Prüfers
(1) Als Teil der Prüfung des Jahresabschlusses sowie eines Zwischenabschlusses hat der Prüfer auch die wirtschaftlichen Verhältnisse des Wertpapierinstituts zu prüfen. Dies schließt die Prüfung der Einhaltung der Eigenmittel- und Liquiditätsanforderungen sowie deren angemessene Ermittlung durch das Wertpapierinstitut ein. Bei der Prüfung des Jahresabschlusses hat er insbesondere festzustellen, ob das Wertpapierinstitut die folgenden Anzeigepflichten und Anforderungen erfüllt hat:
5. sofern davon betroffene Geschäfte vom Wertpapierinstitut erbracht werden, die Anforderungen nach
h) den Artikeln 5 bis 14, 16 bis 19, 23 bis 25, 28 bis 30 und 45 Absatz 3 der Verordnung (EU) 2022/2554, auch in Verbindung mit einer delegierten Verordnung nach den Artikeln 15, 16, 20, 28 oder Artikel 30 der Verordnung (EU) 2022/2554,
Quelle: https://www.gesetze-im-internet.de/wpig/__78.html
§ 40 Abs. 1 Satz 3 Nr. 5 KMAG – Besondere Pflichten des Abschlussprüfers
(1) Als Teil der Prüfung des Jahresabschlusses hat der Abschlussprüfer auch die wirtschaftlichen Verhältnisse des Instituts zu prüfen. Bei der Prüfung des Jahresabschlusses hat er insbesondere festzustellen, ob das Institut die Anzeigepflichten nach der Verordnung (EU) 2023/1114 auch in Verbindung mit den entsprechenden technischen Regulierungsstandards erfüllt hat. Der Abschlussprüfer hat auch zu prüfen, ob das Institut seinen Verpflichtungen
5. nach den Artikeln 5 bis 14, 16 bis 19, 23 bis 25, 28 bis 30 und 45 Absatz 3 der Verordnung (EU) 2022/2554, auch in Verbindung mit einer Delegierten Verordnung nach den Artikeln 15 und 20 der Verordnung (EU) 2022/2554
Quelle: https://www.gesetze-im-internet.de/kmag/__40.html
§ 35 Abs. 1 Satz 1 Nr. 10 VAG – Pflichten des Abschlussprüfers
(1) Bei der Prüfung des Jahresabschlusses hat der Prüfer festzustellen, ob das Versicherungsunternehmen folgende Anzeigepflichten und Anforderungen erfüllt hat:
10. die Vorgaben nach den Artikeln 5 bis 14, 16 bis 19, 23 bis 25, 28 bis 30 und 45 Absatz 3 der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 (ABl. L 333 vom 27.12.2022, S. 1), auch in Verbindung mit einer Delegierten Verordnung nach Artikel 15, 16, 20, 28 oder Artikel 30 der Verordnung (EU) 2022/2554.
Quelle: https://www.gesetze-im-internet.de/vag_2016/__35.html
§ 38 Abs. 3 Satz 2 Nr. 9 KAGB – Jahresabschluss, Lagebericht, Prüfungsbericht und Abschlussprüfer der externen Kapitalverwaltungsgesellschaft
3) Bei der Prüfung des Jahresabschlusses hat der Abschlussprüfer auch die wirtschaftlichen Verhältnisse der externen Kapitalverwaltungsgesellschaft zu prüfen. Er hat festzustellen, ob die externe Kapitalverwaltungsgesellschaft ihren Verpflichtungen nach dem Geldwäschegesetz nachgekommen ist und die Anzeigepflichten nach den §§ 34, 35, 49 und 53, die Anforderungen nach den §§ 25 bis 28, 29, 30, 36 und 37 sowie die Anforderungen nach
9. nach den Artikeln 5 bis 14, 17 bis 19, 23 bis 25, 28 bis 30 und 45 Absatz 3 der Verordnung (EU) 2022/2554, auch in Verbindung mit einer Delegierten Verordnung nach den Artikeln 15, 20, 28 oder Artikel 30 der Verordnung (EU) 2022/2554
Quelle: https://www.gesetze-im-internet.de/kagb/__38.html
§ 121 Abs. 3 Satz 1 Nr. 2 Buchst. h KAGB – Prüfung des Jahresabschlusses und des Lageberichts
(3) Der Abschlussprüfer hat bei Investmentaktiengesellschaften mit veränderlichem Kapital auch zu prüfen, ob bei der Verwaltung des Vermögens der Investmentaktiengesellschaft mit veränderlichem Kapital
2. die Anforderungen
h) nach den Artikeln 5 bis 14, 17 bis 19, 23 bis 25, 28 bis 30 und 45 Absatz 3 der Verordnung (EU) 2022/2554, auch in Verbindung mit einer Delegierten Verordnung nach den Artikeln 15, 20, 28 oder Artikel 30 der Verordnung (EU) 2022/2554, sowie
Quelle: https://www.gesetze-im-internet.de/kagb/__121.html
§ 136 Abs. 3 Satz 2 Nr. 8 KAGB – Abschlussprüfung
(3) Der Abschlussprüfer hat bei seiner Prüfung auch festzustellen, ob die offene Investmentkommanditgesellschaft die Bestimmungen dieses Gesetzes und des zugrunde liegenden Gesellschaftsvertrags sowie der Anlagebedingungen beachtet hat. Bei der Prüfung hat er insbesondere festzustellen, ob die offene Investmentkommanditgesellschaft die Anzeigepflichten nach § 34 Absatz 1, 3 Nummer 1 bis 3, 5, 7 bis 11, Absatz 4 und 5, § 35 und die Anforderungen nach den §§ 36 und 37 sowie die Anforderungen nach
8. den Artikeln 5 bis 14, 17 bis 19, 23 bis 25, 28 bis 30 und 45 Absatz 3 der Verordnung (EU) 2022/2554, auch in Verbindung mit einer Delegierten Verordnung nach den Artikeln 15, 20, 28 oder Artikel 30 der Verordnung (EU) 2022/2554
Quelle: https://www.gesetze-im-internet.de/kagb/__136.html
IDW EPS 528 (08.2025)
Entwurf eines IDW Prüfungsstandards: Aufsichtliche Prüfung der Einhaltung von Anforderungen der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz (Digital Operational Resilience Act, DORA) im Finanzsektor im Rahmen der Abschlussprüfung, Stand: 07.08.2025, Stellungnahmefrist: 31.10.2025
Quellen:
https://www.idw.de/idw/idw-verlautbarungen/idw-eps-528-08-2025.html
https://www.idw.de/IDW/IDW-Verlautbarungen/IDW-PS/IDW-EPS-528-08-2025.pdf
| Aufsichtliche DORA-Prüfung | DORA |
|---|---|
| Artikel 5 bis 14 DORA und Artikel 16 DORA | Kapitel II - IKT-Risikomanagement |
| Artikel 5 DORA – Governance und Organisation | |
| Artikel 6 DORA – IKT-Risikomanagementrahmen | |
| Artikel 7 DORA – IKT-Systeme, -Protokolle und -Tools | |
| Artikel 8 DORA – Identifizierung | |
| Artikel 9 DORA – Schutz und Prävention | |
| Artikel 10 DORA – Erkennung | |
| Artikel 11 DORA – Reaktion und Wiederherstellung | |
| Artikel 12 DORA – Richtlinie und Verfahren zum Backup sowie Verfahren und Methoden zur Wiedergewinnung und Wiederherstellung | |
| Artikel 13 DORA – Lernprozesse und Weiterentwicklung | |
| Artikel 14 DORA – Kommunikation | |
| Artikel 16 DORA – Vereinfachter IKT-Risikomanagementrahmen | |
| Artikel 17 bis 19 DORA und Artikel 23 DORA | Kapitel III - Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle |
| Artikel 17 DORA – Prozess für die Behandlung IKT-bezogener Vorfälle | |
| Artikel 18 DORA – Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen | |
| Artikel 19 DORA – Meldung schwerwiegender IKT-bezogener Vorfälle und freiwillige Meldung erheblicher Cyberbedrohungen | |
| Artikel 23 DORA – Zahlungsbezogene Betriebs- oder Sicherheitsvorfälle, die Kreditinstitute, Zahlungsinstitute, Kontoinformationsdienstleister und E-Geld-Institute betreffen | |
| Artikel 24 bis 25 DORA | Kapitel IV - Testen der digitalen operationalen Resilienz |
| Artikel 24 DORA – Allgemeine Anforderungen für das Testen der digitalen operationalen Resilienz | |
| Artikel 25 DORA – Testen von IKT-Tools und -Systemen | |
| Artikel 28 bis 30 DORA | Kapitel V - Management des IKT-Drittparteienrisikos |
| Artikel 28 DORA – Allgemeine Prinzipien | |
| Artikel 29 DORA – Vorläufige Bewertung des IKT-Konzentrationsrisikos auf Unternehmensebene | |
| Artikel 30 DORA – Wesentliche Vertragsbestimmungen | |
| Artikel 45 DORA | Kapitel VI - Vereinbarungen über den Austausch von Informationen |
| Artikel 45 DORA – Vereinbarungen über den Austausch von Informationen und Erkenntnissen zu Cyberbedrohungen |