IDW lehnt Einbeziehung von Abschlussprüfern in die EU-Cyberresilienz-Verordnung für den Finanzsektor ab
Die EU-Kommission hat im September 2020 einen Verordnungsvorschlag zur sog. "Cyberresilienz" im Finanzsektor vorgelegt und in diesem Zusammenhang auch den Entwurf einer Änderungsrichtlinie veröffentlicht, die u.a. die EU-Abschlussprüferrichtlinie betrifft (Digital Operational Resilience Act).
Zielsetzung der EU Kommission ist es, die Betriebsstabilität digitaler Systeme im Finanzsektor zu stärken, um möglichen negativen Auswirkungen von Cyberangriffen auf das betreffende Unternehmen im Finanzsektor und dessen Kunden sowie auf die Stabilität des europäischen Finanzsystems insgesamt zu begegnen. Das IDW hat mit EU-Kommission: Digital Operational Resilience Act (IDW Schreiben) vom 18.01.2021 gegenüber der EU-Kommission zu denjenigen Fragen Stellung genommen, die einen Bezug zu Abschlussprüfern bzw. Prüfungsgesellschaften haben.
Das IDW lehnt die geplante Aufnahme von Abschlussprüfern und Prüfungsgesellschaften in Sinne der EU-Abschlussprüferrichtlinie in den Anwendungsbereich der Cyberreslilienz-Verordnung ab, denn diese unterliegen nicht den IT-Risiken, die durch den geplanten Rechtsakt adressiert werden sollen. Würde an den geplanten Neuregelungen auf EU-Ebene festgehalten, müssten die IT-Systeme der betreffenden WP-Praxen künftig Anforderungen erfüllen, die auf das Management von Risiken in automatisierten Massenprozessen von Unternehmen des Finanzsektors abzielen. Aus diesem Grund ist auch die vorgeschlagene Bezugnahme der EU-Abschlussprüferrichtlinie auf die Cyberresilienz-Verordnung abzulehnen.