DORA: BaFin kündigt Erleichterungen bei der erstmaligen Prüfung an

Die BaFin stellt klar: Bei der Erstprüfung von DORA wird es für betroffene Finanzinstitute Erleichterungen geben.
Kategorien:
, ,
Bild von Aristotelis Zervos

Aristotelis Zervos

Aristotelis Zervos, Editorial Director bei 2B Advice, vereint juristische und journalistische Expertise in Datenschutz, IT-Compliance und KI-Regulierung.

Der Digital Operational Resilience Act (DORA) verpflichtet seit dem 17. Januar 2025 Finanzinstitute, ihre IT-Systeme, Prozesse und Sicherheitsarchitekturen widerstandsfähig gegen Cybervorfällen oder Betriebsstörungen zu gestalten. Zugleich verschärft DORA die Anforderungen an die Nachvollziehbarkeit: Die Umsetzung ist umfassend zu dokumentieren und im Rahmen von Prüfungen transparent darzulegen. Damit wird deutlich, dass nicht nur die technische Resilienz, sondern auch die Dokumentation ein zentrales Element der neuen Regulierung darstellt. Für die erstmalige Prüfung hat die BaFin allerdings Erleichterungen angekündigt.

DORA als neue Prüfungsrealität

Für die Abschlussprüfungen bedeutet dies eine Ausweitung des Prüfungsgegenstands: Neben den bisherigen Vorgaben der BAIT (Bankaufsichtliche Anforderungen an die IT), ZAIT (Zahlungsdiensteaufsichtliche Anforderungen an die IT) und KAIT (Kapitalverwaltungsgesellschaftsaufsichtliche Anforderungen an die IT) rücken die DORA-Anforderungen als neue Prüfungsdimension in den Fokus.

Diese nationalen Rundschreiben enthalten jeweils detaillierte Mindestanforderungen an IT-Governance, Sicherheitsmanagement, Notfallkonzepte und Auslagerungsmanagement. Gerade die ersten Prüfungszyklen unter DORA sind dabei von hoher Bedeutung, da sie Aufsicht und Unternehmen erstmals eine unabhängige Standortbestimmung zum Umsetzungsstand ermöglichen.

Vor diesem Hintergrund hat die BaFin in einem Schreiben vom 11. August 2025 an das Institut der Wirtschaftsprüfer (IDW) zwei praxisrelevante Erleichterungen für die erstmalige Prüfung bei direkt beaufsichtigten Finanzunternehmen erläutert.

Ausnahme von der Berichtspflicht für vollständig beseitigte Mängel

In der Praxis ist davon auszugehen, dass im ersten Jahr der DORA-Anwendung eine Vielzahl von Feststellungen auftreten. Viele dieser Mängel werden jedoch bereits innerhalb desselben Prüfungszeitraums wieder behoben. Nicht zuletzt, weil Teile der erforderlichen technischen Standards (RTS/ITS) erst sehr spät veröffentlicht wurden. Beispielsweise zu Meldewesen, Informationsregister oder Unterauftragsvergabe.

Nach den einschlägigen Prüfungsstandards müssten auch solche behobenen Mängel grundsätzlich im Prüfungsbericht aufgeführt werden. Dies könnte jedoch zu einer Überfrachtung und Unübersichtlichkeit führen.

Die BaFin erlaubt deshalb für den Übergangszeitraum:

  • Vereinfachung: Bereits vollständig beseitigte Mängel müssen nicht im Detail im Prüfungsbericht erscheinen.
  • Hinweispflicht: Der Prüfer soll jedoch knapp darauf hinweisen, dass im Berichtszeitraum Mängel bestanden, die behoben wurden. Dies ermöglicht Rückfragen der Berichtsempfänger.
  • Dokumentation: Die Feststellungen verbleiben in den internen Arbeitspapieren des Abschlussprüfers und sind damit weiterhin nachvollziehbar.
  • Klarstellung: Die Erleichterung betrifft ausschließlich die Berichterstattung, nicht aber die Durchführung der Prüfung.


Ab den Folgejahren gilt wieder die umfassende Berichtspflicht über sämtliche Feststellungen.

Prüfungsgegenstand bei abweichendem Geschäftsjahr 2024/2025

Für Finanzunternehmen mit einem vom Kalenderjahr abweichenden Geschäftsjahr (z. B. Juli 2024 bis Juni 2025) stellt sich die Frage, welche Anforderungen ab dem 17. Januar 2025 zu prüfen sind. Dieses Problem betrifft insbesondere Institute, deren Geschäftsjahr sowohl noch in die Zeit vor Inkrafttreten von DORA fällt als auch die ersten Monate danach umfasst.

Die BaFin stellt klar:

  • Eine vollständige DORA-Prüfung in diesem Zwischenzeitraum scheidet aus, da das  Finanzmarktdigitalisierungsgesetz (FinmadiG) Übergangsvorschriften vorsieht.
  • Gleichwohl bleibt die Pflicht zur IT-Prüfung als Bestandteil der Angemessenheits- und Wirksamkeitsprüfung des Risikomanagements und der Geschäftsorganisation bestehen.
  • In diesem Zeitraum soll die Prüfung sich an den BAIT, ZAIT und KAIT orientieren, soweit deren Anforderungen auch in DORA enthalten sind.
  • DORA-Anforderungen, die über die bisherigen nationalen Rundschreiben hinausgehen, sind nicht Prüfungsgegenstand.


Damit wird ein klarer Übergangsrahmen geschaffen: Auf der einen Seite bleibt sichergestellt, dass zentrale Aspekte der IT-Governance und -Resilienz weiterhin geprüft werden. Auf der anderen Seite werden die Unternehmen nicht mit einer vollständigen Umstellung mitten im Geschäftsjahr belastet. Diese Lösung verhindert Doppelprüfungen und schafft Klarheit für Prüfer und Unternehmen, wie die Prüfungsgegenstände im Übergangsjahr abzugrenzen sind. Zudem unterstützt sie eine kontinuierliche Weiterführung der Prüfungspraxis, ohne dass übermäßige Zusatzaufwände entstehen.

Lese-Tipp: BaFin veröffentlicht Orientierungshilfe zu Dokumentationsanforderungen

DORA-Prüfung 2025: Bewertung und Ausblick

Für die beaufsichtigten Institute bedeuten die Erleichterungen eine spürbare Entlastung im ersten Prüfungsjahr. Insbesondere die Möglichkeit, vollständig behobene Mängel nicht mehr im Detail berichten zu müssen, reduziert die Belastung durch Nacharbeiten und Folgekommunikation erheblich. Gleichzeitig erlaubt die klare Abgrenzung für abweichende Geschäftsjahre eine bessere Planbarkeit: Unternehmen wissen, dass sie im Übergangszeitraum nicht sofort einer Vollprüfung nach DORA unterzogen werden, sondern weiterhin im bekannten Rahmen (BAIT/ZAIT/KAIT) geprüft werden.

Für die Wirtschaftsprüfer schafft die BaFin mit ihrem Schreiben Rechtssicherheit und klare Prüfungsmaßstäbe. Ohne diese Klarstellung hätte die Gefahr bestanden, dass Prüfer gezwungen wären, zahlreiche bereits erledigte Mängel aufzuführen, was den Bericht überfrachtet und den Mehrwert für die Aufsicht geschmälert hätte. Mit der gewählten Lösung  konzentriert sich der Prüfungsbericht auf die wesentlichen, am Ende des Zeitraums noch bestehenden Schwächen. Damit steigt die Lesbarkeit und Entscheidungsrelevanz für Adressaten wie Aufsichtsräte oder die BaFin selbst.

Die BaFin verfolgt mit den Erleichterungen ein klares Ziel: Entlastung der Institute bei gleichzeitiger Sicherung der Prüfungsqualität. Durch die Hinweispflicht im Bericht bleibt die notwendige Transparenz erhalten. Sollte ein Institut oder die Aufsicht Nachfragen zu behobenen Mängeln haben, können diese über die Arbeitspapiere oder im Dialog mit den Prüfern geklärt werden. Die Aufsicht verliert also keine Informationen, sondern reduziert lediglich formale Berichtslast.

Die dargestellten Erleichterungen gelten nur für die Erstprüfung 2025. Ab dem Geschäftsjahr 2025/2026 wird die volle DORA-Prüfung verpflichtend, und alle Feststellungen sind wieder umfassend zu berichten. Dazu gehören auch die im Berichtszeitraum behobenen Feststellungen. Finanzunternehmen sollten deshalb die Übergangsphase nutzen, um ihre DORA-Umsetzungsprojekte zügig und vollständig abzuschließen.

Darüber hinaus ist zu erwarten, dass die BaFin aus den ersten Prüfungen wertvolle Erkenntnisse über die Umsetzungspraxis gewinnt. Diese werden vermutlich in künftige Prüfungsschwerpunkte, Leitfäden oder Rundschreiben einfließen. Es ist daher strategisch ratsam, nicht nur das Minimum zur Erfüllung der Übergangsregeln umzusetzen, sondern die DORA-Compliance frühzeitig auf einem hohen Niveau sicherzustellen.

Fokussierung auf die wesentlichen Risiken

Mit den beiden Erleichterungen

  1. Ausnahme von der Berichtspflicht für beseitigte Mängel und
  2. Übergangsregelung für abweichende Geschäftsjahre 


trägt die BaFin den besonderen Herausforderungen der DORA-Erstprüfung Rechnung.

Die Maßnahmen sorgen für Entlastung, Rechtssicherheit und erhöhte Lesbarkeit der Prüfungsberichte, ohne dass die Prüfungsqualität leidet. Gleichzeitig setzt die BaFin ein Signal: Bereits im ersten Jahr steht nicht die formale Vollständigkeit der Berichte, sondern die inhaltliche Fokussierung auf die wesentlichen Risiken im Vordergrund.

Für die Institute bedeutet dies allerdings keinen Freibrief, sondern vielmehr die Aufforderung zur konsequenten DORA-Umsetzung, um spätestens ab 2026 den vollen Anforderungen zu genügen.

Quelle: Schreiben der BaFin vom 11.08.2025 an das Institut der Wirtschaftsprüfer (IDW)

Unser Angebot: Als Experten für Datenschutz, Compliance und Risk-Management unterstützen wir Sie bei der Umsetzung der DORA-Anforderungen. Vereinbaren Sie einen Kennenlerntermin und lassen Sie uns gemeinsam Ihre Organisation zukunftssicher aufstellen.

Aristotelis Zervos ist Editorial Director bei 2B Advice, Jurist und Journalist mit profundem Know-how in Datenschutz, DSGVO, IT-Compliance und KI-Governance. Er veröffentlicht regelmäßig fundierte Artikel zu KI-Regulierung, DSGVO-Compliance und Risikomanagement. Mehr über ihn erfahren Sie auf seiner Autorenprofil-Seite.

Kontakt aufnehmen
Tags:
, , , , ,
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge