Neu veröffentlicht: Entwurf IDW EPS 528 (08.2025) zur DORA-Prüfung

Mit dem Entwurf IDW EPS 528 (08.2025) legt das Institut der Wirtschaftsprüfer erstmals einen branchenübergreifenden Prüfungsstandard für die aufsichtliche Prüfung nach DORA vor. Der Standard adressiert Institute, Versicherungsunternehmen, externe Kapitalverwaltungsgesellschaften sowie bestimmte Investmentvermögen und schafft damit einen konsistenten, methodisch klar strukturierten Rahmen für Planung, Durchführung und Berichterstattung von DORA-Prüfungen. Er ist bis zum 31.10.2025 zur Stellungnahme geöffnet.
Zum Entwurf: https://lnkd.in/dyWzguDM

Einordnung: Warum dieser Standard jetzt wichtig ist

DORA ist seit dem 17. Januar 2025 anzuwenden und markiert den Übergang von isolierten IT-Sicherheitsanforderungen hin zu einem einheitlichen europäischen Rahmen für digitale operationale Resilienz. Das Finanzmarktdigitalisierungsgesetz (FinmadiG) verankert zugleich die Prüfung ausgewählter DORA-Pflichten im Rahmen der Jahresabschlussprüfung – erstmals für Geschäftsjahre, die nach dem 31.12.2024 beginnen. In dieser Lage fehlte bislang ein sektorübergreifender Prüfungsmaßstab, der die Vielzahl an Einzelanforderungen in ein nachvollziehbares Prüfungsprogramm übersetzt. IDW EPS 528 schließt diese Lücke: Er formuliert eine prinzipienorientierte, risikobasierte Prüfarchitektur, die die Proportionalität in den Mittelpunkt stellt und gleichzeitig die Anschlussfähigkeit an die Aufsichtspraxis sicherstellt.

Charakter des Entwurfs: Prinzipien statt Rezeptsammlung

Der Entwurf ist bewusst prinzipienorientiert aufgebaut. Er gibt keine starre „Checkliste“ vor, sondern leitet die Prüfung aus Zielen, Risiken und Kontrollen ab. Prüfungsumfang und -tiefe hängen damit ausdrücklich von Größe, Geschäftsmodell, Kritikalität, IKT-Abhängigkeiten und Risikoprofil des geprüften Unternehmens ab. Dieser Ansatz verhindert sowohl Unter- als auch Überprüfung, vermeidet ein Schema-F-Vorgehen und konzentriert die Prüfungsressourcen genau dort, wo Ausfall- oder Missbrauchsrisiken am größten sind.

Proportionalität als Leitplanke

Die Proportionalität ist kein dekoratives Prinzip, sondern operativer Prüfungsmaßstab. Für systemrelevante Institute mit komplexen Lieferketten sind zwangsläufig andere Nachweistiefen erforderlich als für kleinere, risikoärmere Einheiten. IDW EPS 528 übersetzt dieses Prinzip in konkrete Prüfentscheidungen: Welche Prozesse gelten als kritisch? Welche Kontrollen sind wirklich „key“? Wo ist „Design Effectiveness“ ausreichend, und wo ist zwingend „Operating Effectiveness“ über Stichproben nachzuweisen? Das Ergebnis ist ein skalierbares Prüfdesign, das stringente Anforderungen mit wirtschaftlicher Zumutbarkeit verbindet.

Anschluss an Aufsicht und Berichtsverordnungen

Besonderes Merkmal des Entwurfs ist die Berücksichtigung von Erkenntnissen aus dem Austausch mit der Aufsicht. Damit nimmt der Standard Erwartungen vorweg, die sich in aufsichtlichen Prüfungen typischerweise zeigen, und verringert Interpretationsspielräume. Zugleich antizipiert der Entwurf erwartete Anpassungen der Prüfungsberichtsverordnungen für unterschiedliche Finanzunternehmen. Das erhöht Investitionssicherheit: Prozesse, Kontrollen und Reportingstrukturen, die an EPS 528 ausgerichtet werden, sind voraussichtlich zukunftsfest und über mehrere Prüfzyklen nutzbar.

Prüfungsgegenstand: Die fünf DORA-Säulen im Spiegel des EPS 528

Der Standard fokussiert auf die Kohärenz zwischen Risiko, Kontrollen, Nachweisen und Berichterstattung. Im Zentrum stehen:

1. IKT-Risikomanagement und Governance
   Erwartet wird ein nachvollziehbares Zielbild (Risikoappetit, Rollen, Verantwortlichkeiten, Entscheidungswege), eine methodisch belastbare Risikoidentifikation und -bewertung, verknüpft mit einem kontinuierlichen Steuerungs- und Monitoringprozess. Prüfungsseitig rücken neben Policies vor allem systemsourced Evidenzen in den Vordergrund: Risikoregister mit Aktualitätsnachweis, Beschlüsse aus Management-Reviews, Kennzahlen (KRIs/KPIs) und Reaktionen auf Schwellenwertüberschreitungen.
2. Incident-Management inklusive Meldepflichten
   Geprüft wird die Fähigkeit, Vorfälle frühzeitig zu erkennen, konsistent zu klassifizieren, fristgerecht zu melden und wirksam nachzubereiten. Der Entwurf legt Wert auf konsistente Zeitlinien, dokumentierte Erst-/Zwischen-/Abschlussmeldungen, Chain-of-Custody bei forensischen Materialien, die Trennung von Fakten und Hypothesen sowie die Rückführung von Lessons Learned in Prozesse und Kontrollen.
3. Resilienztests
   Im Fokus stehen Planung, Durchführung, Auswertung und Re-Tests. Erwartet werden akzeptanzkriterienscharfe Übungen (z. B. RTO/RPO-Ziele), Restore-Integritätsnachweise (Checksummen, Transaktionskohärenz), Failover-Proben in realitätsnahen Szenarien und – risikoadäquat – angriffsnahe Formate wie Purple Teaming oder TLPT-ähnliche Tests. Entscheidend ist, dass Ergebnisse zu konkreten Verbesserungen führen und deren Wirksamkeit erneut nachgewiesen wird.
4. Management von IKT-Drittparteien
   Kernanforderungen sind ein vollständiges und aktuelles Register kritischer Dienstleister (inklusive Sub-Prozessoren), risikobasierte Due Diligence, vertragliche Sicherungen (Melde-, Audit-, Informations-, Exit- und Portabilitätsrechte, Regelungen zum Sub-Outsourcing) sowie laufendes Monitoring mit qualitativen und quantitativen Indikatoren. Besonderes Augenmerk gilt Konzentrationsrisiken und der Exit-Fähigkeit.
5. Sektoraler Informationsaustausch
   Geprüft werden strukturiert geregelte, rechtlich abgesicherte und datenschutzkonforme Mechanismen für den Austausch sicherheitsrelevanter Informationen, inklusive Rollen, Freigaben, Klassifizierungen und Protokollierung.

Prüfungslogik: Von der Zielsetzung zur Stichprobe

IDW EPS 528 beschreibt die Prüfungslogik entlang einer klaren Kette:

• Ziel und Scope: Welche DORA-Zielsetzungen sind im Prüfobjekt relevant? Welche Risiken sind dominant?
• Kontrolllandschaft: Welche Kontrollen adressieren die Risiken? Welche davon sind Schlüsselkontrollen?
• Design Effectiveness: Ist die Kontrolle angemessen konzipiert (Klarheit, Vollständigkeit, Verantwortlichkeit, Häufigkeit, Evidenz)?
• Operating Effectiveness: Funktioniert die Kontrolle nachweislich im Betrieb? Dies erfordert Stichproben aus einer definierte Population mit nachvollziehbarer Auswahlmethodik.
• Kohärenztest: Stimmen die Ergebnisse mit Risikoregister, Vorfallhistorie, Testergebnissen und Lieferanteninformationen überein?
• Befundbildung und Berichterstattung: Sachliche, risikoorientierte Feststellungen mit klaren Ursachen, Auswirkungen und Maßnahmenempfehlungen.

Evidenzanforderungen: Weg von „Papier“, hin zu systemischen Nachweisen

Der Entwurf verlangt belastbare, systemseitig erzeugte und zeitlich zuordenbare Nachweise. Dazu zählen u. a.:

• Exporte aus GRC-, CMDB- und Monitoring-Systemen mit Metadaten und Zeitstempeln.
• Protokolle aus Incident-, Forensik- und Ticket-Systemen, konsistent zu Meldeereignissen.
• Testberichte mit klaren Erfolgskriterien, Messwerten und Abweichungsanalyse; Re-Test-Dokumente.
• Verträge und Nachträge mit Drittparteien, Nachweise über gelebte Rechte (etwa durch durchgeführte Audits oder Exit-Proben).
• Dashboards und Management-Beschlüsse, die die Wirksamkeit – nicht bloß die Existenz – von Kontrollen belegen.

Wichtig ist die Unveränderlichkeit der Evidenzen (z. B. WORM-Ablagen, Hash-Werte), die Versionierung und eine Nachvollziehbarkeit der Populationen für Prüfstichproben. So wird verhindert, dass Einzeldokumente ein geschöntes Bild erzeugen.

Schnittstellen zu bestehenden Rahmenwerken

IDW EPS 528 ist anschlussfähig an ISO 27001 (ISMS), ISO 22301 (BCM), gängige Cloud-Kontrollrahmen und NIS2. Entscheidend ist nicht die Zahl der Zertifikate, sondern die Verzahnung: Risikoidentifikation → Kontrollen → Tests → Vorfälle → Lieferantensteuerung → Management-Entscheidungen. Ein integriertes Kontrollmodell verhindert Doppelarbeit, reduziert Prüfaufwand und erhöht Konsistenz in der Berichterstattung.

Auswirkungen auf die Jahresabschlussprüfung

Durch das FinmadiG wird DORA prüfungsrelevant im Kontext der Jahresabschlussprüfung. IDW EPS 528 konkretisiert, wie die DORA-bezogenen Prüfungshandlungen methodisch sauber in den Prüfungsablauf integriert werden können. Für geprüfte Unternehmen bedeutet das: „Always audit ready“ ist nicht nur eine Ambition, sondern Prüfrealität. Prozesse, Kontrollen und Evidenzen müssen laufend gepflegt werden; Ad-hoc-Kampagnen kurz vor dem Stichtag reichen nicht.

Schwerpunkte je Institutstyp: Drei Beispiele

1. Kleinere Institute mit hohem Auslagerungsgrad
   Priorität hat ein belastbares Register of Information, präzise definierte Kritikalitäten, klare Meldewege zum Dienstleister, Vertragsnachträge (Audit/Incident/Exit) und geübte Exit-Proben in überschaubarem Umfang. Resilienztests fokussieren auf Restore-Integrität und Umschaltfähigkeit.
2. Versicherungsunternehmen mit Hybrid-Landschaften
   Im Vordergrund stehen Schnittstellenrisiken (Host-Systeme ↔ Cloud-Dienste), Identitätsmanagement, Datenhaltungs- und Integritätsanforderungen über lange Zeiträume sowie szenariobasierte Übungen mit Schaden- und Bestandsprozessen. Lieferanten-Scorecards und Konzentrationsanalysen gewinnen an Bedeutung.
3. Externe Kapitalverwaltungsgesellschaften und Investmentvermögen
   Prüfungsschwerpunkte sind Sourcing-Ketten, Portfoliobezogene kritische Prozesse (Handel, Bewertung, Abwicklung), Kommunikation mit Verwahrstellen und Transparenz über Sub-Prozessoren. Evidenzen für Zeitzielerreichung im Notbetrieb sind besonders wichtig.

Typische Schwachstellen – und wirksame Gegenmaßnahmen

• Papier-Notfallpläne ohne praktische Erprobung
  Gegenmaßnahme: Halbjährliche DR-Proben für Kernservices, definierte Akzeptanzkriterien, dokumentierte Restore-Integrität, Re-Tests.
• Unvollständige oder veraltete Drittparteienregister
  Gegenmaßnahme: Änderungs-Trigger, monatliche Pflege, quartalsweise Qualitätssicherung, Scorecards, Nachträge für Melde-/Audit-/Exit-Rechte.
• Inkonsistenzen zwischen Risikoregister, Incident-Log und Testberichten
  Gegenmaßnahme: Kohärenz-Reviews mit bereichsübergreifender Verantwortung, verbindliche Begriffs- und Datenstandards.
• Evidenzen ohne Herkunftsnachweis
  Gegenmaßnahme: Systemexporte statt manuell erstellter Listen, Hash/WORM-Ablage, nachvollziehbare Stichprobenpopulationen.
• Zögerlicher Informationsaustausch
  Gegenmaßnahme: Festgelegte Rollen, TLP-Regeln, Freigabeprofile, Schulung der Analysten, dokumentierte Time-to-Share-Ziele.

Metriken, die Wirksamkeit sichtbar machen

Ein zentrales Anliegen des Entwurfs ist die Messbarkeit. Sinnvolle Kennzahlen sind unter anderem:

• MTTD/MTTR nach Serviceklassen; Time-to-Classify und Time-to-Notify bei Vorfällen.
• RTO/RPO-Erfüllung in DR-Tests; Anteil erfolgreicher Restore-Integritätsnachweise.
• Kontrollabdeckung (z. B. MFA-Quote, Patching-Zyklen, Config-Drift, Backup-Testquote).
• Lieferanten-KRIs (Meldezeiten, RCA-Qualität, SLA-Major-Breaches, Sub-Prozessor-Transparenz).
• Konzentrationsrisiko-Indikatoren (Exposure auf Top-Provider, Diversifizierungsgrad).
• Informationsaustausch-Metriken (Time-to-Share, Adoption Rate der geteilten TTPs/IOCs, False-Positive-Quoten).

Diese Kennzahlen sollten nicht nur erhoben, sondern in Management-Entscheidungen überführt werden: Budgets, Prioritäten, Roadmaps.

Vom Projekt zur Routine: Organisatorische Voraussetzungen

Dauerhafte Prüfbereitschaft erfordert klare Rollen und Mandate: DORA-Programmleitung, Regulatory Liaison, Incident Commander, Exercise Director, Supplier Manager, ISMS-/BCM-Leads und Kommunikationsverantwortliche. Eine RACI-Matrix stellt sicher, dass Verantwortungen in Stresssituationen nicht verschwimmen. Ergänzend bieten sich monatliche Evidence-Tage, quartalsweise Konsistenz-Reviews und ein jährlicher Probe-Audit-Zyklus an.

Tooling und Datenhaushalt

Wesentlich ist eine integrierte Datenbasis: GRC/DMS mit Versionierung, CMDB/Servicekatalog als „Single Source of Truth“ für das Register, SIEM/XDR/SOAR mit Use-Case-Katalog und Automationspfaden, Backup/DR-Plattform mit Integritätsreports, Vendor-Risk-Management für Register und Scorecards sowie Observability-Werkzeuge für SLI/SLO-Nachweise. Entscheidend ist nicht Toolvielfalt, sondern Schnittstellen-Qualität und Evidenzgüte.

Praxisfahrplan bis zum ersten Prüfungszyklus

• Monat 1–2: Maturity-Assessment, Risikoappetit schärfen, Top-Risiken und kritische Services identifizieren, Registerqualität prüfen.
• Monat 3–4: Testkalender mit Akzeptanzkriterien finalisieren, erste DR-Proben samt Restore-Integrität, Vertragslücken zu kritischen Dienstleistern schließen.
• Monat 5–6: Purple-Team-Sprints zu relevanten Angriffstechniken, Incident-Templates produktiv, Informationsaustausch-Prozesse testen.
• Monat 7–8: Probe-Audit mit Fokus Operating Effectiveness, CAPA-Plan, Re-Tests.
• Monat 9–12: Konsolidierung, Management-Reporting, Vorbereitung der prüfungsrelevanten Berichte nach EPS-528-Logik.

Nutzenperspektive: Mehr als nur Compliance

Ein Prüfungsstandard dieser Art dient nicht allein der Regelbefolgung, sondern verbessert Steuerbarkeit, Geschwindigkeit und Nachvollziehbarkeit. Unternehmen, die EPS 528 als operatives Zielbild nutzen, gewinnen an Robustheit gegenüber digitalen Störungen, reduzieren Ausfall- und Schadenskosten und beschleunigen Due-Diligence-Prozesse in Vertrieb und Beschaffung. Die Mess- und Nachweisfähigkeit wird zum Wettbewerbsfaktor – nach innen gegenüber Gremien und Aufsicht, nach außen gegenüber Kunden, Investoren und Partnern.

Fazit

Der Entwurf IDW EPS 528 (08.2025) schafft eine klare Prüfungslandkarte für DORA. Er verbindet Prinzipienorientierung und Proportionalität mit einer starken Ausrichtung auf operative Wirksamkeit und Kohärenz der Nachweise. Für geprüfte Unternehmen heißt das: weg von punktuellen Projektbelegen, hin zu laufend gelebten Routinen mit belastbarer Evidenz. Wer diesen Weg frühzeitig einschlägt, reduziert Prüfungsrisiken, erhöht Planbarkeit und macht digitale Resilienz messbar – genau das, was DORA im Kern verlangt.