Mit dem Entwurf IDW EPS 528 (08.2025) legt das Institut der Wirtschaftsprüfer erstmals einen branchenübergreifenden Prüfungsstandard für die aufsichtliche Prüfung nach DORA vor. Der Standard adressiert Institute, Versicherungsunternehmen, externe Kapitalverwaltungsgesellschaften sowie bestimmte Investmentvermögen und schafft damit einen konsistenten, methodisch klar strukturierten Rahmen für Planung, Durchführung und Berichterstattung von DORA-Prüfungen. Er ist bis zum 31.10.2025 zur Stellungnahme geöffnet.
Zum Entwurf: https://lnkd.in/dyWzguDM

Einordnung: Warum dieser Standard jetzt wichtig ist

DORA ist seit dem 17. Januar 2025 anzuwenden und markiert den Übergang von isolierten IT-Sicherheitsanforderungen hin zu einem einheitlichen europäischen Rahmen für digitale operationale Resilienz. Das Finanzmarktdigitalisierungsgesetz (FinmadiG) verankert zugleich die Prüfung ausgewählter DORA-Pflichten im Rahmen der Jahresabschlussprüfung – erstmals für Geschäftsjahre, die nach dem 31.12.2024 beginnen. In dieser Lage fehlte bislang ein sektorübergreifender Prüfungsmaßstab, der die Vielzahl an Einzelanforderungen in ein nachvollziehbares Prüfungsprogramm übersetzt. IDW EPS 528 schließt diese Lücke: Er formuliert eine prinzipienorientierte, risikobasierte Prüfarchitektur, die die Proportionalität in den Mittelpunkt stellt und gleichzeitig die Anschlussfähigkeit an die Aufsichtspraxis sicherstellt.

AI Governance ist gerade dabei, zwei typische Extreme zu produzieren. Das erste Extrem ist „wir machen erst mal gar nichts, bis alles klar ist“. Das zweite Extrem ist „wir bauen sofort ein großes Programm, das alles abdeckt“. Beides führt in der Praxis selten zu einem stabilen Ergebnis. Das erste Extrem endet meistens in Schattennutzung und hektischer Nacharbeit. Das zweite endet oft in Überkomplexität, Widerstand und Workarounds. Die brauchbare Mitte ist unspektakulärer: Sie definieren ein Minimum, das sofort handlungsfähig macht – und ein Maximum, das sinnvoll ist, wenn Volumen, Kritikalität und externe Anforderungen steigen.

Der Trick dabei ist, AI Governance nicht als neues „Thema“ zu behandeln, sondern als Erweiterung dessen, was gute Organisationen ohnehin tun: Entscheidungen vorbereiten, Risiken steuern, Änderungen kontrollieren, Nachweise so ablegen, dass sie im Ernstfall und im Audit funktionieren. KI bringt dabei nur eine neue Dynamik hinein: Systeme verändern sich schneller (Modelle, Daten, Features), ihre Wirkung ist oft schwerer intuitiv einzuschätzen, und viele Bausteine liegen außerhalb Ihres direkten Einflusses (Cloud-Services, Anbieter, Modelle von Dritten). Genau deshalb braucht es eine Governance, die nicht nur „schön“ aussieht, sondern im Alltag belastbar ist.

Sechs Monate sind vergangen, seit der Digital Operational Resilience Act (DORA) am 17. Januar 2025 in Kraft trat. Ein halbes Jahr, das für viele Unternehmen im Finanzsektor zugleich eine Compliance-Hürde und einen Prüfstein darstellte. Heute zeigt sich: Die ersten Erfahrungen sind klar – DORA ist kein Projekt mit Start- und Endpunkt, sondern der Beginn eines laufenden Transformationspfads. Was bisher gelungen ist, wo es noch hakt und warum die nächsten Monate entscheidend sind – all das erfährst du in diesem Artikel.

Die erste Phase: Anmeldung, Verwirrung und Umsetzungsstress

In den ersten Monaten galt es, die Basis zu schaffen: Das Register of Information (RoI) zu Drittdienstleistern musste bis Ende April 2025 eingereicht werden. Viele Unternehmen leisteten hier einen echten Sprint – doch schon damals war klar, dass die eigentliche Arbeit erst beginnt. Parallel dazu schärften nationale Behörden den Rahmen, indem sie detaillierte Anforderungen an Drittanbieter-Risikomanagement, Meldepflichten und interne Governance-Strukturen definierten. Besonders Asset Manager, Versicherer und kleinere Banken spüren seit Frühjahr 2025 einen deutlichen Umsetzungsdruck.

Wer in der Welt von Qualitätsmanagement, Informationssicherheit oder Prozessoptimierung unterwegs ist, kommt an PDCA nicht vorbei. Vier Buchstaben, die für viele nach grauer Theorie aus ISO-Handbüchern und endlosen Audit-Checklisten klingen. Plan – Do – Check – Act. Klingt simpel, fast schon banal. Doch hinter diesem unscheinbaren Zyklus steckt einer der mächtigsten Ansätze, um nicht nur Managementsysteme, sondern ganze Organisationen kontinuierlich zu verbessern. Das Problem: PDCA wird oft falsch verstanden oder halbherzig umgesetzt – und dann wirkt es tatsächlich langweilig. Wer es aber richtig macht, erlebt, wie aus einem theoretischen Modell ein lebendiger Motor für Veränderung wird.

Warum PDCA so oft unterschätzt (und missbraucht) wird

PDCA scheitert selten an seiner Logik, sondern an der Praxis. Häufige Fehlgriffe: „Plan“ wird als reines Dokumentieren verwechselt, „Do“ als hektisches Abarbeiten, „Check“ als Schuldzuweisung und „Act“ als Protokollnotiz ohne Konsequenz. Ebenso verbreitet: Der Zyklus wird nur jährlich gefahren – zum Audit – statt in kurzen, regelmäßigen Takten. Und nicht zuletzt: Es fehlt die Verbindung zu echten Zielen und Kennzahlen; Maßnahmen segeln ohne Kompass durch den Betrieb. Damit PDCA Wirkung entfaltet, braucht es drei Zutaten: klare Zielbilder, belastbare Daten und geübte Routinen. Erst dann wird aus Theorie gelebte Praxis.

NIS2 wird in vielen Unternehmen gerade mit hohem Tempo umgesetzt. Das ist verständlich: Die Erwartungshaltung ist groß, der Druck ist real, und niemand möchte in eine Situation kommen, in der man im Ernstfall oder in einer Prüfung erklären muss, warum etwas „noch nicht fertig“ ist. Genau hier entsteht aber ein typisches Nebenproblem, das ich in der Praxis immer wieder sehe: Nachweise werden zu früh als „Dokumentationsprojekt“ verstanden. Dann wächst die Menge an Artefakten schnell – aber die Prüfbarkeit wird nicht automatisch besser. Im Gegenteil: Wenn zu viele Dinge als Nachweis gelten sollen, wird es unklar, was wirklich zählt. Und Unklarheit ist im Audit der schnellste Weg zu Nachforderungen.

Dieser Artikel hilft Ihnen, die NIS2-Nachweispflichten pragmatisch zu sortieren. Nicht nach dem Motto „möglichst viel sammeln“, sondern nach dem Prinzip: Welche Artefakte belegen im Zweifel wirklich, dass Ihr Betrieb sicher und handlungsfähig ist? Und welche Artefakte sehen zwar ordentlich aus, bringen Ihnen aber wenig, weil sie weder Entscheidungen stützen noch die Umsetzung im Alltag nachvollziehbar machen?