Zur Suchmaske

DORA in der Abschlussprüfung 2025: Diese Erleichterungen sollten Asset Manager jetzt kennen

18. September 2025

Schlagwörter: Berichterstattung / Reporting, Compliance, Digital Operational Resilience Act (DORA), IT Governance, IT-Sicherheit, Informationstechnologie (IT), Transparenz

Übergangsjahr 2025: BaFin erleichtert die erstmalige DORA-Prüfung – keine detaillierte Berichtspflicht für unterjährig behobene Mängel, verkürzte Wirksamkeitsprüfung, Übergangsregelung bei vom Kalenderjahr abweichenden Geschäftsjahr.

Hintergrund
Was ist DORA?
Was sind die aktuellen Herausforderungen für Asset Manager?
Erleichterungen der Berichtspflicht bei der erstmaligen Prüfung
Fazit

Abschlussprüfung 2025: DORA steht erstmals auf dem Prüfstand. Viele Asset Manager sind noch in der Umsetzung – zugleich gewährt die BaFin für das Übergangsjahr gezielte Erleichterungen, u. a. keine ausführliche Berichterstattung zu vollständig behobenen Mängeln, verkürzte Wirksamkeitsprüfungen und eine Übergangsregelung bei vom Kalenderjahr abweichenden Geschäftsjahren. Der Beitrag erklärt, was jetzt zählt, welche Spielräume Sie nutzen können und wie Sie sich mit einem schnellen Health Check Reporting und der Umsetzung daraus abgeleiteter Maßnahmen prüfungssicher machen.

Hintergrund

Die Digital Operational Resilience Act (DORA) ist eine bedeutende und umfassende Regulierung auf europäischer Ebene, die die Stärkung der digitalen Betriebsresilienz im Finanzsektor zum Ziel hat. Die Einhaltung der sich aus der DORA-Verordnung ergebenden regulatorischen Anforderungen ist im Rahmen der Jahresabschlussprüfung zum 31. Dezember 2025 erstmalig Gegenstand der Prüfung.

Was ist DORA?

DORA stellt verbindlich umzusetzende Anforderungen an das Management von IT-Risiken, den Umgang mit und die Meldung von Sicherheitsvorfällen, Tests der digitalen Resilienz sowie dem Management von Drittparteienrisiken. Ziel ist es, die Stabilität und Sicherheit des Finanzsektors gegenüber Cyber- und IT-Bedrohungen zu erhöhen. Die vollständige Umsetzungspflicht gilt nach einer zweijährigen Umsetzungsphase seit dem 17. Januar 2025.

Was sind die aktuellen Herausforderungen für Asset Manager?

Eine PwC-Umfrage bei 72 deutschen Finanzinstituten (Banken, Versicherungen und Kapitalverwaltungsgesellschaften) ergab, dass die Mehrheit der befragten Unternehmen zwar inzwischen Fortschritte bei der Anpassung der schriftlich fixierten Ordnung zur Etablierung der formalen Grundlagen erzielt hat, für vollständig DORA-konform halten die eigene schriftlich fixierte Ordnung allerdings nur 24 % der Antwortenden. Bei der operativen Umsetzung zeigt sich ein noch höherer Handlungsbedarf – hier befindet sich die große Mehrzahl der Antwortenden noch in der Implementierung sowie in umfassenden Vertragsnachverhandlungen mit Dienstleistern.

AWM Blog_Umsetzungsstand DORA.jpg [id=240804] — Quelle: FS Digital Risk Barometer 2025, Stand Juni 2025, abrufbar unter https://www.pwc.de/de/finanzdienstleistungen/fs-digital-risk-barometer-2025.html

Erleichterungen der Berichtspflicht bei der erstmaligen Prüfung

Die BaFin hat erkannt, dass der Übergang zu DORA für viele Institute mit einem erhöhten Aufwand verbunden ist. Deshalb wurden für die erstmalige Berichterstattung folgende Erleichterungen von der BaFin für die von ihr beaufsichtigten Finanzunternehmen kommuniziert:¹

Mängel, die innerhalb des Berichtszeitraums vollständig behoben wurden, müssen nicht im Prüfungsbericht erwähnt werden. Für Transparenz sorgt in diesen Fällen jedoch eine kurze Erwähnung, dass derartige Mängel vorlagen.
Die Prüfungsperiode für die Wirksamkeitsprüfung kann verkürzt werden, wenn einzelne DORA-Anforderungen noch nicht während des gesamten Berichtszeitraums umgesetzt waren.
Die Arbeitspapiere des Abschlussprüfers haben dabei dennoch alle Feststellungen zu enthalten und können auf Anforderung auch weitergegeben werden.
Für abweichende Geschäftsjahre gilt eine Übergangsregelung – in diesem Fall beschränkt sich die Prüfung auf die Anforderungen, die bislang in den KAIT enthalten waren. Zu neuen Anforderungen von DORA, die über die KAIT-Anforderungen hinausgehen, muss noch keine Berichterstattung erfolgen.

Diese Erleichterung gilt für die Berichterstattung über die Einhaltung der DORA-Anforderungen einmalig im Rahmen der Jahresabschlussprüfung 2025. Für Folgejahre wird wieder eine umfassende Berichterstattung über den gesamten Berichtszeitraum erwartet.

Fazit

Die Einführung von DORA markiert einen wichtigen Schritt für die digitale Widerstandsfähigkeit im Finanzsektor. Die Besonderheiten im Rahmen der erstmaligen Prüfung stellen im Übergangsjahr eine Erleichterung bei der Berichterstattung dar. Sie bieten den Kapitalverwaltungsgesellschaften auch die Chance, bis zum Ende ihres Geschäftsjahres weiter mit Hochdruck an der DORA-Umsetzung zu arbeiten. Jetzt ist der richtige Zeitpunkt, etwaige Lücken in einem Health check zu identifizieren, um gezielt und risikoorientiert an deren Behebung zu arbeiten.

Treten Sie mit uns in Kontakt und nutzen Sie unser Know-How – wir freuen uns auf den Austausch mit Ihnen!

Weiterführende Links:

Willkommen auf unserem neuen Blog – Asset Management Regulation
Standortfördergesetz -Strategische Weichenstellung für die Asset Management-Branche
Mission IKS 2.0. – Ihr Flugplan in die Zukunft
Risk & Regulation im Asset & Wealth Management
Aktuell und informativ – die PwC Blogs. Profitieren Sie vom Wissen unserer Fachleute: https://blogs.pwc.de/

¹ https://www.idw.de/IDW/IDW-Aktuell/Download-2025/BaFin-DORA-Erstpruefung-Antwort-an-IDW-250811.pdf

Laufende Updates zum Thema erhalten Sie über das regulatorische Horizon Scanning in unserer Recherche-Applikation PwC Plus. Lesen Sie hier mehr über die Möglichkeiten und Angebote.

Zu weiteren PwC Blogs

Kontakt

Alexandra Naumann

Director
Frankfurt am Main

Folgen Sie mir auf LinkedIn

E-Mail