Mit dem Entwurf IDW EPS 528 (08.2025) legt das Institut der Wirtschaftsprüfer erstmals einen branchenübergreifenden Prüfungsstandard für die aufsichtliche Prüfung nach DORA vor. Der Standard adressiert Institute, Versicherungsunternehmen, externe Kapitalverwaltungsgesellschaften sowie bestimmte Investmentvermögen und schafft damit einen konsistenten, methodisch klar strukturierten Rahmen für Planung, Durchführung und Berichterstattung von DORA-Prüfungen. Er ist bis zum 31.10.2025 zur Stellungnahme geöffnet.
Zum Entwurf: https://lnkd.in/dyWzguDM

Einordnung: Warum dieser Standard jetzt wichtig ist

DORA ist seit dem 17. Januar 2025 anzuwenden und markiert den Übergang von isolierten IT-Sicherheitsanforderungen hin zu einem einheitlichen europäischen Rahmen für digitale operationale Resilienz. Das Finanzmarktdigitalisierungsgesetz (FinmadiG) verankert zugleich die Prüfung ausgewählter DORA-Pflichten im Rahmen der Jahresabschlussprüfung – erstmals für Geschäftsjahre, die nach dem 31.12.2024 beginnen. In dieser Lage fehlte bislang ein sektorübergreifender Prüfungsmaßstab, der die Vielzahl an Einzelanforderungen in ein nachvollziehbares Prüfungsprogramm übersetzt. IDW EPS 528 schließt diese Lücke: Er formuliert eine prinzipienorientierte, risikobasierte Prüfarchitektur, die die Proportionalität in den Mittelpunkt stellt und gleichzeitig die Anschlussfähigkeit an die Aufsichtspraxis sicherstellt.

Das Thema BYOD hat in den letzten Monaten offenbar an Bedeutung eingebüßt, weil viele Verantwortliche mittlerweile erkannt haben, dass die damit verbundenen technischen und rechtlichen Probleme inhärent nicht beherrschbar sind und am Ende - insbesondere in Europa - die Verantwortung für dieses weitgehend verantwortungslose Konzept ganz allein bei den IT-Experten hängen bleibt. Dies wurde insbesondere in den letzten Blog Artikel offensichtlich.

Die grundsätzlich ähnlichen Konzepte von BlackBerry BALANCE oder Samsung KNOX, die zur Trennung von geschäftlichen und privaten Inhalten genutzt werden können, bringen neuen Schwung in die Diskussion über sichere und seriöse BYOD Konzepte. Unabhängig davon, dass man die rechtlichen Hürden in Deutschland, die BYOD mit keiner seriösen Technologie lösen kann, ist Samsung KNOX konzeptionell mehr als fragwürdig.

Auch aus datenschutzrechtlicher Sicht kann es zu Schwierigkeiten bei Bring your own Device kommen. Anforderungen an den Datenschutz gibt es in Bezug auf die Zugriffskontrolle auf Unternehmensdaten, sowie im Umgang mit privaten Daten.

Daher muss aus datenschutzrechtlicher Sicht bei der Verarbeitung von Daten der Nutzer erfasst werden aufgrund von Vorschriften zu technischen und organisatorischen Maßnahmen, auf der anderen Seite jedoch ist der Arbeitgeber nicht berechtigt die bei der privaten Nutzung angefallenen personenbezogenen Daten zu kontrollieren. Denn grundsätzlich setzt die Verarbeitung personenbezogener Daten die Einwilligung des Betroffenen oder eine gesetzliche Erlaubnis voraus. Beide gelten nur für das jeweilige Unternehmen

In meinen folgenden Postings möchte ich ByoD und seinen Einfluss auf IT Sicherheit / Compliance näher beleuchten. Dazu zunächst einmal die Einwirkung von ByoD auf Datensicherheit:

In Bezug auf die rechtliche Datensicherheit ist zu bedenken, dass die Sicherung von Daten vor unbefugtem Zugriff, der Zugriffsschutz für Unternehmensdaten, das Handling von Security Updates, sowie ein Schutz gegen Malware installiert sein muss.

Bei dem Thema Bring your own Device ist Lizenzmanagement ein wichtiges Thema. Während, wenn der Arbeitgeber die Endgeräte stellt geklärt ist, welche Lizenzgebühren für Software zu zahlen sind, ist das bei ByoD komplizierter.

Hier stellt sich die Frage, was mit Software ist, die privat durch den Arbeitnehmer gekauft wurde. Theoretisch könnte der Arbeitnehmer nach der Einführung von ByoD jegliche Software, welche privat angeschafft worden ist, auch beruflich nutzen, da es schwierig ist privaten von beruflichen Applikationen zu trennen. Allerdings untersagen viele Softwarehersteller dies, da es häufig unterschiedliche Lizenzen für privat und kommerziell genutzte Software gibt.Daher sollte jeder Arbeitgeber bei der Einführung von Bring your own Device überprüfen, welche Software genutzt werden darf. Da ByoD heute noch wenig verbreitet ist, kann es vorkommen, dass der Softwarehersteller keinerlei Lösung für den Arbeitgeber bereitstellen kann. Aus diesem Grunde ist es notwendig, dass die IT Abteilungen mit den Lizenzmanagern und auch mit den Softwareanbietern verhandeln. Allerdings sollte nicht nur bei der Anschaffung neuer Software verhandelt werden, auch bei Software mit vorhandener Lizenz sollte überprüft werden, ob die Lizenz weiterhin genutzt werden kann oder durch ein neues Lizenzmodell ausgetauscht werden muss. Viele Lizenzmodelle bieten Lizenzen pro Anwender bzw. Installation an. Gerade im Umgang mit Bring your own Device würde es sich jedoch anbieten diese dahingehend zu ändern, dass Lizenzen für Nutzungsdauern vergeben werden, denn ein Mitarbeiter nutzt selten mehrere Stunde am Tag die gleiche Software. Dieses Modell ist jedoch nur schwer durchsetzbar, da sich die Überprüfbarkeit schwierig gestaltet.