Regulator

BaFin – News und Maßnahmen I. Einleitung 1. Zweck der Überwachungskommunikation Erstmalig bis Ende 2025 gemäß § 4 Abs. 1 S. 1 Nr. 1 c) cc) und § 6 S. 1 Nr. 3 Verordnung über die Versicherungsmeldung (BerVersV) informiert diese Aufsichtsmitteilung über die Bildung der Schwankungsrückstellung für die neue Art der autonomen Cyberversicherung (Va 26.1). 2. Geltungsbereich und Begriffsbestimmungen Die aufsichtsrechtliche Bekanntmachung richtet sich an Versicherungsunternehmen, die Versicherungstätigkeiten in der Versicherungsform „CyberInsurance Stand Alone“ (nachfolgend „Cyber“) betreiben. Zur Art der Cyberversicherung zählen ausschließlich solche Policen, die eigenständig angeboten werden und in erster Linie dem Schutz vor Cyberrisiken und den daraus resultierenden unmittelbaren Risiken dienen. Ausgenommen hiervon sind Cyber-Versicherungsbestandteile, die als Ergänzung oder Zusatzdeckung zu anderen Versicherungsverträgen abgeschlossen werden. 3. Gültigkeitsdauer und Verhältnis zu anderen Veröffentlichungen Die Aufsichtsbescheide gelten ab sofort bis zum 31.12.2030, ab diesem Zeitpunkt sind sie ausreichend BaFin-Die Datenhaltung erfolgt für einen Beobachtungszeitraum von zehn Jahren und damit den gesetzlichen Regelungen des § 29 S. 1 Rechnungslegungsverordnung des Versicherungsunternehmens (RechVersV) iVm Abschnitt I Nr. 1 und Abschnitt III Nr. Es gilt Abs. 1 Abs. 1 der Anlage zu § 29. II. Regelung einer separaten Wertschwankungsreserve für die Art der Cyberversicherung Ab dem Berichtsjahr 2025 müssen Daten für Cyber gem BerVersV gesondert ausgewiesen werden. Die Einstufung von Cyber als eigenständige Versicherungsart (Va 26.1) in BerVersV wirkt sich auf die zukünftige Berechnung der Cyber-Schwankungsrückstellungen und die Versicherungsklassen/Versicherungsarten aus, unter denen Cyber-Prämien- und Schadensdaten bisher gemeldet wurden. 1. Ausgangslage der Rechtslage gemäß § 29 RechVersV iVm Anlage zu § 29 Gemäß § 29 S.1 RechVersV iVm In Abschnitt I Nr. 1 der Anlage zu § 29 besteht die Verpflichtung zur Bildung einer Schwankungsrückstellung, wenn bestimmte Mindestanforderungen an die verdienten Prämien, die Standardabweichung der Schadenquote und die Schadenkostenquote erfüllt sind. Zur Berechnung der Verlustraten müssen Daten aus einem Beobachtungszeitraum von mindestens zehn Jahren vorliegen (Abschnitt II Nr. 3 Abs. 2 der Anlage zu § 29 RechVersV), wobei sie aus eigenen oder von bereitgestellten Geschäftsunterlagen stammen BaFin veröffentlichte Verlustquoten (Abschnitt III Nr. 1 Abs. 1 der Anlage zu § 29 RechVersV). 2. Schaffung einer Cyber-Ausgleichsreserve für das Geschäftsjahr 2025 Nach Angaben von BaFin verfügt kein Versicherungsunternehmen, das im Geschäftsjahr 2025 Cybergeschäfte getätigt hat, über die notwendigen Daten für einen Beobachtungszeitraum von mindestens zehn Jahren, um Schadenquoten zu berechnen. Nach Kenntnisstand der Versicherungen BaFin nicht diejenigen, die ab Beginn des Cyber-Abdeckungsangebots erforderlich sind Regierung für Cyber freiwillig zum Zwecke der Bildung einer Wertschwankungsreserve erstellt. Auch die von BaFin Veröffentlichte Verlustraten beginnen erst im Jahr 2020 (siehe unten Ziff. III). Daher besteht für das Geschäftsjahr 2025 keine Verpflichtung zur Bildung einer Cyber-Ausgleichsrückstellung. Aus Sicht der Versicherungsunternehmen kann es jedoch erforderlich sein, bereits im Geschäftsjahr 2025 eine Schwankungsrückstellung für Cyber zu bilden. 29 S. 2 RechVersV sieht die Möglichkeit vor, im Einzelfall auf Antrag Abweichungen von der Berechnungsvorschrift zur Bildung einer Wertschwankungsrücklage zu genehmigen, wenn andernfalls der Ausgleich der Schwankungen der Jahresverlustverpflichtung nicht oder nicht ausreichend gewährleistet ist. Für die vorzeitige Bildung der Cyberausgleichsrückstellung kann eine generelle branchenweite Ausnahmegenehmigung erteilt werden BaFin nicht gewähren 3. Voraussetzungen für die frühzeitige Bildung einer Schwankungsrückstellung Eine Ausnahmegenehmigung für die vorzeitige Bildung einer Cyber-Ausgleichsrückstellung zu erhalten gemäß § 29 S. 2 RechVersV muss weiterhin Abschnitt I entsprechen Nr. 1 der Anlage zu § 29 RechVersV Die genannten Anforderungen in Bezug auf verdiente Beiträge, Standardabweichung und Verlust- und Kostenquote müssen erfüllt sein und können durch entsprechende Daten aus Ihren eigenen Geschäftsunterlagen nachgewiesen werden. Im Rahmen der Befreiung gemäß § 29 S. 2 RechVersV im Cyber-Bereich kann es Unternehmen jedoch gestattet sein, die Schadensquote stattdessen auf Basis von Daten aus einem verkürzten Beobachtungszeitraum von mindestens sieben Jahren zu berechnen RechVersV der geplante Beobachtungszeitraum von zehn Jahren. Voraussetzung für die Anwendung des verkürzten Beobachtungszeitraums ist jedoch, dass die für die Berechnung der Verlustquote erforderlichen Daten den vorhandenen eigenen Geschäftsunterlagen des Unternehmens entnommen werden können. Die Verwendung BaFin veröffentlichte Verlustquoten (siehe unten Ziff. III) ist nicht zulässig, wenn vorab eine Ausgleichsrückstellung gebildet wird. Der Beobachtungszeitraum von mindestens sieben Jahren gewährleistet eine gewisse statistische Mindestqualität Schätzung der Ausgleichsreserve aus früheren Daten. Diese Voraussetzungen müssen im Rahmen eines einfachen Bewerbungsverfahrens nachgewiesen werden. gewährt BaFin Sofern die Regelungen des Abschnitts I fortbestehen, ist die Gesellschaft, sofern sie der vorzeitigen Bildung einer Schwankungsrückstellung für Kybernetik zustimmt, von nun an daran gebunden. Nr. 1 der Anlage zu § 29 hinsichtlich der erwirtschafteten Beiträge, der Standardabweichung und der Verlust- und Aufwandsquote eingehalten werden. Bei der oben genannten Vorgehensweise (erstmalige Verkürzung des Beobachtungszeitraums im Rahmen einer Ausnahmegenehmigung) bei der neuen Art der Cyberversicherung handelt es sich um eine Übergangslösung, bis ausreichende Daten für einen zehnjährigen Beobachtungszeitraum entweder bei der jeweiligen Versicherung oder im Formular vorliegen BaFin Es liegen veröffentlichte Verlustraten vor. 4. Auswirkungen einer Cyber-Ausgleichsrückstellung auf andere Versicherungsarten Billigung BaFin für die vorzeitige Bildung der Cyber-Ausgleichsrückstellung erfolgt unter der Voraussetzung, dass die spezifischen Cyber-Daten aus den Daten der für die Schwankungsrückstellung relevanten Versicherungsbranche/Versicherungsart im Rahmen der Voraussetzungen entnommen werden oder von denen bisher im gesamten Beobachtungszeitraum Cyberdaten erhoben wurden. Dadurch wird eine doppelte Nutzung von Cyberdaten bei der Berechnung der Ausgleichsreserve vermieden. Kann die vorzeitige freiwillige Bildung einer Cyberschwankungsrückstellung nicht genehmigt werden, wird die Schwankungsrückstellung in der Versicherungssparte/Versicherungsart berechnet, in der sie tätig ist oder auf dem die Cyberdaten bisher gemäß den Anforderungen des Abschnitts I der Anlage zu § 29 erfasst wurden RechVersV. BaFin – Aktuelle Entwicklungen und Maßnahmen BaFin – Aktuelle Entwicklungen und Schritte

Konstanze Schneider marzo 17, 2026

I. Introduction

1. Purpose of Monitoring Communication

This supervisory notification informs about the formation of fluctuation reserves, as required by § 4 para. 1 No. 1 c) cc) and § 6 para. 1 No. 3 of the Regulation on Insurance Reporting (BerVersV) by the end of 2025, for the separately prepared income statement for the new type of autonomous cyber insurance (Va 26.1).

2. Scope and Definitions

This supervisory notification is directed towards insurance companies conducting insurance activities in the form of «Cyber Insurance Stand Alone» (hereinafter «Cyber»). Cyber insurance policies offered independently for the protection against cyber risks and the resulting immediate risks are considered as part of cyber insurance. Cyber insurance components that are supplementary or additional coverage to other insurance contracts are excluded.

3. Validity Period and Relationship to Other Publications

The supervisory orders are effective immediately until December 31, 2030, and comply with the regulations of § 29 para. 1 of the Insurance Company Accounting Regulation (RechVersV) in conjunction with Section I No. 1 and Section III No. 1 of the Annex to § 29.

II. Regulation of a Separate Fluctuation Reserve for Cyber Insurance

Starting from the reporting year 2025, data for Cyber must be separately disclosed according to BerVersV. The classification of Cyber as a standalone type of insurance (Va 26.1) in BerVersV will impact the future calculation of Cyber fluctuation reserves and the insurance classes/types under which Cyber premium and claims data have been reported.

1. Legal Basis Situation as per § 29 RechVersV

According to § 29 para. 1 RechVersV in conjunction with Section I No. 1 of the Annex to § 29, the formation of a fluctuation reserve is required if certain minimum requirements regarding earned premiums, standard deviation of the claims ratio, and loss cost ratio are met. Loss ratios must be calculated based on data from a minimum observation period of ten years, which can be obtained from the company’s own business records or provided by BaFin published loss ratios.

2. Establishment of a Cyber Fluctuation Reserve for the Year 2025

As of the business year 2025, no insurance company engaged in Cyber business has the necessary data for a minimum observation period of ten years to calculate loss ratios. Therefore, there is no obligation to form a Cyber fluctuation reserve for the year 2025. However, insurance companies may find it necessary to voluntarily create a fluctuation reserve for Cyber in 2025.

Keine Cyberdatenextraktion in diesem Fall

5. Einführung einer Verpflichtung zur Bildung einer Cyberausgleichsrücklage

Die Verpflichtung zur Bildung einer Cyber-Ausgleichsrückstellung entsteht, wenn ein Versicherungsunternehmen die gebildete Cyber-Ausgleichsrückstellung gezielt für den Zweck der Ausgleichsrückstellung verwendet. Die Regierung über Cyber-Daten von zehn Jahren verfügt und die anderen Anforderungen an verdiente Beiträge, Standardabweichung und Verlust- und Kostenquote erfüllt sind. Für ein Unternehmen, das seit 2017 im Bereich Cyberversicherung tätig ist und angemessen ist, könnte die Voraussetzungen für die verpflichtende Bildung der Cyber-Ausgleichsrückstellung im Jahr 2027 erfüllt sein. In diesem Fall müssen die cyberspezifischen Daten aus den Daten der Versicherungsbranche/Versicherungsart für den gesamten Beobachtungszeitraum extrahiert werden oder an wen bisher Cyberdaten gemeldet wurden.

Wenn ein Unternehmen nicht über die notwendigen eigenen Daten für den gesamten zehnjährigen Beobachtungszeitraum verfügt, weil dies der Fall ist, z.B., Erstmals nach 2020 liegt das gezeichnete Cyber-Versicherungsgeschäft jahrelang vor dem Underwriting BaFin-Verwenden Sie die Daten, um den Beobachtungszeitraum abzuschließen. Ab 2030 müssten diese Unternehmen Cyber-Ausgleichsrückstellungen bilden, wenn zusätzliche Anforderungen an verdiente Beiträge, Standardabweichung und Verlust- und Kostenquote erfüllt werden.

III. Schadensraten und Kostensätze für eigenständige Cyberversicherungen 2020–2024

Nachfolgend werden Nettoschaden- und Bruttokostenquoten für autonome Cyberversicherungen im Selbstvertrag (saG) und übernommenen Geschäft (üG) für Schaden- und Unfallversicherungsunternehmen sowie Nettoschadenquoten und Bruttokostenquoten für autonome Cyberversicherungen in üG für Rückversicherungsunternehmen für die Jahre 2020 – 2024 veröffentlicht. Sie basieren auf den zuvor bereitgestellten Informationen von BaFin Informationsbefragungen zum Bereich Cyber-Versicherungen.

Eigenständige SAG-Cyberversicherung für Schaden- und Unfallversicherungsunternehmen	2024	2023	2022	2021	2020
Nettoschadensrate	50,4 %	74,0 %	65,2 %	102,3 %	27,8 %
Bruttokostenquote	24,3 %	22,7 %	20,6 %	22,6 %	22,4 %

üG unabhängige Cyber-Versicherung für Schäden und Unfallversicherungsgesellschaft	2024	2023	2022	2021	2020
Nettoschadensrate	70,9 %	68,8 %	-79,8 %	60,9 %	90,4 %
Bruttokostenquote	35,1 %	32,6 %	30,8 %	29,8 %	32,1 %

Autonome Cyberversicherung üG für Rückversicherungsunternehmen	2024	2023	2022	2021	2020
Nettoschadensrate	75,8 %	70,9 %	75,0 %	94,2 %	63,3 %
Bruttokostenquote	25,3 %	25,7 %	26,6 %	30,2 %	28,4 %

Anforderungen für die frühzeitige Bildung einer Schwankungsrückstellung

Um eine Ausnahmegenehmigung für die vorzeitige Bildung einer Cyber-Ausgleichsrückstellung gemäß § 29 Abs. 2 RechVersV zu erhalten, müssen bestimmte Voraussetzungen erfüllt sein. Diese beinhalten die Einhaltung der Anforderungen in Abschnitt I Nr. 1 der Anlage zu § 29 RechVersV bezüglich verdienter Beiträge, Standardabweichung und Verlust- und Kostenquote. Diese Kriterien können durch entsprechende Daten aus den eigenen Geschäftsunterlagen nachgewiesen werden.

Im Falle von Cyber-Versicherungen kann es Unternehmen gestattet sein, die Schadensquote auf Basis von Daten aus einem verkürzten Beobachtungszeitraum von mindestens sieben Jahren zu berechnen, anstatt den geplanten Beobachtungszeitraum von zehn Jahren zu verwenden. Die Daten für die Verlustquote müssen dabei aus den eigenen Geschäftsunterlagen entnommen werden. Die Verwendung von von der BaFin veröffentlichten Verlustquoten ist nicht erlaubt, wenn bereits eine Ausgleichsrückstellung gebildet wurde.

Der Beobachtungszeitraum von mindestens sieben Jahren gewährleistet eine statistische Mindestqualität bei der Schätzung der Ausgleichsreserve aus früheren Daten. Diese Voraussetzungen müssen innerhalb eines einfachen Bewerbungsverfahrens nachgewiesen werden.

Sofern die Regelungen des Abschnitts I fortbestehen, muss die Gesellschaft bei Zustimmung zur vorzeitigen Bildung einer Schwankungsrückstellung für Cyber-Versicherungen die Anforderungen in Abschnitt I Nr. 1 der Anlage zu § 29 hinsichtlich verdienter Beiträge, Standardabweichung und Verlust- und Kostenquote einhalten.

Die Verkürzung des Beobachtungszeitraums im Rahmen einer Ausnahmegenehmigung für Cyber-Versicherungen stellt eine Übergangslösung dar, bis ausreichende Daten für einen zehnjährigen Beobachtungszeitraum verfügbar sind. Diese Daten können entweder bei der jeweiligen Versicherung oder im Formular vorliegen.

4. Auswirkungen einer Cyber-Ausgleichsrückstellung auf andere Versicherungsarten

Die Billigung für die vorzeitige Bildung einer Cyber-Ausgleichsrückstellung erfolgt unter der Voraussetzung, dass spezifische Cyber-Daten aus den relevanten Versicherungsbranchen/Versicherungsarten entnommen werden, um eine doppelte Nutzung zu vermeiden. Falls die vorzeitige Bildung einer Cyberschwankungsrückstellung nicht genehmigt werden kann, wird die Schwankungsrückstellung entsprechend in der Versicherungssparte/Versicherungsart berechnet, in der sie tätig ist.

5. Einführung einer Verpflichtung zur Bildung einer Cyberausgleichsrücklage

Die Verpflichtung zur Bildung einer Cyber-Ausgleichsrückstellung entsteht, wenn ein Unternehmen die gebildete Rückstellung gezielt für diesen Zweck verwendet, über ausreichende Cyber-Daten von zehn Jahren verfügt und die anderen Anforderungen erfüllt sind. Unternehmen, die seit 2017 im Bereich Cyberversicherung tätig sind, könnten ab 2027 die Verpflichtung zur Bildung einer Cyber-Ausgleichsrückstellung erfüllen. Falls ein Unternehmen nicht über eigene Daten für den gesamten zehnjährigen Beobachtungszeitraum verfügt, können diese ab 2030 verwendet werden, um die Bildung einer Cyber-Ausgleichsrückstellung zu begründen.

III. Schadensraten und Kostensätze für eigenständige Cyberversicherungen 2020–2024

Die Nettoschaden- und Bruttokostenquoten für autonome Cyberversicherungen werden für die Jahre 2020 – 2024 für Schaden- und Unfallversicherungsunternehmen sowie für Rückversicherungsunternehmen veröffentlicht. Die Daten basieren auf Informationen aus Umfragen der BaFin zum Bereich Cyber-Versicherungen.

Validity period and relation to other publications

The supervisory letters are valid from now until 31.12.2030, after which they are sufficient. The data storage is for an observation period of ten years in accordance with the legal regulations of § 29 RechVersV of the insurance company. The creation of a separate fluctuation reserve for cyber insurance starting from the reporting year 2025 must be done in compliance with the regulatory requirements. The calculation of loss rates requires data from a minimum observation period of ten years, either from the company’s own business records or from provided business records.

For the early creation of a cyber fluctuation reserve, certain conditions must be met and a simplified application process needs to be followed. The use of a shortened observation period of at least seven years may be allowed in the cyber sector for the calculation of loss rates, as long as the necessary data can be extracted from the company’s own business records. This is a temporary solution until sufficient data for a ten-year observation period is available.

The approval for the early formation of the cyber fluctuation reserve is granted under the condition that specific cyber data is extracted from the relevant insurance sector/insurance type data for the fluctuation reserve calculation. If the early voluntary formation of a cyber fluctuation reserve is not approved, the fluctuation reserve is calculated within the insurance sector/type where the cyber data was previously collected.

The obligation to form a cyber fluctuation reserve arises when an insurance company specifically uses the formed reserve for that purpose and has cyber data for ten years, meeting the requirements for earned premiums, standard deviation, and loss and cost ratios. For a company operating in the cyber insurance sector since 2017, the conditions for the mandatory formation of a cyber fluctuation reserve may be met by 2027. Rewrite: «bzw. an wen bisher Cyberdaten gemeldet wurden.»

«If a company does not have the necessary data for the entire ten-year observation period because, for example, the written cyber insurance business predates 2020 by several years before underwriting BaFin, they should use the data to complete the observation period. From 2030 onwards, these companies would need to establish cyber equalization reserves if additional requirements regarding earned premiums, standard deviation, and loss and expense ratio are met.» Can you please rephrase this sentence? Please rewrite this sentence.

QUELLEN