BaFin schreibt Cyber-Versicherern neue Rückstellungsregeln vor

Die deutsche Finanzaufsicht BaFin verschärft die Regeln für Cyber-Versicherer. Ab sofort müssen sie spezielle Schwankungsrückstellungen für diese Risikoklasse bilden – ein Novum. Hintergrund ist die wachsende Bedrohung durch Cyberangriffe, die Versicherer vor enorme finanzielle Herausforderungen stellen.

Während Versicherer ihre Rückstellungen für digitale Schadensfälle erhöhen, stehen viele Firmen bereits jetzt vor massiven Risiken durch neue Cyber-Bedrohungen. Dieser kostenlose Experten-Report enthüllt effektive Strategien, wie mittelständische Unternehmen sich ohne Budget-Explosion gegen Cyberkriminelle wappnen. Effektive Strategien gegen Cyberangriffe jetzt kostenlos entdecken

Cyber wird zur eigenständigen Risikoklasse

Cyber-Versicherungen sind längst kein Nischenprodukt mehr. Sie haben sich zu einer kritischen, eigenständigen Sparte entwickelt. Unternehmen aller Branchen setzen auf diese Policen, um sich vor den finanziellen Folgen von Datenlecks, Ransomware-Angriffen und Betriebsunterbrechungen abzusichern.

Genau diesen strukturellen Wandel nimmt die BaFin nun in den Blick. Mit der am 12. März 2026 veröffentlichten „Aufsichtsmitteilung 01/2026 (VA)“ schafft sie klare Rahmenbedingungen. Kern der Neuregelung: Versicherer müssen für das Geschäftsjahr 2025 erstmals eine separate Gewinn- und Verlustrechnung ausschließlich für Cyber-Risiken erstellen.

Bislang wurden Cyber-Prämien und Schäden oft in allgemeinen Haftpflicht- oder Sachversicherungen verbucht. Diese Praxis machte es jedoch schwer, das spezifische Risiko und die Profitabilität des Cyber-Portfolios genau zu bewerten. Die neue Klassifizierung als eigene Versicherungssparte soll für mehr Transparenz sorgen.

Kürzere Beobachtungszeiträume und Branchendaten als Lösung

Schwankungsrückstellungen sind ein zentrales Stabilisierungsinstrument. Sie sollen Versicherer gegen außergewöhnlich hohe Schadenjahre absichern. Normalerweise werden sie auf Basis eines zehnjährigen Beobachtungszeitraums historischer Schadendaten berechnet.

Doch der Markt für eigenständige Cyber-Policen ist noch jung. Kein Versicherer verfügt derzeit über zehn Jahre spezifischer Daten. Die BaFin reagiert darauf mit einer pragmatischen Lösung: Sie erlaubt die Bildung der Rückstellung bereits nach einem verkürzten Beobachtungszeitraum von sieben Jahren.

Für Gesellschaften, denen selbst diese Daten fehlen – etwa weil sie erst nach 2020 in das Cyber-Geschäft eingestiegen sind – stellt die Aufsicht standardisierte Branchendaten bereit. Diese aggregierten Zahlen für die Jahre 2020 bis 2024 sollen als statistische Grundlage dienen. So soll sichergestellt werden, dass alle Marktteilnehmer solide Rückstellungen bilden können.

Doppelzählungen in alten Rückstellungen vermeiden

Eine große technische Herausforderung ist die Übertragung historischer Finanzdaten. Da Cyber-Risiken früher unter anderen Sparten verbucht wurden, droht bei der Bildung neuer, spezifischer Rückstellungen eine statistische Doppelzählung.

Die BaFin schreibt deshalb strenge Protokolle zur Datenextraktion vor. Erhält ein Versicherer die frühzeitige Genehmigung für eine Cyber-Rückstellung, muss er alle cyber-spezifischen Daten aus den historischen Büchern der alten Sparten herauslösen.

Diese penible Trennung soll verhindern, dass Prämien und Schäden in den Rückstellungen mehrerer Versicherungszweige doppelt erfasst werden. Gibt es keine frühzeitige Genehmigung, muss die Berechnung weiterhin in der alten Sparte erfolgen. Experten zufolge verhindert diese klare Abgrenzung eine künstliche Aufblähung der Rückstellungen.

Besonders perfide Angriffsmuster wie Phishing führen aktuell zu Rekordschäden und fordern die finanzielle Belastbarkeit von Unternehmen und Versicherern heraus. In diesem 4-Schritte-Guide erfahren IT-Verantwortliche und Entscheider, wie sie ihre Organisation wirksam vor aktuellen Hacker-Methoden schützen. Kostenlosen Anti-Phishing-Guide herunterladen

Ein Baustein für digitale und finanzielle Resilienz

Die neuen Vorschriften sind Teil einer breiteren europäischen Initiative für mehr digitale Widerstandsfähigkeit. Regulatorische Rahmenwerke wie der Digital Operational Resilience Act (DORA) zwingen Finanzunternehmen bereits dazu, ihre IT-Infrastrukturen besser abzusichern.

Während DORA den operativen Fokus hat, adressiert die BaFin-Richtlinie nun die finanzielle Seite: die Kapitalausstattung für den Fall einer Cyber-Katastrophe. Im modernen Corporate Governance wird Cyber-Risikomanagement zunehmend als Säule des ESG-Profils (Environmental, Social, Governance) gesehen.

Investoren und Ratingagenturen fordern Transparenz darüber, wie Unternehmen auf digitale Desaster finanziell vorbereitet sind. Die datengetriebene Vorgehensweise der BaFin soll sicherstellen, dass deutsche Versicherer robust genug für die unberechenbare Natur von Cyberangriffen sind. Dieser vernetzte Ansatz könnte zum Vorbild für andere europäische Aufseher werden.

Übergangsfrist bis 2030

Die neuen Regeln gelten sofort für alle Versicherer in Deutschland, die eigenständige Cyber-Policen anbieten. Dieses Übergangsregime bleibt bis zum 31. Dezember 2030 in Kraft. Bis dahin rechnet die BaFin damit, dass sich in der Branche genügend historische Daten angesammelt haben, um wieder zum Standard-Zehnjahreszeitraum überzugehen.

Die Versicherer stehen nun vor erheblichen Investitionen in Datenmanagement, Aktuariat und Berichtswesen. Die Zeit bis 2030 bietet einen strukturierten Weg. Marktbeobachter sehen in der Regelung einen gelungenen Ausgleich zwischen dem makroökonomischen Stabilitätsbedürfnis und den praktischen Grenzen historischer Daten in einem sich rasant wandelnden digitalen Risikoumfeld.

boerse | 68665101 |