Erscheinung: 12.03.2026 | Thema Versicherungen Aufsichtsmitteilung

Aufsichtsmitteilung 01/2026 (VA):
Bildung einer Schwankungsrückstellung für die Versicherungsart Cyber Stand alone

Cyberdaten 2020-2024 aus Branchenabfragen

Inhalt

• I. Einführung
  • 1. Ziel der Aufsichtsmitteilung
  • 2. Anwendungsbereich und Begriffsdefinition
  • 3. Geltungsdauer und Verhältnis zu anderen Veröffentlichungen
• II. Regelung für eine eigene Schwankungs-rückstellung für die Versicherungsart Cyber
  • 1. Rechtliche Ausgangssituation gem. § 29 RechVersV i.V.m. der Anlage zu § 29
  • 2. Bildung einer Schwankungsrückstellung für Cyber ab dem Bilanzjahr 2025
  • 3. Voraussetzungen für eine vorzeitige Bildung einer Schwankungsrückstellung
  • 4. Auswirkung einer Schwankungsrückstellung Cyber auf andere Versicherungsarten
  • 5. Eintritt einer Pflicht zur Bildung einer Schwankungsrückstellung Cyber
• III. Schadenquoten und Kostenquoten für die Cyberversicherung Stand alone 2020-2024 Diese Aufsichtsmitteilung gilt bis zum 31.12.2030.

I. Einführung

1. Ziel der Aufsichtsmitteilung

Vor dem Hintergrund der per Ende 2025 erstmals gemäß § 4 Abs. 1 S. 1 Nr. 1 c) cc) und § 6 S. 1 Nr. 3 Versicherungsberichterstattungs-Verordnung (BerVersV) gesondert aufzustellenden Gewinn- und Verlust-Rechnung (GuV) zur neuen Versicherungsart Cyberversicherung Stand alone (Va 26.1) gibt diese Aufsichtsmitteilung Hinweise zur Bildung der Schwankungsrückstellung.

2. Anwendungsbereich und Begriffsdefinition

Die Aufsichtmitteilung richtet sich an Versicherungsunternehmen, die Versicherungsgeschäft in der Versicherungsart “Cyberversicherung Stand alone” (im Folgenden “Cyber”) zeichnen.
Die Versicherungsart Cyber umfasst nur solche Policen, die eigenständig angeboten werden und die primär dem Schutz vor Cyberrisiken und den unmittelbar daraus resultierenden Folgerisiken dienen. Darunter fallen keine Cyberversicherungskomponenten, die als Ergänzung oder Add-on-Deckungen zu anderen Versicherungsverträgen abgeschlossen werden.

3. Geltungsdauer und Verhältnis zu anderen Veröffentlichungen

Die Aufsichtsmitteilung gilt ab sofort bis zum 31.12.2030, da ab diesem Zeitpunkt ausreichende BaFin -Daten für einen zehnjährigen Beobachtungszeitraum vorliegen werden und somit die gesetzlichen Regelungen nach § 29 S. 1 Versicherungsunternehmens-Rechnungslegungsverordnung (RechVersV) i.V.m. Abschnitt I Nr. 1 und Abschnitt III Nr. 1 Absatz 1 der Anlage zu § 29 greifen. **

II. Regelung für eine eigene Schwankungs-rückstellung für die Versicherungsart Cyber

Ab dem Berichtsjahr 2025 müssen die Daten für Cyber gemäß BerVersV separat berichtet werden. Die Klassifizierung von Cyber als eigene Versicherungsart (Va 26.1) in der BerVersV hat Auswirkungen auf die künftige Berechnung der Schwankungsrückstellungen für Cyber und die Versicherungszweige/Versicherungsart, unter denen die Beitrags- und Schadendaten für Cyber bislang berichtet wurden.

1. Rechtliche Ausgangssituation gem. § 29 RechVersV i.V.m. der Anlage zu § 29

Gemäß § 29 S.1 RechVersV i.V.m. Abschnitt I Nr.1 der Anlage zu § 29 besteht eine Pflicht zur Bildung einer Schwankungsrückstellung, wenn bestimmte Mindestvoraussetzungen in Bezug auf die verdienten Prämien, die Standardabweichung von der Schadenquote und die Schaden-Kostenquote vorliegen. Für die Berechnung der Schadenquoten müssen Daten eines Beobachtungszeitraumes von mindestens zehn Jahren vorliegen (Abschnitt II Nr. 3 Abs. 2 der Anlage zu § 29 RechVersV), wobei diese aus den eigenen Geschäftsunterlagen oder aus den von der BaFin veröffentlichten Schadenquoten stammen können (Abschnitt III Nr. 1 Abs. 1 der Anlage zu § 29 RechVersV).

2. Bildung einer Schwankungsrückstellung für Cyber ab dem Bilanzjahr 2025

Nach Datenlage der BaFin verfügt zum jetzigen Zeitpunkt kein Versicherungsunternehmen, das Cybergeschäft im Geschäftsjahr 2025 betrieben hat, über die erforderlichen Daten eines Beobachtungszeitraums von mindestens zehn Jahren für die Berechnung der Schadenquoten. Die Versicherungsunternehmen haben nach Kenntnis der BaFin nicht von Beginn des Angebots der Cyberdeckung an die erforderlichen GuV für Cyber freiwillig für Zwecke der Bildung einer Schwankungsrückstellung erstellt. Auch die von der BaFin veröffentlichten Schadenquoten beginnen erst mit dem Jahr 2020 (s. unten Ziff. III). Daher besteht keine Pflicht zur Bildung einer Schwankungsrückstellung für Cyber für das Bilanzjahr 2025.

Es kann aus Sicht der Versicherungsunternehmen aber geboten sein, schon ab dem Bilanzjahr 2025 eine Schwankungsrückstellung für Cyber zu bilden.

29 S. 2 RechVersV sieht die Möglichkeit vor, auf Antrag im Einzelfall Abweichungen von den Berechnungsvorschriften zur Bildung einer Schwankungsrückstellung zu genehmigen, wenn anderenfalls der Ausgleich der Schwankungen im jährlichen Schadenbedarf nicht oder nicht ausreichend gewährleistet ist.
Eine branchenweite generelle Ausnahmebewilligung für eine vorzeitige Bildung der Schwankungsrückstellung für Cyber kann die BaFin nicht gewähren.

3. Voraussetzungen für eine vorzeitige Bildung einer Schwankungsrückstellung

Für den Erhalt einer Ausnahmegenehmigung zur vorzeitigen Bildung einer Schwankungsrückstellung Cyber gem. § 29 S. 2 RechVersV müssen weiterhin die in Abschnitt I Nr. 1 der Anlage zu § 29 RechVersV genannten Voraussetzungen bezogen auf die verdienten Beiträge, die Standardabweichung sowie die Schaden- und Kostenquote erfüllt sein und durch entsprechende Daten aus den eigenen Geschäftsunterlagen nachgewiesen werden können.

Im Rahmen der Ausnahmegenehmigung gem. § 29 S. 2 RechVersV in Bezug auf Cyber kann  den Unternehmen jedoch zugestanden werden, die Schadenquote auf Basis der Daten eines verkürzten Beobachtungszeitraum von mindestens sieben Jahren anstelle des in der RechVersV vorgesehenen Beobachtungszeitraums von zehn Jahren zu berechnen. Voraussetzung für die Anwendung des verkürzten Beobachtungszeitraums ist jedoch, dass die erforderlichen Daten für die Berechnung der Schadenquote aus den vorhandenen eigenen Geschäftsunterlagen entnommen werden können. Die Verwendung der von der BaFin veröffentlichten Schadenquoten (s.u. Ziff. III) ist bei der vorzeitigen Bildung einer Schwankungsrückstellung nicht zulässig.

Der mindestens siebenjährige Beobachtungszeitraum stellt dabei eine gewisse statistische Mindestqualität [1] der Schätzung der Schwankungsrückstellung aus Vergangenheitsdaten sicher.

Diese Voraussetzungen sind im Rahmen eines einfachen Antragsverfahrens nachzuweisen.

Erteilt die BaFin die Genehmigung zur vorzeitigen Bildung einer Schwankungsrückstellung für Cyber, so ist das Unternehmen fortan hieran gebunden, sofern weiterhin die in Abschnitt I Nr. 1 der Anlage zu § 29 genannten Voraussetzungen bezogen auf die verdienten Beiträge, die Standardabweichung sowie die Schaden- und Kostenquote erfüllt sind.

Es handelt sich bei dem vorgenannten Vorgehen (anfängliche Verkürzung des Beobachtungszeitraumes im Rahmen einer Ausnahmegenehmigung) betreffend der neuen Versicherungsart Cyber um eine Übergangslösung, bis ausreichende Daten für einen zehnjährigen Beobachtungszeitraum entweder bei dem jeweiligen Versicherungsunternehmen oder in Form der von der BaFin veröffentlichten Schadenquoten vorliegen.

4. Auswirkung einer Schwankungsrückstellung Cyber auf andere Versicherungsarten

Die Genehmigung der BaFin zur vorzeitigen Bildung der Schwankungsrückstellung Cyber erfolgt mit der Maßgabe, die cyberspezifischen Daten aus den für die Schwankungsrückstellung relevanten Daten des Versicherungszweiges/der Versicherungsart, unter dem bzw. der die Cyber-Daten bislang erfasst wurden, für den gesamten Beobachtungszeitraum zu extrahieren. Damit wird eine Doppelverwendung der Cyber-Daten bei der Berechnung der Schwankungsrückstellungen vermieden.

Kann eine vorzeitige freiwillige Bildung einer Schwankungsrückstellung für Cyber nicht genehmigt werden, erfolgt die Berechnung der Schwankungsrückstellung in dem Versicherungszweig/der Versicherungsart, unter dem bzw. der die Cyber-Daten bislang erfasst wurden, entsprechend den Vorgaben aus Abschnitt I der Anlage zu § 29 RechVersV. Eine Extrahierung der Cyber-Daten ist in diesem Fall nicht vorzunehmen.

5. Eintritt einer Pflicht zur Bildung einer Schwankungsrückstellung Cyber

Eine Pflicht zur Bildung einer Schwankungsrückstellung Cyber entsteht, wenn ein Versicherungsunternehmen aus den eigens für die Zwecke der Schwankungsrückstellung Cyber erstellten GuV über Cyber-Daten für zehn Jahre verfügt und die weiteren Voraussetzungen bezogen auf verdiente Beiträge, Standardabweichung und Schaden- und Kostenquote erfüllt sind. Bei einem Unternehmen, das seit 2017 Geschäft in der Versicherungsart Cyber zeichnet und entsprechende GuV erstellt hat, könnten demnach im Jahr 2027 die Voraussetzungen für eine verpflichtende Bildung der Schwankungsrückstellung in Cyber erfüllt sein. Die cyberspezifischen Daten sind in dem Fall für den gesamten Beobachtungszeitraum aus den Daten des Versicherungszweigs/der Versicherungsart zu extrahieren, unter dem bzw. der die Cyber-Daten bislang berichtet wurden.

Verfügt ein Unternehmen nicht über die erforderlichen eigenen Daten für den gesamten Beobachtungszeitraum von zehn Jahren, da es z.B. erstmals nach 2020 Geschäft in der Versicherungsart Cyber gezeichnet hat, sind für die Jahre vor Zeichnungsbeginn die BaFin -Daten zur Auffüllung des Beobachtungszeitraums zu verwenden. Ab 2030 würde bei diesen Unternehmen eine Pflicht zur Bildung der Schwankungsrückstellung für Cyber bestehen, wenn die weiteren Voraussetzungen bezogen auf verdiente Beiträge, Standardabweichung und Schaden- und Kostenquote erfüllt sind.

III. Schadenquoten und Kostenquoten für die Cyberversicherung Stand alone 2020-2024

Nachfolgend werden die Schadenquoten Netto und Kostenquoten Brutto für die Cyberversicherung Stand alone im selbst abgeschlossenen Geschäft (saG) und übernommenen Geschäft (üG) für Schaden- und Unfallversicherungsunternehmen sowie die Schadenquoten Netto und Kostenquoten Brutto für die Cyberversicherung Stand alone im üG für Rückversicherungsunternehmen für die Jahre 2020 – 2024 veröffentlicht. Diese basieren auf den bisher von der BaFin durchgeführten Informationserhebungen im Segment Cyberversicherung.

| Cyberversicherung Stand alone saG für Schaden- und Unfallversicherungsunternehmen | 2024 | 2023 | 2022 | 2021 | 2020 |
| --- | --- | --- | --- | --- | --- |
| Schadenquote Netto | 50,4% | 74,0% | 65,2% | 102,3% | 27,8% |
| Kostenquote Brutto | 24,3% | 22,7% | 20,6% | 22,6% | 22,4% |

| Cyberversicherung Stand alone üG für Schaden- und
Unfallversicherungsunternehmen | 2024 | 2023 | 2022 | 2021 | 2020 |
| --- | --- | --- | --- | --- | --- |
| Schadenquote Netto | 70,9% | 68,8% | -79,8% | 60,9% | 90,4% |
| Kostenquote Brutto | 35,1% | 32,6% | 30,8% | 29,8% | 32,1% |

| Cyberversicherung Stand alone üG
für Rückversicherungsunternehmen | 2024 | 2023 | 2022 | 2021 | 2020 |
| --- | --- | --- | --- | --- | --- |
| Schadenquote Netto | 75,8% | 70,9% | 75,0% | 94,2% | 63,3% |
| Kostenquote Brutto | 25,3% | 25,7% | 26,6% | 30,2% | 28,4% |

Fanden Sie den Beitrag hilfreich?

Wir freuen uns über Ihr Feedback Es hilft uns, die Webseite kontinuierlich zu verbessern und aktuell zu halten. Bei Fragen, für deren Beantwortung wir Sie kontaktieren sollen, nutzen Sie bitte unser Kontaktformular.

Wir freuen uns über Ihr Feedback hilfreich weniger hilfreich Kommentar (max. 1000 Zeichen):

Navigation

• Ak­tu­el­le The­men
• News & Maß­nah­men:
• Ri­si­ken im Fo­kus
• Re­den
• Da­ten­ban­ken & Lis­ten
• Jah­res­be­rich­te
• Sta­tis­ti­ken
• Bro­schü­ren
• Tä­tig­keits­be­richt der Schlich­tungs­stel­le
• Ver­öf­fent­li­chun­gen nach § 47 Zah­lungs­kon­ten­ge­setz
• Auf­sichts­in­for­ma­tio­nen nach dem IFG