Mit der Insurance Recovery and Resolution Directive (IRRD) hat der europäische Gesetzgeber einen Rahmen geschaffen, der die Abwicklungs- und Sanierungsfähigkeit von Versicherungs- und Rückversicherungsunternehmen grundlegend neu ordnet. In Anlehnung an die Erfahrungen aus der Bankenregulierung zielt die IRRD darauf ab, systemische Risiken im Versicherungssektor zu minimieren und den Schutz der Versicherungsnehmer auch in Krisensituationen sicherzustellen.
Die Richtlinie ist seit Januar 2025 in Kraft und muss bis Januar 2027 in nationales Recht umgesetzt werden – in Deutschland hat das Bundesministerium der Finanzen bereits im Februar 2026 einen entsprechenden Gesetzentwurf vorgelegt (siehe hier). Für Complianceabteilungen bedeutet dies: ein neuer, vielschichtiger Prüfstein, der weit über die bisherigen aufsichtsrechtlichen Anforderungen hinausgeht und tiefgreifende Anpassungen in Organisation, Governance, Datenmanagement und Berichtswesen erfordert.
Recovery & Resolution Planning: Vorsorge als Pflicht
Das Herzstück der IRRD bilden die verpflichtenden Sanierungs- und Abwicklungspläne. Versicherungsunternehmen, die in den Anwendungsbereich der Richtlinie fallen, müssen künftig präventive Sanierungspläne (Recovery Plans) erstellen, die aufzeigen, wie das Unternehmen in einer finanziellen Stresssituation seine Stabilität wiederherstellen kann. Parallel dazu erarbeiten die zuständigen Abwicklungsbehörden Abwicklungspläne (Resolution Plans), die den geordneten Rückbau oder die Restrukturierung eines Unternehmens ermöglichen sollen, ohne dass der Steuerzahler belastet wird.
Für die Praxis bedeutet dies zunächst eine umfassende Bestandsaufnahme: Unternehmen müssen ihre kritischen Funktionen identifizieren, interne und externe Abhängigkeiten analysieren und ein Spektrum an Handlungsoptionen definieren, die in unterschiedlichen Stressszenarien greifen. Die meisten Informationen sollten dabei in der Praxis bereits vorliegen – im Risikomanagement und in den Complianceabteilungen hat man aufgrund diverser anderer Vorschriften in den vergangenen Jahren Entsprechendes analysiert. Es muss nun aber für andere Zwecke genutzt werden.
Die Sanierungspläne müssen regelmäßig aktualisiert und den Aufsichtsbehörden vorgelegt werden. Dabei ist besonders zu beachten, dass die Pläne nicht nur theoretischer Natur sein dürfen – sie müssen operativ umsetzbar sein und im Ernstfall tatsächlich funktionieren.
Recovery Planning ist kein isoliertes Compliancethema, sondern ein unternehmensweites Vorhaben, das klare Verantwortlichkeiten und Eskalationsmechanismen erfordert.
Governanceschnittstellen: Neue Anforderungen an die Unternehmensführung
Die IRRD stellt erhöhte Anforderungen an die Corporate Governance der betroffenen Unternehmen. Vorstände und Aufsichtsräte müssen sich aktiv mit der Sanierungs- und Abwicklungsplanung auseinandersetzen. Die Richtlinie verlangt, dass die Leitungsorgane die Sanierungspläne genehmigen und deren Umsetzungsfähigkeit überwachen. Damit rückt die IRRD die persönliche Verantwortung der Geschäftsleitung stärker in den Fokus als je zuvor.
Besonders herausfordernd sind die Governanceschnittstellen, die sich aus dem Zusammenspiel der IRRD mit bestehenden Regelwerken ergeben. Die Anforderungen an die Geschäftsorganisation nach Solvency II, die Fit-and-Proper-Anforderungen sowie die Schlüsselfunktionen (Risikomanagement, Compliance, Interne Revision, Versicherungsmathematische Funktion) müssen mit den neuen IRRD-Vorgaben harmonisiert werden. Es entstehen neue Berichtslinien und Informationspflichten, die in die bestehende Governancestruktur integriert werden müssen.
Gruppenweite Implikationen verstärken die Komplexität zusätzlich. Bei grenzüberschreitend tätigen Versicherungsgruppen müssen Sanierungspläne auf Gruppenebene erstellt werden, was eine enge Koordination zwischen den einzelnen Gruppenunternehmen und deren jeweiligen Aufsichtsbehörden voraussetzt. Compliancefunktionen stehen hier vor der Aufgabe, gruppenweite Standards zu entwickeln und gleichzeitig lokale regulatorische Besonderheiten zu berücksichtigen.
Daten- und Reportinganforderungen: Solvency II und DORA als Referenzpunkte
Die IRRD bringt erhebliche Daten- und Reportinganforderungen mit sich, die unmittelbar an die bestehenden Rahmenwerke Solvency II und DORA (Digital Operational Resilience Act) anknüpfen.
Solvency II als Fundament:
Die quantitativen und qualitativen Berichtsanforderungen unter Solvency II bilden die Grundlage, auf der die IRRD aufbaut. Unternehmen müssen in der Lage sein, granulare Daten zu Kapitalausstattung, Reservierung, Anlagenportfolio und Risikoexposure zeitnah und konsistent bereitzustellen. Die Sanierungspläne greifen auf dieselben Datenquellen zurück, die auch für den ORSA (Own Risk and Solvency Assessment), den RSR (Regular Supervisory Report) und den SFCR (Solvency and Financial Condition Report) genutzt werden. Eine Integration der IRRD-Anforderungen in die bestehende Solvency-II-Berichtsarchitektur ist daher nicht nur sinnvoll, sondern notwendig, um Doppelarbeit und Inkonsistenzen zu vermeiden.
DORA als Ergänzung:
Mit dem Digital Operational Resilience Act hat die EU einen Rahmen für die digitale operationale Resilienz des Finanzsektors geschaffen, der auch für Versicherungsunternehmen gilt. Die Schnittstellen zur IRRD sind evident: Die Fähigkeit zur Aufrechterhaltung kritischer IT-Systeme und -Prozesse ist unmittelbar relevant für die Sanierungsplanung. Unternehmen müssen sicherstellen, dass ihre IKT-Risikosteuerung, ihre Incident-Reporting-Prozesse und ihre Auslagerungsvereinbarungen mit Drittanbietern den Anforderungen beider Regelwerke genügen. Die IRRD verlangt zudem, dass im Rahmen der Abwicklungsplanung die Übertragbarkeit von IT-Systemen und Daten geprüft wird – ein Aspekt, der direkt an die DORA-Anforderungen an das IKT-Drittparteienrisikomanagement anknüpft.
Die Datenqualität wird zum entscheidenden Erfolgsfaktor. Unternehmen müssen in der Lage sein, auf Anforderung der Aufsichtsbehörde umfassende und aktuelle Informationen bereitzustellen – von der Bewertung einzelner Vermögenswerte bis hin zu vertraglichen Beziehungen mit Gegenparteien. Dies erfordert eine robuste Dateninfrastruktur, klare Data-Governance-Prozesse und automatisierte Reportinglösungen.
GAP-Analyse: Wo stehen Versicherungsunternehmen heute?
Eine strukturierte GAP-Analyse ist der erste und wichtigste Schritt zur IRRD-Readiness. Dabei sollten Unternehmen systematisch prüfen, inwieweit ihre bestehenden Strukturen, Prozesse und Systeme die künftigen Anforderungen bereits erfüllen und wo Handlungsbedarf besteht.
Zentrale Prüffelder umfassen:
- Organisatorische Readiness: Sind Verantwortlichkeiten für die Sanierungs- und Abwicklungsplanung klar zugewiesen? Existieren bereits dedizierte Teams oder Projektstrukturen?
- Governance: Sind die Leitungsorgane ausreichend eingebunden? Sind Berichtslinien und Eskalationswege definiert?
- Datenverfügbarkeit: Können die erforderlichen Daten in der geforderten Granularität und Aktualität bereitgestellt werden? Sind Datenquellen konsistent und verlässlich?
- Planungskompetenz: Verfügt das Unternehmen über Erfahrung in der Erstellung von Sanierungsplänen? Sind geeignete Stressszenarien definiert?
- Regulatorische Verzahnung: Sind die Schnittstellen zu Solvency II, DORA und weiteren relevanten Regelwerken identifiziert und adressiert?
- Gruppenweite Koordination: Sind Prozesse für die gruppenweite Sanierungsplanung etabliert?
Die Ergebnisse der GAP-Analyse münden idealerweise in eine priorisierte Roadmap, die den Weg zur vollständigen IRRD-Compliance aufzeigt und dabei Ressourcenbedarf, Zeitschienen und Abhängigkeiten berücksichtigt.
Typische Fallstricke: Worauf Unternehmen achten sollten
Aus der Erfahrung mit vergleichbaren regulatorischen Großprojekten lassen sich typische Fallstricke identifizieren, die Versicherungsunternehmen bei der IRRD-Umsetzung vermeiden sollten:
- Unterschätzung des Umfangs: Die IRRD ist kein reines Complianceprojekt. Sie erfordert die Einbindung zahlreicher Unternehmensbereiche und hat Auswirkungen auf Strategie, Organisation und IT. Eine zu enge Projektdefinition führt unweigerlich zu Lücken.
- Silodenken: Die Trennung zwischen Risikomanagement, Compliance, IT und operativem Geschäft ist einer der häufigsten Stolpersteine. Nur ein integrierter Ansatz stellt sicher, dass Sanierungspläne realistisch und umsetzbar sind.
- Mangelnde Datenqualität: Viele Unternehmen unterschätzen den Aufwand, der mit der Bereitstellung granularer und aktueller Daten verbunden ist. Datenlücken und Inkonsistenzen können den gesamten Planungsprozess gefährden.
- Fehlende Operationalisierung: Sanierungspläne, die nur auf dem Papier existieren, erfüllen nicht den Zweck der IRRD. Regelmäßige Tests, Simulationsübungen und die Integration in das operative Krisenmanagement sind unerlässlich.
- Vernachlässigung gruppenweiter Aspekte: Insbesondere international agierende Versicherungsgruppen müssen frühzeitig die gruppenweite Dimension der IRRD-Anforderungen adressieren, um nicht von der Komplexität der grenzüberschreitenden Koordination überrascht zu werden.
- Regulatorische Fragmentierung: Die parallele Umsetzung von IRRD, DORA, Solvency-II-Review und weiteren regulatorischen Initiativen birgt die Gefahr von Doppelarbeit und Widersprüchen. Eine integrierte regulatorische Steuerung ist essentiell.
Die IRRD markiert einen Paradigmenwechsel in der aufsichtsrechtlichen Behandlung von Versicherungsunternehmen, auf den die gesamte Branche sich einstellen muss. Wer frühzeitig mit einer fundierten GAP-Analyse beginnt, die typischen Fallstricke kennt und die Schnittstellen zu Solvency II und DORA systematisch adressiert, wird die IRRD nicht nur als Pflicht, sondern als Chance zur Stärkung der eigenen Resilienz begreifen können.
