A múltban a kiberzsarolással összefüggésben kifizetett összegek tekintetében a BaFin emberrablás és váltságdíj (Kidnap and Ransom – K&R) kockázatok biztosíthatóságára vonatkozó általános szabályait kellett alkalmazni. 1998-ig a német szabályozás egyáltalán nem engedélyezte K&R biztosítások megkötését, mert a BaFin ezzel kapcsolatos szigorú szemlélete szerint a K&R kártérítési igények biztosíthatósága növelné az emberrablás kockázatát és ezáltal a közrendet sértené. Bár a BaFin ilyen tárgyú publikációi technikailag nem bírnak kötelező erővel, mégis, a felügyelő hatóság piaccal szembeni elvárásait illetően egyértelmű jelzésnek tekinthetők és megfelelően orientálják is a piacot. Ezen túlmenően ezen publikációi révén a BaFin általában önmagát is kötelezi arra, hogy a hasonló eseteket a jövőben ennek megfelelően, egységesen kezeli.
1998-ban a BaFin körlevelet intézett a piaci szereplőkhöz, amelyben megváltoztatta korábbi álláspontját, és úgy nyilatkozott, hogy bizonyos feltételek mellett a zsarolásra és váltságdíjra kiterjedő biztosítási termékek nem sértik a közrendet. Ugyanakkor a BaFin továbbra is úgy ítélte meg, hogy a K&R biztosítás csak nagyon szigorú követelményeknek való megfelelés esetén fogadható el. Ilyen követelmény például, hogy (i) nem kombinálható más biztosítási fedezetekkel, (ii) nem reklámozható, (iii) a biztosítási szerződés tartama nem haladhatja meg az egy évet, és (iv) a biztosítási fedezet tekintetében titoktartási kötelezettség terheli a feleket (a K&R fedezet fennállására vonatkozó információt legfeljebb három személy ismerheti). A BaFin a paradigmaváltást hozó szóban forgó 1998-as körlevél közzététele óta három alkalommal módosította a K&R biztosításra vonatkozó követelményeket:
(i) 2000-ben akként nyilatkozott, hogy a K&R biztosítások terjesztésére vonatkozó külön felügyeleti engedélyre a továbbiakban nincs szükség;
(ii) 2008-tól elfogadja a biztosítási szerződések automatikus megújításának lehetőségét bizonyos feltételek teljesülése esetén;
(iii) 2014-től pedig lehetőséget teremtett arra, hogy bizonyos helyzetekben több mint három személy is tudomást szerezhessen a K&R biztosításról, ugyanakkor nyomatékosította, hogy a fedezetre vonatkozó egyéb szigorú követelmények a továbbiakban is alkalmazandók.
A K&R fedezetet vállaló biztosító társaságoknak eddig a német szerződő felek részére két külön kiberbiztosítási kötvényt kellett kiállítaniuk: egy főkötvényt, amely alapján az alap kiber kockázatokra vállalt fedezetet a biztosító és egy külön kötvényt, amely alapján a kiberzsarolással összefüggésben követelt és kifizetett összegek megtérítésére.
Amellett, hogy a vállalható K&R fedezetek körét egyértelművé tette, a BaFin legfrissebb nyilatkozata egyúttal a teljes körű kiberbiztosítási fedezetet kínáló biztosító társaságok üzletmenetét is egyszerűsíti. Ezentúl ugyanis elegendő egyetlen kötvényt kiállítaniuk, amely alapján egyaránt biztosítottak az alap kiberkockázatok és a váltságdíjként követelt összegek megtérítésére vonatkozó fedezet is. Meg kell ugyanakkor jegyezni, hogy a váltságdíj fedezet továbbra is kizárólag kiberbiztosítási szerződésekkel kombinálható, más jellegű biztosításokkal, úgy mint például bűncselekmény-biztosítással nem.
Mindemellett a BaFin kiemeli mostani nyilatkozatában, hogy az 1998. évi körlevelében lefektetett egyéb szigorú követelmények általános jelleggel továbbra is alkalmazandók. Amennyiben egy biztosító teljes körű kiberbiztosítási fedezet nyújtása mellett dönt, beleértve a váltságdíjként kifizetett összegekre vonatkozó fedezetet is, akkor különösen a következő szigorú előírásoknak köteles megfelelni:
1. A kiberbiztosítás reklámozható, de a váltságdíj komponens reklámozása továbbra is tilos.
2. Biztosítani kell, hogy a váltságdíjra vonatkozó fedezet nem befolyásolja a rendőrségi nyomozati eljárásokat.
3. A biztosító társaság köteles magas szintű adatvédelmi standardokat alkalmazni a K&R biztosításokkal összefüggésben.
A BaFin aláhúzza, hogy legújabb közzétételének egyaránt címzettjei mindazok a biztosító társaságok, amelyek Németországban a vagyon- és felelősségbiztosítási ágazatokban működési engedéllyel rendelkeznek, továbbá azok is, amelyek az Európai Unió vagy az Európai Gazdasági Térség valamely másik tagállamaiban működnek, de Németországban a szolgáltatásnyújtás, illetve a letelepedés szabadsága alapján végeznek biztosítási tevékenységet.
A hazai biztosítási piacon két tagállami biztosító magyarországi fióktelepe is kínál önálló kiberbiztosítási terméket.