Colorado SB 21-169 Compliance-Playbook für Versicherer

Wie Colorado Versicherungs-KI heute reguliert

Seit fast fünf Jahren ist Colorado der für die Versicherungs-KI-Regulierung in den USA wichtigste Bundesstaat — und 2026 ist das Jahr, in dem das volle Gewicht davon auf den Versicherern landet. Wenn Ihr Unternehmen Policen zeichnet, Risiken bepreist, Schadensfälle reguliert oder Modelle für einen im Staat lizenzierten Carrier entwirft, ist dieser Beitrag für Sie. Wir haben ihn so geschrieben, dass er das eine Lesezeichen ist, das jemand aus dem Compliance-Team aufruft, wenn die Frage kommt, wie man das gut betreibt — und nicht ein weiterer Erklärtext zum Wortlaut des Statuts.

Drei konkrete Veränderungen sind in den letzten zwölf Monaten eingeschlagen, und keine davon hat außerhalb der Fachzirkel viel Lärm gemacht. Am 15. Oktober 2025 hörte das Bias-Test-Regime nach C.R.S. §10-3-1104.9 auf, eine reine Lebensversicherungs-Regel zu sein, und wurde zu einer Regel für private passenger auto und Krankenversicherungs-Pläne. Die meisten großen Personal-Lines-Carrier sind nun im Scope — und viele von ihnen arbeiten noch nicht auf dem Standard, den die Division of Insurance erwartet. Am 1. Dezember 2025 reichten Lebensversicherer ihre zweite jährliche Attestation unter Regulation 10-1-1 ein, was bedeutet, dass die Division jetzt zwei Jahre Daten, zwei Jahre Vergleiche und zwei Jahre Grund hat, bei Einreichungen, die verdächtig sauber aussehen, tiefer zu bohren. Und im Juni 2026 tritt der breitere Colorado AI Act (SB 24-205) in Kraft, durchgesetzt vom Attorney General statt von der Division — ein zweiter Vollzugskanal, den jeder Colorado-lizenzierte Versicherer zusätzlich zu SB 21-169 bewältigen muss.

Dieses Playbook durchläuft, wie ein ernsthaftes SB-21-169-Programm von innen aussieht. Es behandelt das Statut und seine Ausführungsverordnungen, die operativen Komponenten, die Sie aufbauen müssen, die quantitativen Methoden, die die Division inzwischen erwartet, einen durchgerechneten Bias-Test mit einem fiktiven mittelgroßen Auto-Versicherer, die häufigsten Fehler­modi, die in Market-Conduct-Prüfungen auftauchen, und wie das Gesetz mit den zwei angrenzenden KI-Regimen zusammenhängt, die Ihr Compliance-Team ebenfalls erfüllen muss. Wenn Sie nur den Kurz-Erklärtext brauchen, unsere SB-21-169-Lösungsseite deckt das ab. Wenn Sie etwas brauchen, das Sie dem Risikoausschuss überreichen können, lesen Sie weiter.

Was das Statut und die Regulation von Ihnen verlangen

Die meisten Zusammenfassungen von SB 21-169 verwischen eine Unterscheidung, die sich als ziemlich wichtig herausstellt. Das Gesetz selbst, von Gouverneur Polis im Juli 2021 unterzeichnet, ist ein Ermächtigungsstatut. Es steht in den Colorado Revised Statutes als C.R.S. §10-3-1104.9 unter der Überschrift „Protecting Consumers from Unfair Discrimination in Insurance Practices", und seine Substanz ist kurz. Das Statut verbietet Versicherern, Algorithmen, Predictive Models oder externe Verbraucherdaten zu nutzen, wenn das Ergebnis eine unfaire Diskriminierung einer Protected Class ist — und weist die Colorado Division of Insurance an, die Regeln zu schreiben, die diesen Worten operative Bedeutung geben.

Diese Regeln stehen in Regulation 10-1-1, finalisiert im September 2023 und wirksam ab dem 14. November 2023. Für Lebensversicherung ist 10-1-1 heute das Live-Regelwerk und der Ort, von dem jede Referenz zu quantitativen Tests, Governance, Dokumentation und jährlicher Attestation kommt. Wenn ein Compliance-Team sagt wir erfüllen SB 21-169, meinen sie meistens, dass sie Regulation 10-1-1 erfüllen — weil das Statut allein zu allgemein ist, um direkt befolgt zu werden.

Private passenger auto und Krankenversicherung sind eine andere Geschichte. Die Scope-Erweiterung vom Oktober 2025 zog sie ins Statut hinein, aber das Pendant zu Regulation 10-1-1 für Auto und Health ist Anfang 2026 noch in der Rulemaking-Phase. Die Division hat signalisiert, dass sie den gleichen strukturellen Ansatz wie bei Leben verfolgen will — die meisten Carrier bauen also standardmäßig auf den 10-1-1-Standard und hoffen, dass die finalen Sektorregeln nah daran landen. Eine vertretbare Wette, aber eben eine Wette.

Vier Begriffe, auf die sich die Regulation stützt

Das Statut und Regulation 10-1-1 nutzen vier Vokabeln so oft, dass nichts anderes Sinn ergibt, bis man sie festgesteckt hat:

• ECDIS (External Consumer Data and Information Sources) sind alle Daten, die der Versicherer nicht direkt vom Verbraucher gesammelt hat: kreditbasierte Insurance Scores, Kaufhistorie, Telematik-Signale, Wearable-Daten, geografische Merkmale, Drittparteien-Broker-Dateien, Konsortium-Feeds. Die Datenquellen-Review der Division ist überwiegend eine Review der ECDIS.
• Predictive Model umfasst jedes statistische oder Machine-Learning-Konstrukt, das einen Score, eine Klasse oder eine Vorhersage erzeugt, die in eine Versicherungsentscheidung fließt. Tree-Modelle, GLMs, neuronale Netze, Hybrid-Rule-plus-Model-Stacks sind alle im Scope, wenn sie eine regulierte Ergebnisgröße beeinflussen.
• Algorithm ist noch breiter. Die Regulation nutzt es für jeden Rechenprozess, dessen Output eine Versicherungsentscheidung informiert — was bedeutet, dass auch eine handgecodete Rating-Engine ohne gelernte Parameter qualifiziert, wenn sie konsequenzielle Outcomes treibt.
• Unfair Discrimination ist der Begriff, dessen Verhinderung die Regulation existiert. Er bedeutet unterschiedliche Behandlung oder disparate Auswirkung auf eine Protected Class, die nicht durch eine legitime versicherungs­mathematische Grundlage gerechtfertigt ist — operationalisiert durch das später in diesem Beitrag beschriebene quantitative Testregime.

Wer SB 21-169 vollzieht

Die Colorado Division of Insurance vollzieht SB 21-169 — eine bewusste Wahl mit echten Folgen für den Aufbau von Compliance-Programmen. Die Division ist dieselbe Behörde, die Ihre Rating-Pläne genehmigt, Market-Conduct-Examinations durchführt und den Tagesbetrieb Ihres Geschäfts im Staat beaufsichtigt. Sie kennt Ihre Police-Formulare, sie kennt Ihre Reserve-Praktiken — und sie tendiert dazu, Fragen zu stellen, die ein allgemeiner KI-Regulierer nie aufwerfen würde. Das hebt die Evidenz-Latte höher, als sie anderswo wäre. Die Mitarbeiterinnen werden Ihr Bias-Testing mit den Rating-Memoranden vergleichen, die Sie eingereicht haben, und sie werden Inkonsistenzen bemerken.

Der Attorney General dagegen besitzt den Vollzug von SB 24-205 — dem Colorado AI Act, der für jeden Colorado-lizenzierten Versicherer obendrauf liegt. Zwei Regulierer, zwei Vollzugsstile, ein Geschäft. Die Vergleichstabelle weiter unten erklärt, wie sich die Regime unterscheiden; im Moment behalten Sie im Hinterkopf, dass ein Colorado-lizenzierter Versicherer, der KI nutzt, mindestens zwei verschiedene Compliance-Beziehungen zu managen hat — und drei, wenn das NAIC Model Bulletin mitzählt.

Wie der Rollout verlief

Das Tempo des Rollouts war bewusst ungleich. Zwischen der Unterzeichnung im Juli 2021 und dem Start von Regulation 10-1-1 im November 2023 verbrachte die Division zwei Jahre in Konsultationen mit Aktuaren, Verbraucher­schützern und Carriern darüber, wie sich das Verbot des Statuts in messbare Praxis übersetzen lässt. Lebensversicherer reichten dann ihre erste Attestation im Dezember 2024, eine zweite im Dezember 2025 ein — und brachen die Kadenz zehn Monate später, als die Scope-Erweiterung vom Oktober 2025 Auto und Krankenversicherung ins Statut zog, bevor ihre Sektorregeln fertig waren.

Das siebenteilige Compliance-Programm

Ein SB-21-169-Programm zu führen ist weniger Policy-Prosa und mehr operative Disziplin. Die Division erwartet Artefakte, nicht Zusicherungen — und diese Artefakte stammen aus sieben Komponenten, die aufeinander aufbauen. Eine Inventur ohne Governance ist nur eine Liste. Governance ohne Tests ist nur ein Komitee. Tests ohne Vendor-Aufsicht lassen die größte Risikoquelle ungemanagt. Jede Komponente macht die nächste möglich, und jede speist Evidenz in die jährliche Attestation, die den Zyklus schließt.

Teil 01: Inventur aufbauen

Jedes glaubwürdige SB-21-169-Programm beginnt mit einer ehrlichen Inventur der KI- und Daten-Oberfläche, auf der Versicherungsentscheidungen ruhen. Die meisten Versicherer finden ihren ersten Entwurf unangenehm lang.

Die Eröffnungsfrage einer Prüferin ist fast immer eine Variante von „zeigen Sie uns, was Sie haben." Ein Carrier, der nicht konkret antworten kann, hat der Division effektiv mitgeteilt, dass sein Programm noch nicht existiert. Die Inventur ist sowohl das Fundament als auch das Artefakt, das die Division mit Ihren Rating-Filings vergleichen wird.

Für jeden Eintrag zählen die offensichtlichen Felder plus die, die den Eintrag in den Rest des Programms zurückbinden:

• Purpose: die Entscheidung, die das System beeinflusst (Underwriting, Pricing, Claims, Fraud, Marketing, Retention).
• Datenquellen: jeder Input, den das System konsumiert, markiert für die Inputs, die als ECDIS qualifizieren.
• Owner: ein benannter Mensch mit Autorität, Entscheidungen über das System zu treffen. Nicht „das Data Team".
• Vendor-Zuordnung: woher das Modell oder die Daten stammen und unter welchem Vertrag, verknüpft mit dem Vertragstext.
• Risk Tier: wie viel Verbraucherschaden das System verursachen kann, damit die Test-Kadenz entsprechend skaliert.
• Testing Status: der letzte Disparate-Impact-Test auf dem System und sein Ergebnis.
• Lifecycle Stage: in Entwicklung, in Produktion oder in Retirement.

Eine Tabelle funktioniert für einen Pilot und wird im zweiten Jahr zur Belastung — weil die Inventur ein lebender Datensatz ist, der sich ändert, sobald ein Vendor ein Update pusht, und mit Testergebnissen, Vorfällen und Attestationen verknüpft bleiben muss. Die meisten Versicherer in Größe nutzen ein strukturiertes Model Inventory — worum VerifyWise gebaut ist — aber das Werkzeug zählt weniger als die Disziplin, die Liste aktuell und vernetzt zu halten.

Das gefährlichere Versagen ist das leise. ECDIS-Feeds wie Telematik-Daten, Luftbilder, Drittparteien-Fraud-Konsortium-Scores und angehängte demografische Attribute von Datenmaklern landen tendenziell über operative Teams ein, die sich selbst nicht als Modell-Owner sehen. Sie enden außerhalb der Inventur, wenn nicht jemand gezielt danach sucht. Genau diese Lücke soll die Datenquellen-Review der Division finden.

Teil 02: Governance aufstellen

Regulation 10-1-1 ist ungewöhnlich klar, dass ein SB-21-169-Programm ein Senior-Management-Programm ist, kein technisches. Die ersten drei Anfragen einer Prüferin während einer Market-Conduct-Review sind Ihre schriftlichen Policies, Ihre dokumentierten Rollen und die Minutes Ihres Governance-Komitees. Ein Carrier, der diese nicht auf Abruf produzieren kann, hat effektiv bestätigt, dass das Programm informell ist — was selbst schon ein Finding ist.

Die Governance-Schicht hat vier Bestandteile:

• Schriftliche Policies, die Beschaffung, Validierung, Deployment, Monitoring und Retirement von Modellen, Algorithmen und ECDIS abdecken, mit Senior-Management- oder Vorstandsfreigabe auf datierter Akte.
• Eine Rollen-Karte mit namentlich benannten Personen aus Aktuariat, Data Science, Underwriting, Compliance, Legal und IT — jede mit Autorität, die klar delegiert statt angenommen ist.
• Ein cross-funktionales Komitee, typischerweise monatlich oder quartalsweise, wo Entscheidungen über High-Impact-Modelle getroffen und protokolliert werden — statt in E-Mail-Threads, die in archivierten Postfächern verschwinden.
• Laufende Aufsicht, was heißt, dass Senior Management das ganze Jahr über zu Testergebnissen, Vorfällen, Remediations und Vendor-Änderungen im Loop bleibt — nicht nur zur Attestation-Zeit.

Das häufigste Governance-Versagen, das wir sehen, ist nicht Abwesenheit, sondern strategische Vagheit. Eine Policy, die sagt Modelle werden regelmäßig validiert, ist schlechter als keine Policy, weil sie eine explizite Pflicht erzeugt, die der Versicherer nicht nachweisen kann, erfüllt zu haben — und der Division eine direkte Befragungslinie liefert. Gute Policies spezifizieren, wer validiert, in welcher Kadenz, mit welcher Methodik, gegen welche Schwelle und mit welcher Konsequenz, wenn die Schwelle gerissen wird. Unser Risk-Management-Modul kodiert das als strukturiertes Framework mit Evidenz, die an jeden Control gebunden ist — aber dieselbe Rigorosität lässt sich auch auf Papier produzieren.

Teil 03: Quantitative Tests durchführen

Das Testregime ist, was SB 21-169 von anderen KI-Governance-Frameworks abhebt. Wo andere Regime Testing als breite Pflicht verlangen, verlangt Regulation 10-1-1 quantitatives Testing mit spezifischen statistischen Methoden auf Daten, die die Division inspizieren kann.

Worauf die Division testet. Das Objekt ist Disparate Impact, nicht Disparate Treatment. Nichts hängt davon ab, ob Ihre Modelle Race als Input nutzen; die Branche hat das vor langer Zeit eingestellt. Die Frage ist, ob die Ausgabe materiell unterschiedliche Raten über Protected Classes hinweg erzeugt, nachdem legitime aktuarielle Variation berücksichtigt wurde. Protected Classes unter 10-1-1 umfassen Race, Color, National Origin, Religion, Sex, Sexual Orientation, Disability, Gender Identity und Gender Expression. Alter wird separat unter bestehenden Rating-Regeln behandelt.

Die Four-Fifths-Regel. Berechnen Sie für jede Protected Class die Selection Rate — den Anteil der Antragsteller in dieser Klasse, die das Favorable Outcome erhalten. Dividieren Sie die Minority-Class-Selection-Rate durch die Reference-Class-Rate, um die Impact Ratio zu erhalten. Ein Verhältnis von 0,80 oder höher liegt in Toleranz; alles darunter ist ein Finding, das Erklärung, Rechtfertigung oder Remediation verlangt.

Das Race-Daten-Problem und BISG. Versicherer sammeln Race nicht direkt und können das auch nicht beginnen. Regulation 10-1-1 erwartet, dass Carrier validierte probabilistische Proxies nutzen. Der Default ist Bayesian Improved Surname Geocoding (BISG), das Nachnamen und geografische Lage kombiniert, um eine Wahrscheinlichkeits­verteilung über Race-Kategorien zu schätzen. Die Division hat BISG bisher in Attestationen akzeptiert, mit der Einschränkung, dass Carrier dokumentieren, wie sie den Proxy gegen ihren eigenen Bestand validiert haben. BISG-Ergebnisse kommen mit Konfidenzintervallen, nicht Punktschätzungen — und wir haben BISG genutzt zu sagen ist ein Ausgangspunkt, keine Antwort.

Kadenz und Trigger. Regulation 10-1-1 schreibt keine Frequenz vor. Lebensversicherer haben sich auf einen quartalsweisen Rhythmus mit einem tieferen Jahresreview eingependelt, das an die Dezember-Attestation gebunden ist; Auto- und Krankenversicherer folgen meist nach. Jede materielle Modell-Änderung, Daten-Änderung oder Rate-Revision triggert ihren eigenen Test — weil auf den nächsten Quartals-Zyklus zu warten, um zu entdecken, dass eine ausgepushte Änderung einen neuen Disparate Impact erzeugt hat, genau die Art Governance-Lücke ist, nach der die Division sucht.

Teil 04: Worked Example für Mesa Mutual

Ein Disparate-Impact-Test ist leichter zu verstehen, wenn man einen von Anfang bis Ende laufen sieht.

Mesa zieht die Neuanträge des letzten Quartals, die unter dem neuen Faktor bepreist worden wären: 42.000 Antragsteller. Das Favorable Outcome ist die Einstufung in den Standard-Preferred-Tier statt in einen höherpreisigen Tier. Mesa führt BISG gegen Nachnamen und ZIP-Codes aus, behandelt einen Antragsteller als eine einzelne Klasse, wenn BISG eine Wahrscheinlichkeit über 0,80 zuweist, und markiert den Rest als gemischt.

Antragsteller von Native Hawaiian und Pacific Islander (0,8 %) liegen unter der 2-%-Ausschlussschwelle und werden aus der Verhältnisberechnung fallen gelassen.

Mesas Governance-Komitee erwägt drei Optionen: den Faktor aktuariell rechtfertigen, durch Anpassung des Rating-Plans remediieren oder den Faktor zurückziehen. Es wählt Remediation: das Gewicht des Credit Factors reduzieren und einen kompensierenden Underwriting-Faktor hinzufügen, von dem empirische Tests andeuten, dass er die Lücke schließt, ohne die prädiktive Genauigkeit zu degradieren.

Zwei Wochen später lässt Mesa den Test auf dem angepassten Plan erneut laufen. Das Black-Class-Ratio bewegt sich von 0,76 auf 0,83; Hispanic von 0,82 auf 0,87. Mesa dokumentiert das ursprüngliche Finding, die Komitee-Begründung, die Anpassung, das Retest-Ergebnis und den finalen Sign-off. All das geht in den Test-Log, verknüpft mit dem Inventur-Eintrag, und taucht in der Attestation vom 1. Dezember als dokumentiertes Finding mit sauberer Remediation auf.

Der Punkt ist nicht die Mathematik, die einfach ist, sobald der Proxy-Schritt geklärt ist. Der Punkt sind die Artefakte. Ein Programm, das nur den finalen revidierten Rating-Plan produziert, hat der Division nichts zu zeigen. Ein Programm, das den Test-Log, das Komitee-Minute, die Retest-Evidenz und den revidierten Inventur-Eintrag produziert, übersteht die Prüfung stressfrei.

Teil 05: Vendor- und ECDIS-Aufsicht

Der teuerste Fehler, den wir in SB-21-169-Programmen sehen, ist die Annahme, dass Vendor-Diligence rechtliche Verantwortung überträgt. Tut sie nicht. Wenn das Modell eines Vendors in Ihrem Bestand einen Disparate Impact erzeugt, ist das Finding gegen Sie.

Das erzeugt drei operative Pflichten:

• Pre-Onboarding-Diligence, die schriftlich den Vendor-Ansatz zu Bias, Testing-Methodik und Daten-Lineage aufzeichnet. Eine Vendor-Zertifizierung ist Evidenz, kein Ersatz für die eigene Diligence des Versicherers.
• Vertragsklauseln, die wirken: Audit-Rechte, Zugang zu Test-Daten, Kooperation mit regulatorischen Anfragen, Kündigungsrechte gebunden an Compliance-Versagen. Boilerplate-Verträge enthalten selten irgendetwas davon.
• Laufendes Monitoring. Vendor-Modelle werden aktualisiert, Daten-Feeds driften, und ein Vendor-System, das vor sechs Monaten bestanden hat, kann den nächsten Test ohne jede Änderung auf der Versichererseite fail’en.

Die Inheritance-Kette läuft über MGAs, TPAs und Rückversicherer. Eine MGA, die auf Ihrem Papier Geschäft schreibt, operiert unter Ihrem Programm. Ein TPA, der Claims-Triage in Ihrem Auftrag betreibt, bearbeitet die regulierten Entscheidungen, die das Statut abdeckt. Die Frage ist nie, ob ein Vendor innerhalb oder außerhalb der Unternehmensgrenze ist; sie ist, wessen Programm die Evidenz besitzt, wenn ein Division-Prüfer fragt. Unser Vendor-Management-Modul ist um diese Frage gebaut — aber jeder Ansatz, der die Vendor-Aufsicht mit der Test-Engine verbunden hält statt sie in Procurement-Meetings zu parken, erfüllt den Standard.

Teil 06: Mit fehlgeschlagenen Tests umgehen

Regulation 10-1-1 verbietet keine Disparate-Impact-Findings. Sie verbietet, sie zu ignorieren.

Wenn ein Test fail’t, sind drei Wege offen:

• Aktuarielle Rechtfertigung: zeigen, dass der Faktor echte Loss Experience widerspiegelt und dass keine weniger-diskriminierende Alternative dasselbe aktuarielle Ziel erreicht.
• Remediation: das Modell, die Daten, den Rating-Plan oder die Regel anpassen, bis das Verhältnis in Toleranz zurückkehrt. Retesten und dokumentieren.
• Retirement: das System aus dem Dienst nehmen, wenn weder Rechtfertigung noch Remediation machbar sind.

Die Dokumentationspflicht ist über alle drei dieselbe. Die Division will den fehlgeschlagenen Test, die Entscheidungs­begründung, die getroffene Maßnahme und Evidenz, dass die Maßnahme wirkte, sehen.

Der Workflow sieht strukturell identisch zu Incident Management aus: ein Finding öffnet einen Case, Governance reviewt ihn, ein Owner führt die Antwort aus, ein Retest oder eine Rechtfertigung schließt ihn. Unser Incident-Management-Modul kodiert diesen Workflow und bindet jedes Finding zurück an das Model Inventory und den Test-Log. Carrier, die Findings über E-Mail-Threads bearbeiten, verlieren sie ausnahmslos aus den Augen.

Teil 07: Jährliche Attestation einreichen

Die jährliche Attestation bestätigt, dass ein Programm existiert, in Betrieb ist und die Evidenz produziert, die die Regulation verlangt. Für Lebensversicherer ist die Deadline der 1. Dezember jedes Jahres. Auto- und Krankenversicherer sollten eine ähnliche Kadenz erwarten, sobald die Sektorregeln finalisiert sind.

Der Sign-off liegt beim Senior Management, üblicherweise CRO, CCO oder Äquivalent. Die Division erwartet, dass der Unterzeichner die Einreichung tatsächlich überprüft hat.

Eine vertretbare Attestation bestätigt, dass:

• Ein schriftliches Governance-Framework existiert und auf der angemessenen Ebene genehmigt ist.
• Die Modell-Inventur aktuell ist.
• Quantitatives Testing in der erforderlichen Kadenz über die in-scope Modelle und Datenquellen lief.
• Findings während des Jahres geloggt und remediiert wurden.
• Etwaige materielle Änderungen am Programm dokumentiert sind.

Eine dünne Attestation bietet üblicherweise eine allgemeine Compliance-Aussage ohne die zugrunde liegenden Artefakte. Die Division hat signalisiert, dass sie bei Einreichungen, die leicht aussehen, aggressiver nachhaken wird. Findings zu verstecken ist schlechter, als sie zu melden: ein Jahr ohne Disparate-Impact-Findings auf einem großen Bestand ist statistisch unplausibel und lädt die Aufmerksamkeit ein, die der Carrier vermeiden wollte.

Zwölf Fragen, die eine Prüferin stellen wird

Eine der nützlichsten Übungen, die jeder Versicherer vor seinem ersten Market-Conduct-Exam unter 10-1-1 laufen kann, ist ein einfacher Test: Kann das Programm jedes der folgenden Artefakte auf Abruf innerhalb eines Geschäftstags produzieren? Ein Carrier, der zehn von zwölf schafft, steht gut da. Einer, der weniger als acht schafft, sollte die Lücke als kurzfristige Priorität behandeln.

SB 21-169 im breiteren Colorado-KI-Stack

SB 21-169 operiert nicht isoliert. Jeder Colorado-lizenzierte Versicherer, der KI nutzt, fällt auch unter das NAIC Model Bulletin, wenn sein Heimatstaat es übernommen hat — und jeder von ihnen wird ab dem 30. Juni 2026 unter SB 24-205 fallen. Drei Regime, drei Regulierer, ein Geschäft.

Ein ernsthaftes SB-21-169-Programm deckt schon den Großteil von SB 24-205 und dem NAIC Bulletin ab. Governance, Inventur, Vendor-Aufsicht und Incident Management sind faktisch identisch. SB 24-205 fügt Verbraucherinformation und ein formales Impact-Assessment-Dokument hinzu; das NAIC Bulletin fügt ein AIS-Program-Dokument in einem spezifischen Format hinzu. Beide Ergänzungen sind inkrementell, nicht parallele Builds. Für die breiteren Behandlungen deckt unsere Colorado-AI-Act-Seite SB 24-205 ab, und unsere NAIC-AI-Principles-Seite geht das Model Bulletin Klausel für Klausel durch.

Was sich 2026 noch ändern könnte

Drei Entwicklungen könnten den Boden bewegen. Keine davon ist ein Grund, das Programm zu verzögern.

• Auto- und Health-Rulemaking. Sektorspezifische Regeln, die 10-1-1 entsprechen, werden gezeichnet. Erwarten Sie Entwürfe zur öffentlichen Kommentierung 2026. Die finalen Regeln werden 10-1-1 wahrscheinlich eng folgen, aber spezifische Schwellen und Filing-Kadenzen könnten abweichen.
• SB 24-205 in Kraft. Der 30. Juni 2026 setzt den Colorado AI Act in Kraft. Carrier, die schon SB-21-169-Programme laufen lassen, sehen sich moderater inkrementeller Arbeit gegenüber: Verbraucherinformation, Impact-Assessment-Dokumentation, Affirmative-Defense-Evidenz.
• Gerichtsverfahren. xAI hat Colorado wegen SB 24-205 unter First-Amendment-Gründen verklagt. Der Fall zielt speziell auf SB 24-205; SB 21-169 ist nicht in dem Rechtsstreit. Eine erfolgreiche Anfechtung würde das Regime der Division intakt lassen, aber das politische Umfeld um Colorado-KI-Regeln allgemeiner ändern.

Die erste Woche eines ernsthaften Programms

Eine vollständige SB-21-169-Implementierung ist für einen Carrier, der bei Null beginnt, ein mehrquartaler Build. Die erste Woche ist allerdings überraschend einfach. Fünf Aktionen decken sie ab:

Keine dieser fünf Aktionen erfordert eine Plattform, ein Beratungsmandat oder signifikante Vorabausgaben. Sie erfordern Disziplin und Ehrlichkeit über den Zustand des Programms.

Die meisten Versicherer in Größe konvergieren am Ende auf dieselben operativen Bedarfe: ein strukturiertes Model Inventory, eine Vendor-Oversight-Schicht, eine Test-Engine, die Methodik und Ergebnisse loggt, einen Incident-Management-Workflow für fehlgeschlagene Tests und ein Compliance Framework, das das Evidenz-Pack auf Abruf zusammensetzt. VerifyWise ist um diese Form gebaut und wird heute von Carriern genutzt, die SB-21-169-Programme betreiben — aber die Tooling-Frage ist für Monat drei, nicht für Woche eins.

Daten, die auf den Compliance-Kalender gehören

Drei Daten in den nächsten achtzehn Monaten werden bestimmen, wie viel Lauf­fläche Ihr Programm hat.

Wenn Ihr Programm hinterher ist, ist der Weg nach vorne kürzer, als er aussieht. Die Division erwartet keine Perfektion bei der ersten Attestation, und Carrier, die mit einem echten Programm und ehrlichen Findings auftauchen, neigen dazu, produktive Gespräche statt Vollzugsmaßnahmen zu haben. Wenn Sie einen Sanity-Check wollen, wo Ihr Programm steht, melden Sie sich oder starten Sie ein Compliance Assessment.