Odpowiedzią na zagrożenia cybernetyczne mają być przepisy wdrażające dyrektywę NIS2. Szacuje się, że nowe przepisy obejmą nad Wisłą nawet kilkanaście tysięcy podmiotów. Tymczasem gotowość sprostania nowym regulacjom deklaruje wciąż niewielki procent zobowiązanych podmiotów. Płynący z dyrektywy NIS2 obowiązek budowania świadomości zagrożeń z obszaru cyber kontrastuje również z relatywnie niską znajomością w Polsce polis typu cyberisk. Tego rodzaju ubezpieczenie chroni przed skutkami cyberataków i utratą danych.
A polisa OC nie wystarczy?
Wśród wielu przedsiębiorców wciąż pokutuje błędne przekonanie, że wykupienie standardowej polisy OC ochroni firmę przed ryzykami cybernetycznymi. Nic bardziej mylnego – coraz więcej towarzystw ubezpieczeniowych wyłącza z zakresu swoich produktów OC ryzyka i szkody związane z utratą danych i atakami hakerskimi. Szkody powstałe w danych elektronicznych i działania polegające na nieautoryzowanym dostępie lub ingerencji w dane elektronicznie czy oprogramowanie – mogą nie zostać objęte tradycyjną polisą od odpowiedzialności cywilnej. Dla tego obszaru ryzyk ubezpieczyciele proponują szczególny rodzaj polisy ubezpieczeniowej.
Co obejmuje polisa od cyberryzyk
Polisa od cyberryzyk z założenia chronić ma przed wystąpieniem strat własnych po stronie ubezpieczonego podmiotu i w zależności od jej warunków obejmować może takie przypadki jak:
- kary administracyjne nałożone na ubezpieczonego przez organ nadzoru;
- wymuszenia okupu w przypadku ataków typu ransomware;
- koszty działań naprawczych (np. informatyki śledczej, obsługi prawnej, koszty zawiadomień w związku z naruszeniem czy też działania z obszaru PR).
Jednym z obszarów ochrony jest również ochrona przed przerwami w działalności spowodowana incydentem (ang. business interruption, BI).
Zakres ochrony zależy rzecz jasna w dużej mierze od sumy ubezpieczenia i poszczególnych sublimitów, a także możliwości wystąpienia udziału własnego, tj. kwoty szkody, która ma zostać pokryta przez ubezpieczonego i poniżej której ubezpieczyciel za szkodę nie odpowiada.
Drugi obszar ochrony dotyczy odpowiedzialności cywilnej ubezpieczonego względem osób trzecich. Wspominane ryzyko odpowiedzialności wobec organów nadzoru i odpowiedzialność o charakterze administracyjnym pozostają odrębnym obszarem od potencjalnego ryzyka odpowiedzialności wobec osób, których dane zostały ujawnione w wyniku incydentu. Polisa cyber może chronić również przed roszczeniami osób dotkniętych naruszeniami w innej postaci, np. za treści rozpowszechniane w Internecie (np. w mediach społecznościowych ubezpieczonego), w wyniku których doszło do zniesławienia osoby fizycznej lub spółki.
Zakres ubezpieczenia powinien także chronić przypadki nieumyślnego naruszenia praw własności intelektualnej osób trzecich (np. w zakresie licencji, kodów źródłowych oprogramowania, itd.).
Cena promocyjna: 80.09 zł
|Cena regularna: 89 zł
|Najniższa cena w ostatnich 30 dniach: 64.08 zł
Prawa i obowiązki ubezpieczonego
Na ubezpieczonym podmiocie spoczywają określone powinności w związku z udzieloną ochroną ubezpieczeniową. Podstawowym obowiązkiem jest zapobieganie powstaniu szkody i zminimalizowanie wpływu cyberataków na ubezpieczonego. W ocenie ubezpieczycieli, wśród istotnych działań, które powinna podjąć ubezpieczona spółka jest np. dokonywanie systematycznej aktualizacji programów komputerowych i systemów, umożliwienie przeprowadzania audytów bezpieczeństwa systemów informatycznych (np. w formie testów penetracyjnych) i kontroli dokumentacji, sporządzanie kopii danych (back-up) z określoną częstotliwością i z zastrzeżeniem ich przechowywania na zewnętrznych nośnikach danych. Podjęcie uzasadnionych środków ostrożności po stronie ubezpieczonego oceniane jest na ogół z uwzględnieniem wielkości i złożoności przedsiębiorstwa i dostępnych zasobów.
Aby jednak w ogóle można było mówić o możliwości zawarcia umowy ubezpieczenia, z założenia ubezpieczyciele chcą również poznać dotychczasową cyber-przeszłość ubezpieczonego i jego zdolności organizacyjne do zabezpieczenia własnych zasobów. Zupełny brak wdrożenia podstawowych środków ochrony w przestrzeni cyfrowej będzie się wiązał z istotnie podwyższoną składką ubezpieczenia lub nawet odmową udzielenia ochrony. Ubezpieczyciele oczekują chociażby informacji na temat systemów, od których zależy prowadzenie działalności, wdrożonych środków w celu ochrony przed naruszeniami danych osobowych lub incydentów cybernetycznych, a także procedur mających na celu utrzymanie ciągłości działania (BCP) oraz przywrócenia zasobów na wypadek awarii (DRP).
Nie każda szkoda podlega ochronie
Ubezpieczenia cybernetyczne przewidują tzw. wyłączenia, czyli przypadki, w których nie jest udziela ochrona ubezpieczeniowa w razie wystąpienia szkody. Tego rodzaju zastrzeżenia nie są niczym nietypowym na rynku ubezpieczeniowym.
Wyłączenia spod ochrony cyber mogą dotyczyć oczywistych zjawisk, takich jak umyślne działanie bądź rażące niedbalstwo ze strony osób, które możemy określić mianem reprezentantów spółki (np. członków zarządu, ale również rady nadzorczej, prokurentów). W niektórych przypadkach włącza się do tego grona również osoby pełniące funkcję compliance officera. Ochroną nie będą objęte również roszczenia, które dotyczą aktów terroryzmu (z wyłączeniem jednak tzw. cyberterroryzmu), wojen czy też strajków.
Należy liczyć się również tym, że ochroną ubezpieczeniową nie będą objęte awarie i przerwy w dostawie mediów (np. usług komunikacji elektronicznej, usług dostawy energii), a także przypadki korzystania z nielegalnego oprogramowania. Innym zwyczajowym wyłączeniem z zakresu odpowiedzialności ubezpieczyciela są przypadki wynikające z zobowiązań umownych przyjętych przez ubezpieczony podmiot (np. kary umowne za dane naruszenie).
Kolejnymi przykładami pozostającymi poza zakresem ochrony mogą być przypadki utraty nośników danych (np. laptopa, telefonu, przenośnej pamięć USB), jeśli nie były zabezpieczone hasłem.
Polisa cyber a NIS2
Jeżeli spojrzeć na projektowaną nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), która ma dokonać transpozycji dyrektywy NIS2 do polskiego porządku prawnego, z pewnością polisa cyber sama w sobie nie będzie środkiem ochrony przez zagrożeniami cyber. Unijna dyrektywa prezentuje bowiem podejście oparte na ryzyku, znane już przedsiębiorcom chociażby z wdrożenia RODO (a także DORA i AI Act). Zgodnie z tym podejściem, dyrektywa NIS2 nie wskazuje sprecyzowanych środków oraz procedur w obszarze cyberbezpieczeństwa, jakie powinien stosować przedsiębiorca. Dobór tych środków i zasadność ich stosowania pozostawiono zobowiązanemu podmiotowi, który w razie kontroli będzie musiał uargumentować słuszność swych wyborów.
Zobacz także: Jakie przedsiębiorstwa obejmie nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa
Polisa cyber nie będzie stanowiła remedium na wszystkie uchybienia w obszarze stosowania nowych przepisów, ale przy przyjęciu odpowiednich jej wariantów i doborze odpowiednich klauzul dodatkowych – może dobrze wpisywać się w obszar nowej cybernetycznej rzeczywistości przynajmniej w kilku wymiarach.
- Po pierwsze, ubezpieczenie cybernetyczne może pokrywać odpowiedzialność z tytułu kar administracyjnych wymierzonych ubezpieczonemu przez organy nadzoru. Innymi słowy, dzięki polisie cyber ubezpieczony podmiot będzie mógł zrekompensować zapłacone kary wynikające z naruszenia przepisów dotyczących terminowego zgłaszania incydentów, nieprzeprowadzenia wymaganych audytów czy niewdrożenia systemu zarządzania bezpieczeństwem informacji.
- Po drugie, polisa cyber może stanowić wymóg negocjacyjny lub kontraktowy, stawiany kontrahentom przez podmioty z grupy podmiotów kluczowych lub ważnych. Wiąże się to z obowiązkiem prowadzenia przez podmioty kluczowe i ważne polityki łańcucha dostaw obejmującej relacje z bezpośrednimi dostawcami. W umowach z dostawcami podmioty ważne lub kluczowe mogą oczekiwać, aby dostawcy dysponowali polisą chroniącą przez skutkami cyberryzyk. Posługując się przykładem, dostawca infrastruktury krytycznej (np. podmiot zarządzający siecią elektroenergetyczną, będący podmiotem kluczowym) może oczekiwać od swojego dostawcy systemu IT, by firma IT posiadała odpowiednio skrojone ubezpieczenie ryzyk cybernetycznych. W kontekście zbliżającej się implementacji dyrektywy NIS2 opisywane zjawisko najprawdopodobniej będzie przybierało na sile.
Ubezpieczenie od naruszeń cybernetycznych może więc stać się narzędziem budowania przewagi konkurencyjnej nad pozostałymi uczestnikami rynku – faworyzowani będą ci, którzy należycie zatroszczą się o zagrożenia cybernetyczne. Przy odpowiednim doborze jej elementów, polisa cyber może też stanowić formę zabezpieczenia odpowiedzialności ubezpieczonego wobec organów nadzoru i roszczeń osób fizycznych w związku z naruszeniami.
Autorzy:
Jarosław Straś, radca prawny i associate w KWKR
Łukasz Wieczorek, radca prawny i partner w KWKR
