MENU
ANDIW UBEZPIECZENIA
ANDIW UBEZPIECZENIA
ANDIW

Cyber Ubezpieczenia a inne polisy

Ubezpieczenie cyber

Zmiany prawne związane z RODO oraz implementacją dyrektyw NIS pobudziły zainteresowanie ubezpieczeniami cybernetycznymi. Istnieją one od 1997 roku, ale w naszym kraju dopiero w 2018 roku przestały być rzadkością. Mimo wzrastającej lawinowo liczby polis, ubezpieczenie ryzyka cybernetycznych nadal jest mylone z innymi produktami.  W rzeczywistości tego typu ochrona nie ma żadnych bliskich substytutów. Zakres ubezpieczenia Cyberisk może się pokrywać z innymi polisami, ale dotyczy to tylko niewielkich wycinków. Na ogół ubezpieczeni przeceniają zasięg posiadanych rozwiązań. Co raz częściej spotkać się można także z generalnym wyłączeniem odpowiedzialności za ryzyka cybernetyczne w ubezpieczenia mienia czy OC władz spółki, OC działalności gospodarczej. Charakterystyczne jest, że takie ograniczania odpowiedzialności nie są zamieszczane w OWU, a w postanowieniach dodatkowych do umowy.

Ubezpieczenia ryzyk cybernetycznych – od czego chronią ?

W dużym uproszczeniu ubezpieczenie cyber zapewnia ochronę w razie utraty, uszkodzenia, ujawnienia, zniekształcenia danych, w tym danych osobowych oraz w przypadku zewnętrznych ingerencji w systemy informatyczne. Należy podkreślić Ubezpieczenie cyber dotyczy nie tylko danych elektronicznych, ale także tych które zostały utrwalone w formie papierowej. Natura umowy jest złożona. Ochrona obejmuje zarówno odpowiedzialność cywilną jak i koszty własne poniesione z incydentem przez ubezpieczonego (np. odzyskiwanie danych, notyfikacja, zawiadomienie poszkodowanych zgodnie z RODO, kara nałożona przez Prezesa UODO, koszty obrony w postępowaniach cywilnych i karnych, administracyjnych, okup). Zasadniczo polisa cyber nie pokrywa szkód w samym sprzęcie. Jeden z ubezpieczycieli ma w standardzie klauzulę rozszerzająca na ten zakres, ale u większości takie rozszerzenie można uzyskać w drodze indywidualnych negocjacji.

Doświadczenia pokazują, że dużo mniej uwagi poświęca się odpowiedzialności wobec osób trzecich, mimo że wypłaty z tego przekraczają koszty własne. Można przypuszczać nawet, iż ta prawidłowość będzie się utrzymywać, ponieważ rozporządzenie RODO przewidujące odpowiedzialność za szkodę majątkową i niemajątkową opiera się na konstrukcji winy domniemanej. (punkt 146 preambuły i art. 83 ustęp 3  RODO)

Oprócz wypłaty ubezpieczyciele zapewniają także  świadczenia w naturze ukierunkowane na zapewnienie prawidłowej reakcji na incydent. Najczęściej jest to zaangażowanie specjalistycznych podmiotów zajmujących się informatyką śledczą czy odtwarzaniem danych , jak również kancelarii prawnych, która notyfikują incydent Prezesowi UODO, proponują ugody poszkodowanym, prowadzą postępowanie odwoławcze odnośnie nałożonej kary, bronią w sprawie o odszkodowanie przeciwko osobom, które nie zgodziły się na ugodę.Przydatna się także pomoc agencji  oraz managera cyber incydentu który koordynuje działania wyżej wymienionych Skorzystanie z usług takich firm w trybie nagłym może kosztować fortunę.

Ponadto jeden z zakładów ubezpieczeń w ramach prewencji zapewnia swoim klientom dostęp  do  bezpłatnych webinarów dotyczących ochrony danych osobowych prowadzonych przez kancelarię Maruta Wachta.

RODO polisa, ubezpieczenie cybernetyczne i inne określenia

Zakres ochrony jest tak szeroki i różnorodny, że trudno zamknąć istotę tego produktu w jednozdaniowej definicji. Ubezpieczenie cyber nazywane bywa ubezpieczeniem danych, co nie jest do końca precyzyjne, gdyż ochrona ( w odpowiednio przy odpowiednio skonfigurowanym pakiecie) może zadziałać niezależnie od utraty danych np. w razie publikacji na stronie internetowej naruszającej prawa autorskie albo gdy haker przejmie kontrolę nad urządzeniami należącymi do ofiary. Link do artykułu informującego o szkodzie w kwocie 380 MLN PLN, która polegała za zatrzymaniu produkcji  w skutek cyber ataku.

Istnieje produkt ubezpieczenia danych sprzedawany najczęściej z ubezpieczeniem sprzętu elektronicznego, ale obejmuje on wyłącznie koszty odtworzenia danych na znajdujących się zewnętrznych nośnikach typu dyski, serwery (nie w komputerze czy w chmurze), więc nie jest nawet namiastką ubezpieczenia cyber.

Polisy cyberrisk reklamowane bywają jako panaceum na ataki hackerskie, ale w praktyce spora część szkód nie z nimi za wiele wspólnego. Podawane są bardzo różne statystyki, ale przynajmniej 20% incydentów cybernetycznych  wynika z błędów, niedopatrzeń pracowników albo ich złośliwych działań.  Wystarczy pomyłka w adresie przy wysyłaniu wiadomości e-mail, czy wysłanie kopii jawnej do adresatów, do których wiadomość e-mail miała trafić jako kopia ukryta. Takie zdarzenie miało miejsce w listopadzie 2019 w PZU.

Impulsem do rozwoju rynku ubezpieczeń Cyber stało się zaostrzenie rygorów prawnych dotyczących danych osobowych związanych z RODO. Ze zdecydowanej większości polis cyber mogą być sfinansowane koszty wymaganej przez to rozporządzenie notyfikacji incydentu, zawiadomienia poszkodowanych, czy nawet kara pieniężna nałożona na podstawie RODO.   Kara dla przedsiębiorstwa może wynosić nawet  do 20 000 000 EUR, do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. W Polsce rekordzistą jest serwis morele net. który został obciążony karą z tego tytułu na poziomie 2,8 MLN. Więcej o przypadku morele.net na stronie niebezpiecznik  Istnieje nawet wersja ubezpieczenia cyber, która okrojona jest do kwestii związanych z RODO. Z resztą zakres ubezpieczenia wygląda nieco inaczej w OWU poszczególnych zakładów ubezpieczeń.

Ubezpieczenie OC zawodowe

Przykładowo ubezpieczenie odpowiedzialności cywilnej zawodowej (np. OC lekarza) podobnie jak Cyber obejmuje ujawnienie treści chronionych tajemnicą zawodową. Jednakże polisa OC, ze swej istoty może chronić tylko przed odpowiedzialnością cywilną. Podczas, gdy z ubezpieczenia cybernetycznego pokrywa dodatkowo kary administracyjne i koszty obrony w postępowaniach karnych związanych z przedmiotowym uchybieniem.

Polisa cyber a BI

Niekiedy większe straty, niż sama utrata własnych dóbr czy odpowiedzialność osób trzecich, powoduje przerwa w działalności przedsiębiorstwa. Finansowe skutki takiego stanu może złagodzić odszkodowanie wypłacone z ubezpieczenia zysku nazywanego także polisą od przestoju lub przerw w działalności gospodarczej (ang. business interruption insurance). Niestety nie zawsze ochronie z tej polisy podlegają zdarzania wynikające z działania wirusów komputerowych czy ataków hakerskich. Pokrycie ubezpieczeniowe wymienionych zdarzeń może zapewnić specjalne rozszerzenie do ubezpieczenia cybernetycznego.

Coraz powszechniejsza jest świadomość potrzeby uzupełniania ubezpieczenia mienia o klauzulę przepięć. Jednakże mało kto zdaje sobie sprawę, że nie zabezpiecza ona przed finansowymi następstwami utraty danych, w przeciwieństwie do ubezpieczenia od ryzyk cybernetycznych.

D&O / OC zarządu

Nieporozumieniem jest także twierdzenie, że alternatywą dla Cyber jest ubezpieczenie D&O (ang.Directors and officers insurance nazywane często nie poprawnie ubezpieczeniem OC zarządu). To ostatnie dedykowane jest przede wszystkim członkom organów osób prawnych i innym zarządzającym. Polisa Cyber zabezpiecza przede wszystkim interes samego przedsiębiorstwa. Zatem, jeśli na przykład okazało by się, że spółka dochodzić będzie odszkodowania za wyciek danych od swojego byłego menagera to pozwany może co do zasady liczyć na wsparcie z polisy D&O. Jednakże sam incydent cybernetyczny nie mieści w zakresie ubezpieczenia odpowiedzialności zarządzających.

Chociaż z drugiej strony najnowocześniejsze polisy D&O w ramach kosztów zarządzania kryzysowego, wzorem ubezpieczenia Cyber, umożliwiają spółce skorzystanie z pomocy wyspecjalizowanej firmy informatycznej po ataku cybernetycznym. Zwrócić trzeba jednak uwagę na 3 istotne ograniczenia  wystąpienia takiej ewentualności, które nie występują przy ubezpieczeniu cybernetycznym. Przesłanką takiego świadczenia stanowi prognozowany spadek przychodów spółki przynajmniej o 25%. Po drugie  ubezpieczyciele finansują wsparcie konsultanta tylko przez 45 dni. Trzecią różnicę stanowi brak finansowania kosztów obsługi prawnej incydentu, które bywają równie duże jak wydatki na informatykę. Zatem w razie ujawnienia danych osobowych podmiot nie posiadający ubezpieczenia ryzyk cybernetycznych będzie musiał na własny koszt dokonać notyfikacji zdarzenia do Prezesa Urzędu Ochrony Danych Osobowych oraz poinformować poszkodowanych.

Ubezpieczenie ryzyka sprzeniewierzenia.

Zakres tego produktu krzyżuje się niekiedy także z ubezpieczeniem od ryzyk sprzeniewierzenia. W największym uproszczeniu to ostatnie obejmuje skutki nieuczciwości pracowników w tym przestępstwa komputerowe. Natomiast Cyber chroni przed stratami finansowymi  związanymi utratą danych, które mogą ulec zniszczeniu modyfikacji, bezprawnemu wykorzystaniu z różnych powodów. Jednym z najczęstszych jest czynnik ludzki.

Reasumując polisa Cyberrisk, stanowi jeden z kluczowych elementów systemu zabezpieczeń komplementarny wobec innych rozwiązań. Warto zatem, by audyt wszystkich rozwiązań przeprowadziła kancelaria brokerska.  Skontaktuj się brokerem  broker@andiw.pl tel. 696487675

Przeczytaj także

Ubezpieczenie członków zarządu– kogo chroni naprawdę ?

Od czego chroni polisa D&O ?

OC zarządu a kary pieniężne i grzywny

Ile kosztuje ubezpieczenie D&O ?

Ubezpieczenie cyber

ubezpieczenie cyber