Raport ENISA dotyczący zapotrzebowania Operatorów Usług Kluczowych w UE na ubezpieczenia cybernetyczne

traple.pl 1 rok temu

Wstęp

Dotychczasowe badania przeprowadzane przez Europejska Agencje Cyberbezpieczeństwa ENISA dotyczące rynku ubezpieczeń od cyberprzestępczości[1],[2] ukierunkowane były na analizę dobrych praktyk w obszarze ubezpieczeń cybernetycznych oraz zarządzanie ryzykiem przez ubezpieczycieli. Badania te przeprowadzone w latach 2016-2017 wykazały brak danych dotyczących zdarzeń i roszczeń w sektorze ubezpieczeń cybernetycznych, a także brak ogólnie przyjętych standardów, niedojrzałość rynku oraz złożoność produktów ubezpieczeniowych, które stanowiły przeszkodę w harmonizacji procedur oceny ryzyka, jak i oceny roszczeń. Badania przeprowadzone w roku 2022 opisane w raporcie „Popyt na Ubezpieczenia Cybernetyczne w UE – Analiza wyzwań i perspektywy operatorów usług kluczowych”[3], który ukazał się w lutym br., dotyczą wyzwań i perspektyw w obszarze popytu na ubezpieczenia cybernetyczne przez szczególną grupę podmiotów, jaka stanowią Operatorzy Usług Kluczowych (OUK), o których mowa w art. 3 ust. 1 Dyrektywy NIS 2[4]. W raporcie skoncentrowano się na wymaganiach i wyzwaniach przed którymi stoją (OUK) na etapie identyfikacji i oceny ryzyka, wyboru oferty ubezpieczenia, formułowania umowy, utrzymania i wsparcia ochrony ubezpieczeniowej oraz likwidacji szkód. Przedstawiono analizy i uzyskane wyniki dotyczące wymienionych wyżej etapów cyklu życia ochrony ubezpieczeniowej. We wnioskach przedstawiono rekomendacje skierowane do decydentów tworzących prawo w UE i państwach członkowskich oraz do OUK.

2. Zakres przeprowadzonych badań

Ubezpieczenie przed skutkami incydentów bezpieczeństwa cybernetycznego jest jedną ze strategii ograniczania ryzyka. Dlatego też rozpatrywane są w kontekście zarządzania ryzykiem, w szczególności ryzykiem rezydualnym, tj. ryzykiem jakie pozostaje pomimo zastosowania określonych w danej organizacji technicznych i organizacyjnych środków bezpieczeństwa. Autorzy raportu, badając zapotrzebowanie na ubezpieczenia cybernetyczne wśród OUK, przyjrzeli się takim zagadnieniach jak:

2.1 Praktyki zarządzania ryzykiem

Jak wynika z badań ankietowych przeprowadzonych wśród wszystkich OUK, ponad 77 % wskazało, iż stosują sformalizowany proces zarządzania ryzykiem cybernetycznym. W większości przypadków stosowana jest jednak wyłącznie ocena jakościowa. Ilościowa ocena ryzyka przeprowadzana jest jedynie przez 32% OUK. Świadomość potrzeb takiej oceny wzrasta jednak wśród OUK, którzy posiadają ubezpieczenie cybernetyczne. W grupie tej 61% UOK przeprowadziło ilościową ocenę ryzyka. Z przeprowadzonych wywiadów wynika, iż większość OUK nie określiła ilościowo ryzyka cybernetycznego samodzielnie, ale we współpracy ze swoim brokerem lub firmą ubezpieczeniową.

2.2 Ubezpieczenia od cyberprzestępczości i inne rodzaje ubezpieczeń

Z przedstawionego raportu wynika, iż tylko 26% OUK posiada w tej chwili ubezpieczenie od cyberprzestępczości. Występują w tym zakresie jednak duże różnice regionalne. W Europie Zachodniej i Północnej zakres ubezpieczenia od ryzyka cyberprzestępczości jest najwyższy i wynosi około 45%, w Europie Południowej 39% i na najmniejszy w Europie Wschodniej, gdzie zakres ten wynosi zaledwie 12%. Oprócz specjalnych polis ubezpieczenia od przestępczości cybernetycznej, częściowa ochrona przed cyberprzestępczością zawarta jest często w innych polisach. Z raportu wynika, iż w grupie OUK nieposiadających polis dedykowanych ochronie przed cyberprzestępczością, 26 % z nich posiadało inne polisy, które poza głównym zakresem ubezpieczenia obejmowały.

również przestępstwa cybernetyczne. Było to zawarte w polisach w postaci dodatku dotyczącego cyberprzestępczości lub bardziej pośrednio, poprzez niewyłączanie żadnych incydentów cybernetycznych. Z przeprowadzonych badań wynika, ponadto, że:

  • Następuje wzrost cen polis ubezpieczeniowych z jednoczesnym spadkiem zakresu zdarzeń jakie dana polisa obejmuje.
  • OUK w coraz większym stopniu analizują alternatywne strategie ograniczenie ryzyka np. redukcja lub unikanie ryzyka.
  • Większość badanych (56%) stwierdziło, iż uważa inne narzędzia ograniczenia ryzyka za bardziej skuteczne w porównaniu do ubezpieczenia od cyberprzestępstw.
  • Niektórzy OUK rozważają przerwanie ubezpieczenia, jeżeli ceny będą przez cały czas rosły.

2.3 Identyfikacja i wybór firmy ubezpieczającej

Większość OES, którzy posiadają ubezpieczenie od cyberprzestępstw, wskazało, iż wiedzę o ofercie ubezpieczeniowej pozyskali od brokera ubezpieczeniowego lub firm ubezpieczeniowych. Przy wyborze oferty ubezpieczeniowej natomiast, 54% OES-ów posłużyło się własnymi badaniami, 27 % skorzystało z usług doradczych brokera lub agenta ubezpieczeniowego oraz 10% skorzystało z innych źródeł informacji. jeżeli chodzi o kryteria wyboru ubezpieczyciela to badania wykazały, iż cena pojawiała się samodzielnie lub w połączeniu z innymi kryteriami w prawie każdej kombinacji, co pokazano na rys. 1.

Bezpośrednio po cenie, innymi kryteriami warunkującymi zakup ubezpieczenia cybernetycznego są:

  • reputacja firmy ubezpieczeniowej,
  • zakres ubezpieczenia;
  • klauzule szczegółowe;
  • wsparcie.

2.4 Proces zawierania umowy ubezpieczenia

Z Raportu wynika, iż w większości przypadków podejmowanie decyzji dotyczącej zawarcia ubezpieczenia od przestępstw cybernetycznych odbywa się poza funkcją Specjalisty ds. bezpieczeństwa informacji. Decyzję w tym zakresie podejmuje najczęściej kadra kierownicza, dedykowany zespół ds. ubezpieczeń lub kierownik ds. finansowych. W większości przypadków (77% OUK, którzy posiadają polisy ubezpieczeń cybernetycznych), posiadanie certyfikatu ISO 27001 ułatwiło akceptację umowy przez ubezpieczyciela. Spośród 40 OUK 5 zgłosiło, iż posiadanie certyfikatu doprowadziło do obniżenia ceny, a 4 zadeklarowały, ze posiadanie tych certyfikatów miało wpływ na limity pokrycia, tj. kwota do której ubezpieczyciel zapewnia pokrycie kosztów związanych z wystąpieniem konkretnego zdarzenia i powstałych w związku z nim strat. W odniesieniu do limitów pokrycia tylko 7 z 58 badanych OUK (12%) podało, iż ocena przeprowadzona przez ubezpieczyciela doprowadziła do wprowadzenia wyłączeń i limitów, podczas gdy 44% odpowiedziało, iż nie wprowadzono żadnych wyłączeń.

2.5 Proces utrzymania i wsparcia dla ubezpieczonych

Badając dodatkowe cechy i usługi wbudowane w ubezpieczenia od przestępstw cybernetycznych, które zawarli OUK, autorzy raportu ustalili, że:

  • w 40 % polis ubezpieczenia zawartych z OUK ubezpieczyciel zapewnił wsparcie w zakresie zapobiegania cyberprzestępstwom, oraz
  • w 68 % polis ubezpieczeniowych ubezpieczyciel zapewnił wsparcie techniczne przy analizie po zaistnieniu incydentu bezpieczeństwa.

Przedstawiciele kilku OUK zaznaczyli, iż reagowanie na incydenty jest bardzo cenną usługą. Wielu z nich podkreśliło jednak, iż mają już w tym zakresie umowy i inne relacje z podmiotami reagującymi na incydenty bezpieczeństwa cybernetycznego, które będą ich wspierać w przypadku zaistnienia incydentu i oferta ubezpieczyciela w tym zakresie jest dla nich mało znacząca.

2.6 Proces likwidacji szkód

W obszarze roszczeń z tytułu polis ubezpieczeniowych z zakresu likwidacji szkód w następstwie incydentów bezpieczeństwa cybernetycznego wypowiedziało się tylko 13 % badanych OUK (8 z 60), którzy posiadali polisy ubezpieczeniowe i występowali o likwidacje powstałych szkód. W 6-ciu przypadkach zgłoszone przez ubezpieczonego roszczenia zostały zatwierdzone przez ubezpieczyciela, przy czym tylko w dwóch przypadkach stwierdzono, iż były one wystarczające do pokrycia rzeczywistych strat.

3. Wnioski i zalecenia

Na zakończenie autorzy raportu przedstawili zalecenia mające na celu złagodzenie wyzwań stojących przed OUK w związku z rosnącymi zagrożeniami bezpieczeństwa cybernetycznego. Zalecenia te podzielono na te skierowane do decydentów politycznych w państwach członkowskich i UE oraz te skierowane do OUK. Zalecenia te są następujące:

3.1 Zalecenia dla decydentów politycznych

  • Wdrożenie wytycznych mających na celu zwiększenie dojrzałości praktyk OUK w zakresie zarządzania ryzykiem.
  • Promowanie tworzenia ram ukierunkowanych na identyfikację i wymianę dobrych praktyk wśród OUK, szczególnie tych związanych z identyfikacją, ograniczaniem i ilościową oceną ryzyka.
  • Formułowanie działań politycznych w sposób by były spójne z konkretnymi potrzebami i wyzwaniami OUK jako całości, nie tracąc rozróżnienia na małe podmioty i duże.
  • Mając na uwadze, iż OUK zwykle preferują samodzielne inwestowanie niż transfer ryzyka, o ile ceny ubezpieczeń cybernetycznych są wysokie – zająć się wykonalnością bardziej zrównoważonych ubezpieczeń cybernetycznych poprzez bliższą współpracę z brokerami.
  • Wspieranie inicjatyw, w tym standaryzacji i opracowanie wytycznych, w celu zapewnienia elementów i metodologii oceny w zakresie oceny ilościowej ryzyka cybernetycznego, co zwiększałoby świadomość i decyzyjność w zakresie konkretnych obszarów, w których ubezpieczenia cybernetyczne byłyby optymalnym narzędziem łagodzenia skutków.
  • Kierowanie wielostronnym dialogiem mającym na celu poprawę jasności, zrozumiałości i porównywalności polis poprzez wspieranie rozwoju terminologii referencyjnej (taksonomii) dla ubezpieczeń cybernetycznych.
  • Opracowanie ram współpracy z partnerami publicznymi i prywatnymi w celu umożliwienia stworzenia ram i programów dotyczących rozwoju umiejętności w zakresie ubezpieczeń cybernetycznych, w szczególności w takich dziedzinach jak ocena ryzyka, aspekty prawne, zarządzanie informacją i dynamika rynku ubezpieczeń cybernetycznych.

3.2 Zalecenia dla OUK

  • Zwiększanie dojrzałości praktyk zarządzania ryzykiem. Praktyki zarządzania ryzykiem związane z identyfikacją, ograniczeniem i kwantyfikacja ekspozycji na ryzyko przyczyniłyby się do wyjaśnienia potrzeb w zakresie ubezpieczeń cybernetycznych.
  • Rozważanie przeznaczenia lub zwiększenia budżetu na wdrożenie procesów związanych z identyfikacja aktywów, monitorowaniem kluczowych metryk, przeprowadzaniem okresowych ocen ryzyka, identyfikacją kontroli bezpieczeństwa i kwantyfikacją ryzyka w oparciu o najlepsze praktyki branżowe.
  • usprawnić transfer wiedzy i dzielenie się nią z innymi OUK, umożliwiając czerpanie z innych dobrych praktyk przy zawieraniu i wdrażaniu ubezpieczeń cybernetycznych. Należy również usprawnić wymianę danych o incydentach między sektorami.
  • Zwiększenie zakresu ochrony ubezpieczeniowej w całym cyfrowym łańcuchu dostaw, a w szczególności objęcie nią dostawców usług zarządzanych poprzez strony trzecie. Ponieważ objęcie ochroną ubezpieczeniową tylko jednego uczestnika całego łańcucha może nie ograniczyć ryzyka w wystarczającym stopniu.
Idź do oryginalnego materiału
  1. Strona główna
  2. Prawo
  3. Raport ENISA dotyczący zapotrzebowania Operatorów Usług Kluczowych w UE na ubezpieczenia cybernetyczne

Powiązane

Sytuacje kryzysowe zweryfikują polską prezydencję [WYWIAD]

Sytuacje kryzysowe zweryfikują polską prezydencję [WYWIAD]

3 godzin temu
Zamojską radę czeka zmiana. Przewodniczący robiąc to działa wbrew ustawie

Zamojską radę czeka zmiana. Przewodniczący robiąc to działa ...

3 godzin temu
Czy w 2025 roku Polska będzie mieć problem z produkcją prądu?

Czy w 2025 roku Polska będzie mieć problem z produkcją prądu...

5 godzin temu
#1 Ślepe śledztwo w sprawie gen. Papały. Część 1: Celowo zadeptano ślady? (WIDEO)

#1 Ślepe śledztwo w sprawie gen. Papały. Część 1: Celowo zad...

13 godzin temu
#3 Papała zginął w szarpaninie? Celowo źle wykonano oględziny miejsca zbrodni i ciała Papały? (WIDEO)

#3 Papała zginął w szarpaninie? Celowo źle wykonano oględzin...

13 godzin temu
#2 Jak wyglądał ostatni dzień życia Papały? Ślepe śledztwo w sprawie Papały (WIDEO)

#2 Jak wyglądał ostatni dzień życia Papały? Ślepe śledztwo w...

13 godzin temu
Ślepe śledztwo w sprawie gen. Papały. PODCAST

Ślepe śledztwo w sprawie gen. Papały. PODCAST

13 godzin temu
Renta wdowia: ile wynosi [obliczenia ZUS]. Konkretne przykłady świadczeń w zbiegu

Renta wdowia: ile wynosi [obliczenia ZUS]. Konkretne przykła...

20 godzin temu
MKiŚ: Kłopoty dla ogrzewających pelletem domy. Rząd podwyższa normy dla pelletu [projekt rozporządzenia]

MKiŚ: Kłopoty dla ogrzewających pelletem domy. Rząd podwyższ...

21 godzin temu

Polecane

Policja apeluje: pamiętajmy o podstawowych zasadach bezpieczeństwa dotyczących użytkowania fajerwerków

Policja apeluje: pamiętajmy o podstawowych zasadach bezpiecz...

55 minut temu
29 podróży byłej kurator Barbary Nowak. Kuratorium zawiadamia prokuraturę [TOP 2024]

29 podróży byłej kurator Barbary Nowak. Kuratorium zawiadami...

1 godzina temu
Rodzina była w potrzebie. Policjanci przygotowali jej świąteczny prezent

Rodzina była w potrzebie. Policjanci przygotowali jej świąte...

1 godzina temu
Korea Południowa. Jest decyzja parlamentu ws. impeachmentu pełniącego obowiązki prezydenta

Korea Południowa. Jest decyzja parlamentu ws. impeachmentu p...

1 godzina temu
„Nie może być tak, iż służby nie mają dostępu do takich miejsc”. Siemoniak o poszukiwaniu Romanowskiego w klasztorze w Lublinie

„Nie może być tak, iż służby nie mają dostępu do takich miej...

1 godzina temu
Impeachment koreańskiego prezydenta. Są wyniki głosowania

Impeachment koreańskiego prezydenta. Są wyniki głosowania

1 godzina temu
Nie takiej pogody chcieliśmy po świętach. Najgorzej w jednym rejonie

Nie takiej pogody chcieliśmy po świętach. Najgorzej w jednym...

1 godzina temu
Nie takiej pogody chcieliśmy po świętach. Powitał nas zgniły wyż

Nie takiej pogody chcieliśmy po świętach. Powitał nas zgniły...

1 godzina temu
Starcia w Syrii. Zwolennicy obalonego prezydenta nie odpuszczają

Starcia w Syrii. Zwolennicy obalonego prezydenta nie odpuszc...

1 godzina temu