Raport ENISA dotyczący zapotrzebowania Operatorów Usług Kluczowych w UE na ubezpieczenia cybernetyczne

traple.pl 1 rok temu

Wstęp

Dotychczasowe badania przeprowadzane przez Europejska Agencje Cyberbezpieczeństwa ENISA dotyczące rynku ubezpieczeń od cyberprzestępczości[1],[2] ukierunkowane były na analizę dobrych praktyk w obszarze ubezpieczeń cybernetycznych oraz zarządzanie ryzykiem przez ubezpieczycieli. Badania te przeprowadzone w latach 2016-2017 wykazały brak danych dotyczących zdarzeń i roszczeń w sektorze ubezpieczeń cybernetycznych, a także brak ogólnie przyjętych standardów, niedojrzałość rynku oraz złożoność produktów ubezpieczeniowych, które stanowiły przeszkodę w harmonizacji procedur oceny ryzyka, jak i oceny roszczeń. Badania przeprowadzone w roku 2022 opisane w raporcie „Popyt na Ubezpieczenia Cybernetyczne w UE – Analiza wyzwań i perspektywy operatorów usług kluczowych”[3], który ukazał się w lutym br., dotyczą wyzwań i perspektyw w obszarze popytu na ubezpieczenia cybernetyczne przez szczególną grupę podmiotów, jaka stanowią Operatorzy Usług Kluczowych (OUK), o których mowa w art. 3 ust. 1 Dyrektywy NIS 2[4]. W raporcie skoncentrowano się na wymaganiach i wyzwaniach przed którymi stoją (OUK) na etapie identyfikacji i oceny ryzyka, wyboru oferty ubezpieczenia, formułowania umowy, utrzymania i wsparcia ochrony ubezpieczeniowej oraz likwidacji szkód. Przedstawiono analizy i uzyskane wyniki dotyczące wymienionych wyżej etapów cyklu życia ochrony ubezpieczeniowej. We wnioskach przedstawiono rekomendacje skierowane do decydentów tworzących prawo w UE i państwach członkowskich oraz do OUK.

2. Zakres przeprowadzonych badań

Ubezpieczenie przed skutkami incydentów bezpieczeństwa cybernetycznego jest jedną ze strategii ograniczania ryzyka. Dlatego też rozpatrywane są w kontekście zarządzania ryzykiem, w szczególności ryzykiem rezydualnym, tj. ryzykiem jakie pozostaje pomimo zastosowania określonych w danej organizacji technicznych i organizacyjnych środków bezpieczeństwa. Autorzy raportu, badając zapotrzebowanie na ubezpieczenia cybernetyczne wśród OUK, przyjrzeli się takim zagadnieniach jak:

2.1 Praktyki zarządzania ryzykiem

Jak wynika z badań ankietowych przeprowadzonych wśród wszystkich OUK, ponad 77 % wskazało, iż stosują sformalizowany proces zarządzania ryzykiem cybernetycznym. W większości przypadków stosowana jest jednak wyłącznie ocena jakościowa. Ilościowa ocena ryzyka przeprowadzana jest jedynie przez 32% OUK. Świadomość potrzeb takiej oceny wzrasta jednak wśród OUK, którzy posiadają ubezpieczenie cybernetyczne. W grupie tej 61% UOK przeprowadziło ilościową ocenę ryzyka. Z przeprowadzonych wywiadów wynika, iż większość OUK nie określiła ilościowo ryzyka cybernetycznego samodzielnie, ale we współpracy ze swoim brokerem lub firmą ubezpieczeniową.

2.2 Ubezpieczenia od cyberprzestępczości i inne rodzaje ubezpieczeń

Z przedstawionego raportu wynika, iż tylko 26% OUK posiada w tej chwili ubezpieczenie od cyberprzestępczości. Występują w tym zakresie jednak duże różnice regionalne. W Europie Zachodniej i Północnej zakres ubezpieczenia od ryzyka cyberprzestępczości jest najwyższy i wynosi około 45%, w Europie Południowej 39% i na najmniejszy w Europie Wschodniej, gdzie zakres ten wynosi zaledwie 12%. Oprócz specjalnych polis ubezpieczenia od przestępczości cybernetycznej, częściowa ochrona przed cyberprzestępczością zawarta jest często w innych polisach. Z raportu wynika, iż w grupie OUK nieposiadających polis dedykowanych ochronie przed cyberprzestępczością, 26 % z nich posiadało inne polisy, które poza głównym zakresem ubezpieczenia obejmowały.

również przestępstwa cybernetyczne. Było to zawarte w polisach w postaci dodatku dotyczącego cyberprzestępczości lub bardziej pośrednio, poprzez niewyłączanie żadnych incydentów cybernetycznych. Z przeprowadzonych badań wynika, ponadto, że:

  • Następuje wzrost cen polis ubezpieczeniowych z jednoczesnym spadkiem zakresu zdarzeń jakie dana polisa obejmuje.
  • OUK w coraz większym stopniu analizują alternatywne strategie ograniczenie ryzyka np. redukcja lub unikanie ryzyka.
  • Większość badanych (56%) stwierdziło, iż uważa inne narzędzia ograniczenia ryzyka za bardziej skuteczne w porównaniu do ubezpieczenia od cyberprzestępstw.
  • Niektórzy OUK rozważają przerwanie ubezpieczenia, jeżeli ceny będą przez cały czas rosły.

2.3 Identyfikacja i wybór firmy ubezpieczającej

Większość OES, którzy posiadają ubezpieczenie od cyberprzestępstw, wskazało, iż wiedzę o ofercie ubezpieczeniowej pozyskali od brokera ubezpieczeniowego lub firm ubezpieczeniowych. Przy wyborze oferty ubezpieczeniowej natomiast, 54% OES-ów posłużyło się własnymi badaniami, 27 % skorzystało z usług doradczych brokera lub agenta ubezpieczeniowego oraz 10% skorzystało z innych źródeł informacji. jeżeli chodzi o kryteria wyboru ubezpieczyciela to badania wykazały, iż cena pojawiała się samodzielnie lub w połączeniu z innymi kryteriami w prawie każdej kombinacji, co pokazano na rys. 1.

Bezpośrednio po cenie, innymi kryteriami warunkującymi zakup ubezpieczenia cybernetycznego są:

  • reputacja firmy ubezpieczeniowej,
  • zakres ubezpieczenia;
  • klauzule szczegółowe;
  • wsparcie.

2.4 Proces zawierania umowy ubezpieczenia

Z Raportu wynika, iż w większości przypadków podejmowanie decyzji dotyczącej zawarcia ubezpieczenia od przestępstw cybernetycznych odbywa się poza funkcją Specjalisty ds. bezpieczeństwa informacji. Decyzję w tym zakresie podejmuje najczęściej kadra kierownicza, dedykowany zespół ds. ubezpieczeń lub kierownik ds. finansowych. W większości przypadków (77% OUK, którzy posiadają polisy ubezpieczeń cybernetycznych), posiadanie certyfikatu ISO 27001 ułatwiło akceptację umowy przez ubezpieczyciela. Spośród 40 OUK 5 zgłosiło, iż posiadanie certyfikatu doprowadziło do obniżenia ceny, a 4 zadeklarowały, ze posiadanie tych certyfikatów miało wpływ na limity pokrycia, tj. kwota do której ubezpieczyciel zapewnia pokrycie kosztów związanych z wystąpieniem konkretnego zdarzenia i powstałych w związku z nim strat. W odniesieniu do limitów pokrycia tylko 7 z 58 badanych OUK (12%) podało, iż ocena przeprowadzona przez ubezpieczyciela doprowadziła do wprowadzenia wyłączeń i limitów, podczas gdy 44% odpowiedziało, iż nie wprowadzono żadnych wyłączeń.

2.5 Proces utrzymania i wsparcia dla ubezpieczonych

Badając dodatkowe cechy i usługi wbudowane w ubezpieczenia od przestępstw cybernetycznych, które zawarli OUK, autorzy raportu ustalili, że:

  • w 40 % polis ubezpieczenia zawartych z OUK ubezpieczyciel zapewnił wsparcie w zakresie zapobiegania cyberprzestępstwom, oraz
  • w 68 % polis ubezpieczeniowych ubezpieczyciel zapewnił wsparcie techniczne przy analizie po zaistnieniu incydentu bezpieczeństwa.

Przedstawiciele kilku OUK zaznaczyli, iż reagowanie na incydenty jest bardzo cenną usługą. Wielu z nich podkreśliło jednak, iż mają już w tym zakresie umowy i inne relacje z podmiotami reagującymi na incydenty bezpieczeństwa cybernetycznego, które będą ich wspierać w przypadku zaistnienia incydentu i oferta ubezpieczyciela w tym zakresie jest dla nich mało znacząca.

2.6 Proces likwidacji szkód

W obszarze roszczeń z tytułu polis ubezpieczeniowych z zakresu likwidacji szkód w następstwie incydentów bezpieczeństwa cybernetycznego wypowiedziało się tylko 13 % badanych OUK (8 z 60), którzy posiadali polisy ubezpieczeniowe i występowali o likwidacje powstałych szkód. W 6-ciu przypadkach zgłoszone przez ubezpieczonego roszczenia zostały zatwierdzone przez ubezpieczyciela, przy czym tylko w dwóch przypadkach stwierdzono, iż były one wystarczające do pokrycia rzeczywistych strat.

3. Wnioski i zalecenia

Na zakończenie autorzy raportu przedstawili zalecenia mające na celu złagodzenie wyzwań stojących przed OUK w związku z rosnącymi zagrożeniami bezpieczeństwa cybernetycznego. Zalecenia te podzielono na te skierowane do decydentów politycznych w państwach członkowskich i UE oraz te skierowane do OUK. Zalecenia te są następujące:

3.1 Zalecenia dla decydentów politycznych

  • Wdrożenie wytycznych mających na celu zwiększenie dojrzałości praktyk OUK w zakresie zarządzania ryzykiem.
  • Promowanie tworzenia ram ukierunkowanych na identyfikację i wymianę dobrych praktyk wśród OUK, szczególnie tych związanych z identyfikacją, ograniczaniem i ilościową oceną ryzyka.
  • Formułowanie działań politycznych w sposób by były spójne z konkretnymi potrzebami i wyzwaniami OUK jako całości, nie tracąc rozróżnienia na małe podmioty i duże.
  • Mając na uwadze, iż OUK zwykle preferują samodzielne inwestowanie niż transfer ryzyka, o ile ceny ubezpieczeń cybernetycznych są wysokie – zająć się wykonalnością bardziej zrównoważonych ubezpieczeń cybernetycznych poprzez bliższą współpracę z brokerami.
  • Wspieranie inicjatyw, w tym standaryzacji i opracowanie wytycznych, w celu zapewnienia elementów i metodologii oceny w zakresie oceny ilościowej ryzyka cybernetycznego, co zwiększałoby świadomość i decyzyjność w zakresie konkretnych obszarów, w których ubezpieczenia cybernetyczne byłyby optymalnym narzędziem łagodzenia skutków.
  • Kierowanie wielostronnym dialogiem mającym na celu poprawę jasności, zrozumiałości i porównywalności polis poprzez wspieranie rozwoju terminologii referencyjnej (taksonomii) dla ubezpieczeń cybernetycznych.
  • Opracowanie ram współpracy z partnerami publicznymi i prywatnymi w celu umożliwienia stworzenia ram i programów dotyczących rozwoju umiejętności w zakresie ubezpieczeń cybernetycznych, w szczególności w takich dziedzinach jak ocena ryzyka, aspekty prawne, zarządzanie informacją i dynamika rynku ubezpieczeń cybernetycznych.

3.2 Zalecenia dla OUK

  • Zwiększanie dojrzałości praktyk zarządzania ryzykiem. Praktyki zarządzania ryzykiem związane z identyfikacją, ograniczeniem i kwantyfikacja ekspozycji na ryzyko przyczyniłyby się do wyjaśnienia potrzeb w zakresie ubezpieczeń cybernetycznych.
  • Rozważanie przeznaczenia lub zwiększenia budżetu na wdrożenie procesów związanych z identyfikacja aktywów, monitorowaniem kluczowych metryk, przeprowadzaniem okresowych ocen ryzyka, identyfikacją kontroli bezpieczeństwa i kwantyfikacją ryzyka w oparciu o najlepsze praktyki branżowe.
  • usprawnić transfer wiedzy i dzielenie się nią z innymi OUK, umożliwiając czerpanie z innych dobrych praktyk przy zawieraniu i wdrażaniu ubezpieczeń cybernetycznych. Należy również usprawnić wymianę danych o incydentach między sektorami.
  • Zwiększenie zakresu ochrony ubezpieczeniowej w całym cyfrowym łańcuchu dostaw, a w szczególności objęcie nią dostawców usług zarządzanych poprzez strony trzecie. Ponieważ objęcie ochroną ubezpieczeniową tylko jednego uczestnika całego łańcucha może nie ograniczyć ryzyka w wystarczającym stopniu.
Idź do oryginalnego materiału
  1. Strona główna
  2. Prawo
  3. Raport ENISA dotyczący zapotrzebowania Operatorów Usług Kluczowych w UE na ubezpieczenia cybernetyczne

Powiązane

Wszystkie grzechy w sprawie ks. Olszewskiego. Anatomia zatrzymania i aresztu. KONFRONTACJA (8)

Wszystkie grzechy w sprawie ks. Olszewskiego. Anatomia zatrz...

44 minut temu
Nowe obowiązku i grzywny. Powstanie rejestr psów i kotów, prowadzony przez ARiMR

Nowe obowiązku i grzywny. Powstanie rejestr psów i kotów, pr...

2 godzin temu
Rząd wyjaśnia: W orzeczeniu o niepełnosprawności 3 symbole a nie np. 5 [Pełnomocnik rządu Ł. Krasoń]

Rząd wyjaśnia: W orzeczeniu o niepełnosprawności 3 symbole a...

3 godzin temu
Pełnomocnik rządu Ł. Krasoń: odpowiada o. niepełnosprawnym. Dlaczego w orzeczeniu o niepełnosprawności 3 symbole a nie np. 5

Pełnomocnik rządu Ł. Krasoń: odpowiada o. niepełnosprawnym. ...

3 godzin temu
Rząd: Orzeczenia o niepełnosprawności z 3 a nie 5 chorobami. TAK dla udaru, resekcji, serca. NIE dla wątroby i cukrzycy

Rząd: Orzeczenia o niepełnosprawności z 3 a nie 5 chorobami....

6 godzin temu
Dodatkowy 1000 złotych na wyprawkę szkolną w roku szkolnym 2024/2025. To wynik szybkich prac rządu. Jak o niego wnioskować?

Dodatkowy 1000 złotych na wyprawkę szkolną w roku szkolnym 2...

11 godzin temu
Wyższe dodatki i nagrody oraz dłuższy urlop dla pracowników. Wszystko dzięki nowym zasadom naliczania stażu pracy. Od kiedy?

Wyższe dodatki i nagrody oraz dłuższy urlop dla pracowników....

11 godzin temu
Jednorazowe 1000 zł dla rodziców przedszkolaków i uczniów w roku szkolnym 2024/2025. Komisja nadzwyczajna za

Jednorazowe 1000 zł dla rodziców przedszkolaków i uczniów w ...

12 godzin temu
800 plus po rozwodzie (piecza naprzemienna nad dzieckiem). ZUS każe oddać połowę świadczenia a WSA uchyla decyzje ZUS-u

800 plus po rozwodzie (piecza naprzemienna nad dzieckiem). Z...

13 godzin temu

Polecane

Sieci, czyli wąskie gardło transformacji energetycznej

Sieci, czyli wąskie gardło transformacji energetycznej

28 minut temu
Minister finansów Andrzej Domański o przesunięciach w budżecie. Wskazał priorytety

Minister finansów Andrzej Domański o przesunięciach w budżec...

43 minut temu
Trzeba wzmacniać więzy nauki z biznesem

Trzeba wzmacniać więzy nauki z biznesem

44 minut temu
Warszawa: Trzy osoby z zarzutami po ataku nożem na 17-latka

Warszawa: Trzy osoby z zarzutami po ataku nożem na 17-latka

47 minut temu
Wodór – paliwo z potencjałem transgranicznym

Wodór – paliwo z potencjałem transgranicznym

49 minut temu
Odwrócili losy finału i zdobyli prestiżowe trofeum. Po raz trzeci w historii

Odwrócili losy finału i zdobyli prestiżowe trofeum. Po raz t...

50 minut temu
Kostarykanin przejął kontrolę nad stacją trakcyjną w Polsce ze swojego domu w Kostaryce

Kostarykanin przejął kontrolę nad stacją trakcyjną w Polsce ...

52 minut temu
Wodór zyska w przyszłości na znaczeniu

Wodór zyska w przyszłości na znaczeniu

56 minut temu
Szokująca egzekucja obok Łodzi. Nowe informacje o sprawcy wypadku

Szokująca egzekucja obok Łodzi. Nowe informacje o sprawcy wy...

57 minut temu