„Nadejszła wiekopomna chwila”, jak powiedział kiedyś Kazimierz Pawlak. Przez ostatnie miesiące przygotowywaliśmy się do zaaranżowania polisy chroniącej nas od cyberryzyka. Między innymi przeprowadzaliśmy testy penetracyjne naszych sieci i wypełnialiśmy kwestionariusze oceny ryzyka, które wraz z zapytaniem sami lub przy pomocy wykwalifikowanego pośrednika ubezpieczeniowego, np. brokera, przesyłaliśmy ubezpieczycielom.
Przyszła więc pora, by sprawdzić, co konkretnie kryją ogólne warunki ubezpieczenia ryzyka cyber. Na początek drobna aktualizacja – na 20 września 2021 r. ubezpieczenie ryzyka cyber oferują następujący ubezpieczyciele:
- Allianz
- Chubb
- Colonnade
- PZU
- Generali
- Hestia
- Leadenhall
- Findia
Rynek ubezpieczenia cyberryzyka opuściło przykładowo CEU.
Brzytwa Ockhama
Gdybyśmy chcieli porównać polisę cyber do innych, dostępnych na rynku, byłaby to polisa ubezpieczenia… pojazdu. Mamy więc first party liability, czyli szkody własne – odpowiednik autocasco. Third party liability, czyli szkody wyrządzone osobom trzecim – odpowiedzialność cywilna. Oraz ostatnie, choć nie mniej ważne – usługi, czyli assistance.
Podkreślić należy, że polisa cyber jest jedyną polisą, która traktuje ryzyko całościowo. Inne polisy mogą zawierać elementy ochrony, którą daje polisa cyber, jednak starając się ułożyć polisowe klocki różnych linii ubezpieczeń, nie uzyskamy tożsamego zakresu ubezpieczenia.
Zanim przejdziemy do meritum, pozwolę sobie na jeszcze jedną uwagę ogólną – zwracajmy uwagę na definicje i nazewnictwo stosowane w o.w.u. Ubezpieczyciele mogą opatrywać to samo ryzyko różnymi nazwami, więc metoda poszukiwania konkretnych treści poprzez wciśnięcie kombinacji klawiszy CTRL+F może okazać się nieskuteczna.
Podobnie jest z definicjami (definicja definicji nierówna). Generalnie im prostszy zapis, tym mniej problemów interpretacyjnych w przypadku ustalania odpowiedzialności ubezpieczyciela i mniej wątpliwości podczas likwidacji szkody. Bytów nie należy mnożyć bez potrzeby.
Moja bardzo wielka wina
Dziś na warsztat trafi odpowiedzialność cywilna. Na co więc możemy liczyć, gdy listonosz doręczy nam wezwanie lub pozew?
- Naruszenie prywatności i naruszenie danych
Ryzyko to występuje także pod innymi nazwami, np.: naruszenie prywatności i utrata dokumentów, naruszenie poufności, naruszenie bezpieczeństwa informacji. Ubezpieczyciel wypłaci świadczenia odszkodowawcze (np. kwoty, które ubezpieczony zobowiązany jest zapłacić na gruncie wyroku lub ugody bądź odszkodowania o charakterze sankcji – punitive lub exemplary damages, o ile mogą zostać objęte ubezpieczeniem), koszty obrony (np. opłaty sądowe, koszty oraz wydatki poniesione przez ubezpieczonego w związku z postępowaniem przygotowawczym, koszty uzyskania zabezpieczenia) oraz koszty reakcji (np. ustalenie i zabezpieczenie danych w systemie komputerowym, koszty zawiadamiania o naruszeniu każdego poszkodowanego, klienta lub organu administracji zgodnie z prawem), których przyczyną były takie zdarzenia, jak np. ujawnienie informacji lub danych osobowych przez ubezpieczonego, nieuprawniony dostęp lub wykorzystanie informacji bądź danych osobowych.
2. Naruszenie bezpieczeństwa sieci
Ubezpieczyciel wypłaci świadczenia odszkodowawcze oraz koszty obrony, których przyczyną był faktyczny lub domniemany czyn, błąd lub zaniedbanie ubezpieczonego, na skutek którego doszło do cyberataku.
3. Nieprawidłowe zachowanie związane z działalnością medialną
Ubezpieczyciel wypłaci świadczenia odszkodowawcze oraz koszty obrony, których przyczyną było np.: faktyczne lub domniemane zniesławienie, nieumyślne naruszenie własności intelektualnej, sprzeniewierzenie lub kradzież pomysłu lub informacji, zakłócenie, naruszenie lub ingerencja w prawa jednostki do prywatności i wypowiedzi, ujawnienie informacji z życia prywatnego oraz komercyjne przywłaszczenie imienia, nazwiska, osobowości lub wizerunku bądź przewinienie ubezpieczonego w odniesieniu do treści przekazów cyfrowych.
4. Kary i grzywny
Ubezpieczyciel wypłaci grzywny i kary oraz koszty obrony, których przyczyną było naruszenie danych lub naruszenie prywatności.
5. Naruszenie Standardów Obsługi Płatności (PCI DSS)
Ubezpieczyciel wypłaci świadczenia odszkodowawcze, kary umowne oraz koszty obrony, których przyczyną było nieumyślne naruszenie jakichkolwiek opublikowanych standardów bezpieczeństwa danych PCI (ang. Payment Card Industry Data Security Standard), których ubezpieczony jest zobowiązany przestrzegać.
W kolejnym artykule zajmiemy się szkodami własnymi.
Łukasz Cichowski
starszy broker w MAI Insurance Brokers Poland Sp. z o.o.
