Tego, że branża musi być zwarta, gotowa i doświadczona w temacie cyberbezpieczeństwa, nie trzeba nikomu tłumaczyć. Ciągła edukacja i opisywanie problemu to nasz obowiązek. Wiemy, że dyrektywa NIS 2, która weszła w życie na poziomie Unii Europejskiej w 2023 r., stanowi znaczący krok w kierunku zwiększenia bezpieczeństwa cyfrowego w Europie.
Polska, jako członek UE, miała obowiązek dostosowania swojego prawa do wymogów dyrektywy NIS 2 (Network and Information Systems Directive 2) do października 2024 r. Choć formalnie Polska nie zdążyła jeszcze dostosować swoich regulacji prawnych do wspomnianej dyrektywy, to proces implementacji trwa i jest realizowany głównie poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa. Branża zatem powinna być przygotowana, a edukacja klienta już dawno rozpoczęta, bo ryzyko jest znane, a skutki dotkliwe i bardzo kosztowne.
Czym jest dyrektywa NIS 2?
Dyrektywa NIS 2 jest rozwinięciem wcześniejszej dyrektywy NIS z 2016 r. i ma na celu zwiększenie odporności przedsiębiorstw na zagrożenia cybernetyczne.
Rozszerza ona zakres podmiotów zobowiązanych do stosowania standardów cyberbezpieczeństwa, obejmując nowe sektory krytyczne, takie jak usługi zdrowotne, dostawcy usług cyfrowych, transport czy produkcja.
Nakłada także bardziej rygorystyczne wymogi dotyczące zarządzania ryzykiem cybernetycznym, raportowania incydentów i odpowiedzialności zarządu.
NIS 2 a wzrost zapotrzebowania na ubezpieczenia cyber
Dyrektywa NIS 2 zwiększa odpowiedzialność prawną przedsiębiorstw za incydenty cybernetyczne i ich skutki. Firmy, które nie spełnią wymagań, mogą zostać ukarane wysokimi grzywnami – nawet do 10 mln euro lub 2% globalnego obrotu. W związku z tym wzrośnie potrzeba zabezpieczenia się przed finansowymi skutkami cyberataków.
Dla rynku ubezpieczeń cyber oznacza to:
- Większe zainteresowanie polisami cybernetycznymi: przedsiębiorstwa będą poszukiwać ochrony ubezpieczeniowej, która pokryje koszty związane z reakcją na incydenty, naprawą systemów, odszkodowaniami dla klientów oraz potencjalnymi karami administracyjnymi.
- Nowe wymagania wobec produktów ubezpieczeniowych: ubezpieczyciele będą musieli dostosować swoje oferty, uwzględniając specyficzne wymogi prawne dyrektywy NIS 2. Klienci będą oczekiwać polis obejmujących m.in. koszty audytów bezpieczeństwa, zarządzania ryzykiem czy konsultacji prawnych.
- Wzrost sum ubezpieczenia (do 10 mln euro), a co za tym idzie wzrost składek i kosztów.
Nowe wyzwania dla ubezpieczycieli
Chociaż NIS 2 generuje nowe możliwości dla branży ubezpieczeniowej, niesie też wyzwania:
- Ocena ryzyka: ubezpieczyciele będą musieli wdrożyć bardziej zaawansowane metody oceny ryzyka, uwzględniając stopień zgodności klientów z wymogami NIS 2.
- Rosnące koszty likwidacji szkód: wraz ze wzrostem skali i złożoności cyberataków potencjalne roszczenia mogą być coraz wyższe. Ubezpieczyciele muszą przygotować się na większe wypłaty związane z dużymi incydentami.
- Potrzeba edukacji klientów: nie wszystkie przedsiębiorstwa są świadome wymogów dyrektywy. Konieczne będzie aktywne doradztwo i edukacja rynku przez ubezpieczycieli.
Wpływ na przedsiębiorstwa w Polsce
W Polsce szczególnie dotknięte będą sektory energetyki, transportu, finansów, opieki zdrowotnej i administracji publicznej. Odpowiednio skonstruowane ubezpieczenie nie tylko ochroni przed skutkami ataków, ale także zapewni dostęp do ekspertów, którzy pomogą w spełnieniu wymogów dyrektywy.
Wygrają ubezpieczyciele, którzy dostosują swoje produkty do nowych realiów i będą w stanie zaoferować wartość dodaną w postaci doradztwa czy wsparcia w zarządzaniu ryzykiem.
Wpływ na działalność brokerów ubezpieczeniowych
Wdrożenie dyrektywy NIS 2 stworzy równocześnie nowe wyzwania i możliwości dla brokerów ubezpieczeniowych w Polsce. W obliczu rosnącego zapotrzebowania na ubezpieczenia cyber brokerzy odegrają kluczową rolę w dostosowaniu ofert do potrzeb klientów oraz edukacji rynku. Ich działalność zyska na znaczeniu, ale wymagać będzie także odpowiedniego przygotowania i nowych kompetencji.
Kluczowe zmiany dla brokerów:
- Zwiększone zapotrzebowanie na doradztwo eksperckie.
Dyrektywa NIS 2 wprowadza złożone wymagania prawne i techniczne, co sprawia, że wiele z nich będzie potrzebowało eksperckiego wsparcia w zakresie identyfikacji ryzyka cybernetycznego i zarządzania nim. Brokerzy będą musieli pełnić funkcję nie tylko pośredników w zawieraniu polis, ale także doradców, którzy pomogą klientom zrozumieć ich obowiązki wynikające z NIS 2 oraz dobrać odpowiednie produkty ubezpieczeniowe.
- Dostosowanie ofert ubezpieczeń do nowych wymagań.
Brokerzy będą musieli ściśle współpracować z ubezpieczycielami, aby tworzyć bardziej kompleksowe produkty cyber. Przykładowo, polisy będą musiały obejmować koszty audytów bezpieczeństwa, raportowania incydentów, ochrony przed odpowiedzialnością administracyjną (grzywny) oraz wsparcie prawne w przypadku postępowania regulacyjnego.
- Rosnąca konkurencja i potrzeba specjalizacji.
Wzrost popytu na ubezpieczenia cyber sprawi, że na rynku pojawi się więcej graczy oferujących podobne produkty. Brokerzy, aby wyróżnić się w tym dynamicznie rozwijającym się segmencie, będą musieli specjalizować się w cyberbezpieczeństwie i zdobywać certyfikaty potwierdzające ich kompetencje.
- Nowe wyzwania w zakresie oceny ryzyka i kosztów obsługi.
Dyrektywa NIS 2 wymaga od przedsiębiorstw wdrożenia zaawansowanych systemów zarządzania ryzykiem cybernetycznym. Brokerzy będą musieli umiejętnie oceniać na podstawie swojego doświadczenia i wiedzy, czy klienci w ogóle spełniają te wymogi, co będzie miało również wpływ na cenę ich usługi.
Grzegorz Waszkiewicz
