Kybernetické pojištění podle NIS 2
Pojištění může vyplácet nároky. Neprovádí technická a organizační opatření, která vyžaduje článek 21 NIS 2.
Přehled
Kybernetické pojištění a NIS 2 sedí na různých vrstvách. Kybernetická pojistka je soukromá smlouva mezi subjektem a pojistitelem, která po incidentu vyplácí definované náklady. NIS 2 je veřejné právo: článek 21 stanoví technická a organizační opatření, která musí klíčové a důležité subjekty implementovat, článek 23 stanoví ohlašovací povinnost, článek 27 stanoví registrační povinnost. Žádná z těchto povinností nepřechází na pojistitele, když se pojistka podepíše.
BSI to říká přímo. Jeho informační balíček k NIS 2 popisuje plošný přenos rizika prostřednictvím pojistné smlouvy jako nedostupný v rámci režimu řízení rizik podle směrnice. Článek 21 odst. 1 NIS 2 vyžaduje vhodná a přiměřená opatření, s ohledem na stav techniky a náklady na implementaci. Podepsaná pojistka není ani opatřením, ani jeho náhradou.
Praktická otázka pro provozovatele v působnosti článku 21 tedy není, zda mít kybernetické pojištění, ale jak pojistka interaguje s podkladovými opatřeními NIS 2. Většina pojistek vyžaduje tato opatření jako předpoklad krytí. Tatáž opatření jsou ta, na která se BSI a národní dozorové orgány dívají během auditu NIS 2.
Článek 21 odst. 1 NIS 2
Členské státy zajistí, aby klíčové a důležité subjekty přijaly vhodná a přiměřená technická, provozní a organizační opatření k řízení rizik pro bezpečnost sítí a informačních systémů, které tyto subjekty používají pro svůj provoz nebo pro poskytování svých služeb, a k předcházení dopadům incidentů na příjemce jejich služeb a na jiné služby nebo k jejich minimalizaci. S ohledem na stav techniky a případně na relevantní evropské a mezinárodní normy, jakož i na náklady na implementaci, zajistí opatření uvedená v prvním pododstavci úroveň bezpečnosti sítí a informačních systémů přiměřenou daným rizikům.
Zdroj: směrnice (EU) 2022/2555, článek 21 odst. 1. Referenčními body jsou stav techniky, relevantní normy a náklady na implementaci. Pojištění na seznamu není.
CIR 2024/2690 příloha, bod 2
Politika bezpečnosti sítí a informačních systémů stanoví přístup relevantních subjektů k řízení bezpečnosti svých sítí a informačních systémů. Rámec řízení rizik uvedený v bodě 2.1 identifikuje rizika pro bezpečnost sítí a informačních systémů a zajišťuje jejich řízení.
Zdroj: prováděcí nařízení Komise (EU) 2024/2690, příloha. Podrobné požadavky na řízení rizik pro subjekty digitální infrastruktury jsou rámovány kolem rámce řízení rizik s opatřeními, ne kolem finančního přenosu rizika.
§ 30 BSIG (německá transpozice)
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um die Risiken für die Sicherheit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen zu vermeiden oder so gering wie möglich zu halten.
Zdroj: § 30 odst. 1 BSIG. Německá transpozice zrcadlí článek 21 NIS 2: technická a organizační opatření samotným subjektem, na standardu přiměřenosti. Pojištění není jmenováno jako jeden z prostředků.
Náklady na incident a odpovědnost vůči třetím stranám
Mezi běžné hlavičky krytí patří náklady na reakci na incident (forenzika, právní služby, komunikace), ztráty z přerušení provozu vázané na krytou kybernetickou událost, náklady na obnovu dat a odpovědnost vůči třetím stranám za nároky zákazníků nebo subjektů údajů. Některé pojistky se rozšiřují na platby výkupného v jurisdikcích, kde je to zákonné, s výhradou prověření vůči sankcím.
Pokuty, předchozí vědomost, válka a infrastruktura
Regulační pokuty jsou v několika jurisdikcích EU z důvodů veřejného pořádku nepojistitelné. Mezi běžné výluky také patří známé nenapravené zranitelnosti, nezáplatované systémy pod smluvně dohodnutými úrovněmi, válečné akty a státem podporované útoky (znění trhu Lloyd's je v zásadě přijato) a výpadky veřejné infrastruktury mimo kontrolu subjektu.
Předpoklady a záruky
Většina kybernetických upisovatelů vyžaduje, aby pojištěný subjekt udržoval definované minimum: vícefaktorové ověřování, zálohování, záplatování, osvětové školení, plán reakce na incident. Toto jsou tytéž položky pokryté článkem 21 odst. 2 NIS 2 a CIR. Pojistka může zaniknout nebo vyplácet snížené částky, pokud opatření v zárukách nebyla v okamžiku škody zavedena.
Povinnost podle článku 21 není přenositelná
Článek 21 se obrací na subjekt. Opatření, dokumentace a dohled řídicího orgánu podle článku 20 sedí uvnitř subjektu. Pojistná smlouva je finanční ujednání po události; nepřemísťuje zákonnou povinnost jednat před událostí. BSI to ve svém informačním balíčku popisuje jako vyloučení plošného přenosu rizika.
O opatřeních rozhoduje přiměřenost, ne pojistné
Článek 21 odst. 1 jmenuje tři referenční body: stav techniky, relevantní normy a náklady na implementaci. Test přiměřenosti se uplatňuje na samotná technická a organizační opatření. Vyšší pojistné neposouvá posouzení přiměřenosti; provozovatel stále musí prokázat, že opatření jsou vhodná pro rizika, která subjekt skutečně nese.
BSI. Bundesamt für Sicherheit in der Informationstechnik
Informační balíček BSI k transpozici NIS 2 uvádí, že povinnost řízení rizik nelze splnit hromadným přenosem rizika na pojistitele. Použité formulace je, že plošný přenos rizika je vyloučen. Tento postoj sladí německý dozorový orgán se strukturou článku 21: od subjektu se očekává, že opatření implementuje, ne že je obejde platbou.
ENISA
Technické implementační pokyny ENISA k NIS 2 jsou postaveny kolem opatření uvedených v článku 21 odst. 2 a příloze CIR. Zveřejněné pokyny agentury nepovažují kybernetické pojištění za jedno z opatření; objevuje se, pokud vůbec, jako součást širších možností subjektu pro zacházení s riziky v rámci rámce řízení rizik.
GDV. Gesamtverband der Deutschen Versicherungswirtschaft
Německý pojišťovací svaz vydává oborová vzorová znění pro kybernetické krytí (AVB Cyber) a průzkumy trhu. Veřejné materiály svazu popisují kybernetické pojištění jako jeden prvek širšího přístupu k řízení rizik a poukazují na minimum technických opatření jako obvyklý předpoklad upisování.
Mýtus: Kybernetická pojistka přenáší povinnost podle NIS 2 na pojistitele.
Povinnosti podle NIS 2 podle článků 20, 21, 23 a 27 se obrací na subjekt. Pojistitel je protistranou v soukromé smlouvě, ne regulovaným subjektem vstupujícím do povinností provozovatele podle NIS 2. BSI popisuje plošný přenos rizika jako vyloučený v rámci režimu směrnice.
Mýtus: Regulační pokuty pojistka kryje.
Regulační pokuty podle § 65 BSIG (německá transpozice správních pokut podle NIS 2 podle článků 34 a 36) jsou napříč jurisdikcemi EU široce považovány za nepojistitelné z důvodů veřejného pořádku. Standardní znění je vylučují. Náklady na obhajobu jsou samostatná otázka a často jsou kryty s výhradou limitů.
Mýtus: Pojistné je zaplaceno, takže výplata je automatická.
Kybernetické upisování je podmíněno prohlášeními v zárukách o opatřeních subjektu. Pokud opatření v zárukách (vícefaktorové ověřování, úrovně záplatování, režim zálohování, plán reakce na incident) nebyla v okamžiku škody zavedena, může pojistitel výplatu snížit nebo odmítnout. Tato opatření v zárukách sledují opatření podle článku 21 odst. 2 NIS 2.
Makléři a risk manažeři běžně popisují kybernetické pojištění jako vrstvu navrch fungujícího bezpečnostního programu, ne jako jeho náhradu. Pořadí, které popisují, je: nejprve implementovat opatření podle článku 21, zdokumentovat je, pak oslovit trh. Upisovatelé žádají stejnou dokumentaci, jakou žádá audit NIS 2. Inventář aktiv, registr dodavatelů, minimum záplatování, výsledky testů záloh, plán reakce na incident, záznamy z osvětového školení.
Z pohledu NIS 2 je tedy relevantní otázka pro provozovatele praktická. Má subjekt důkaz o opatřeních podle článku 21 odst. 2? Jsou smluvní záruky v kybernetické pojistce v souladu se skutečnou úrovní provozovatele? Pokud se ty dvě věci rozcházejí, mezera se ukáže dvakrát: jednou u dozorového orgánu při auditu NIS 2, jednou u pojistitele při nároku.
NISD2 organizuje důkazy subjektu kolem oblastí opatření podle článku 21 odst. 2 a přílohy CIR. Inventář aktiv, registr dodavatelů, plán zacházení s riziky, plán reakce na incident, záznamy z osvětového školení a schválení vedením sedí v jednom registru povinností. Tentýž balík důkazů je ten, na který se dívají upisovatelé i dozorové orgány.
Platforma neprodává, nezprostředkovává ani nedoporučuje pojistné produkty. Dokumentuje podkladová opatření NIS 2 tak, aby otázka krytí seděla navrch definované úrovně, ne místo ní.
- Směrnice (EU) 2022/2555 (NIS 2), článek 21. https://eur-lex.europa.eu/eli/dir/2022/2555/oj
- Prováděcí nařízení Komise (EU) 2024/2690, příloha. https://eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), § 30 a § 65. https://www.gesetze-im-internet.de/bsig_2009/
- BSI. NIS-2 Informationspakete und Hintergrund. https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/NIS-2/nis-2_node.html
- ENISA. NIS 2 Technical Implementation Guidance. https://www.enisa.europa.eu/publications
- GDV. Cyber-Versicherung und unverbindliche Musterbedingungen (AVB Cyber). https://www.gdv.de/