Art. 21(1) NIS 2

Ubezpieczenie cybernetyczne na gruncie NIS 2

Ubezpieczenie może wypłacić odszkodowania. Nie wykonuje środków technicznych i organizacyjnych, których wymaga art. 21 NIS 2.

Simon OrzelSimon Orzel·

Przegląd

Ubezpieczenie cybernetyczne i NIS 2 znajdują się na różnych warstwach. Polisa cybernetyczna to prywatna umowa między podmiotem a ubezpieczycielem, która wypłaca określone koszty po incydencie. NIS 2 to prawo publiczne: art. 21 określa środki techniczne i organizacyjne, które podmioty kluczowe i ważne muszą wdrożyć, art. 23 określa obowiązek zgłaszania, art. 27 określa obowiązek rejestracji. Żaden z tych obowiązków nie przechodzi na ubezpieczyciela w chwili podpisania polisy.

BSI stwierdza to wprost. Jego pakiet informacyjny NIS 2 opisuje ryczałtowy transfer ryzyka poprzez polisę ubezpieczeniową jako niedostępny w ramach reżimu zarządzania ryzykiem dyrektywy. Artykuł 21 ust. 1 NIS 2 wymaga odpowiednich i proporcjonalnych środków, z uwzględnieniem aktualnego stanu wiedzy i kosztu wdrożenia. Podpisana polisa nie jest ani środkiem, ani jego substytutem.

Praktyczne pytanie dla operatora w zakresie art. 21 nie brzmi zatem, czy mieć ubezpieczenie cybernetyczne, lecz jak polisa współgra z bazowymi środkami kontroli NIS 2. Większość polis wymaga, aby te środki kontroli były wdrożone jako warunek wstępny ochrony. Te same środki kontroli są tymi, na które BSI i krajowi nadzorcy patrzą podczas audytu NIS 2.

Kotwica prawna
Artykuł 21 NIS 2, rozporządzenie wykonawcze Komisji oraz niemiecka transpozycja. Ramy zarządzania ryzykiem są zdefiniowane na poziomie UE; prawo państwa członkowskiego je transponuje.

Artykuł 21 ust. 1 NIS 2

Państwa członkowskie zapewniają, aby podmioty kluczowe i ważne podejmowały odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykami dla bezpieczeństwa sieci i systemów informatycznych, które podmioty te wykorzystują w swojej działalności lub do świadczenia swoich usług, oraz w celu zapobiegania skutkom incydentów dla odbiorców ich usług i dla innych usług lub minimalizowania tych skutków. Z uwzględnieniem aktualnego stanu wiedzy oraz, w stosownych przypadkach, odpowiednich norm europejskich i międzynarodowych, a także kosztu wdrożenia, środki, o których mowa w akapicie pierwszym, zapewniają poziom bezpieczeństwa sieci i systemów informatycznych odpowiedni do występujących ryzyk.

Źródło: dyrektywa (UE) 2022/2555, artykuł 21 ust. 1. Punktami odniesienia są aktualny stan wiedzy, odpowiednie normy i koszt wdrożenia. Ubezpieczenia nie ma na liście.

CIR 2024/2690 załącznik, punkt 2

Polityka bezpieczeństwa sieci i systemów informatycznych określa podejście podmiotów, których to dotyczy, do zarządzania bezpieczeństwem ich sieci i systemów informatycznych. Ramy zarządzania ryzykiem, o których mowa w punkcie 2.1, identyfikują ryzyka dla bezpieczeństwa sieci i systemów informatycznych oraz przewidują zarządzanie nimi.

Źródło: rozporządzenie wykonawcze Komisji (UE) 2024/2690, załącznik. Szczegółowe wymagania zarządzania ryzykiem dla podmiotów infrastruktury cyfrowej są ujęte wokół ram zarządzania ryzykiem ze środkami, a nie wokół finansowego transferu ryzyka.

§ 30 BSIG (niemiecka transpozycja)

Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um die Risiken für die Sicherheit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen zu vermeiden oder so gering wie möglich zu halten.

Źródło: § 30 ust. 1 BSIG. Niemiecka transpozycja odzwierciedla art. 21 NIS 2: środki techniczne i organizacyjne wdrażane przez sam podmiot, na podstawie standardu proporcjonalności. Ubezpieczenie nie jest wymienione jako jeden ze środków.

Co obejmuje typowa polisa cybernetyczna
Polisy cybernetyczne na rynku niemieckim nie są ustandaryzowane, ale nagłówki ochrony są w dużej mierze podobne. Poniższe opisy są przykładowe dla typowych warunków, a nie substytutem przeczytania konkretnej polisy.
Typowa ochrona

Koszty incydentu i odpowiedzialność wobec osób trzecich

Typowe nagłówki ochrony obejmują koszty reakcji na incydent (kryminalistyka, prawo, komunikacja), straty z tytułu przerwania działalności związane z objętym zdarzeniem cybernetycznym, koszty przywrócenia danych oraz odpowiedzialność wobec osób trzecich za roszczenia klientów lub osób, których dane dotyczą. Niektóre polisy rozszerzają się na płatności okupu w jurysdykcjach, w których jest to zgodne z prawem, z zastrzeżeniem weryfikacji pod kątem sankcji.

Typowe wyłączenia

Kary, wcześniejsza wiedza, wojna i infrastruktura

Kary administracyjne są nieubezpieczalne w kilku jurysdykcjach UE ze względów porządku publicznego. Typowe wyłączenia obejmują również znane podatności, które nie zostały usunięte, niezałatane systemy poniżej umownie uzgodnionych poziomów, akty wojny i ataki sponsorowane przez państwo (szeroko przyjmowane jest brzmienie rynku Lloyd's) oraz awarie infrastruktury publicznej poza kontrolą podmiotu.

Interfejs NIS 2

Warunki wstępne i zapewnienia

Większość ubezpieczycieli cybernetycznych wymaga od ubezpieczonego podmiotu utrzymania określonej linii bazowej: uwierzytelnianie wieloskładnikowe, kopia zapasowa, łatanie, szkolenia uświadamiające, plan reakcji na incydent. Są to te same pozycje objęte art. 21 ust. 2 NIS 2 oraz CIR. Polisa może wygasnąć lub wypłacić obniżone kwoty, jeśli środki kontroli objęte zapewnieniem nie były wdrożone w chwili szkody.

Dwie zasady, które się nie zmieniają
Niezależnie od tego, czy polisa cybernetyczna jest wdrożona, czy nie, dwie strukturalne zasady ram NIS 2 pozostają przy podmiocie.

Obowiązek z art. 21 nie podlega przeniesieniu

Artykuł 21 adresowany jest do podmiotu. Środki, dokumentacja oraz nadzór organu zarządzającego na podstawie art. 20 znajdują się wewnątrz podmiotu. Umowa ubezpieczenia to ustalenie finansowe po fakcie; nie przenosi obowiązku prawnego działania przed faktem. BSI opisuje to w swoim pakiecie informacyjnym jako wykluczenie ryczałtowego transferu ryzyka.

Proporcjonalność decyduje o środkach, a nie o składce

Artykuł 21 ust. 1 wymienia trzy punkty odniesienia: aktualny stan wiedzy, odpowiednie normy i koszt wdrożenia. Test proporcjonalności stosuje się do samych środków technicznych i organizacyjnych. Wyższa składka ubezpieczeniowa nie przesuwa oceny proporcjonalności; operator nadal musi wykazać, że środki są odpowiednie do ryzyk, które podmiot faktycznie ponosi.

Stanowisko krajowe i nadzorcze
Jak krajowe organy i organizacje branżowe opisują rolę ubezpieczenia cybernetycznego obok obowiązków NIS 2.
DE

BSI — Bundesamt für Sicherheit in der Informationstechnik

Pakiet informacyjny BSI dotyczący transpozycji NIS 2 stwierdza, że obowiązek zarządzania ryzykiem nie może zostać wypełniony poprzez całościowy transfer ryzyka na ubezpieczyciela. Użyty język mówi, że ryczałtowy transfer ryzyka jest wykluczony. Stanowisko to ustawia niemieckiego nadzorcę w zgodzie ze strukturą art. 21: od podmiotu oczekuje się wdrożenia środków, a nie opłacenia ich obejścia.

EU

ENISA

Wytyczne ENISA dotyczące technicznego wdrożenia NIS 2 są zbudowane wokół środków wymienionych w art. 21 ust. 2 oraz załączniku CIR. Opublikowane wytyczne agencji nie traktują ubezpieczenia cybernetycznego jako jednego ze środków; pojawia się ono, jeśli w ogóle, jako część szerszych opcji postępowania z ryzykiem podmiotu w ramach ram zarządzania ryzykiem.

DE

GDV — Gesamtverband der Deutschen Versicherungswirtschaft

Niemieckie stowarzyszenie ubezpieczycieli publikuje branżowe wzorcowe brzmienia ochrony cybernetycznej (AVB Cyber) oraz badania rynku. Publiczne materiały stowarzyszenia opisują ubezpieczenie cybernetyczne jako jeden element szerszego podejścia do zarządzania ryzykiem i wskazują na linię bazową środków kontroli technicznej jako zwykły warunek wstępny zawarcia umowy ubezpieczenia.

Typowe mity
Trzy stwierdzenia, które regularnie pojawiają się w rozmowach między operatorami, brokerami a konsultantami. Kolumna rzeczywistości odwołuje się do art. 21 NIS 2, CIR oraz powyższego stanowiska BSI.

  • Mit: Polisa cybernetyczna przenosi obowiązek NIS 2 na ubezpieczyciela.

    Obowiązki NIS 2 wynikające z art. 20, 21, 23 i 27 są adresowane do podmiotu. Ubezpieczyciel jest kontrahentem na podstawie prywatnej umowy, a nie podmiotem regulowanym wstępującym w obowiązki NIS 2 operatora. BSI opisuje ryczałtowy transfer ryzyka jako wykluczony w ramach reżimu dyrektywy.

  • Mit: Kary administracyjne są objęte polisą.

    Kary administracyjne na podstawie § 65 BSIG (niemiecka transpozycja kar administracyjnych NIS 2 z art. 34 i 36) są powszechnie traktowane jako nieubezpieczalne ze względów porządku publicznego we wszystkich jurysdykcjach UE. Standardowe brzmienia je wyłączają. Koszty obrony to osobna kwestia i często są objęte, z zastrzeżeniem limitów.

  • Mit: Składka jest opłacona, więc wypłata jest automatyczna.

    Zawarcie umowy ubezpieczenia cybernetycznego jest uzależnione od zapewnień dotyczących środków kontroli podmiotu. Jeśli środki kontroli objęte zapewnieniem (uwierzytelnianie wieloskładnikowe, poziomy łatania, reżim kopii zapasowych, plan reakcji na incydent) nie były wdrożone w chwili szkody, ubezpieczyciel może obniżyć lub odmówić wypłaty. Te środki kontroli objęte zapewnieniem śledzą środki z art. 21 ust. 2 NIS 2.

Stanowisko praktyka

Brokerzy i menedżerowie ryzyka powszechnie opisują ubezpieczenie cybernetyczne jako warstwę na wierzchu działającego programu bezpieczeństwa, a nie jego substytut. Kolejność, którą opisują, to: najpierw wdróż środki z art. 21, udokumentuj je, a następnie wyjdź na rynek. Ubezpieczyciele proszą o tę samą dokumentację, o którą prosi audyt NIS 2. Inwentaryzacja aktywów, rejestr dostawców, linia bazowa łatania, wyniki testów kopii zapasowych, plan reakcji na incydent, zapisy szkoleń uświadamiających.

Z perspektywy NIS 2 istotne pytanie dla operatora jest zatem praktyczne. Czy podmiot ma dowody na środki z art. 21 ust. 2? Czy umowne zapewnienia w polisie cybernetycznej są spójne z rzeczywistą postawą operatora? Jeśli oba się rozchodzą, luka pojawia się dwukrotnie: raz wobec nadzorcy podczas audytu NIS 2, raz wobec ubezpieczyciela przy roszczeniu.

Jak NISD2 to odwzorowuje

NISD2 organizuje dowody podmiotu wokół obszarów środków z art. 21 ust. 2 oraz załącznika CIR. Inwentaryzacja aktywów, rejestr dostawców, plan postępowania z ryzykiem, plan reakcji na incydent, zapisy szkoleń uświadamiających oraz zatwierdzenie przez kierownictwo znajdują się w jednym rejestrze obowiązków. Ten sam pakiet dowodowy jest tym, na który patrzą ubezpieczyciele i nadzorcy.

Platforma nie sprzedaje, nie pośredniczy ani nie rekomenduje produktów ubezpieczeniowych. Dokumentuje bazowe środki NIS 2, tak aby kwestia ochrony znajdowała się na wierzchu określonej postawy, a nie zamiast niej.

Źródła
  • Dyrektywa (UE) 2022/2555 (NIS 2), artykuł 21 — https://eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Rozporządzenie wykonawcze Komisji (UE) 2024/2690, załącznik — https://eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), § 30 i § 65 — https://www.gesetze-im-internet.de/bsig_2009/
  • BSI — NIS-2 Informationspakete und Hintergrund — https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/NIS-2/nis-2_node.html
  • ENISA — NIS 2 Technical Implementation Guidance — https://www.enisa.europa.eu/publications
  • GDV — Cyber-Versicherung und unverbindliche Musterbedingungen (AVB Cyber) — https://www.gdv.de/
Sprawdź najpierw, czy podmiot jest w zakresie NIS 2
Kwestie ochrony znajdują się na wierzchu obowiązku z art. 21. Kontrola stosowalności potwierdza, czy podmiot podlega NIS 2 i które obowiązki mają zastosowanie.
Uruchom kontrolę stosowalności