Asigurarea cibernetică în NIS 2
Asigurarea poate plăti daune. Ea nu realizează măsurile tehnice și organizatorice pe care le cere Articolul 21 NIS 2.
Prezentare generală
Asigurarea cibernetică și NIS 2 stau pe straturi diferite. O poliță cibernetică este un contract privat între o entitate și un asigurător, care plătește costuri definite după un incident. NIS 2 este drept public: Articolul 21 stabilește măsurile tehnice și organizatorice pe care entitățile esențiale și importante trebuie să le implementeze, Articolul 23 stabilește obligația de raportare, Articolul 27 stabilește obligația de înregistrare. Niciuna dintre aceste obligații nu se mută la asigurător când se semnează o poliță.
BSI afirmă asta direct. Pachetul său de informații privind NIS 2 descrie transferul generalizat al riscului printr-o poliță de asigurare ca fiind indisponibil în cadrul regimului de management al riscurilor al directivei. Articolul 21(1) NIS 2 cere măsuri adecvate și proporționale, ținând cont de stadiul actual al tehnologiei și de costul implementării. O poliță semnată nu este nici o măsură, nici un substitut pentru una.
Întrebarea practică pentru un operator vizat de Articolul 21 nu este, prin urmare, dacă să aibă asigurare cibernetică, ci cum interacționează polița cu controalele NIS 2 de bază. Majoritatea polițelor cer ca acele controale să fie în vigoare ca o condiție prealabilă a acoperirii. Aceleași controale sunt cele la care se uită BSI și supraveghetorii naționali în timpul unui audit NIS 2.
Articolul 21(1) NIS 2
Statele membre se asigură că entitățile esențiale și importante iau măsuri tehnice, operaționale și organizatorice adecvate și proporționale pentru a gestiona riscurile la adresa securității rețelelor și sistemelor informatice pe care aceste entități le utilizează pentru operațiunile lor sau pentru furnizarea serviciilor lor și pentru a preveni sau a reduce la minimum impactul incidentelor asupra destinatarilor serviciilor lor și asupra altor servicii. Ținând cont de stadiul actual al tehnologiei și, dacă este cazul, de standardele europene și internaționale relevante, precum și de costul implementării, măsurile menționate la primul paragraf asigură un nivel de securitate al rețelelor și sistemelor informatice adecvat riscurilor la care sunt expuse.
Sursă: Directiva (UE) 2022/2555, Articolul 21(1). Punctele de referință sunt stadiul actual al tehnologiei, standardele relevante și costul implementării. Asigurarea nu se află pe listă.
CIR 2024/2690 Anexa, punctul 2
Politica privind securitatea rețelelor și sistemelor informatice stabilește abordarea entităților vizate cu privire la gestionarea securității rețelelor și sistemelor lor informatice. Cadrul de management al riscurilor menționat la punctul 2.1 identifică și prevede gestionarea riscurilor la adresa securității rețelelor și sistemelor informatice.
Sursă: Regulamentul de punere în aplicare al Comisiei (UE) 2024/2690, Anexa. Cerințele detaliate de management al riscurilor pentru entitățile de infrastructură digitală sunt construite în jurul unui cadru de management al riscurilor cu măsuri, nu în jurul transferului financiar al riscului.
§30 BSIG (transpunerea germană)
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um die Risiken für die Sicherheit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen zu vermeiden oder so gering wie möglich zu halten.
Sursă: §30 (1) BSIG. Transpunerea germană reflectă Articolul 21 NIS 2: măsuri tehnice și organizatorice luate de entitatea însăși, pe un standard de proporționalitate. Asigurarea nu este numită ca unul dintre mijloace.
Costuri de incident și răspundere față de terți
Titlurile uzuale de acoperire includ costurile de răspuns la incident (criminalistică, juridic, comunicare), pierderile din întreruperea activității legate de un eveniment cibernetic acoperit, costurile de restaurare a datelor și răspunderea față de terți pentru pretențiile clienților sau ale persoanelor vizate. Unele polițe se extind la plățile de răscumpărare în jurisdicțiile în care acest lucru este legal, sub rezerva verificării sancțiunilor.
Amenzi, cunoaștere prealabilă, război și infrastructură
Amenzile de reglementare sunt neasigurabile în mai multe jurisdicții din UE din motive de ordine publică. Excluderile uzuale includ, de asemenea, vulnerabilitățile cunoscute neremediate, sistemele neactualizate sub nivelurile convenite contractual, actele de război și atacurile sponsorizate de stat (formularea de pe piața Lloyd's este adoptată pe scară largă) și întreruperile infrastructurii publice aflate în afara controlului entității.
Condiții prealabile și garanții
Majoritatea asigurătorilor cibernetici cer entității asigurate să mențină o bază definită: autentificare multifactor, copii de rezervă, aplicarea corecțiilor, instruire de conștientizare, plan de răspuns la incident. Acestea sunt aceleași elemente acoperite de Articolul 21(2) NIS 2 și de CIR. O poliță poate înceta sau poate plăti sume reduse dacă controalele garantate nu erau în vigoare la momentul producerii daunei.
Obligația din Articolul 21 nu este transferabilă
Articolul 21 se adresează entității. Măsurile, documentația și supravegherea organului de conducere conform Articolului 20 stau în interiorul entității. Un contract de asigurare este un aranjament financiar ulterior faptului; el nu relocalizează obligația juridică de a acționa înainte de faptă. BSI descrie asta în pachetul său de informații ca excluzând transferul generalizat al riscului.
Proporționalitatea decide măsurile, nu prima
Articolul 21(1) numește trei puncte de referință: stadiul actual al tehnologiei, standardele relevante și costul implementării. Testul de proporționalitate se aplică măsurilor tehnice și organizatorice în sine. O primă de asigurare mai mare nu schimbă evaluarea proporționalității; operatorul tot trebuie să arate că măsurile sunt adecvate riscurilor pe care entitatea le poartă efectiv.
BSI (Bundesamt für Sicherheit in der Informationstechnik)
Pachetul de informații al BSI privind transpunerea NIS 2 afirmă că obligația de management al riscurilor nu poate fi îndeplinită prin transferarea integrală a riscului către un asigurător. Formularea folosită este că transferul generalizat al riscului este exclus. Poziția aliniază supraveghetorul german la structura Articolului 21: se așteaptă ca o entitate să implementeze măsuri, nu să plătească pentru a le ocoli.
ENISA
Ghidul tehnic de implementare al ENISA pentru NIS 2 este construit în jurul măsurilor enumerate în Articolul 21(2) și în anexa CIR. Ghidul publicat de agenție nu tratează asigurarea cibernetică drept una dintre măsuri; ea apare, atunci când apare, ca parte a opțiunilor mai largi de tratare a riscului ale unei entități, în cadrul unui cadru de management al riscurilor.
GDV (Gesamtverband der Deutschen Versicherungswirtschaft)
Asociația germană a asigurătorilor publică formulări-model pentru acoperirea cibernetică (AVB Cyber) și sondaje despre piață. Materialul public al asociației descrie asigurarea cibernetică drept un element al unei abordări mai largi de management al riscurilor și indică o bază de controale tehnice ca o condiție prealabilă uzuală de subscriere.
Mit: O poliță cibernetică transferă obligația NIS 2 către asigurător.
Obligațiile NIS 2 conform Articolelor 20, 21, 23 și 27 se adresează entității. Asigurătorul este o contraparte într-un contract privat, nu o entitate reglementată care intră în obligațiile NIS 2 ale operatorului. BSI descrie transferul generalizat al riscului ca fiind exclus în regimul directivei.
Mit: Amenzile de reglementare sunt acoperite de poliță.
Amenzile de reglementare conform §65 BSIG (transpunerea germană a amenzilor administrative NIS 2 conform Articolelor 34 și 36) sunt tratate pe scară largă drept neasigurabile din motive de ordine publică în jurisdicțiile din UE. Formulările standard le exclud. Costurile de apărare sunt o chestiune separată și sunt adesea acoperite în limitele stabilite.
Mit: Prima este plătită, deci plata este automată.
Subscrierea cibernetică este condiționată de declarații de garanție privind controalele entității. Dacă controalele garantate (autentificare multifactor, niveluri de aplicare a corecțiilor, regim de copii de rezervă, plan de răspuns la incident) nu erau în vigoare la momentul producerii daunei, un asigurător poate reduce sau refuza plata. Aceste controale garantate urmăresc măsurile din Articolul 21(2) NIS 2.
Brokerii și managerii de risc descriu de obicei asigurarea cibernetică drept un strat peste un program de securitate funcțional, nu un substitut pentru el. Ordinea pe care o descriu este: implementați mai întâi măsurile din Articolul 21, documentați-le, apoi adresați-vă pieței. Asigurătorii cer aceeași documentație pe care o cere un audit NIS 2. Inventarul activelor, registrul furnizorilor, baza de aplicare a corecțiilor, rezultatele testelor copiilor de rezervă, planul de răspuns la incident, evidențele instruirii de conștientizare.
Din perspectiva NIS 2, întrebarea relevantă pentru un operator este, prin urmare, practică. Are entitatea probe ale măsurilor din Articolul 21(2)? Sunt garanțiile contractuale din polița cibernetică în concordanță cu postura efectivă a operatorului? Dacă cele două diverg, lacuna apare de două ori: o dată la supraveghetor, într-un audit NIS 2, o dată la asigurător, la o cerere de daune.
NISD2 organizează probele entității în jurul domeniilor de măsuri din Articolul 21(2) și al anexei CIR. Inventarul activelor, registrul furnizorilor, planul de tratare a riscurilor, planul de răspuns la incident, evidențele instruirii de conștientizare și aprobarea conducerii stau într-un singur registru de obligații. Același set de probe este cel la care se uită asigurătorii și supraveghetorii.
Platforma nu vinde, nu intermediază și nu recomandă produse de asigurare. Ea documentează măsurile NIS 2 de bază, astfel încât chestiunea acoperirii să stea peste o postură definită, nu în locul ei.
- Directiva (UE) 2022/2555 (NIS 2), Articolul 21. https://eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regulamentul de punere în aplicare al Comisiei (UE) 2024/2690, Anexa. https://eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), §30 și §65. https://www.gesetze-im-internet.de/bsig_2009/
- BSI, NIS-2 Informationspakete und Hintergrund. https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/NIS-2/nis-2_node.html
- ENISA, NIS 2 Technical Implementation Guidance. https://www.enisa.europa.eu/publications
- GDV, Cyber-Versicherung und unverbindliche Musterbedingungen (AVB Cyber). https://www.gdv.de/