Przewiduję pewnego rodzaju boom zainteresowania polisami cyber w branży energetycznej związany z nadchodzącym terminem implementacji dyrektywy NIS2 i nowelizacją ustawy o KSC. Jednak dla wielu firm energetycznych nie przedstawimy oferty ze względu na naszą politykę wspierania pro-klimatycznej energii – mówi Michał Balwiński, Cyber Practice Leader w Generali T.U. S.A.
Michał Balwiński, Cyber Practice Leader,
Departament Underwritingu Ubezpieczeń Korporacyjnych, Generali T.U. S.A.
Rozmawiała: Izabela Żylińska
Coraz częściej słyszy się o możliwości zakupy przez przedsiębiorstwa tzw. cyberubezpieczeń. Czy Generali T.U. posiada taką usługę dla firm z branży energetycznej?
Nasza oferta ubezpieczenia ryzyk związanych z naruszeniem cyberbezpieczeństwa na ten moment jest skierowana do podmiotów z różnych branż, jednak jeżeli chodzi o energetykę, to nasz apetyt na tę branżę jest dużo bardziej ograniczony.
Z jednej strony możemy mówić o bardzo wysokim ryzyku związanym z potencjalnymi atakami na infrastrukturę krytyczną, na które wpływ ma też zdecydowanie sytuacja geopolityczna za naszą wschodnią granicą. Energetyka jest sektorem strategicznym, dlatego istnieje duże prawdopodobieństwo, że może paść celem cyberoperacji kierowanych bądź sponsorowanych przez wiadomych aktorów polityki międzynarodowej.
Z drugiej strony, jako grupa Generali, wspieramy zieloną energię i działamy w kierunku pozytywnej dla klimatu naszej planety transformacji energetycznej, więc nasza oferta może być skierowana również do podmiotów z branży energetycznej działających w sektorze OZE. W przypadku produkcji energii przy wykorzystaniu paliw konwencjonalnych jednak nie będziemy w stanie na ten moment przedstawić satysfakcjonującej oferty.
Czy polisa cyber jest w ogóle popularna wśród spółek energetycznych w Polsce?
Nie jest to jednoznacznie łatwe do określenia. Już od jakiegoś czasu widzimy ogólny wzrost zainteresowania tym rodzajem ubezpieczenia, poniekąd również wśród firm z branży energetycznej. Jednakże w mojej opinii strategiczność tego obszaru i rozmiar potencjalnych szkód mogących wyniknąć z incydentu w dalszej mierze są mało pożądanym ryzykiem z perspektywy ubezpieczycieli. Wpływ na to ma też na pewno wiek samego produktu i dużo bardziej ograniczony zakres potencjalnych oferentów na rynku, na przykład w porównaniu do ubezpieczenia majątku. Przewiduję jednak pewnego rodzaju boom zainteresowania tym ubezpieczeniem związany z nadchodzącym terminem implementacji dyrektywy NIS2 i co za tym idzie, nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa.
Biorąc pod uwagę powyższe, czy wśród klientów Państwa usługi ubezpieczenia cybernetycznego są firmy energetyczne?
Tak, są to jednak pojedyncze przypadki. Nie mogę podać dokładnych danych, ale byłbym w stanie wyliczyć umowy ubezpieczenia zawarte pomiędzy nami a podmiotami z sektora energetycznego na palcach jednej ręki. Głównie są to firmy zajmujące się dystrybucją energii.
Maksymalnie pięć przedsiębiorstw i to z tak niezwykle ważnego sektora biznesowego to niewiele.
Powodów takiego stanu rzeczy jest kilka. Przede wszystkim wskazałbym możliwości ubezpieczeniowe wobec podmiotów z tak krytycznego sektora, jak energetyka. Równie istotne jest też zainteresowanie ubezpieczeniem cyber na rynku – nie dostajemy wielu zapytań ofertowych dotyczących firm z tej branży, mimo zauważalnego ogólnego trendu wzrostowego i nadchodzących zmian legislacyjnych. Kolejnym z czynników może być też fakt, że dla wielu firm energetycznych nie przedstawimy oferty ze względu na naszą politykę wspierania pro-klimatycznej energii. Tego ostatniego czynnika nie uważam jednak za coś negatywnego, ponieważ zmiany klimatyczne są już widoczne dla nas gołym okiem i uważam, że działanie w kierunku zmniejszenia emisji gazów cieplarnianych wyjdzie na dobre nie tylko naszej planecie, ale i nam samym.
Jaki jest zakres cyberpolisy, którą mogłaby nabyć energetyka?
Nasze podejście do ubezpieczenia ryzyk cybernetycznych charakteryzuje się odpowiedzią na indywidualne potrzeby ubezpieczonego. Modelowe ubezpieczenie ryzyk cybernetycznych składa się z trzech podstawowych segmentów: [1] ochrony dla strat własnych, [2] odpowiedzialności cywilnej związanej z cyberbezpieczeństwem oraz [3] wsparcia wykwalifikowanego zespołu specjalistów na wypadek wystąpienia incydentu cybernetycznego.
W ramach pokrycia first party możemy mówić o:
- kosztach reakcji na incydent (wynagrodzenie ekspertów badających zdarzenie, zapewnienie zgodności z obowiązującymi przepisami prawa – w tym obowiązek notyfikacji o naruszeniu bezpieczeństwa danych osobowych, koszty pomocy prawnej w postępowaniu administracyjnym i sądowo-administracyjnym wynikającym z naruszenia cyberbezpieczeństwa),
- działaniach naprawczych (odtworzenie danych, przywrócenie funkcjonalności oprogramowania),
- kosztach wynikających z przestoju w działalności,
- kosztach związanych z ochroną reputacji czy cyberkradzieżą wynikającą zarówno z ataku hakerskiego, jak i wykorzystania metod inżynierii społecznej.
Drugi segment to ochrona z tytułu odpowiedzialności cywilnej zarówno za naruszenie bezpieczeństwa danych, jak i sieci ubezpieczonego, w tym również koszty pomocy prawnej w postępowaniach cywilnych.
Dodatkowym atutem może być ubezpieczenie odpowiedzialności za treści rozpowszechniane w Internecie, np. w wyniku przejęcia mediów społecznościowych czy strony internetowej przez cyberprzestępców.
Ostatnim składnikiem ubezpieczenia jest natomiast wsparcie dedykowanego zespołu specjalistów z zakresu informatyki śledczej, którzy koordynują cały proces reagowania na zaistniałe zdarzenie cyber i służą pomocą w przywróceniu funkcjonalności systemów i sieci ubezpieczonego po takim zdarzeniu, a także pomagają zebrać i opracować materiały śledcze niezbędne dla organów ścigania, jak i dalszej pracy na bezpieczeństwem cyfrowym w organizacji.
Od czego zależy więc wysokość składki?
Na wysokość składki ubezpieczenia cyber ma wpływ bardzo dużo czynników. Tak, jak w przypadku innych ubezpieczeń istotne są takie składowe, jak: branża Klienta, jego wielkość czy historia szkodowa. Nie są to jednak jedyne faktory, które mogą mieć przełożenie na wysokość składki. W ubezpieczeniu ryzyk cybernetycznych najważniejsza jest tak naprawdę jakość ryzyka – to, w jaki sposób organizacja jest przygotowana na zmierzenie się z realizacją ryzyka i jak stara się zmniejszyć prawdopodobieństwo wystąpienia negatywnych zdarzeń cyber.
W procesie analizy ryzyka skupiamy się na środkach technicznych, organizacyjnych i proceduralnych, które są stosowane w danej organizacji i na podstawie zebranych informacji nasi underwriterzy tworzą holistyczny obraz danego podmiotu, jeżeli chodzi o świadomość i higienę cyberbezpieczeństwa. Jak każdy ubezpieczyciel oferujący tego rodzaju ubezpieczenie mamy swój minimalny standard zarządzania ryzykiem, który jest wymagany do przedstawienia przez nas oferty, jednakże wraz ze wzrostem ryzyka (czy to poprzez wielkość organizacji czy branżę, w której działa) te wymogi również są zwiększane, ponieważ prawdopodobieństwo wystąpienia incydentu cybernetycznego oraz potencjalna skala jego skutków są dużo wyższe.
W wypadku podmiotów z tzw. branż trudnych, jaką bez wątpienia w kontekście tego ubezpieczenia jest energetyka, na wysokość składki może również wpływać wysokość udziału własnego, czyli ryzyka, którego ubezpieczony jest w stanie przyjąć na siebie – wyrażonego określoną wartością pieniężną.
© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy ARTSMART Izabela Żylińska. Więcej w Regulaminie.
376 
