Pojistné podmínky pojištění kybernetické bezpečnosti

Vzhledem ke značnému počtu kybernetických útoků na počítačové systémy domácností i podnikatelů dochází v současné době k nárůstu nabídky pojistných produktů poskytujících ochranu pro případ kybernetického útoku. Nabízená pojištění se podstatně liší z hlediska rozsahu pojistného krytí, a proto není snadné se v pojistných podmínkách orientovat a zvolit si vhodné pojištění kybernetických rizik.

pojistné nebezpečí           právní hledisko           insurance              kyberberbezpečnost

Úvod

Pojištění kybernetické bezpečnosti je předmětem zájmu nejen pojišťoven a pojistníků z řad podnikatelské i nepodnikatelské veřejnosti, ale i vládních a nevládních mezinárodních organizací. Tuto tezi lze demonstrovat na dokumentech institucí EU (Evropský orgán pro pojišťovnictví a zaměstnanecké penzijní pojištění – EIOPA; Agentura EU pro kybernetickou bezpečnost – ENISA) a Celostátního svazu německého pojišťovnictví (dále jen „GVD“), které budou součástí analýzy provedené v tomto článku. Zároveň platí, že se může jednat o kombinaci pojištění majetku, právní ochrany, odpovědnosti a finančních ztrát. Není to překvapující vzhledem k tomu, že v případě poškození strojního zařízení ve výrobním závodu podnikatele může zároveň dojít k odcizení dat z jeho počítačových zařízení, poškození dobré pověsti v očích ostatních podnikatelů a zároveň ztrátě stávajících zakázek na dodávky zboží. Proti těmto pojistným nebezpečím¹ se může podnikatel pojistit prostřednictvím vhodného pojištění, u kterého musí především zkoumat výluky z pojistného krytí a maximální výši pojistného plnění.

V případě pojištění domácností nemusí být rozsah majetkové újmy tak rozsáhlý jako u podnikatelů, ale difamující jsou účinky v případě odcizení citlivých dat a jejich zneužití (kybergrooming, kyberšikana, kyberstalking² apod.). Specifickým rysem pojištění kybernetických rizik je i skutečnost, že kybernetický útok může být proveden vzdáleně od místa, kde se účinky kybernetického útoku projeví.³ Na mediálně známých kauzách (např. kybernetické útoky skupiny Carbanak zaměřené na banky v různých státech) je možné doložit, že se oběť kybernetického útoku může nacházet v jiném státě než počítač, ze kterého byl útok podniknut.⁴ To se projevuje i v tom, že kybernetické pojištění poskytují nadnárodní pojišťovací společnosti, které poskytují za obdobných pojistných podmínek své produkty prostřednictvím dceřiných společností, poboček a zprostředkovatelů v různých státech, kde jsou schopny plnit své povinnosti z pojistné smlouvy v případě vzniku pojistné události.

Aktivity EU v oblasti pojištění kybernetické bezpečnosti

V rámci EU byly v reakci na rostoucí rizika narušení kybernetické bezpečnosti vytvořeny zprávy nazvané „Společné rysy terminologie oceňování rizik v kybernetickém pojištění – Doporučení ke kybernetickému pojištění“ (Commonality of risk assessment language in cyber insurance – Recommendations on Cyber Insurance, ENISA, 2017⁵) a „Porozumění kybernetickému pojištění – strukturovaný dialog s pojišťovacími společnostmi (Understanding Cyber Insurance – A Structured Dialogue with Insurance Companies, EIOPA, 2018). Obě zprávy mají sice doporučující charakter, ale jsou v nich zmiňována i relevantní ustanovení nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, obecné nařízení o ochraně osobních údajů (GDPR) a směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016, o opatřeních k zajištění vysoké společné úrovně bezpečnostních sítí a informačních systémů v EU. Kromě toho závěry uvedené v těchto zprávách vycházejí z dotazníků a konzultací s velkými pojišťovnami, což také zvyšuje jejich význam a vypovídací schopnost.

Ve zprávě ENISA z roku 2017 se uvádí jako základní problém v oblasti kybernetického pojištění nejednotnost standardů, které by umožnily harmonizaci pojmosloví a nabídek pojišťoven. Tento závěr je správný z toho hlediska, že v pojistných podmínkách se používají různá označení pro tentýž pojem a některé pojmy jsou v různých podmínkách pojišťoven různě definovány. Na druhou stranu vymezení pojmů patří do smluvní autonomie pojistníka a pojistitele. Harmonizace terminologie by měla ten smysl, že by mohla umožnit precizněji vymezit rozsah pojistného krytí. Ten totiž bývá vedle rozsahu pojistného plnění jedním z nejčastějších důvodů sporů řešených mezi stranami pojistné smlouvy. Doporučující úprava podmínek pojištění na úrovni EU by mohla mít význam při soudním i mimosoudním řešení sporů vzniklých z kybernetického pojištění. Autoři zprávy ENISA z roku 2017 se zaměřili i na význam terminologie z hlediska schopnosti pojistníka správně porozumět rozsahu pojistného krytí vymezeného na základě dotazníku pojistitelů a pojistných podmínek. Bylo zjištěno, že rozsah pojistného krytí lze v případě kybernetických pojištění dělit na pojištění odpovědnosti za újmu způsobenou pojištěnému, pojištění za újmu způsobenou třetím osobám a jiné služby a náklady hrazené pojistitelem (např. služby IT společnosti nebo advokátní kanceláře potřebné k odstranění následků kybernetického útoku). Za důležité považuji zmínit závěr z citované zprávy, že tyto problémy působí mimo jiné nedostatečná legislativa a terminologie používaná pojistníky z různých sektorů, kteří musejí splňovat odlišné podmínky zajištění kybernetické bezpečnosti.

Zpráva EIOPA z roku 2018 považuje za zásadní problém nedostatek specializovaných pojistitelů a pojišťovacích zprostředkovatelů.⁶ V případě specializovaných pojistitelů nelze považovat jejich nedostatek za zásadní problém, protože podstatné je, aby pojistitelé nabízeli kvalitně formulované pojistné podmínky svým zákazníkům a byli schopni nabídnout i pojistné smlouvy „šité na míru“. Nevyhovující je, pokud pojištění kybernetických rizik tvoří dodatek k všeobecným podmínkám pojištění odpovědnosti, který není s těmito všeobecnými podmínkami kompatibilní nebo je mezerovitý a neúplný. Klíčové tedy je, aby pojistné podmínky kybernetického pojištění byly formulovány odborníky na kybernetickou bezpečnost a pojištění ve spolupráci se zákazníky pojistitelů, kteří potřebují snížit míru rizik, jež jim hrozí v souvislosti s kybernetickými útoky. Zpráva EIOPA z roku 2018 přebírá výsledky dotazníkového šetření provedeného ve zprávě ENISA z roku 2017,⁷ na základě kterého je jasné, že jednotlivé pojišťovny poskytují různý rozsah pojistného krytí, který se shoduje jen v tom, že kybernetické pojištění se vždy vztahuje na pojištění odpovědnosti pojištěného. Dále se uvádí stanovisko, že pojistitelé primárně cílí se svými produkty na obchodní korporace a ve značné míře pomíjejí specifické potřeby pojištění jednotlivců. Tento závěr zřejmě odpovídá současné situaci na pojistném trhu, což lze doložit na veřejně dostupných pojistných podmínkách pojišťoven uvedených níže.

Pojistné podmínky v České republice

V ČR pojišťovny nabízejí zpravidla odděleně pojištění internetových rizik pro domácnosti a pojištění kybernetických rizik pro podnikatele. Některé pojistné produkty zahrnují do pojistného krytí i nároky na náhradu škody způsobené neoprávněným nakládáním s osobními údaji, byť nabízejí samostatně i pojistnou ochranu pro případ porušení ochrany osobních údajů jednáním v rozporu s nařízením GDPR (např. organizační složka Colonnade insurance, S. A., ČSOB Pojišťovna, a.s., či pojišťovací zprostředkovatel MARSH, s.r.o.).

Při uzavírání pojistné smlouvy je nutné zkoumat nejen rozsah pojistného krytí (tj. okruh pojištěných pojistných nebezpečí) a limity pojistného plnění, ale i výluky z pojistného krytí. Pojistné podmínky ČSOB Pojišťovny, a. s.,⁸ jsou typickým příkladem pojistných podmínek určených pro podnikatele, což dokládá rozsah krytých pojistných nebezpečí, ohledně kterých lze uzavřít především:

1. pojištění finančních ztrát (např. finanční ztráty vzniklé v souvislosti se ztrátou dat a nutností jejich obnovy⁹),
2. pojištění právní ochrany (např. náklady spojené s právním zastoupením před státními orgány),
3. pojištění odpovědnosti za škodu (např. škoda vzniklá třetí straně únikem dat v důsledku kybernetického incidentu).

První dva body jsou v pojistných podmínkách označovány jako majetková škoda na datech pojištěného, zatímco poslední bod je pojištěním odpovědnosti za újmu způsobenou třetí osobě. Oba okruhy pojištění jsou však předmětem velkého množství výjimek. Je třeba zdůraznit, že toto pojištění se nevztahuje podle čl. 2 odst. 1 písm. a) na škodu způsobenou v důsledku vědomé nedbalosti pojištěného či pojistníka. Pokud bude tedy pojištěný či pojistník vědět, že může způsobit určitý následek, ale bez přiměřeného důvodu bude předpokládat, že nenastane, nebude taková škodní událost kryta pojištěním.¹⁰ To je podstatný rozdíl oproti pojistným podmínkám Pojišťovny VZP, a.s.¹¹ Tyto podmínky, které jsou koncipovány univerzálně, a lze je tedy použít pro pojištění podnikatelů i domácností, se vztahují na nedbalostní jednání a předmětem výluky je pouze úmyslné jednání. Úmyslné jednání zaměstnanců je kryto tímto pojištěním pouze v případě, že se nejedná o zaměstnance, kteří „byli, jsou nebo budou statutárním orgánem pojištěného nebo jeho členem, generálním či výkonným ředitelem, risk manažerem, technickým či provozním ředitelem včetně vedoucího IT oddělení či vedoucího oddělení IT bezpečnosti, finančním ředitelem, vedoucím právního oddělení nebo jiným vedoucím zaměstnancem pojištěného“.¹² Z hlediska formy zavinění způsobené škody jsou tedy pojistné podmínky Pojišťovny VZP, a.s., výrazně výhodnější než podmínky ČSOB Pojišťovny, a. s. Kromě toho je na místě zmínit i mírně odlišné strukturování podmínek Pojišťovny VZP, a.s. (majetkové pojištění, odpovědnostní pojištění a pojištění pokut dozorového orgánu a nákladů správního řízení).

V případě vzniku pojistné události bude zásadní otázkou i rozsah nákladů placených pojišťovnou. I zde existují značné rozdíly v tom, které náklady a za jakých podmínek budou pojišťovnou hrazeny. Např. podle čl. 10 Pojistných podmínek Pojišťovny VZP, a.s. budou pojišťovnou v rámci pojištění právní ochrany hrazeny náklady právního zastoupení pojištěného ve všech stupních. Pojistné podmínky organizační složky Chubb European Group Limited¹³ však stanoví, že budou zaplaceny pouze přiměřené a nezbytné náklady advokáta předem písemně odsouhlasené pojistitelem. Náklady spojené s odvoláním (záruky či jistoty) budou zaplaceny pojistitelem na základě uvážení pojistitele a nevzniká na jejich zaplacení nárok. Z uvedeného je patrné, že pojistné podmínky organizační složky Chubb European Group Limited stanoví podstatná omezení pro výši pojistného plnění poskytovaného v souvislosti s náklady právního zastoupení a obranou práv pojistníka.

Pojištění kybernetických rizik ve vzorových podmínkách GDV

Ve Spolkové republice Německo reagoval na problémy spojené s nejednotnou formou a obsahem podmínek kybernetických pojištění GVD, který vytvořil vzorové podmínky nazvané „Všeobecné pojistné podmínky pro kybernetické pojištění“ (Allgemeineversicherungsbedingungen für die Cyberrisiko-Versicherung, duben 2017). Vzorové podmínky jsou rozděleny do dvou částí. V první části se nacházejí ustanovení klíčová pro vymezení rozsahu pojistného krytí (všeobecná ustanovení, pojistné plnění, pojištění odpovědnosti a pojištění újmy způsobené pojištěnému). Druhá část vymezuje počátek pojistného krytí, platby pojistného a povinnosti pojistníka v případě vzniku pojistné události. GVD se kromě toho snaží řešit i otázku obtížné srozumitelnosti terminologie kybernetického pojištění pro některé podnikatele, jakož i evaluaci jejich pojistných rizik. Za tímto účelem byl vytvořen relativně nedávno „Nezávazný dotazník pro posouzení rizik v rámci kybernetických pojištění pro malé a středně velké podniky“ (Unverbindlicher Muster-Fragebogen zur Risikoerfassung im Rahmen von Cyber-Versicherungen für kleine und mittelständische Unternehmen, prosinec 2019).

V rámci vzorových podmínek pro pojištění odpovědnosti za škodu způsobenou provozní činností nebo výkonem povolání (Allgemeine Versicherungsbedingungen für die Betriebs- und Berufshaftpflichtversicherung, květen 2020) se GDV snaží do určité míry zamezit problému spojenému s tzv. silent cyber risk, který bude zmíněn v následující kapitole, když z pojistného krytí tyto podmínky v čl. A1-6.13.1 vylučují vymazání, zadržování, učinění neupotřebitelným či změnu dat třetí osoby s pomocí virů a jiných škodlivých kódů. Vzorové dokumenty GDV jsou sice nezávazné, ale u pojistitelů působících na území Spolkové republiky jsou uznávány a používány jako předlohy pro pojistné podmínky. Pojistné podmínky jednotlivých pojistitelů bývají kratší a jednodušší, protože vzory GDV se snaží komplexně postihnout všechny prvky a možné varianty kybernetického pojištění. Němečtí pojistitelé, mezi které patří Allianz pojišťovna, a. s., se snaží poskytnout zájemcům o uzavření pojistné smlouvy srozumitelné informace o rozsahu pojistného krytí a limitech pojistného plnění, což je povinnost, kterou jim ukládá německý zákon o pojistné smlouvě z roku 2007.¹⁴

Podmínky pojištění kybernetických rizik na příkladech pojistitelů působících ve Spojeném království

Pojistitelé působící ve Spojeném království a některých dalších státech řeší problematiku nazvanou „silent cyber risk“. Problém spočívá v řešení otázky, zda pojištění majetku a odpovědnosti uzavřená v době, kdy ještě kybernetická rizika nebyla tak významná a nebyla předmětem úpravy ve zvláštních pojistných podmínkách, kryjí i pojistná nebezpečí spojená s aktuálními kybernetickými útoky. Společnost Lloyd’s of London učinila krok k tomu, aby zamezila vzniku tohoto „nepředpokládaného“ pojistného krytí, když uložila všem pojišťovacím zprostředkovatelům a upisovatelům působícím v rámci pojistného trhu Lloyd’s, aby seznámili zákazníky (zájemce o pojištění) s tím, zda se pojištění vztahuje na kybernetická rizika či nikoli, a výslovně to uvedli ve smlouvě.¹⁵

Pojistný trh ve Spojeném království patří statisticky stále mezi nejvýznamnější na světě, což se projevuje i v nabídce pojistných produktů. To lze demonstrovat na pojišťovně AIG UK, která má několik zvláštních sad pojistných podmínek pro kybernetické pojištění (přerušení síťového připojení, poukázky na slevu v případě nedostupnosti služeb poskytovaných zákazníkovi přes internet, kybernetická krádež, neautorizovaný přístup k telefonu, selhání počítačového systému, zajištění poskytnutí služeb mimo podnik, kybernetické vydírání a narušení soukromí), jež umožňují rozšířit rozsah pojistné ochrany poskytované při sjednání základní varianty pojištění Cyberedge. Nabízené produkty se v případě anglických pojišťoven ještě dělí podle obratu společnosti, která uzavírá pojištění. Jiný přístup nalezneme v pojistných podmínkách Angel Cyber Liability¹⁶, které obsahují v úvodní části přehledné shrnutí rozsahu pojištění a kontakty na pojistitele i orgány pro řešení případných stížností.

Závěr

Pojistný trh se potýká s rozmanitou nabídkou pojistných produktů, která nemusí být pro zájemce o uzavření pojištění srozumitelná. S ohledem na autonomii vůle při uzavírání pojistné smlouvy se nejeví jako problematické sjednání odlišných pojistných podmínek s různými pojistníky, nýbrž nejasnosti ohledně rozsahu pojistného krytí poskytovaného jednotlivými pojistiteli, což je dáno nejednotnou terminologií. Ke sjednocení terminologie by mohl přispět doporučující dokument (návod, příručka) vydaný některou vládní nebo nevládní mezinárodní organizací. Prvním pokusem o takovou publikaci se stala zpráva nazvaná „Příprava na kybernetické pojištění“ (Preparing for cyber insurance), kterou vytvořily v roce 2018 Federace evropských asociací řízení rizik (FERMA), Insurance Europe (Federace národních asociací pojišťoven) a Evropská federace pojišťovacích zprostředkovatelů (BIPAR). Jejich publikace je sice instruktivní, ale poměrně stručná a zaměřená na komunikaci mezi pojistiteli a pojišťovacími zprostředkovateli. Vydání takového doporučujícího dokumentu plánuje v současné době na úrovni EU rovněž ENISA.

Při sjednávání pojištění kybernetické bezpečnosti musí pojistník posoudit, zda pojistitel nabízí pojistné krytí, které vyhovuje jeho potřebám (pojištění majetku, odpovědnosti nebo právní ochrany). Dále je nutné vyhodnotit okruh výjimek z pojistného krytí. Zpravidla platí, že čím větší je rozsah pojistného krytí, tím dražší je pojištění. Stejně tak sjednání menšího rozsahu výjimek z pojistného krytí znamená, že pojistitel stanoví vyšší pojistné. Zásadní význam má výše sjednaných pojistných limitů, které budou v případě pojištění kybernetické bezpečnosti sjednávány zpravidla individuálně, protože vyjma pojištění domácnosti budou tato pojištění často uzavírána podle individuálních potřeb pojistníka.

Poznámky pod čarou:

1. Přehled typů kybernetických incidentů a ztrát, které mohou způsobit, nabízí zpráva Organizace pro hospodářskou spolupráci a rozvoj nazvaná „Zvýšení významu pojištění při řízení kybernetických rizik“ (Enhancing the Role of Insurance in Cyber Risk Management, OECD, Paříž 2017, s. 19–56).
2. Kybergrooming – kontaktování osoby např. prostřednictvím sociálních sítí za účelem schůzky, kde zpravidla dochází ke zmanipulování nebo zneužití oběti. Kyberšikana – obtěžování, zastrašování či zesměšňování s použitím informačních technologií. Kyberstalking – sledování a pronásledování určité osoby, které zpravidla nabývá na intenzitě.
3. Skutečnost, že EU nepodceňuje riziko přeshraničních kybernetických útoků a jejich dopadů na členské státy, dokládají její recentní legislativní aktivity [srov. Doporučení Komise (EU) 2017/1584 ze dne 13. září 2017 o koordinované reakci na rozsáhlé kybernetické bezpečnostní incidenty a krize, C/2017/6100, Úř. věst. L 239, 19. září 2017, s. 36–58] a činnost Europolu a ENISA (tisková zpráva ze dne 31. října 2019, Cyleex: Inside a simulated cross-border cyber- -attack on critical infrastructure, dostupné na https://www.europol.europa.eu/newsroom/news/cyleex19-inside-simulated-cross-border-cyber-attack- -critical-infrastructure).
4. V této souvislosti je třeba uvést, že v pojistných podmínkách tuzemských i zahraničních pojistitelů jsou zpravidla vyloučeny z pojistného krytí teroristické kybernetické útoky. Tento závěr lze opřít o statistická data obsažená v článku: Romanosky, S., Ablon., N., Kuehn, A., Jones, T.: Content Analysis of Cyber Insurance Policies: How do carriers write policies and price cyber risk?, Journal of Cybersecurity, roč. 5, č. 1/2019, s. 7.
5. Tato zpráva navazuje na studii nazvanou „Kybernetické pojištění – pohled na současný rozvoj, osvědčené postupy a výzvy“ (cyber-insurance-a-look-at-recent- -advances-good-practices-andchallenges, ENISA, 2016).
6. Understanding Cyber Insurance – A Structured Dialogue with Insurance Companies, EIOPA, 2018, s. 3, dostupné na: https://www.eiopa.europa.eu/ content/understanding-cyber-insurance-structured-dialogue-insurance-companies_en
7. Tamtéž s. 7
8. Všeobecné podmínky – zvláštní část, pojištění kybernetických rizik, VPP CRC 2018, účinnost od 1. listopadu 2018.
9. Některé pojišťovny kryjí i jiné ztráty způsobené typicky kybernetickými útoky (např. ztráty spojené s výpadkem sítě, které zahrnují snížení čistého zisku pojištěné společnosti za dobu od uplynutí čekací doby do doby obnovení funkce počítačového systému, který by pojištěná společnost získala, pokud by nedošlo k výpadku sítě (a který odpovídá ztrátě na výnosu) snížené o související úspory – srov. pojistné podmínky Colonnade čl. F Cyberplus pojištění kybernetických rizik, CP 01-05/2019).
10. Za terminologicky nesprávné lze považovat ustanovení Zvláštních pojistných podmínek pro pojištění kybernetických rizik CertAsig (ZPP CYBER 01/2017), které mezi výluky řadí nedbalé jednání definované jako „Jakékoli konání a počínání pojištěného, které ignoruje a nebere ohled na práva jiných osob či společností“. Pravděpodobně se jedná o ustanovení převzaté z cizojazyčných pojistných podmínek, které má za cíl vyloučit z pojistného krytí hrubě nedbalé jednání pojištěného a nikoli jakékoli nedbalostní jednání. Předmětný pojistitel v České republice již nepůsobí a podniká zde jeho dceřiná společnost CEE Speciality, s.r.o., jako samostatný zprostředkovatel.
11. Doplňkové pojistné podmínky pro pojištění kybernetických rizik DPP PCR P 1/18, platnost od 1. května 2018.
12. Pojistné podmínky Colonnade Cyberplus jsou přísnější, když z pojistného krytí vylučují jak úmyslné, tak vědomě nedbalé jednání prokuristy, člena statutárního či dozorčího orgánu pojištěné společnosti.
13. Pojistné podmínky pro pojištění Cyber Enterprise Risk Management ERM 1/2016.
14. Kundeninformationen und Allgemeine Versicherungsbedingungen Secure Cyber, Allianz Global Assistance, 2018
15. K tomu blíže Lloyd’s Market Bulletin, Ref: Y5258, 4. říjen 2019 16 Cyber Liability Insurance CYB 12/18 ANG. 2, Catlin Insurance Company UK, prosinec 2018

Použité zdroje:

[ 1 ] ACHENBACH, M.: Die Cyber-Versicherung – Überblick und Analyse, Versicherungsrecht č. 24/2017, s. 1493–1499.

[ 2 ] Commonality of risk assessment language in cyber insurance - Recommendations on Cyber Insurance, ENISA 2017 dostupné na https://www.enisa.europa.eu/news/enisa-news/cyber-insurance-a-look-at-recent-advances-good-practices-and-challenges-by-enisa.

[ 3 ] Enhancing the Role of Insurance in Cyber Risk Management, OECD Publishing, Paris, 2017 dostupné na: http://dx.doi.org/10.1787/9789264282148-en.

[ 4 ] Preparing for cyber insurance, FERMA, Insurance Europe, BIPAR, 2018 dostupné na: https://www.ferma.eu/app/uploads/2019/02/preparing-for-cyber-insurance-web-04-10-2018.pdf.

[ 5 ] ROMANOSKY, S., ABLON, N., KUEHN, A., JONES, T.: Content Analysis of Cyber Insurance Policies: How do carriers write policies and price cyber risk? Journal of Cybersecurity, roč. 5, č. 1/2019, s. 1–19.

[ 6 ] Understanding Cyber Insurance – A Structured Dialogue with Insurance Companies, EIOPA, 2018 dostupné na: https://www.eiopa.europa.eu/content/understanding-cyber-insurance-structured-dialogue-insurance-companies_en.