Enisa er EUs organ for IT-sikkerhet. De leverer forslag til EUs øvrige organer, som EU-kommisjonen. Dette nylig publiserte dokumentet inneholder forslag til tiltak for å bedre markedet for forsikring mot kyberrisiko.

EU-initiativ for kyberforsikring

Der det er risiko, bør man også kunne forsikre seg, mener EU-organet Enisa.

EU-organet for IT-sikkerhet, Enisa, konstaterer at det europeiske markedet for kyberforsikring – forsikring mot risiko forbundet med bruk av digitale nettverk samt digital lagring og utveksling av informasjon – fungerer dårlig.

I en rapport publisert 28. juni, Incentives and barriers of the cyber insurance market in Europe (pdf, 45 sider), søker Enisa å kartlegge hvorfor, samt foreslå tiltak fra EU-hold for å få fart i utviklingen.

Utgangspunktet for rapporten er at tradisjonelle forsikringspoliser ikke dekker risikoen som en organisasjon løper ved deltakelse i den digitale økonomien. En håndfull europeiske selskaper tilbyr kyberforsikringsprodukter i en eller annen form, mot 30 til 40 i USA.

Etter å ha gjennomgått ulike studier og utredninger om kyberforsikring konkluderer Enisa med at usikkerhet rundt flere forhold gjør at markedet ikke kommer ordentlig i gang.

En vesentlig mangel er at det ikke finnes tilstrekkelig med forsikringstekniske data. Det skaper usikkerhet rundt vurderingen av kyberrisiko og av omfanget av potensielle tap-

En annen usikkerhet er rundt hva slags risiko det er hensiktsmessig å dekke: Kyberkriminalitet og kyberterror er vesensforskjellig fra risiko knyttet til muligheten for teknologisvikt, driftsavbrudd og datatap.

Aktuarer legger historisk statistikk til grunn for å vurdere framtidig risiko. Denne metoden lar seg ikke umiddelbart anvende på kyberrisiko.

Når det gjelder for eksempel naturkatastrofer av større omfang, vernes forsikringsselskaper dels av at ordninger seg i mellom, dels av at staten trer inn for å bidra til å dekke tap. Slike ordninger finnes ikke rundt kyberrisiko.

Det er vanskelig for forsikrere å få innblikk i hvor effektive ulike tiltak for kybersikkerhet er, det vil si i hvilken utstrekning de bidrar til å redusere en gitt risiko.

Andre problemstillinger er knyttet til hva slags insentiver som kan benyttes for å redusere risikoen for tap ved virksomhet i kyberrommet, samt til hvordan man skal prise et kyberforsikringsprodukt ut fra kundetype. Innen for eksempel bilforsikring har man bonusordninger, og både biler og sjåfører kan plasseres i kategorier for å avgjøre prisnivået.

Når det gjelder tiltak fra forsikringsselskapets side etter for eksempel en informasjonslekkasje, kan det oppstå en konflikt mellom forsikringstakeren som vil ha dekket utgifter knyttet til tapt anseelse og dårlig publisitet, og forsikringsselskapet som kan være mer opptatt av å kartlegge hva som faktisk førte til at informasjonen kom på avveier.

Enisa foreslår fire tiltak på europeisk nivå for EU-kommisjonen:

1. Det bør samles inn materiale om faktisk bruk av kyberforsikring, blant annet hva slags risiko man kan forsikre seg mot, hva slags tap man kan få dekket, hva slags utbetalinger som faktisk har funnet sted, hva slags statistikk som føres for å vurdere risiko med mer.

2. Det bør utredes om det kan være mulig, innenfor dagens lovverk, å styrke muligheten for kollektive tiltak mot selskaper som er utsatt for kyberangrep og informasjonslekkasjer, slik at de prioriterer å styrke sin faktiske kybersikkerhet framfor å søke å verne seg selv gjennom kyberforsikring.

3. Det bør vurderes rammeverk som kan hjelpe organisasjoner til å anslå verdien til informasjonen de besitter.

4. Det bør vurderes ordninger som kan sikre at myndighetene trer til i tilfelle svært omfattende kyberhendelser med ellers uoverkommelige krav rettet mot forsikringsselskapene.

Til toppen