Die ENISA hat einen Bericht veröffentlicht, der sich mit der Frage auseinandersetzt, ob das Grundkonzept der Cyberversicherung den Bedürfnissen von Betreibern kritischer bzw. bedeutender Dienste (OES, siehe sogleich) entspricht. In diesem Bericht werden die aktuellen Perspektiven und Herausforderungen für Betreiber öffentlicher Versorgungseinrichtungen im Zusammenhang mit dem Abschluss von Cyberversicherungen analysiert.
Der gut lesbare Bericht enthält Informationen und Statistiken über die Auswahl, den Abschluss und die Nutzung von Cyber-Versicherungen als Instrument zur Risikominderung im täglichen Geschäftszyklus. Die Daten sind insgesamt von hohem Interesse, auch wenn es vordergründig nicht um typische KMU geht.
Befragtes Umfeld
Betroffene Unternehmen: Die Daten- und Meinungserhebung wurde in Bezug auf die in der Richtlinie über die Netz- und Informationssicherheit (NIS) (Richtlinie (EU) 2016/1148) enthaltene Kategorie von OES entwickelt. Die Ergebnisse und Schlussfolgerungen sind auch auf die in der NIS-Richtlinie (EU) 2022/2555 definierten wesentlichen und kritischen Einrichtungen anwendbar.
Das besondere ist, dass sich die Analyse ausschließlich mit der „Nachfrageseite“ des Cyber-Versicherungsmarktes beschäftigt. Zu diesem Zweck zielt die Analyse darauf ab, verschiedene Segmente des Abschlusses von Cyber-Versicherungen zu untersuchen, nämlich: Risikomanagementpraktiken, Cyber-Versicherungsschutz, Schadenprozesse und Meinungen der Befragten zu Schlüsselbereichen wie z.B. Kapazitäten.
Wesentliche Erkenntnisse zur Cyberversicherung
Die Ergebnisse der Analyse zeigen eine sinkende Attraktivität: Ein. beträchtlicher Teil der Betreiber von kritischen Diensten Cyber-Versicherungen ist vor allem aufgrund steigender Preise und sinkender Deckungssummen weniger von dem Produkt überzeugt, was wohl vor allem bei kleinen Unternehmen zu beobachten ist – wo zugleich Zahl der Ransomware-Vorfälle zunimmt.
Zum Thema bei uns:
- Cyberversicherung und Cyberwar
- Cyberversicherung in Unternehmen
- Haftung der Geschäftsleitung für Sicherheitslücken
- Einstandspflicht der Cyberversicherung: LG Kiel und LG Tübingen
Wohl auch darum ist die Haftpflicht die bevorzugte zusätzliche Deckung, die Unternehmen in ihren Cyber-Versicherungsschutz aufnehmen möchten.
Interessant ist, dass Cyber-Risiken großteils auf qualitativer Basis behandelt werden: 77 % der Betreiber von kritischen Diensten verfügen über ein formalisiertes Verfahren zur Identifizierung von Cyber-Risiken. Andererseits quantifizieren 64 % der Betreiber wesentlicher Dienste ihre Cyber-Risiken nicht.
Cyberversicherung bei Weitem kein Standard
Dem Bericht ist zu entnehmen, dass derzeit wohl nur 26 % der Befragten über eine Cyberversicherung verfügen und 74 % nicht. Dies deutet auf eine etwas geringere Abdeckung hin als die NIS-Investitionsergebnisse von 2022, in denen berichtet wird, dass 32 % der OES/DSP über eine Cyberversicherung verfügen (oder die 30 % der OES/DSP mit Cyberversicherung im Jahr 20217 ). Obwohl die in dieser Cyber-Versicherungsumfrage gemeldeten Deckungsquoten etwas niedriger sind als in den NIS-Investitionsberichten, zeigen sie in den letzten Jahren einen rückläufigen Trend.
Empfehlungen für politische Entscheidungsträger
Der Bericht enthält Empfehlungen für politische Entscheidungsträger in der EU und ihren Mitgliedstaaten sowie für die Gemeinschaft der Betreiber kritischer Infrastrukturen. Der Bericht konzentriert sich auf die Analyse der Nachfrageseite von Cyber-Versicherungen (insbesondere OES) und die entsprechenden Empfehlungen richten sich an politische Entscheidungsträger und OES:
- Implementierung von Lenkungsmechanismen für OES mit folgenden Schwerpunkten: Identifizierung von Vermögenswerten, Überwachung von Schlüsselindikatoren, Durchführung regelmäßiger Risikobewertungen, Identifizierung von Sicherheitskontrollen und Quantifizierung von Risiken.
- Förderung der Schaffung eines Rahmens für die Identifizierung und den Austausch bewährter Verfahren zwischen den OES, insbesondere im Hinblick auf die Identifizierung, Minderung und Quantifizierung von Risiken.
- Berücksichtigung der Heterogenität der PES in Bezug auf Größe, Wirtschaftssektor und strategische Funktion. Die Formulierung der Politik sollte mit den spezifischen Bedürfnissen und Herausforderungen der PES übereinstimmen, ohne die Unterschiede zwischen ihnen, z.B. zwischen kleinen Einrichtungen und großen Betreibern, aus den Augen zu verlieren.
- Die Durchführbarkeit von wirtschaftlich tragfähigeren Cyber-Versicherungspolicen sollte durch eine engere Zusammenarbeit mit Cyber-Versicherungsmaklern geprüft werden.
IT-Sicherheitsrecht & Sicherheitsvorfall
Wir bieten juristische Beratung bei einem Sicherheitsvorfall sowie im IT-Sicherheitsrecht: rund um Verträge, Haftung und Compliance wird Hilfe in der Cybersecurity von jemandem geboten, der es kann – IT-Fachanwalt und Strafverteidiger Jens Ferner bringt sein Fachwissen mit dem Hintergrund des Softwareentwicklers und Verteidigers von Hackern in Unternehmen ein!
Empfehlungen für OES
Die wichtigsten Empfehlungen für OES klingen spiegelbildlich;:
- Verbesserung der Risikomanagementpraktiken, speziell im Hinblick auf die Identifizierung, Minderung und Quantifizierung der Risikoexposition.
- Erwägung der Zuweisung oder Aufstockung von Haushaltsmitteln für die Implementierung von Prozessen zur Identifizierung von Vermögenswerten, zur Überwachung von Schlüsselindikatoren, zur Durchführung regelmäßiger Risikobewertungen, zur Identifizierung von Sicherheitskontrollen und zur Quantifizierung von Risiken auf der Grundlage branchenüblicher Verfahren.
- Verbesserung des Wissenstransfers und -austauschs zwischen PES, um von Best Practices beim Abschluss und der Umsetzung von Cyber-Versicherungen zum Nutzen der Betreiber zu lernen.
- Justizminister wünschen allgemeine Autoschlüssel-Kopie für Ermittler - 7. Dezember 2024
- KCanG: BGH zur Zusammenrechnung von Freimengen - 5. Dezember 2024
- BVerfG zu Encrochat: Keine generellen Beweisverwertungsverbote - 5. Dezember 2024