Cyberversicherung: Umgang der Unternehmen

Die ENISA hat einen Bericht veröffentlicht, der sich mit der Frage auseinandersetzt, ob das Grundkonzept der Cyberversicherung den Bedürfnissen von Betreibern kritischer bzw. bedeutender Dienste (OES, siehe sogleich) entspricht. In diesem Bericht werden die aktuellen Perspektiven und Herausforderungen für Betreiber öffentlicher Versorgungseinrichtungen im Zusammenhang mit dem Abschluss von Cyberversicherungen analysiert.

Der gut lesbare Bericht enthält Informationen und Statistiken über die Auswahl, den Abschluss und die Nutzung von Cyber-Versicherungen als Instrument zur Risikominderung im täglichen Geschäftszyklus. Die Daten sind insgesamt von hohem Interesse, auch wenn es vordergründig nicht um typische KMU geht.

Befragtes Umfeld

Betroffene Unternehmen: Die Daten- und Meinungserhebung wurde in Bezug auf die in der Richtlinie über die Netz- und Informationssicherheit (NIS) (Richtlinie (EU) 2016/1148) enthaltene Kategorie von OES entwickelt. Die Ergebnisse und Schlussfolgerungen sind auch auf die in der NIS-Richtlinie (EU) 2022/2555 definierten wesentlichen und kritischen Einrichtungen anwendbar.

Das besondere ist, dass sich die Analyse ausschließlich mit der „Nachfrageseite“ des Cyber-Versicherungsmarktes beschäftigt. Zu diesem Zweck zielt die Analyse darauf ab, verschiedene Segmente des Abschlusses von Cyber-Versicherungen zu untersuchen, nämlich: Risikomanagementpraktiken, Cyber-Versicherungsschutz, Schadenprozesse und Meinungen der Befragten zu Schlüsselbereichen wie z.B. Kapazitäten.

Wesentliche Erkenntnisse zur Cyberversicherung

Die Ergebnisse der Analyse zeigen eine sinkende Attraktivität: Ein. beträchtlicher Teil der Betreiber von kritischen Diensten Cyber-Versicherungen ist vor allem aufgrund steigender Preise und sinkender Deckungssummen weniger von dem Produkt überzeugt, was wohl vor allem bei kleinen Unternehmen zu beobachten ist – wo zugleich Zahl der Ransomware-Vorfälle zunimmt.

Wohl auch darum ist die Haftpflicht die bevorzugte zusätzliche Deckung, die Unternehmen in ihren Cyber-Versicherungsschutz aufnehmen möchten.

Quelle: ENISA Report, DEMAND SIDE OF CYBER INSURANCE in the eu; Analysis of Challenges and Perspectives of OESs, February 2023, S.14

Interessant ist, dass Cyber-Risiken großteils auf qualitativer Basis behandelt werden: 77 % der Betreiber von kritischen Diensten verfügen über ein formalisiertes Verfahren zur Identifizierung von Cyber-Risiken. Andererseits quantifizieren 64 % der Betreiber wesentlicher Dienste ihre Cyber-Risiken nicht.

Quelle: ENISA Report, DEMAND SIDE OF CYBER INSURANCE in the eu; Analysis of Challenges and Perspectives of OESs, February 2023, S.14

Cyberversicherung bei Weitem kein Standard

Dem Bericht ist zu entnehmen, dass derzeit wohl nur 26 % der Befragten über eine Cyberversicherung verfügen und 74 % nicht. Dies deutet auf eine etwas geringere Abdeckung hin als die NIS-Investitionsergebnisse von 2022, in denen berichtet wird, dass 32 % der OES/DSP über eine Cyberversicherung verfügen (oder die 30 % der OES/DSP mit Cyberversicherung im Jahr 20217 ). Obwohl die in dieser Cyber-Versicherungsumfrage gemeldeten Deckungsquoten etwas niedriger sind als in den NIS-Investitionsberichten, zeigen sie in den letzten Jahren einen rückläufigen Trend.

Quelle: ENISA Report, DEMAND SIDE OF CYBER INSURANCE in the eu; Analysis of Challenges and Perspectives of OESs, February 2023, S.12

Empfehlungen für politische Entscheidungsträger

Der Bericht enthält Empfehlungen für politische Entscheidungsträger in der EU und ihren Mitgliedstaaten sowie für die Gemeinschaft der Betreiber kritischer Infrastrukturen. Der Bericht konzentriert sich auf die Analyse der Nachfrageseite von Cyber-Versicherungen (insbesondere OES) und die entsprechenden Empfehlungen richten sich an politische Entscheidungsträger und OES:

  • Implementierung von Lenkungsmechanismen für OES mit folgenden Schwerpunkten: Identifizierung von Vermögenswerten, Überwachung von Schlüsselindikatoren, Durchführung regelmäßiger Risikobewertungen, Identifizierung von Sicherheitskontrollen und Quantifizierung von Risiken.
  • Förderung der Schaffung eines Rahmens für die Identifizierung und den Austausch bewährter Verfahren zwischen den OES, insbesondere im Hinblick auf die Identifizierung, Minderung und Quantifizierung von Risiken.
  • Berücksichtigung der Heterogenität der PES in Bezug auf Größe, Wirtschaftssektor und strategische Funktion. Die Formulierung der Politik sollte mit den spezifischen Bedürfnissen und Herausforderungen der PES übereinstimmen, ohne die Unterschiede zwischen ihnen, z.B. zwischen kleinen Einrichtungen und großen Betreibern, aus den Augen zu verlieren.
  • Die Durchführbarkeit von wirtschaftlich tragfähigeren Cyber-Versicherungspolicen sollte durch eine engere Zusammenarbeit mit Cyber-Versicherungsmaklern geprüft werden.

Empfehlungen für OES

Die wichtigsten Empfehlungen für OES klingen spiegelbildlich;:

  • Verbesserung der Risikomanagementpraktiken, speziell im Hinblick auf die Identifizierung, Minderung und Quantifizierung der Risikoexposition.
  • Erwägung der Zuweisung oder Aufstockung von Haushaltsmitteln für die Implementierung von Prozessen zur Identifizierung von Vermögenswerten, zur Überwachung von Schlüsselindikatoren, zur Durchführung regelmäßiger Risikobewertungen, zur Identifizierung von Sicherheitskontrollen und zur Quantifizierung von Risiken auf der Grundlage branchenüblicher Verfahren.
  • Verbesserung des Wissenstransfers und -austauschs zwischen PES, um von Best Practices beim Abschluss und der Umsetzung von Cyber-Versicherungen zum Nutzen der Betreiber zu lernen.
Fachanwalt für IT-Recht Jens Ferner