Hög tid att teckna cyberförsäkring

18 maj 2015

Söderberg & Partners har genomfört Nordens första villkorsanalys av försäkringar relaterade till cyberrisker. Cyberförsäkringen är ett tydligt komplement till bolagets övriga försäkringar, till exempel egendoms- och ansvarsförsäkringar som inte omfattar dessa risker i tillräcklig utsträckning.

– Framförallt cybercrime är ett växande problem. I USA, där tillförlitlig statistik finns, visar fakta att 45 procent av alla bolag utsattes för minst ett cyberbrott under 2013. Troligen är antalet betydligt fler då mörkertalet är stort, säger Victor Sundh, analytiker på Söderberg & Partners.

Han berättar att mediankostnaden för en attack i USA uppgår till 415 000 dollar och att det i genomsnitt tar 18 dagar att utreda och återställa verkningarna av ett intrång. Enligt försäkringsbolaget Allianz riskbarometer för 2015 hamnar cyberbrott på de globala företagens lista över de tio främsta riskerna.

– Här i Sverige är riskmedvetandet långt ifrån lika utbrett trots att det har skett ett flertal allvarliga attacker. Överbelastningsattackerna mot Telias servrar precis före jul är bara ett exempel, berättar Victor Sundh.

Andra uppmärksammade attacker är övertagandet av Sony Pictures hemsida i samband med att filmen ”The Interview” skulle ha premiär och hackerattacken mot Sony Playstation Network. I det senare fallet läckte kreditkortsuppgifter ut från hundratusentals användare.

Cyberförsäkring ny produkt i Norden

Cyberförsäkringar är en relativt ny produkt i Norden och fler aktörer håller på att ta fram en försäkringslösning. För den svenska marknaden har Victor Sundh och hans kollegor analyserat försäkringsvillkoren hos fem bolag: Ace, AIG, Allianz, CNA och Zürich. Åt Söderberg & Partners danska samarbetspartner Dahlbergs har bolaget granskat fyra försäkringsbolag: Ace, AIG, CNA och Chubb.

Vilka företag ska teckna en cyberförsäkring?

– Framför allt handlar det om bolag som har omfattande ansvarsexponering, till exempel företag som sköter andra bolags IT-infrastruktur. Samma sak gäller för bolag som har onlineförsäljning samt bolag som är beroende av att nätverket fungerar, säger Victor Sundh och fortsätter:

– I Danmark ser vi en tydlig ökning att små bolag utan egen IT-avdelning tecknar cyberförsäkring. Det är klokt eftersom dessa bolag inte har resurser för att upptäcka om de har utsatts för till exempel en cyberattack, säger han.

Nytt EU-direktiv värt att hålla ögonen på

Ett nytt EU-direktiv som är under beredning, Dataskyddsdirektivet, kan leda till skärpt ansvar för bland annat behandling av personuppgifter på internet. Direktivet föreslår till exempel en notifieringsskyldighet för företag som har drabbas av ett intrång. Företagen kan bli skyldiga att notifiera, meddela, alla som kan tänkas ha fått sina uppgifter stulna inom 24 timmar från att attacken ägde rum. Det föreslagna vitet ligger på 100 – 300 000 euro för mindre brott och 100 000 – 1 000 000 euro, eller 5 procent av bolagets globala omsättning för grövre brott.

Därtill föreslår direktivet att drabbade privatpersoner ska kunna begära skadestånd om personuppgifter har läckt ut.

– Europa närmar sig den amerikanska modellen med fler och större skadeståndsanspråk. Dagens svenska system bygger på att den personuppgiftsansvarige ska vidta rättelse medan det nya förslaget har en klart mer straffsanktionerad prägel. Om direktivet går igenom kommer det med all säkerhet att leda till att många företag kommer att få betala vite och även skadestånd till privatpersoner. Dessa kostnader täcks normalt av en cyberförsäkring, säger Victor Sundh.

Du som vill veta mer om cyberförsäkringar är välkommen att kontakta Tomas Ohlin, affärsområdesansvarig sakförmedling på tomas.ohlin@soderbergpartners.se

Relaterade artiklar