Die New Yorker Aufsichtsbehörden fordern die Versicherer auf, den Cyber-Underwriting-Prozess zu stärken

Wie im Hunton Insurance Recovery-Blog berichtet, hat das New Yorker Finanzministerium („NYDFS“), das das Versicherungsgeschäft in New York regelt, am 4. Februar 2021 im Insurance Circular Letter Nr. 2 Richtlinien herausgegeben (2021) in Bezug auf das „Cyber ​​Insurance Risk Framework“ (die „Richtlinien“), in dem die Versicherer aufgefordert werden, strengere Maßnahmen zur Zeichnung von Cyber-Risiken zu ergreifen. In den Richtlinien nennt NYDFS den SolarWinds-Angriff 2020 als Beispiel dafür, wie das Management des wachsenden Cyber-Risikos „eine dringende Herausforderung für Versicherer“ darstellt.

NYDFS hat die Richtlinien und das Rahmenwerk für das Risiko von Cyberversicherungen erstellt, in denen bewährte Verfahren für das Management des Risikos von Cyberversicherungen (das „Rahmenwerk“) dargelegt sind, mit dem erklärten Ziel, das Wachstum eines robusten Marktes für Cyberversicherungen zu fördern, der die finanzielle Stabilität der Versicherer gewährleistet und die Versicherten schützt. NYDFS verlangt, dass alle zugelassenen Schaden- / Unfallversicherer, die im Staat eine Cyberversicherung abschließen, die im Rahmen festgelegten Praktiken anwenden, einschließlich in erster Linie der Festlegung einer formellen Strategie für das Risiko von Cyberversicherungen, die von der Geschäftsleitung und dem Verwaltungsrat geleitet und genehmigt wird oder Leitungsgremium des Versicherers. NYDFS weist an, dass die Strategie klare qualitative und quantitative Risikoziele enthalten sollte. Die Fortschritte bei der Erreichung dieser Ziele sollten regelmäßig der Geschäftsleitung und dem Verwaltungsrat oder dem Leitungsgremium gemeldet werden und die sechs im Rahmen beschriebenen Praktiken einbeziehen.

Im Folgenden gehen wir auf den Rahmen und die Überlegungen für Cyber-Versicherungsnehmer vor diesem Hintergrund ein.

  1. Verwalten und eliminieren Sie das Risiko eines stillen Cyber-VersicherungsrisikosDies ist das Risiko, dass ein Versicherer den Schaden aus einem Cyber-Vorfall im Rahmen einer Police abdecken muss, in der Cyber ​​nicht ausdrücklich erwähnt wird, z. B. bei Fehlern und Auslassungen, Einbruch und Diebstahl, allgemeinen Haftpflicht- und Produkthaftpflichtversicherungen. Versicherer sollten auch Maßnahmen ergreifen, um das bestehende stille Risiko zu mindern, beispielsweise durch den Abschluss einer Rückversicherung.

Berücksichtigung der Versicherungsnehmer: Diese Richtlinie stammt aus dem NotPetya-Vorfall von 2017, bei dem von der russischen Regierung freigesetzte Malware weltweit Schäden verursachte und zu Versicherungsansprüchen in Höhe von 3 Milliarden US-Dollar führte, von denen 2,7 Milliarden US-Dollar im Rahmen von Schaden- und Unfallversicherungspolicen getätigt wurden, in denen keine Angaben zu Cyber-Risiken gemacht wurden. Zum Beispiel bemühte sich Mondelez International Inc. um die Deckung von Ausgaben im Rahmen seiner Sachversicherung. Der Rechtsstreit, Mondelez Intl. Inc. gegen Zürich Am. Ins. Co., Nr. 2018-L-11008, 2018 WL 4941760 (Abb. Cir. Ct., Cook Cty., Beschwerde eingereicht am 10. Oktober 2018), bleibt bei einem Gericht in Illinois anhängig.

Mondelez reichte im Rahmen seiner Zürcher Sachversicherung einen Anspruch ein, der „physischen Verlust oder Beschädigung elektronischer Daten, Programme oder Software, einschließlich physischen Verlust oder Beschädigung durch die böswillige Einführung eines Maschinencodes“ vorsah. Laut der Beschwerde von Mondelez hat Zurich die Forderung angepasst und sogar einen bedingungslosen Vorschuss von 10 Millionen US-Dollar als Teilzahlung für die Verluste von Mondelez zugesagt. Nach einem Wechsel des Deckungsberaters änderte Zürich jedoch plötzlich den Kurs und berief sich auf den „Kriegsausschluss“ der Politik, um die Deckung zu verweigern. Mondelez erhob Klage gegen Zürich wegen Vertragsbruch, Schuldscheinverkoppelung und ärgerlichem und unvernünftigem Verhalten gemäß Abschnitt 155 des Illinois Insurance Code. Mondelez beantragt Schadensersatz in Höhe von 100 Millionen US-Dollar.

Versicherungsnehmer sollten sich der Cyber-Ausschlüsse in traditionellen Richtlinien bewusst sein, z. B. in Bezug auf Direktoren und leitende Angestellte (D & O), gewerbliche Immobilien und gewerbliche allgemeine Haftungsrichtlinien. Die Versicherungsnehmer sollten sich auch der Deckungslücken bewusst sein, die bestehen können, insbesondere hinsichtlich der mit kritischer Infrastruktur und dem Internet der Dinge verbundenen Risiken. In der Tat schließen viele Cyber-Richtlinien die Deckung von Sachschäden und Körperverletzungen aus, selbst wenn diese aus einem Cyberangriff resultieren. Gleichzeitig können allgemeine Haftungsrichtlinien für Eigentum und Handel weitreichende Cyber-Ausschlüsse enthalten. Versicherungsnehmer sollten einen kompetenten Versicherungsberater beauftragen, um diese Lücken zu analysieren, und mit ihren Maklern und Versicherern darüber sprechen, diese Ausschlüsse für die entsprechenden Policen zurückzunehmen und / oder den Kauf von Vertragsunterschieden in Betracht zu ziehen, um diese Deckungslücke zu schließen.

  1. Systemrisiko bewertenDies ist teilweise darauf zurückzuführen, dass Institute zunehmend auf Drittanbieter angewiesen sind, die sich stark auf Schlüsselbereiche wie Cloud-Services und Managed Services-Anbieter konzentrieren. Beispiele hierfür sind eine sich selbst verbreitende Malware oder ein Supply-Chain-Angriff, der viele Institutionen gleichzeitig infiziert, oder ein Cyber-Ereignis, das einen großen Cloud-Dienstanbieter deaktiviert. Versicherer sollten interne Stresstests zur Cybersicherheit durchführen, die auf unwahrscheinlichen, aber realistischen katastrophalen Cyberereignissen basieren, und die Auswirkungen von Stresstestszenarien auf die verschiedenen Arten von Versicherungspolicen, die sie anbieten, sowie auf die verschiedenen Branchen ihrer Versicherten verfolgen.

Berücksichtigung der Versicherungsnehmer: Aufgrund dieser Überlegung können Versicherungsnehmer absehbar sehen, dass Versicherer die Deckungsgrenzen für bedingte Betriebsunterbrechungen reduzieren, die den Verlust von Geschäftseinkommen aufgrund eines Ausfalls bei einem Anbieter abdecken, auf den sich Ihr Unternehmen stützt. Die Versicherungsnehmer sollten diese Deckung jedoch weiterhin beantragen und sich bemühen, die Entschädigungsbestimmungen in ihren Lieferantenverträgen zu stützen, um Verluste, Kosten, Kosten und Haftungsansprüche abzudecken, die aus einem Ausfall oder Angriff auf das System eines Lieferanten resultieren.

  1. Das versicherte Risiko genau messen durch einen datengesteuerten, umfassenden Plan zur Bewertung des Cyber-Risikos jedes Versicherten und potenziellen Versicherten. Dies beginnt in der Regel mit dem Sammeln von Informationen zum Cybersicherheitsprogramm des Instituts durch Umfragen und Interviews zu Themen wie Corporate Governance und Kontrollen, Schwachstellenmanagement, Zugriffskontrollen, Verschlüsselung, Endpunktüberwachung, Grenzschutz, Planung von Vorfällen und Sicherheitsrichtlinien von Drittanbietern. Die Informationen sollten so detailliert sein, dass der Versicherer potenzielle Lücken und Schwachstellen in der Cybersicherheit des Versicherten genau einschätzen kann. Quellen von Drittanbietern wie externe Cyber-Risikobewertungen sind ebenfalls eine wertvolle Informationsquelle. Diese Informationen sollten mit der Analyse früherer Schadensdaten verglichen werden, um das Risiko zu ermitteln, das mit bestimmten Lücken bei der Kontrolle der Cybersicherheit verbunden ist.

Berücksichtigung der Versicherungsnehmer: Diese Überlegung kann dazu führen, dass sich Versicherer intensiver versichern, was mehr Ressourcen der Versicherungsnehmer für die Suche nach Deckung verbrauchen kann. In diesem Zusammenhang sollten die Versicherungsnehmer die Zeit aufbauen, die für ein zusätzliches Underwriting erforderlich ist, auch bei Erneuerung, und frühzeitig Gespräche mit ihrem Cyberversicherer aufnehmen. Die Versicherungsnehmer sollten auch sicherstellen, dass sie alle Schlüsselpersonen, einschließlich des General Counsel, der Risikomanager, der Finanzabteilungen, der IT-Abteilungen und des externen Versicherungsberaters, in das Ausfüllen von Versicherungsanträgen und in die Beantwortung etwaiger Fragen des Versicherers einbeziehen.

Unglücklicherweise für Versicherungsnehmer versuchen Versicherer häufig, die Deckung aufgrund angeblicher Falschdarstellungen in Anträgen aufzuheben. In vielen Ländern kann sogar die unschuldige Falschdarstellung eines Versicherten in einem Antrag die Deckung für die gesamte Police ungültig machen, und Versicherer versuchen häufig, Policen aufgrund einer angeblichen Falschdarstellung aufzuheben. Siehe z. B. Columbia Cas. Co. gegen Cottage Health Sys., Nr. 2: 15-cv-03432, 2015 US Dist. LEXIS 93456 (CD Cal. 17. Juli 2015) (unbeschadet entlassen, da die Police eine obligatorische ADR-Bestimmung enthielt; der Versicherer versuchte, von der Police zurückzutreten, und behauptete, der Versicherungsnehmer habe Tatsachen im Antrag über seine Mindestpraktiken für Wartung und Sicherheit falsch dargestellt; Cottage sei gescheitert „die in seiner Anwendung identifizierten Verfahren und Risikokontrollen kontinuierlich umzusetzen, Patches auf seinen Systemen regelmäßig zu überprüfen und zu warten oder die Risikokontrollen zu verbessern“.

  1. Bilden Sie Versicherte und Versicherungsproduzenten aus über Cybersicherheit und Verringerung des Risikos von Cyber-Vorfällen. Die Versicherer sollten auch Anreize für die Einführung besserer Cybersicherheitsmaßnahmen schaffen, indem sie Preisstrategien festlegen, die auf der Wirksamkeit des Cybersicherheitsprogramms jedes Versicherten basieren. Die Versicherer sollten auch die Ausbildung von Versicherungsproduzenten fördern und unterstützen, die ein besseres Verständnis der potenziellen Cyber-Expositionen, der Arten und des Umfangs der angebotenen Cyber-Deckung sowie der Geldlimits in Cyber-Versicherungspolicen haben sollten.

Berücksichtigung der Versicherungsnehmer: Viele Cyber-Versicherer bauen in ihre Versicherungspolice die Ausbildung zum Cyber-Risikomanagement ein. Versicherungsnehmer sollten diese Dienste nutzen, die häufig kostenlos angeboten werden.

  1. Erhalten Sie Fachwissen zur Cybersicherheit das Cyber-Risiko richtig zu verstehen und zu bewerten. Versicherer sollten Mitarbeiter mit Erfahrung und Fähigkeiten im Bereich Cybersicherheit einstellen und sich zu deren Schulung und Entwicklung verpflichten, gegebenenfalls ergänzt durch Berater oder Lieferanten.

Berücksichtigung der Versicherungsnehmer: Diese Überlegung wird wahrscheinlich auf den Zeichnungsprozess zurückzuführen sein, bei dem die Cybersicherheitsexperten der Versicherer möglicherweise technische Fragen haben und / oder direkt mit IT- und / oder Cybersicherheitsexperten innerhalb der Organisation des Versicherungsnehmers sprechen müssen. Dies unterstreicht erneut, wie wichtig es ist, wichtige IT-Mitarbeiter in den Antrags- und Zeichnungsprozess für Cyberversicherungen einzubeziehen.

  1. Benachrichtigung der Strafverfolgungsbehörden erforderlich von Opfern eines Cyber-Vorfalls direkt in Cyber-Versicherungspolicen. Die Benachrichtigung der Strafverfolgungsbehörden kann sowohl für den Opferversicherten als auch für die Öffentlichkeit von Vorteil sein, da die Strafverfolgung häufig wertvolle Informationen enthält, die privaten Quellen möglicherweise nicht zur Verfügung stehen und den Opfern eines Cyber-Vorfalls helfen können. Beispielsweise können Strafverfolgungsbehörden bei der Wiederherstellung von Daten und Geldern helfen, die durch einen geschäftlichen E-Mail-Kompromiss gestohlen wurden, indem sie manchmal Überweisungen blockieren oder rückgängig machen, wenn sie umgehend über den Vorfall informiert werden. Die Benachrichtigung der Strafverfolgungsbehörden kann auch das Ansehen eines Opfers verbessern, wenn seine Reaktion auf einen Cyber-Vorfall von seinen Aktionären, Aufsichtsbehörden und der Öffentlichkeit bewertet wird. Schließlich können Informationen, die von Strafverfolgungsbehörden erhalten werden, verwendet werden, um die Angreifer zu verfolgen, andere vor bestehenden Cybersicherheitsbedrohungen zu warnen und zukünftige Cyberkriminalität abzuschrecken.

Berücksichtigung der Versicherungsnehmer: Versicherungsnehmer sollten sich darüber im Klaren sein, dass die Meldung von Cyber-Ereignissen an die Strafverfolgungsbehörden manchmal zu Verzögerungen bei der Meldung eines Anspruchs oder von Anspruchsinformationen an Versicherer führen kann, sofern dem Versicherungsnehmer von den Strafverfolgungsbehörden untersagt ist, diese Informationen im Verlauf der Ermittlungen der Strafverfolgungsbehörden offenzulegen. Daher sollte ein Versicherungsnehmer eine Bestätigung seiner Cyber-Richtlinie beantragen, die eine verspätete Benachrichtigung in Situationen entschuldigt, in denen es dem Versicherungsnehmer aufgrund von Einschränkungen durch Strafverfolgung oder Regulierung untersagt ist, potenzielle Cyber-Vorfälle oder Informationen offenzulegen.

Insgesamt ist eine wichtige Erkenntnis für Versicherungsnehmer aus den NYDFS-Richtlinien, dass Versicherer die Deckung von Cyber-Ereignissen durch die Verwendung von Sublimits und Ausschlüssen in Cyber-Versicherungspolicen und durch die Einfügung ausdrücklicher Cyber-Ausschlüsse in traditionelle Nicht-Cyber-Policen wie Eigentum weiter einschränken können. Verschmutzungs-, D & O- oder allgemeine Haftungsrichtlinien. Darüber hinaus können Versicherer damit beginnen, einen umfassenderen Zeichnungsprozess in Bezug auf die Cyber-Abdeckung durchzuführen. Dementsprechend sollten Versicherungsnehmer ein Team aus IT- oder Cybersicherheitspersonal, internen Beratern und anderen Mitarbeitern in ihrer Organisation aufbauen, um in den Zeichnungsprozess für die Qualitätskontrolle einbezogen zu werden und technische Fragen des Versicherers zu beantworten. Schließlich sollten Versicherungsnehmer in Betracht ziehen, in der Phase der Versicherungsbeschaffung und -erneuerung einen Rechtsbeistand beizubehalten, um die Analyse der vorgeschlagenen Versicherungspolicen zu unterstützen. Der Coverage Counsel kann Deckungslücken identifizieren, problematische Richtliniensprachen und Ausschlüsse kennzeichnen und die Sprache für vorgeschlagene Vermerke beraten.

Comments are closed.