Zaczynamy?
Dataone Business Solution Sp z o.o.
Aleje Jerozolimskie 25/21,
00-508 Warszawa
NIP: 1133049655
zbyszek@dataone.pl
+48 515 453 151


Poniedziałek, 6:40 rano. Handlowcy nie mogą zalogować się do CRM-a, księgowa widzi na ekranie żądanie okupu, a serwer plików wyświetla katalogi pełne dokumentów z rozszerzeniem, którego nikt wcześniej nie widział. Klasyczny ransomware. Zarząd zachowuje jednak względny spokój, bo pół roku wcześniej firma kupiła ubezpieczenie cyber. Składka zapłacona, polisa w segregatorze, szkoda zgłoszona jeszcze przed południem.
Trzy tygodnie później przychodzi odpowiedź ubezpieczyciela. Odmowa. W ankiecie poprzedzającej zawarcie umowy firma zadeklarowała uwierzytelnianie wieloskładnikowe na całej poczcie oraz regularnie testowane kopie zapasowe. Likwidator szkody ustalił, że MFA działało tylko na kontach zarządu, a backupy owszem, robiły się automatycznie, ale nikt nigdy nie sprawdził, czy da się z nich cokolwiek odtworzyć. Polisa istniała na papierze. Ochrona nie istniała wcale.
Ten scenariusz nie jest wyjątkiem. Jest wręcz wpisany w logikę tego produktu. Właśnie dlatego, zanim podpiszesz umowę na ubezpieczenie cyber, warto zrozumieć, jak ubezpieczyciel patrzy na Twoją firmę. Podpowiedź: patrzy dokładnie tak, jak audytor bezpieczeństwa IT.
Ubezpieczenie cyber, nazywane też ubezpieczeniem od ryzyk cybernetycznych albo po prostu cyberpolisą, to polisa, która pokrywa finansowe skutki incydentu: cyberataku, wycieku danych, ataku hakerskiego czy zaszyfrowania systemów przez ransomware (Więcej o ransomware tutaj). W praktyce dobra polisa obejmuje zwykle koszty informatyki śledczej (forensics), odtworzenia danych i systemów, przestoju w działalności, obsługi prawnej i kar związanych z naruszeniem RODO, powiadomienia poszkodowanych klientów oraz komunikacji kryzysowej. Coraz częściej w pakiecie jest też dostęp do zewnętrznego zespołu reagowania na incydenty, który wspiera firmę w pierwszych, najbardziej chaotycznych godzinach po ataku.
Równie ważne jest to, czym ubezpieczenie cyber nie jest. Nie jest zamiennikiem zabezpieczeń. Ubezpieczenie transferuje ryzyko resztkowe, czyli to, które zostaje po wdrożeniu rozsądnych środków ochrony. Firma bez MFA, bez ochrony stacji roboczych i bez sprawdzonych backupów nie ma z perspektywy ubezpieczyciela „ryzyka” incydentu. Ma niemal pewność incydentu, rozłożoną na kilka lat. A pewnych zdarzeń nie da się sensownie ubezpieczyć. Można je najwyżej drogo wycenić albo odmówić ochrony.
Dlatego kolejność jest zawsze ta sama: najpierw fundamenty bezpieczeństwa, potem polisa. Nigdy odwrotnie.
Czasy, w których ubezpieczenie cyber kupowało się po wypełnieniu jednej strony formularza, skończyły się wraz z falą ataków ransomware na początku dekady. Ubezpieczyciele policzyli straty, podnieśli składki i zaczęli zadawać pytania, które do złudzenia przypominają checklistę audytora. Co więcej, coraz częściej nie wystarczy deklaracja. Trzeba pokazać dowody: politykę, log, raport z testu.
Oto obszary, które niemal na pewno pojawią się w ankiecie:
Jeżeli przy którymkolwiek punkcie odpowiedź brzmi „nie wiem”, to znaczy, że ankietę ubezpieczyciela wypełni za Was przypadek. Znacznie bezpieczniej zacząć od audytu bezpieczeństwa IT, który pokaże stan faktyczny, łącznie z lukami, o których nikt w firmie nie pamięta.


Największe rozczarowania cyberpolisą nie biorą się z drobnego druku, tylko z trzech powtarzalnych mechanizmów. Warto je znać, zanim podpiszesz umowę, a nie po odmowie.
Po pierwsze: nieprawdziwa deklaracja w ankiecie. To scenariusz z początku tego artykułu. Ankieta ubezpieczeniowa jest oświadczeniem, na podstawie którego towarzystwo wycenia ryzyko. Jeśli firma zadeklarowała MFA „wszędzie”, a likwidator ustali, że działało wybiórczo, ubezpieczyciel ma podstawę, by odmówić wypłaty lub istotnie ją obniżyć. Nie ma znaczenia, że nikt nie kłamał celowo, że po prostu prezes „był przekonany”, że IT to wdrożyło. Dlatego ankiety nie powinien wypełniać zarząd na wyczucie, tylko osoba, która zna infrastrukturę od środka.
Po drugie: klauzula utrzymania zabezpieczeń. Dobra polisa zobowiązuje firmę do utrzymania zadeklarowanego poziomu ochrony przez cały okres ubezpieczenia. Jeśli po podpisaniu umowy firma zrezygnuje z EDR, bo licencja się skończyła, przestanie testować backupy albo zaniedba aktualizacje, i w tym czasie dojdzie do incydentu, ubezpieczyciel może odmówić wypłaty w całości lub w części. Bezpieczeństwo z perspektywy polisy nie jest jednorazowym projektem, tylko procesem, który musi trwać.
Po trzecie: wyłączenia odpowiedzialności. Typowe polisy wyłączają lub mocno limitują m.in. straty z oszustw socjotechnicznych (np. przelew wykonany przez pracownika na konto oszusta), szkody wynikające z rażącego zaniedbania aktualizacji oraz incydenty zakwalifikowane jako działania wojenne w cyberprzestrzeni. Te zapisy trzeba przeczytać przed podpisaniem, bo to właśnie w sublimitach i wyłączeniach kryje się realna wartość (albo bezwartościowość) konkretnej oferty.
Jeżeli Twoja firma podlega pod znowelizowaną ustawę o Krajowym Systemie Cyberbezpieczeństwa, która wdraża w Polsce dyrektywę NIS2, mamy dobrą wiadomość: większość pracy potrzebnej do uzyskania sensownej cyberpolisy i tak musisz wykonać. Wymogi regulacyjne, takie jak analiza ryzyka, środki techniczne (MFA i monitorowanie), procedury zgłaszania incydentów czy ocena dostawców, pokrywają się niemal jeden do jednego z pytaniami z ankiet ubezpieczeniowych. Ustawodawca i ubezpieczyciel doszli do tych samych wniosków, tylko z różnych stron: jeden karą, drugi składką.
Działa to też w drugą stronę. Firma, która potrafi udokumentować zgodność z NIS2/KSC, jest dla ubezpieczyciela klientem premium, z realnie niższym ryzykiem, a więc i niższą składką. O tym, kogo obejmują nowe przepisy i jak wygląda zgodność w praktyce, pisaliśmy na przykładzie dyrektywy NIS2 i KRI. Warto też pamiętać, że jeśli obsługuje Was zewnętrzna firma IT, to jej dojrzałość również podlega ocenie, dlatego wymagania bezpieczeństwa powinny być wprost zapisane w umowie outsourcingu IT i SLA.
Na wysokość składki wpływa kilka czynników. Część z nich jest poza Twoją kontrolą: branża (sektor medyczny, finansowy czy e-commerce płacą więcej, bo przetwarzają wrażliwe dane), skala przychodów i historia incydentów. Ale dwa najważniejsze czynniki możesz aktywnie kształtować.
Pierwszy to dojrzałość bezpieczeństwa. Każdy element z checklisty wyżej (MFA, EDR, testowane backupy, monitoring, przećwiczony plan reagowania) obniża wycenę ryzyka. Firma, która pokaże pełen pakiet: prewencję, wykrywanie i reakcję, negocjuje z zupełnie innej pozycji niż firma, która dopiero „planuje wdrożenie”.
Drugi to suma ubezpieczenia i franszyza, czyli udział własny. Wyższa franszyza, na przykład 200 tys. zł zamiast 50 tys. zł, potrafi obniżyć roczną składkę nawet o 30–40%. Dla firmy, która ma płynność pozwalającą samodzielnie pokryć mniejsze incydenty, a polisy potrzebuje na wypadek katastrofy, to często najbardziej opłacalna konfiguracja. Przy dopasowaniu zakresu, sublimitów (np. osobny limit na ransomware) i wyłączeń do specyfiki firmy warto skorzystać ze wsparcia brokera ubezpieczeniowego, a stan faktyczny infrastruktury, który broker przetłumaczy na język ubezpieczyciela, powinien dostarczyć partner IT.
| Co zwykle pokrywa cyberpolisa | Czego zwykle nie pokrywa |
|---|---|
| Koszty informatyki śledczej i ustalenia przyczyn ataku | Strat z oszustw socjotechnicznych (często wyłączone lub sublimitowane) |
| Odtworzenie danych i systemów po incydencie | Szkód wynikających z rażącego zaniedbania aktualizacji |
| Straty z tytułu przerwy w działalności | Incydentów przy zabezpieczeniach gorszych niż zadeklarowane |
| Kary i obsługę prawną związaną z RODO | Ataków uznanych za działania wojenne w cyberprzestrzeni |
| Powiadomienie klientów i komunikację kryzysową | Kosztów doprowadzenia zabezpieczeń do wymaganego poziomu |
Dobra wiadomość jest taka, że przygotowanie do cyberpolisy to nie projekt na lata. Realny plan wygląda tak:
Faza 1: zamknięcie krytycznych luk (60–90 dni). Wdrożenie MFA na poczcie, VPN-ie i kontach administracyjnych, uruchomienie EDR na stacjach i serwerach, weryfikacja backupów wraz z testem odtworzenia i jego udokumentowaniem, spisanie podstawowego planu reagowania na incydenty. To minimum, żeby w ogóle otrzymać sensowną ofertę.
Faza 2: budowa dojrzałości (3–6 miesięcy). Monitoring bezpieczeństwa, sformalizowany proces zarządzania podatnościami i aktualizacjami, pierwsze szkolenia i symulacje phishingowe, przegląd uprawnień i dokumentacja architektury sieci. W tej fazie firma przestaje być klientem „wysokiego ryzyka” i zaczyna negocjować warunki.
Faza 3: utrzymanie i optymalizacja (6–12 miesięcy). Cykliczne testy planu reagowania (tzw. ćwiczenia tabletop), automatyzacja zarządzania podatnościami, stały program szkoleń. Firma na tym etapie nie tylko dostaje ubezpieczenie cyber na najlepszych warunkach, ale przede wszystkim ma realnie mniejszą szansę, że kiedykolwiek będzie musiała z niej skorzystać.


Ubezpieczenie cyber to dziś jeden z filarów zarządzania ryzykiem w firmie, ale tylko wtedy, gdy odpowiedzi w ankiecie pokrywają się ze stanem faktycznym infrastruktury. Różnica między „mamy MFA” a „mamy MFA na trzech kontach z osiemdziesięciu” to różnica między wypłatą odszkodowania a odmową.
W Dataone pomagamy firmom przejść tę drogę od początku do końca: audyt bezpieczeństwa pokazuje, jak Wasza infrastruktura wygląda oczami ubezpieczyciela, a wdrożenie MFA, EDR, testowanych backupów i planu reagowania zamyka luki, zanim zrobi to za Was incydent. Skontaktuj się z nami. Sprawdzimy, na które pytania z ankiety Twoja firma może dziś odpowiedzieć „tak” z czystym sumieniem, i przygotujemy plan na te pozostałe.
Zobacz też: Ochrona danych dzieci w przedszkolu | Phishing w firmie 2026
Nie. Firmy bez podstawowych zabezpieczeń, przede wszystkim bez MFA na poczcie i dostępie zdalnym, są przez część towarzystw odrzucane automatycznie albo otrzymują ofertę tak drogą i okrojoną, że pozbawioną sensu ekonomicznego. Warunkiem uzyskania polisy jest wykazanie minimum dojrzałości bezpieczeństwa.
OC zawodowe (E&O) chroni przed roszczeniami klientów za szkody wyrządzone błędem w świadczonej usłudze, np. wadliwym wdrożeniem oprogramowania. Ubezpieczenie cyber chroni samą firmę przed skutkami incydentu w jej własnej infrastrukturze: kosztami przestoju, odtworzenia danych czy odpowiedzialnością za wyciek. To komplementarne, a nie zamienne produkty.
Część polis przewiduje pokrycie kosztów okupu i negocjacji, ale zwykle w ramach osobnego sublimitu i pod warunkami (np. zgody ubezpieczyciela przed płatnością). W praktyce znacznie cenniejsze jest pokrycie kosztów odtworzenia środowiska i przestoju, bo celem dobrze przygotowanej firmy jest nie płacić okupu w ogóle.
Coraz częściej tak, pod warunkiem właściwej kolejności działań. Małe i średnie firmy są dziś głównym celem ataków ransomware, a pojedynczy incydent potrafi kosztować więcej niż kilka lat składek. Polisa ma jednak sens dopiero wtedy, gdy podstawowe zabezpieczenia realnie działają; w przeciwnym razie płacisz za dokument, z którego nie skorzystasz.
Aleje Jerozolimskie 25/21,
00-508 Warszawa
NIP: 1133049655
zbyszek@dataone.pl
+48 515 453 151