Ubezpieczenie Cyber

Ubezpieczenie cyber dla firm w 2026: co sprawdzi ubezpieczyciel, zanim wypłaci odszkodowanie

Poniedziałek, 6:40 rano. Handlowcy nie mogą zalogować się do CRM-a, księgowa widzi na ekranie żądanie okupu, a serwer plików wyświetla katalogi pełne dokumentów z rozszerzeniem, którego nikt wcześniej nie widział. Klasyczny ransomware. Zarząd zachowuje jednak względny spokój, bo pół roku wcześniej firma kupiła ubezpieczenie cyber. Składka zapłacona, polisa w segregatorze, szkoda zgłoszona jeszcze przed południem.

Trzy tygodnie później przychodzi odpowiedź ubezpieczyciela. Odmowa. W ankiecie poprzedzającej zawarcie umowy firma zadeklarowała uwierzytelnianie wieloskładnikowe na całej poczcie oraz regularnie testowane kopie zapasowe. Likwidator szkody ustalił, że MFA działało tylko na kontach zarządu, a backupy owszem, robiły się automatycznie, ale nikt nigdy nie sprawdził, czy da się z nich cokolwiek odtworzyć. Polisa istniała na papierze. Ochrona nie istniała wcale.

Ten scenariusz nie jest wyjątkiem. Jest wręcz wpisany w logikę tego produktu. Właśnie dlatego, zanim podpiszesz umowę na ubezpieczenie cyber, warto zrozumieć, jak ubezpieczyciel patrzy na Twoją firmę. Podpowiedź: patrzy dokładnie tak, jak audytor bezpieczeństwa IT.

Czym jest ubezpieczenie cyber (i czym nie jest)

Ubezpieczenie cyber, nazywane też ubezpieczeniem od ryzyk cybernetycznych albo po prostu cyberpolisą, to polisa, która pokrywa finansowe skutki incydentu: cyberataku, wycieku danych, ataku hakerskiego czy zaszyfrowania systemów przez ransomware (Więcej o ransomware tutaj). W praktyce dobra polisa obejmuje zwykle koszty informatyki śledczej (forensics), odtworzenia danych i systemów, przestoju w działalności, obsługi prawnej i kar związanych z naruszeniem RODO, powiadomienia poszkodowanych klientów oraz komunikacji kryzysowej. Coraz częściej w pakiecie jest też dostęp do zewnętrznego zespołu reagowania na incydenty, który wspiera firmę w pierwszych, najbardziej chaotycznych godzinach po ataku.

Równie ważne jest to, czym ubezpieczenie cyber nie jest. Nie jest zamiennikiem zabezpieczeń. Ubezpieczenie transferuje ryzyko resztkowe, czyli to, które zostaje po wdrożeniu rozsądnych środków ochrony. Firma bez MFA, bez ochrony stacji roboczych i bez sprawdzonych backupów nie ma z perspektywy ubezpieczyciela „ryzyka” incydentu. Ma niemal pewność incydentu, rozłożoną na kilka lat. A pewnych zdarzeń nie da się sensownie ubezpieczyć. Można je najwyżej drogo wycenić albo odmówić ochrony.

Dlatego kolejność jest zawsze ta sama: najpierw fundamenty bezpieczeństwa, potem polisa. Nigdy odwrotnie.

Wniosek o polisę to mini-audyt. Co dokładnie sprawdzi ubezpieczyciel

Czasy, w których ubezpieczenie cyber kupowało się po wypełnieniu jednej strony formularza, skończyły się wraz z falą ataków ransomware na początku dekady. Ubezpieczyciele policzyli straty, podnieśli składki i zaczęli zadawać pytania, które do złudzenia przypominają checklistę audytora. Co więcej, coraz częściej nie wystarczy deklaracja. Trzeba pokazać dowody: politykę, log, raport z testu.

Oto obszary, które niemal na pewno pojawią się w ankiecie:

  • MFA na krytycznych systemach. Uwierzytelnianie wieloskładnikowe na poczcie, VPN-ie, dostępie zdalnym i kontach administracyjnych to dziś pozycja o największej wadze w ocenie ryzyka. Firma bez MFA na poczcie w wielu towarzystwach odpada na starcie, zanim ktokolwiek policzy składkę.
  • EDR na stacjach roboczych i serwerach. Klasyczny antywirus przestał wystarczać. Standardem staje się system klasy EDR, który nie tylko blokuje znane zagrożenia, ale wykrywa podejrzane zachowania i pozwala zareagować, zanim atakujący rozleje się po sieci. Piszemy o tym szerzej w artykule o tym, jak przygotować firmę na ransomware.
  • Backupy testowane i udokumentowane. Słowo klucz: testowane. Kopia zapasowa, z której nigdy nie próbowano niczego odtworzyć, dla ubezpieczyciela nie jest kopią zapasową. Liczy się udokumentowany test odtworzenia, najlepiej cykliczny, z datą i wynikiem.
  • Plan reagowania na incydenty (IRP). Spisany, znany kluczowym osobom i przećwiczony. Ubezpieczyciel może poprosić o ten dokument, a także o dowód, że nie powstał tydzień przed wypełnieniem ankiety. Dobrym punktem wyjścia jest plan ciągłości działania po awarii IT, który opisywaliśmy osobno.
  • Zarządzanie aktualizacjami i podatnościami. Regularne łatanie systemów oraz proces, który określa, w jakim czasie zamykacie wykryte luki. „Aktualizujemy, jak jest chwila” to odpowiedź, która podnosi składkę.
  • Szkolenia pracowników i symulacje phishingu. Skoro większość incydentów zaczyna się od jednego maila otwartego w pośpiechu, ubezpieczyciele chcą widzieć program szkoleń z potwierdzeniami obecności i cykliczne testy phishingowe. Jak rozpoznać taki atak, pokazujemy w tekście o phishingu w firmie.

Jeżeli przy którymkolwiek punkcie odpowiedź brzmi „nie wiem”, to znaczy, że ankietę ubezpieczyciela wypełni za Was przypadek. Znacznie bezpieczniej zacząć od audytu bezpieczeństwa IT, który pokaże stan faktyczny, łącznie z lukami, o których nikt w firmie nie pamięta.

Ubezpieczenie Cyber , Cyberpolisa, Cyberbezpieczeństwo

Trzy najczęstsze powody odmowy wypłaty

Największe rozczarowania cyberpolisą nie biorą się z drobnego druku, tylko z trzech powtarzalnych mechanizmów. Warto je znać, zanim podpiszesz umowę, a nie po odmowie.

Po pierwsze: nieprawdziwa deklaracja w ankiecie. To scenariusz z początku tego artykułu. Ankieta ubezpieczeniowa jest oświadczeniem, na podstawie którego towarzystwo wycenia ryzyko. Jeśli firma zadeklarowała MFA „wszędzie”, a likwidator ustali, że działało wybiórczo, ubezpieczyciel ma podstawę, by odmówić wypłaty lub istotnie ją obniżyć. Nie ma znaczenia, że nikt nie kłamał celowo, że po prostu prezes „był przekonany”, że IT to wdrożyło. Dlatego ankiety nie powinien wypełniać zarząd na wyczucie, tylko osoba, która zna infrastrukturę od środka.

Po drugie: klauzula utrzymania zabezpieczeń. Dobra polisa zobowiązuje firmę do utrzymania zadeklarowanego poziomu ochrony przez cały okres ubezpieczenia. Jeśli po podpisaniu umowy firma zrezygnuje z EDR, bo licencja się skończyła, przestanie testować backupy albo zaniedba aktualizacje, i w tym czasie dojdzie do incydentu, ubezpieczyciel może odmówić wypłaty w całości lub w części. Bezpieczeństwo z perspektywy polisy nie jest jednorazowym projektem, tylko procesem, który musi trwać.

Po trzecie: wyłączenia odpowiedzialności. Typowe polisy wyłączają lub mocno limitują m.in. straty z oszustw socjotechnicznych (np. przelew wykonany przez pracownika na konto oszusta), szkody wynikające z rażącego zaniedbania aktualizacji oraz incydenty zakwalifikowane jako działania wojenne w cyberprzestrzeni. Te zapisy trzeba przeczytać przed podpisaniem, bo to właśnie w sublimitach i wyłączeniach kryje się realna wartość (albo bezwartościowość) konkretnej oferty.

NIS2, KSC a cyberpolisa: dwie strony tej samej checklisty

Jeżeli Twoja firma podlega pod znowelizowaną ustawę o Krajowym Systemie Cyberbezpieczeństwa, która wdraża w Polsce dyrektywę NIS2, mamy dobrą wiadomość: większość pracy potrzebnej do uzyskania sensownej cyberpolisy i tak musisz wykonać. Wymogi regulacyjne, takie jak analiza ryzyka, środki techniczne (MFA i monitorowanie), procedury zgłaszania incydentów czy ocena dostawców, pokrywają się niemal jeden do jednego z pytaniami z ankiet ubezpieczeniowych. Ustawodawca i ubezpieczyciel doszli do tych samych wniosków, tylko z różnych stron: jeden karą, drugi składką.

Działa to też w drugą stronę. Firma, która potrafi udokumentować zgodność z NIS2/KSC, jest dla ubezpieczyciela klientem premium, z realnie niższym ryzykiem, a więc i niższą składką. O tym, kogo obejmują nowe przepisy i jak wygląda zgodność w praktyce, pisaliśmy na przykładzie dyrektywy NIS2 i KRI. Warto też pamiętać, że jeśli obsługuje Was zewnętrzna firma IT, to jej dojrzałość również podlega ocenie, dlatego wymagania bezpieczeństwa powinny być wprost zapisane w umowie outsourcingu IT i SLA.

Ile kosztuje ubezpieczenie cyber i co realnie obniża składkę

Na wysokość składki wpływa kilka czynników. Część z nich jest poza Twoją kontrolą: branża (sektor medyczny, finansowy czy e-commerce płacą więcej, bo przetwarzają wrażliwe dane), skala przychodów i historia incydentów. Ale dwa najważniejsze czynniki możesz aktywnie kształtować.

Pierwszy to dojrzałość bezpieczeństwa. Każdy element z checklisty wyżej (MFA, EDR, testowane backupy, monitoring, przećwiczony plan reagowania) obniża wycenę ryzyka. Firma, która pokaże pełen pakiet: prewencję, wykrywanie i reakcję, negocjuje z zupełnie innej pozycji niż firma, która dopiero „planuje wdrożenie”.

Drugi to suma ubezpieczenia i franszyza, czyli udział własny. Wyższa franszyza, na przykład 200 tys. zł zamiast 50 tys. zł, potrafi obniżyć roczną składkę nawet o 30–40%. Dla firmy, która ma płynność pozwalającą samodzielnie pokryć mniejsze incydenty, a polisy potrzebuje na wypadek katastrofy, to często najbardziej opłacalna konfiguracja. Przy dopasowaniu zakresu, sublimitów (np. osobny limit na ransomware) i wyłączeń do specyfiki firmy warto skorzystać ze wsparcia brokera ubezpieczeniowego, a stan faktyczny infrastruktury, który broker przetłumaczy na język ubezpieczyciela, powinien dostarczyć partner IT.

Co zwykle pokrywa cyberpolisaCzego zwykle nie pokrywa
Koszty informatyki śledczej i ustalenia przyczyn atakuStrat z oszustw socjotechnicznych (często wyłączone lub sublimitowane)
Odtworzenie danych i systemów po incydencieSzkód wynikających z rażącego zaniedbania aktualizacji
Straty z tytułu przerwy w działalnościIncydentów przy zabezpieczeniach gorszych niż zadeklarowane
Kary i obsługę prawną związaną z RODOAtaków uznanych za działania wojenne w cyberprzestrzeni
Powiadomienie klientów i komunikację kryzysowąKosztów doprowadzenia zabezpieczeń do wymaganego poziomu

Jak przygotować firmę do polisy: plan w trzech fazach

Dobra wiadomość jest taka, że przygotowanie do cyberpolisy to nie projekt na lata. Realny plan wygląda tak:

Faza 1: zamknięcie krytycznych luk (60–90 dni). Wdrożenie MFA na poczcie, VPN-ie i kontach administracyjnych, uruchomienie EDR na stacjach i serwerach, weryfikacja backupów wraz z testem odtworzenia i jego udokumentowaniem, spisanie podstawowego planu reagowania na incydenty. To minimum, żeby w ogóle otrzymać sensowną ofertę.

Faza 2: budowa dojrzałości (3–6 miesięcy). Monitoring bezpieczeństwa, sformalizowany proces zarządzania podatnościami i aktualizacjami, pierwsze szkolenia i symulacje phishingowe, przegląd uprawnień i dokumentacja architektury sieci. W tej fazie firma przestaje być klientem „wysokiego ryzyka” i zaczyna negocjować warunki.

Faza 3: utrzymanie i optymalizacja (6–12 miesięcy). Cykliczne testy planu reagowania (tzw. ćwiczenia tabletop), automatyzacja zarządzania podatnościami, stały program szkoleń. Firma na tym etapie nie tylko dostaje ubezpieczenie cyber na najlepszych warunkach, ale przede wszystkim ma realnie mniejszą szansę, że kiedykolwiek będzie musiała z niej skorzystać.

Ubezpieczenie cyber, cyberbezpieczeństwo

Zanim wypełnisz ankietę ubezpieczyciela, sprawdź, jak odpowiesz naprawdę

Ubezpieczenie cyber to dziś jeden z filarów zarządzania ryzykiem w firmie, ale tylko wtedy, gdy odpowiedzi w ankiecie pokrywają się ze stanem faktycznym infrastruktury. Różnica między „mamy MFA” a „mamy MFA na trzech kontach z osiemdziesięciu” to różnica między wypłatą odszkodowania a odmową.

W Dataone pomagamy firmom przejść tę drogę od początku do końca: audyt bezpieczeństwa pokazuje, jak Wasza infrastruktura wygląda oczami ubezpieczyciela, a wdrożenie MFA, EDR, testowanych backupów i planu reagowania zamyka luki, zanim zrobi to za Was incydent. Skontaktuj się z nami. Sprawdzimy, na które pytania z ankiety Twoja firma może dziś odpowiedzieć „tak” z czystym sumieniem, i przygotujemy plan na te pozostałe.

Zobacz też: Ochrona danych dzieci w przedszkolu | Phishing w firmie 2026

FAQ - Najczęstsze Pytania

Czy każda firma dostanie ubezpieczenie cyber?

Nie. Firmy bez podstawowych zabezpieczeń, przede wszystkim bez MFA na poczcie i dostępie zdalnym, są przez część towarzystw odrzucane automatycznie albo otrzymują ofertę tak drogą i okrojoną, że pozbawioną sensu ekonomicznego. Warunkiem uzyskania polisy jest wykazanie minimum dojrzałości bezpieczeństwa.

OC zawodowe (E&O) chroni przed roszczeniami klientów za szkody wyrządzone błędem w świadczonej usłudze, np. wadliwym wdrożeniem oprogramowania. Ubezpieczenie cyber chroni samą firmę przed skutkami incydentu w jej własnej infrastrukturze: kosztami przestoju, odtworzenia danych czy odpowiedzialnością za wyciek. To komplementarne, a nie zamienne produkty.

Część polis przewiduje pokrycie kosztów okupu i negocjacji, ale zwykle w ramach osobnego sublimitu i pod warunkami (np. zgody ubezpieczyciela przed płatnością). W praktyce znacznie cenniejsze jest pokrycie kosztów odtworzenia środowiska i przestoju, bo celem dobrze przygotowanej firmy jest nie płacić okupu w ogóle.

Coraz częściej tak, pod warunkiem właściwej kolejności działań. Małe i średnie firmy są dziś głównym celem ataków ransomware, a pojedynczy incydent potrafi kosztować więcej niż kilka lat składek. Polisa ma jednak sens dopiero wtedy, gdy podstawowe zabezpieczenia realnie działają; w przeciwnym razie płacisz za dokument, z którego nie skorzystasz.

Tag:

Dataone Business Solution Sp z o.o.

Aleje Jerozolimskie 25/21,
00-508 Warszawa
NIP: 1133049655
zbyszek@dataone.pl
+48 515 453 151