With cyber threats rapidly growing, cyber risk insurance is emerging as a solution that can complement traditional cyber security tools based on technical and organizational measures. Moreover, the well-established risk management standards, such as ISO 31000 and ISO 27000, identify cyber insurance as having an important role to play in financing the negative impact of cyber risk. Accordingly, the purpose of this paper is to present the concept of cyber insurance and its key features, such as scope of coverage, areas of application, underwriting and premium calculation principles. The analysis is focused on industrial enterprises, which in many cases belong to the state’s critical infrastructure. They face not only pure cyber risk, but also cyber-physical risk, which means particularly high severity of potential losses. This study can have practical value in the context of requirements of the new NIS 2 Directive.
W obliczu eskalacji zagrożeń cybernetycznych ubezpieczenie ryzyk cybernetycznych staje się rozwiązaniem, które może uzupełniać tradycyjne narzędzia cyberbezpieczeństwa wykorzystujące instrumenty techniczne i organizacyjne. Co więcej, uznane standardy zarządzania ryzykiem takie jak ISO 31000 i ISO 27000 wskazują ubezpieczeniom cybernetycznym istotną rolę do odegrania w obszarze finansowania negatywnych skutków realizacji ryzyka cybernetycznego. W związku z tym celem artykułu jest przedstawienie koncepcji ubezpieczenia ryzyk cybernetycznych i podstawowych jego parametrów takich, jak: zakres ochrony, obszary zastosowań, zasady oceny ryzyka i kalkulacji wysokości składki ubezpieczeniowej. Analizę przeprowadzono z punktu widzenia przedsiębiorstw przemysłowych, które w wielu przypadkach stanowią element infrastruktury krytycznej państwa. Zagraża im nie tylko czyste ryzyko cybernetyczne, lecz także ryzyko cyberfizyczne, co oznacza szczególnie dużą dotkliwość potencjalnych strat. Niniejsza praca ma znaczenie aplikacyjne w kontekście wymagań nowej dyrektywy NIS 2.
Introduction to model of security systems based on ISO 27000 family of standards. The focus on the main purpose of the information security standards, including a full listing of the ISO 27000 documentation with description of particular security standards. An official definition of Information Security Management System (ISMS) its terms and purpose. A summary of world - survey from 2011 - 2012 showing the volume of ISO 27000 certifications and describing key factors of successful implementation of IT security standards that protect organizations against potential security threats.
Wprowadzenie do modelu zarządzania bezpieczeństwem informacji i danych w oparciu o standardy z rodziny ISO 27000. Podkreślenie istoty oraz historii wprowadzenia standardu wraz z wyszczególnieniem zakresu i podziału poszczególnych aspektów bezpieczeństwa. Definiowanie pojęcia Systemu Zarządzania Bezpieczeństwem Informacji oraz zasad działania takich systemów. Podsumowanie gdzie standardy ISO 27000 zostały skutecznie wdrożone w skali światowej oraz czynników wpływających na skuteczne przeciwdziałanie zagrożeniom wynikającym z nie stosowania standardów bezpieczeństwa IT na bazie badań przeprowadzonych w 2011 i 2012 roku . Omówienie roli bezpieczeństwa informacji w łacuchach dostaw.
