12.02.2024

Закон о страховании киберрисков создают для компаний, которые обрабатывают персональные данные. Изменения собираются внести в закон «О персональных данных». В новелле должны зафиксировать механизм финансового покрытия рисков из-за утечек данных для компаний и физических лиц. У компаний-операторов персональных данных будет два варианта действий – создавать обязательный денежный фонд для компенсации вреда гражданам, чьи сведения украли или страховать этот риск. Совет федерации, который готовит законопроект о страховании киберрисков для компаний, обрабатывающих персональные данные, хочет сузить его действие только на риски утечек. Участники страхового рынка приветствуют инициативу, но, как и операторы данных, призывают конкретизировать формулировки проекта. Механизм расчета компенсации ущерба операторами предлагается записать отдельно ответственными Федеральными органами исполнительной власти. Предоставлять данные операторам связи будет необходимо в Роскомнадзор. В случае принятия документ должен вступить в силу не ранее чем через месяц со дня опубликования. В пояснительной записке сказано, что «данные используются преступниками для их продажи, мошеннических схем и кражи средств», при этом «установление новых штрафов не гарантирует субъектам персональных данных компенсацию причиненного им вреда». Обсуждение инициативы запланировано на конец февраля. Общий рост объема премий по направлению киберстрахования в РФ за 2023 год составил около 80%, примерно до 1,3 млрд руб., оценивали в ПСБ. Но банк включает в этот показатель страхование от разных видов киберрисков, в том числе последствий DDoS-атак. В Национальной страховой информационной системе считают правильным, что такой вид страхования будет носить обязательный характер. Но по мнению гендиректора системы Николая Галушина, необходимо решить, как определяется страховая сумма и выработать подходы и принципы урегулирования убытков и оценки ущерба, конкретизировать набор рисков. Глава совета Ассоциации профессиональных страховых брокеров Катерина Якунина уточняет, что заинтересованные в защите от киберрисков компании стремятся инвестировать в развитие собственных компетенций, а к страхованию «относится сдержанно, в том числе из-за необходимости раскрытия информации для оценки рисков». В то же время в Ассоциации больших данных (VK, «Яндекс», «Сбер», «Ростелеком» и т. д.) считают, что, хотя механизмы покрытия потенциального ущерба являются важным инструментом компаний при работе с данными, сейчас отсутствуют общепринятые подходы к определению размера вреда субъекту данных при утечках, «поэтому процесс расчета обеспечения сложен и зависит от множества факторов». В Ассоциации полагают, что до введения нового регулирования его подходы должны быть «апробированы в рамках саморегулирования». Например, через практики Кодекса этики работы с данными, принятого в 2019 году свода правил для саморегулирования участников рынка.