ВСС предложил обновить нормы для страхования киберрисков: единые подходы и компенсации пострадавшим

Киберриски требуют новых правил: инициатива ВСС

ВСС подготовил предложение о внесении изменений в существующее законодательство с целью более эффективного внедрения процессов страхования киберрисков с помощью формирования общих подходов страховщиков, перестраховщиков к страхованию рисков, включая разработку методологии оценки рисков. Свои предложения союз отправил в Совет Федерации, сенатору Артему Шейкину.

Тема совершенствования законодательства в части усиления ответственности операторов персональных данных за утечки персональных данных граждан путем оплаты компенсации пострадавшим в результате утечки персональных данных обсуждается уже несколько лет. Созданная в ВСС Рабочая группа по страхованию информационных рисков (киберрисков) проводит работу по совершенствованию и развитию страхования рисков, в том числе и в сфере киберрисков. Ранее ВСС со своей стороны уже сообщал о разработке «Концепции по страхованию ответственности операторов персональных данных за утечку персональных данных», основой для которой является законопроект, которым для операторов персональных данных устанавливается финансовая ответственность по возмещению вреда (компенсационной выплаты) потерпевшему (субъекту персональных данных) в результате утечки персональных данных и возлагается обязанность операторов персональных данных в обеспечении своей ответственности, включая договор страхования ответственности.

«Раскрытие персональных данных людей может повлечь за собой финансовый ущерб и психологический дискомфорт. Мы считаем, что получение компенсации за утечку личной информации должно быть простым и понятным, и страховой механизм поможет это обеспечить», — заявил глава рабочей группы ВСС по киберрискам, директор по рискам СберСтрахования Владимир Новиков.

Почему это важно для рынка и клиентов

Киберинциденты затрагивают не только IT-компании: риски существенны для компаний, где циркулируют платежные данные и персональная информация. Это банки, экосистемы, где есть кредиты, ипотека, лизинг и инвестиции. Масштабные утечки влекут репутационные и финансовые последствия, поэтому страхование становится ключевым элементом стратегии риск-менеджмента, дополняя внутренний контроль и требования комплаенса.

Ключевые предложения по изменению нормативной базы

Реализация разработанного проекта Концепции затруднена в текущем законодательном поле. Для достижения цели создания страховых механизмов обеспечения пострадавших от утечек персональных данных денежными компенсациями Рабочая группа ВСС предложила внести следующие изменения:

• дополнить статью 24 Федерального закона от 27.06.2006 № 152-ФЗ «О персональных данных» нормой, согласно которой оператор персональных данных выплачивает субъекту персональных данных компенсацию сверх возмещения вреда субъекту персональных данных, которая может иметь фиксированную сумму в зависимости от вида утекших персональных данных (например, биометрических, специальных категорий или иных видов персональных данных);
• разработать положения, закрепляющие понятие публичной фиксации утечки персональных данных;
• установление органа, ответственного за фиксацию утечки персональных данных, определение момента публичной фиксации утечки персональных данных;
• определение круга лиц, пострадавших от утечки персональных данных.

Также для реализации института ответственности операторов персональных данных в виде оплаты компенсаций субъектам персональных данных в случае утечки, предлагается внести соответствующие изменения в Гражданский кодекс Российской Федерации (в частности, в ст. 15, ст. 929, ст. 1099), в Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных» (в частности, ст. 17), а также другие нормативные акты.

«Всё большая часть данных во всех областях жизни переходит в цифру. Со своей стороны ВСС подтверждает готовность принимать активное участие в разработке соответствующего законопроекта, важного для защиты персональных данных», — подчеркнул президент ВСС Евгений Уфимцев.

Практическое значение для бизнеса

Предлагаемые изменения создают основу для прозрачной модели компенсаций и развивают страхование как инструмент финансовой защиты. Для компаний из экосистем, где присутствуют банки, кредиты, ипотека, лизинг и инвестиции, это способ укрепить устойчивость, рассчитать лимиты покрытия и встроить страховые решения в процессы реагирования на инциденты и юридические риски.

В ожидании регуляторных нововведений бизнес уже может оценить смежные механизмы защиты интересов управленцев и финансовых служб: например, Страхование ответственности директоров и руководителей (D&O) помогает покрывать управленческие риски, а Страхование бухгалтерской ответственности снижает вероятность прямых финансовых потерь из-за ошибок. Для участников финансового рынка дополнительно актуально Страхование МФО и КПК как часть комплексной программы контроля операционных и информационных рисков.

Что дальше

Если предложенные поправки будут поддержаны, у страхового рынка появится единая методология оценки киберрисков, а у операторов персональных данных — понятные правила компенсаций сверх возмещения вреда. Это повысит доверие клиентов и инвесторов, упростит аудит и улучшит управляемость рисками для компаний, работающих с персональными данными, финансовыми продуктами и цифровыми сервисами, где задействованы ипотека, лизинг, кредиты и инвестиции.