FS180 Cyberförsäkring

Försäkringsvillkor FS180

Cyberförsäkring

Cyberförsäkringsvillkoren fastställer innehållet i försäkringsavtalet tillsammans med de allmänna avtalsvillkoren i Företagsskyddet, försäkringsbrevet och de specialvillkor och säkerhetsföreskrifter som anges i försäkringsbrevet. När försäkringen tecknas kan man avtala om specialvillkor som utvidgar eller begränsar försäkringsskyddet. Dessa anges i försäkringsbrevet.

1 Definitioner och väsentliga begrepp som gäller cyberförsäkring och ersättning av skador

Arbetstagare: vilken som helst person som utför tjänster för försäkringstagaren eller den försäkrade eller arbetar under försäkringstagarens eller den försäkrades arbetsledning. Som arbetstagare räknas även extern personal som försäkringstagaren eller den försäkrade har anställt för att leverera IT-tjänster och som arbetar under försäkringstagarens eller den försäkrades arbetsledning, frånsett personer i ledande ställning.

Avvikelse i datasäkerheten: skadegörelser, skadeprogram, mänskliga fel, överbelastningsattacker eller informationsstölder som drabbar eller riktas mot försäkringstagarens, den försäkrades eller en extern tjänsteleverantörs datasystem.

Cyberkrigföring: en åtgärd som en suverän främmande stat eller en aktör som agerar för en sådan stats räkning, på en sådan stats vägnar, styrs av eller handlar på uppdrag av en sådan stat har vidtagit med hjälp av datasystem i syfte att skada, förhindra eller störa datasystemens funktion och/eller manipulera eller förstöra data i datasystem.

Cyberutpressning: 1) ett trovärdigt hot av en tredje part om att orsaka ett försäkringsfall i försäkringstagarens eller den försäkrades datasystem om lösen inte betalas eller 2) ett krav om lösen som framställs av en tredje part för att tredje parten i fråga avslutar avvikelsen, som denna orsakat, i datasäkerheten i försäkringstagarens eller den försäkrades datasystem.

Data: alla slags uppgifter i elektronisk form, som ägs eller används av försäkringstagaren eller den försäkrade oberoende av hur de används och presenteras. Exempel på sådana är text, diagram, bilder, videor eller program.

Datanät: en helhet som bildas av datasystem och till det anslutna apparater och genom vilket apparater som hör till nätet kan utbyta data och andra resurser.

Datasystem: IT- och kommunikationssystem (som IT-utrustning och infrastrukturer, program, elektroniska lagringsapparater och övriga apparater) som används för att skapa, använda, behandla, skydda, följa, spara, söka, visa eller flytta data.

Datoriserade styrsystem (SCADA systems): en centraliserad enhet som består av programvaror och IT-utrustning och som övervakar och reglerar industriella produktionsprocesser antingen på en produktionsanläggning eller via fjärranslutning.

Digital media: försäkringstagarens eller den försäkrades webbplatser samt texter, bilder, videor eller ljud som delas på sociala medier eller per e-post.

Elektroniska lagringsapparater: IT-apparater (som externa hårddiskar, CD- och DVD-skivor, magnetband eller -skivor, USB-minnen) som används för att spara och förvara data.

Ersättningskrav: ett krav eller påstående som en tredje part riktat mot försäkringstagaren eller den försäkrade och som gäller en sådan ersättning, fordran, egendom, skadestånd eller verkställande av rätten som direkt kan avgöras vid skiljeförfarande eller behandlas av en domstol.

Expert: en extern person eller en juridisk person som Fennia och/eller leverantören av primärtjänster för avvikelser i datasäkerheten tillsammans eller separat har utnämnt, som IT-expert, forensisk expert, jurist eller PR-konsult.

Försvarskostnader: utgifter, kostnader och arvoden för experter, advokater, redogörelser, rättegångar, undersökningar och/eller förfaranden som är nödvändiga för försvarande av försäkringstagaren eller den försäkrade i tvistemål, kommersiella ärenden, administrativa ärenden och/eller brottmål. Med detta avses dock inte normala lönekostnader i försäkringstagarens eller den försäkrades verksamhet.

Försäkrad: den till vars förmån en skadeförsäkring gäller.

Försäkringsbelopp: det belopp som anges i försäkringsbrevet utgör övre gräns för Fennias ersättningsskyldighet vid varje försäkringsfall. Beloppet är också övre gräns för samtliga kostnader och skador som ersätts under en försäkringsperiod.

Försäkringsfall: avvikelser i datasäkerheten, ersättningskrav, cyberutpressning och/eller cyberbrott (som i punkt 3.5 Cyberbrottsskydd).

Försäkringsperiod: försäkringens giltighetstid är den period som anges i försäkringsbrevet.

Försäkringstagare: den som ingått ett försäkringsavtal med Fennia.

Försäkringstagarens eller den försäkrades datasystem: datasystem som administreras av försäkringstagaren eller den försäkrade och som försäkringstagaren eller den försäkrade äger och för vilka försäkringstagaren eller den försäkrade har skaffat licenser eller vilka försäkringstagaren eller den försäkrade har hyrt.

Inbyggda system (embedded systems): ett datasystem som har tagits fram för ett visst syfte och som är inbyggt i ett större mekaniskt eller elektroniskt system.

Industriellt styrsystem (ICS, Industrial control system): ett paket som omfattar IT-utrustning och programvaror och som används för att styra och/eller hantera industriella produktionsprocesser.

Informationsstöld: skadegörelse, som riktar sig mot datasystemet, där man kopierar eller olovligt får tillgång till exempelvis konfidentiella uppgifter, data eller personuppgifter.

Infrastruktur: datakommunikationsanordningar, ventilation, apparaturer med avbrottsfri kraftförsörjning (UPS), fristående generatorer, frekvensomformare, transformatorer och övriga apparaturer med vilka man upprätthåller datasystem och elektroniska system som stöder användning av data.

Internet: ett globalt öppet datanät, i vilket man kan förflytta data.

Internettjänst: tjänster som möjliggör användning av internet, såsom (1) tjänsteleverantörer som möjliggör anslutning till och användning av internet, leverantörer av internettjänster som ansvarar för IT-apparater och tekniska apparater, (2) tjänsteleverantörer i anknytning till domänsystem, (3) övriga leverantörer av internettjänster eller externa nättjänster och som ansvarar för internetknutpunkter och (4) operatörer av kabelnät, satellit- och radiokommunikationsnät.

Intranät: ett privat eller begränsat internt datanät.

IT-apparater: fysiska delar i datasystemet eller utrustningen som används för att spara, skicka, behandla, läsa, ändra på eller hantera data, inklusive elektroniska lagringsapparater.

Konfidentiella uppgifter: alla slags kommersiellt känsliga affärshemligheter i elektronisk form, vilka inte är offentligt tillgängliga, oberoende om de har markerats som konfidentiella eller inte.

Krig: med krig avses vilken som helst konflikt (oberoende av om krig har förklarats eller inte) som förs med vapen och/eller våld mellan två eller flera stater eller folk, inbördeskrig och krigsoperationer som liknar invasion, uppror, revolution eller militärkupp eller försvarsåtgärder i en sådan situation.

Leverantör av outsourcade tjänster: en tredje part som erbjuder tjänster enligt ett skriftligt avtal som denna ingått med försäkringstagaren eller den försäkrade, frånsett parter som erbjuder energi-, telekommunikations- och internettjänster. Som leverantör av outsourcade tjänster anses inte de underleverantörer som denne använder sig av.

Lösen: pengar, bitcoin eller en annan virtuell valuta, som en tredje part kräver som betalning vid cyberutpressning.

Lösenfras: består av minst fyra ord och är minst 15 tecken lång. De använda orden ska bilda en ovanlig eller kontextlös kombination.

Mänskligt fel: felaktig användning av IT till följd av att försäkringstagaren eller den försäkrade eller en anställd hos försäkringstagaren eller den försäkrade agerar oaktsamt eller ouppmärksamt (så som fel vid val av det program som används, inställningsfel eller oändamålsenlig verksamhet av engångskaraktär). Användningsfel av tillfällig karaktär gällande datateknik som leverantören av en outsourcad tjänst eller dennas arbetstagare förorsakar av oaktsamhet eller ouppmärksamhet vid användning av tjänsteleverantörens system. Med mänskligt fel avses dock inte fel i programmering och inte heller försummelse av skyldighet enligt säkerhetsföreskrifter.

Operativ teknik (OT, operation technology): ett paket som består av IT-utrustning och programvaror och som används för att hantera mekaniska utrustnings-, produktions- och hustekniska processer. Operativ teknik omfattar till exempel industriella styrsystem (ICS) och datoriserade styrsystem (SCADA).

Outsourcat datasystem: datasystem som övervakas och kontrolleras av en leverantör av outsourcade tjänster och som ägs av försäkringstagaren, den försäkrade eller den outsourcade tjänsteleverantören, för vilka försäkringstagaren, den försäkrade eller leverantören av outsourcade tjänster har skaffat licenser eller vilka försäkringstagaren, den försäkrade eller leverantören av outsourcade tjänster har hyrt.

PCI-DSS: Datasäkerhetsstandarden Payment Card Industry Data Security Standards som gäller betalningskort.

Personer i ledande ställning: försäkringstagarens och den försäkrades tidigare, nuvarande eller kommande styrelsemedlemmar, direktörer, medlemmar i den operativa ledningen och andra personalmedlemmar med mycket ansvar och hög beslutandemakt och rätt att agera på försäkringstagarens och den försäkrades vägnar.

Personuppgifter: alla slags personuppgifter som definieras i dataskyddslagstiftningen och som kan användas ensamma eller tillsammans med andra uppgifter för att identifiera en enskild person (som efternamn, personbeteckning, patientuppgifter, körkortsnummer, skatteregistreringsnummer, numret på ett kredit- eller debit-kort, adress, telefonnummer eller koder till ett personligt användarkonto).

Primärtjänst: en tjänst som är avsedd för att reda ut och avlägsna orsaken till försäkringsfallet och för att undvika och minska på följdskador.

Programvara: en digital uppsättning instruktioner eller kommandon som består av applikationer, skript eller program och som används för styrning av datasystem och utförande av uppgifter.

Programmering: utveckling, modifiering, borttagning eller kompilering av programvarans källkod till ett annat programmeringsspråk.

Självrisk: den andel som dras av från skadebeloppet vid beräkning av ersättningsbeloppet och som anges i försäkringsbrevet eller som separat fastställs i försäkringsvillkoren.

Skadegörelse: en olaglig gärning som har som syfte att orsaka skada på data, datasystem eller datanät eller att använda dem olagligt via ett datasystem eller datanät.

Skadeprogram: ett program eller en kod (som virus, spionprogram, internetmaskar, trojaner, rootkitprogram eller utpressningsprogram) som inte hör till ett system och som stör dess funktion och som har som avsikt att få ett olovligt tillträde till datasystem och/eller orsaka störningar i dem.

Säkerhetskopia: en kopia av försäkringstagarens eller den försäkrade data, med vilken information som lagrats i datasystemen kan återställas i den form data var innan ett försäkringsfall som ersatts från denna försäkring inträffade.

Säkert lösenord: en teckensträng som visar behörighet för ett datasystem, består av minst 8 tecken och, om datasystemet möjliggör, innehåller tre av följande tecken: en stor bokstav, en liten bokstav, ett specialtecken, en siffra. Ett säkert lösenord får inte innehålla upprepade eller logiskt följande kombinationer, såsom ”1111”, ”1234” eller ”abcd”. Också lösenfraser betraktas som säkra lösenord.

Tillsynsmyndighet: en myndighet, statlig organisation eller vilken som helst lagstadgat organ inom jurisdiktionsområdet som enligt dataskyddslagstiftningen är behörig att verkställa lagstadgade förpliktelser som gäller övervakning eller handläggning av personuppgifter.

Tjänster: tjänster i anknytning till hantering, underhåll, skyddande eller sparande av försäkringstagarens eller den försäkrades IT-apparater, infrastruktur, elektroniska data eller program (som LaaS, PaaS, Saas). Med detta avses dock inte parter som tillhandahåller telekommunikations- och internettjänster.

Tredje part: någon annan person eller juridisk person än försäkringstagaren eller den försäkrade eller en styrelsemedlem, direktör eller anställd hos försäkringstagaren eller den försäkrade.

Underförsäkring: om det nyckeltal (t.ex. lönesumman, personantalet, omsättningen eller faktureringen) som utgör grunden för försäkringspremien och bedömningen av riskens omfattning har meddelats Fennia till ett mindre belopp än det faktiska beloppet, är det fråga om underförsäkring. Försäkringen ersätter då, efter att självrisken dragits av, endast en så stor del av skadebeloppet som motsvarar proportionen mellan det nyckeltal som anmälts till Fennia och dess verkliga värde.

Uppdatering av programvara: ett ändringspaket som en laglig distributör eller utvecklare av programvara eller fast programvara har lanserat och vars syfte är att uppdatera, korrigera eller förbättra programvaran eller de data som stöder programvaran, till exempel när det gäller funktion, användbarhet, prestanda eller datasäkerhet.

Virtuella valutor: alla digitala och virtuella valutor som Bitcoin, Ethereum och motsvarande samt NFT-tillgångar (non-fungible token).

Överbelastningsattack: en illvillig attack som leder till ett totalt eller delvist avbrott i datasystem eller nätfunktioner, störning och/eller förhindrad användning genom att överbelasta datasystem med ett stort antal anrop, inklusive distribuerade överbelastningsattacker.

2 Försäkringsfall, försäkringens giltighetsområde och serieskada

2.1 Skada som ersätts

Försäkringens innehåll och skydd som tillämpas har antecknats i försäkringsbrevet.

Försäkringen omfattar skador och kostnader som avses i punkterna 3–4 enligt vad som anges i försäkringsbrevet. Förutsättningen för ersättning är att skadorna och kostnaderna är en direkt följd av ett försäkringsfall som definieras närmare i varje punkt och som sker i försäkringstagarens eller den försäkrades datasystem eller som har riktats mot det.

Eventuella försäkringsfall som orsakas av tjänster som leverantör av outsourcade tjänster erbjuder omfattas av försäkringen som om de skulle ha orsakats av försäkringstagarens eller den försäkrades egna datasystem, om de inte har avgränsats från försäkringens ersättningsområde.

Försäkringen ersätter skador enligt punkt 3 som har drabbat den försäkringstagaren eller den försäkrade och som

• konstateras under försäkringsperioden och
• är en följd av en handling, försummelse eller en annan omständighet som inträffat efter det datum (retroaktivt datum) som separat anges i försäkringsbrevet. Om ett retroaktivt datum inte anges i försäkringsbrevet, är det försäkringens begynnelsedatum.

Försäkringen ersätter skador enligt punkt 4 som har drabbat en annan och

• för vilka den tredje parten har lämnat ett ersättningskrav för skadan till försäkringstagaren eller den försäkrade under försäkringsperioden och
• som är en följd av en handling, försummelse eller en annan omständighet som inträffat efter det datum (retroaktivt datum) som separat anges i försäkringsbrevet. Om ett retroaktivt datum inte anges i försäkringsbrevet, är det försäkringens begynnelsedatum.

Försäkringens begynnelsedatum för varje försäkrad är den dag då försäkringen trädde i kraft till dennes förmån.

Försäkringen ersätter skador som vållats en annan också i sådana fall, där försäkringstagaren eller den försäkrade under försäkringsperioden får veta om en omständighet som senare leder till ett ersättningskrav från en tredje part och lämnar ett skriftligt meddelande till Fennia om omständigheten under försäkringsperioden eller inom 30 dagar från det att försäkringsperioden har upphört. Då anses skadan ha vållats under den försäkringsperiod inom vilken meddelandet om omständigheten lämnades.

2.2 Giltighetsområde

Försäkringens giltighetsområde anges i försäkringsbrevet.

Försäkringen täcker skador som drabbat försäkringstagaren eller den försäkrade själv, om skadan har inträffat inom försäkringens giltighetsområde.

Vid skador som har drabbat någon annan (ansvarsskador) täcker försäkringen skador vars krav omfattas av behörigheten hos en domstol eller ett skiljeförfarande inom giltighetsområdet.

Oavsett vilket giltighetsområde som anges för försäkringen i försäkringsbrevet eller vad som anges ovan,

• gäller försäkringen inte i länder utanför Finland och inga ersättningar betalas ut till den del lagstiftningen i landet i fråga kräver lokal försäkring hos ett lokalt försäkringsbolag
• gäller försäkringen inte och inga ersättningar betalas ut om beviljande av försäkringsskyddet eller utbetalning av ersättningar strider mot Förenta nationernas resolution, eller mot handelssanktioner, ekonomiska sanktioner, förbud eller begränsningar enligt Europeiska unionens, Förenade kungariket eller Förenta staternas lagar och bestämmelser.

2.3 Serieskada

Skador orsakade av samma handling, försummelse eller omständighet betraktas som ett och samma försäkringsfall oberoende av om ersättningskravet framställts och skadan konstaterats under en eller flera försäkringsperioder. Om ett ersättningsanspråk framställs om sådana skador under olika försäkringsperioder, anses de hänföra sig till den försäkringsperiod under vilken man framställt ett skriftligt ersättningsanspråk om den första skadan.

3 Skador som drabbat den försäkrade

3.1 Hantering av kränkning av datasäkerheten

Försäkringen ersätter till följd av en avvikelse i datasäkerheten skäliga och nödvändiga extra kostnader för följande

a) att anlita en expert för utredning, verifiering, orsaksanalys och omedelbar begränsning av skada vid en faktisk eller välgrundad misstanke om en avvikelse i datasäkerheten. Sådan begränsning kan bland annat vara att man tar bort skadeprogram eller stänger användarkonton.

b) en skriftlig rekommendation som en expert har utarbetat för försäkringstagaren eller den försäkrade och som tar ställning till metoderna för att försöka förebygga en liknande avvikelse i datasäkerheten i framtiden

c) att följa dataskyddslagstiftningen- eller bestämmelserna eller utföra åtgärder som förutsätts i bestämmelserna (som anmälningar till myndigheter eller enskilda personer)

d) att upprätthålla ett krishanteringscenter för hantering av interna eller externa informationssäkerhetsincidenter i 30 dagar från det att försäkringstagaren eller den försäkrade fått kännedom om avvikelsen i datasäkerheten

e) att förhindra missbruk av kredituppgifter om personuppgifternas ägare och att köpa tjänster för uppföljning av identitetsstölder av en extern expert. Förutsättningen för att använda skyddet är att Fennia har godkänt kostnaderna skriftligen på förhand.

f) från försäkringen ersätts skäliga och nödvändiga kostnader för anlitande av en expert som Fennia på förhand skriftligen har godkänt för att minska skadlig ryktespåverkan som sannolikt uppstår till följd av avvikelsen i datasäkerheten. Kostnader ersätts i högst två månader från att avvikelsen i datasäkerheten upptäcktes.

g) att anlita en jurist när det är fråga om att svara på en utredningsbegäran som en myndighet har lämnat till försäkringstagaren eller den försäkrade eller för att försvara sig mot en åtgärd som en myndighet riktar mot försäkringstagaren eller den försäkrade.

Om försäkringstagaren eller den försäkrades egen personal utför åtgärder enligt punkterna c), d), e) eller g), ersätts endast kostnaderna för övertid.

3.2 Återställning av data och program

Försäkringen ersätter alla skäliga kostnader som uppstår till följd av återställning och rengöring av data och program och datasystem till samma läge som direkt före avvikelsen i datasäkerheten. Försäkringen ersätter dock inte kostnader för att utveckla ett ersättande eller befintligt datasystem eller för att på nytt skapa data, om datasystemet eller data inte kan återställas i funktionsdugligt skick till följd av avvikelsen i datasäkerheten.

Försäkringen ersätter alternativt nödvändiga och skäliga kostnader för byte av försäkringstagarens eller den försäkrades IT-utrustning, om en expert har konstaterat att kostnaderna för att skaffa ersättande IT-utrustning som motsvarar den tidigare nivån blir lägre än kostnaderna för att rengöra och återställa befintlig IT-utrustning i ett funktionsdugligt skick till följd av avvikelsen i datasäkerheten. Denna utvidgning gäller dock inte IT-utrustning som har koppling till en operativ teknik (OT) eller inbyggda system (embedded systems).

3.3 Avbrott i affärsverksamheten

Försäkringen ersätter förlust av avbrottsförsäkringsbidraget som en direkt följd av en avvikelse i datasäkerheten under avbrottstiden, när försäkringstagarens eller den försäkrades användning av datasystem helt eller delvis har avbrutits eller när användningen av data helt eller delvis har hindrats.

Ett avbrottsförsäkringsbidrag är rörelseintäkter, som fås när material- och tjänstekostnader dras av från omsättningen. Försäkringsvärdet på avbrottsförsäkringsbidraget är beloppet för det avbrottsförsäkringsbidrag som försäkringstagaren eller den försäkrade skulle ha fått under avbrottstiden om den försäkrade affärsverksamheten hade fortsatt normalt utan avbrott.

Avbrottstiden är den tidsperiod som följer på den självrisktid som anges i försäkringsbrevet från att försäkringstagarens eller den försäkrades datasystem helt eller delvis inte är tillgängliga fram till att försäkringstagarens eller den försäkrades datasystem igen är tillgängliga.

Som skadebelopp beräknas högst en så stor del av försäkringsvärdet för avbrottsförsäkringsbidraget som minskningen av omsättningen till följd av avvikelsen i datasäkerheten under avbrottstiden är av den omsättning som skulle ha uppnåtts under avbrottstiden utan avvikelsen i datasäkerheten. Ersättning betalas ut för högst en period på tre månader om annat inte anges i försäkringsbrevet.

Vid beräkning av beloppet för omsättningen och bidragsandelen används realiserade värden från föregående räkenskapsperioder som grund med beaktande av konstaterad utveckling av affärsverksamheten.

Dessutom ersätter försäkringen extra kostnader för åtgärder som skriftligen har avtalats med Fennia och med vilka man minskar på eller helt och hållet hindrar förlusten av avbrottsförsäkringsbidraget till följd av avvikelsen i datasäkerheten.

Extra kostnader är kostnader som inte skulle ha uppstått om affärsverksamheten hade fortsatt normalt utan avbrott till följd av avvikelsen i datasäkerheten. Sådana kostnader kan uppstå t.ex. till följd av tillfälliga installeringar, extra anskaffningar från underleverantörer eller övertid.

3.4 Cyberutpressning

Försäkringen ersätter skäliga och nödvändiga kostnader för att reda ut ett cyberutpressningsfall. Dessutom ersätter försäkringen lösen som försäkringstagaren eller den försäkrade eventuellt har betalt, om den nationella lagstiftningen tillåter betalning av lösen och om en extern expert på utpressningsbrott i sitt utlåtande har rekommenderat betalning av lösen. Ersättningen för lösen betalas alltid till försäkringstagaren eller den försäkrade.

Förutsättningen för att ersättning betalas ut är att försäkringstagaren eller den försäkrade inte har avslöjat det skydd som avses i denna punkt till en tredje part eller arbetstagare och att försäkringstagaren eller den försäkrade på begäran av Fennia har anmält cyberutpressningen till myndigheterna. Om försäkringstagaren eller den försäkrade har brutit mot villkoret ovan, kan Fennia säga upp försäkringen enligt denna punkt att upphöra direkt från det datum då uppgiften avslöjades.

3.5 Cyberbrottsskydd

Försäkringen ersätter ett penningbelopp som olagligt har stulits av försäkringstagaren eller den försäkrade och som försäkringstagaren eller den försäkrade inte kan få tillbaka när stölden är en direkt följd av att en tredje part olagligt har gjort en elektronisk girering från försäkringstagarens eller den försäkrades bankkonto eller ändrat på data i försäkringstagarens eller den försäkrades datasystem. Med stöd av detta skydd ersätts dock inte stöld av presentkort, kundgottgörelse och bonuspoäng och inte heller stöld av virtuella valutor.

3.6 Datasäkerhetsstandard för betalningskort (PCI-DSS)

Försäkringen ersätter skäliga och nödvändiga kostnader till följd av

• anlitande av en expert för att undersöka en misstänkt kränkning av PCI-DSS
• en återcertifiering av PCI-DSS
• förnyande av kredit-, bank- eller prepaidkort på grund av en kränkning av PCI-DSS

om dessa kostnader är en direkt följd av en avvikelse i datasäkerheten.

4 Skador som har drabbat en annan

4.1 Förbrytelse mot integritetsskydd och sekretessplikt – ersättningsskyldighet

Försäkringen ersätter ekonomisk och immateriell skada enligt EU:s dataskyddsförordning, som försäkringstagaren eller den försäkrade enligt gällande rätt är ersättningsskyldig för och som grundas på ett ersättningskrav till följd av att konfidentiella uppgifter och/eller personuppgifter som försäkringstagaren eller den försäkrade innehar har skadats, förlorats, olovligt behandlats, överförts eller avslöjats till följd av en avvikelse i datasäkerheten eller brott mot dataskyddslagstiftningen.

Med stöd av denna punkt ersätts också försäkringstagarens eller den försäkrades kostnader för att försvara sig mot sådana krav.

4.2 Om datasäkerheten brister – ersättningsskyldighet

Försäkringen ersätter ekonomiska skador som försäkringstagaren eller den försäkrade enligt gällande lagstiftning är ersättningsskyldig för och som grundar sig på att en tredje part lägger fram ett ersättningskrav, som gäller skador på, förlust, avslöjande eller stöld av konfidentiella uppgifter i dennas datasystem eller ett ersättningskrav som gäller störning eller verksamhet av denna datasystem och som direkt beror på avvikelse i datasäkerheten mot försäkringstagarens eller den försäkrades datasystem.

Med stöd av denna punkt ersätts också försäkringstagarens eller den försäkrades kostnader för att försvara sig mot sådana krav.

4.3 Digital media – ersättningsskyldighet

Försäkringen ersätter ekonomisk skada och sådan ideell skada som avses i EU:s dataskyddsförordning och som försäkringstagaren eller den försäkrade enligt gällande rätt är ersättningsskyldig för och som grundar sig på att en tredje part lägger fram ett ersättningskrav som gäller

• ärekränkning
• kränkning av upphovsrätt, äganderätt, slogan, varumärke, firmanamn, utseende, servicevarumärke, servicenamn eller webbadress
• kränkning av eller ingripande i integritetsrättigheter

på grund av försäkringstagarens eller den försäkrades verksamhet i digital media. Utifrån detta skydd ersätts också försäkringstagarens eller den försäkrades kostnader för att försvara sig mot krav som lagts fram.

4.4 Arbetstagarens personliga ersättningsskyldighet

Med stöd av punkterna 4.1–4.3 ersätts också en arbetstagares personliga ansvar i sådana fall där en tredje parts ersättningskrav riktas mot arbetstagaren till följd av en handling i dennas arbete. Försäkringen ersätter dock inte en arbetstagares personliga ansvar om skadan vållats uppsåtligen eller av grov oaktsamhet.

5 Ersättningsbegränsningar

Försäkringen ersätter inte följande:

5.1

Skada till följd av funktionsstörningar eller avbrott i en tredje parts infrastruktur eller en tjänst som de levererar (t.ex. leverantörer av telekommunikations-, internet-, satellit- och kabeltjänster samt leverantörer av el, gas, vatten och andra allmännyttiga tjänster).

5.2

Skada till följd av strejk, upplopp eller en annan händelse som rubbar samhällsordningen.

5.3

Skada till följd av krig eller cyberkrigföring.

5.4

Skada till följd av att farliga ämnen, vilka som helst orenheter eller förorenande ämnen släpps, sprids, filtreras, hamnar, frigörs eller läcker ut eller en annan motsvarande händelse.

5.5

Skada till följd av att försäkringstagarens eller den försäkrades datasystem, datorer, program eller data beslagtas, förklaras förverkade (konfiskering), tvångsinlöses, förstörs eller skadas till följd av förordnande av en statlig, civil eller militär myndighet.

5.6

Skada till följd av användning av ett olagligt program eller ett program som används utan lämplig licens.

5.7

Skada till följd av dimensioneringsfel i försäkringstagarens eller den försäkrades datasystem eller brister i datahanteringens prestanda, som gör att systemet inte fungerar för det ändamål som avsetts.

5.8

Skada till följd av illvilligt, grovt oaktsamt eller avsiktligt beteende, missbruk eller bedrägeri från försäkringstagaren, den försäkrade, personer i ledande ställning hos dessa eller från en leverantör av outsourcade tjänster.

Ovannämnda ersättningsbegränsning för skador som en leverantör av outsourcade tjänster har orsakat uppsåtligen eller genom grov oaktsamhet tillämpas endast på försäkringar som har börjat gälla på Fennia efter den 31 december 2023.

5.9

Egendomsskada eller skada till följd av egendomsskada. Med egendomsskada avses fysisk skada på materiell egendom, förlust eller undergång av materiell egendom, inklusive förhindrad användning av materiell egendom.

5.10

Skada till följd av att försäkringstagaren eller den försäkrade har försummat en föreskrift eller anvisning att vidta skäliga åtgärder för att begränsa en skada eller att försäkringstagaren inte i tillräcklig grad har samarbetat med myndigheterna under utredningen som gäller försäkringsfallet eller diskussioner om fallet.

5.11

Böter, dataskyddsböter, avgifter av straffkaraktär eller vilket som helst annat straff och inte heller skada till följd av att man bryter mot myndighetsföreskrifter, till exempel försummelse att göra anmälningar enligt dataskyddslagarna.

5.12

Finansmarknads- eller handelsförluster eller kostnader som uppstår av att värdepapper inte kan säljas eller överlåtas.

5.13

Skada till följd av ett planerat driftstopp i datasystemen eller delar av dem, ett planerat driftavbrott eller spilltid.

5.14

Skada till följd av att försäkringstagarens eller den försäkrades eller den outsourcade tjänsteleverantörens hyrestid, avtal, licens eller beställning avbryts, sägs upp eller löper ut.

5.15

Personskada. Med personskada avses sjukdom, kroppsskada, dödsfall och därtill hörande men, psykisk ångest, trauma eller harm. Som en personskada betraktas även förvärring av en befintlig sjukdom eller skada och följdskada efter en personskada, till exempel inkomstbortfall.

Utifrån villkorspunkt 4.1 ersätter dock försäkringen sådan ideell skada som avses i EU:s dataskyddsförordning, som inte har samband med en personskada och som försäkringstagaren eller den försäkrade enligt gällande rätt är ersättningsskyldig för.

5.16

Skada till följd av stöld, kränkning eller avslöjande av immateriella rättigheter som patent, varumärken eller upphovsrätt. Denna begränsning gäller inte försäkringsskyddets punkt 4.1 Förbrytelse mot integritetsskydd och sekretessplikt – ersättningsskyldighet och punkt 4.3 Digital media – ersättningsskyldighet, förutom i fråga om patent, där krav aldrig ersätts.

5.17

Skada som grundar sig på ett ersättningskrav som ställts av

• en juridisk person som omfattas av försäkringstagarens eller den försäkrades bestämmanderätt
• försäkringstagarens eller den försäkrades dotterbolag
• en juridisk person som omfattas av försäkringstagarens eller den försäkrades eller dess dotterbolags egentliga bestämmanderätt på basis av rösträtt eller i övrigt
• en person som har majoritetsinnehav i försäkringstagaren eller den försäkrade
• en organisation där försäkringstagaren eller den försäkrade har delägarskap, oberoende av storleken på delägarskapen
• en organisation, sammanslutning eller ett joint venture där försäkringstagaren eller den försäkrade är delägare
• ett bolag eller en organisation, som har bestämmanderätt över försäkringstagaren eller den försäkrade

5.18

Skada till den del ersättningsskyldigheten grundar sig på en sådan avtalsbestämmelse genom vilken försäkringstagaren eller den försäkrade har åtagit sig mer ansvar än han eller hon skulle ha enligt gällande rätt i samma avtalsförhållande utan en sådan avtalsbestämmelse.

5.19

Skada till följd av en felaktig, bristfällig eller ofullständig beskrivning av varor, produkter eller tjänster eller priset på dem.

5.20

Rabatter, servicenivåkompensationer, tilläggsförmåner, prissänkningar, kuponger, priser, förmåner eller andra incitament, säljfrämjande produkter eller lockelser som grundar eller inte grundar sig på avtal.

5.21

Skada till följd av att data på en webbplats eller en nättjänst inte raderas efter att försäkringstagaren eller den försäkrade har fått ett klagomål eller en begäran av en tredje part.

5.22

Skada till följd av ett försäkringsfall eller omständigheter som försäkringstagaren eller den försäkrade har varit eller borde ha varit medveten om före försäkringens begynnelsedatum.

5.23

Skada till följd av sådan verksamhet eller sådan väsentlig förändring i risken som inte har meddelats Fennia och som Fennia inte har godkänt.

5.24

Kostnader till följd av reparation av brister i datasäkerheten eller förbättring av skyddsnivån eller kvalitet av data från den nivå som gällde före försäkringsfallet.

5.25

Avbrottsskada när försäkringstagaren eller den försäkrade inte fört bok över den försäkrade affärsverksamheten enligt bokföringslagen.

5.26

Skada, som beror på ett uttalande eller information som hänför sig till bolaget, som givits av försäkringstagaren eller den försäkrade eller person i ledande ställning i det försäkrade bolaget eller på att sådan person agerat som representant för bolaget eller vidtagit annan åtgärd som hänför sig till bolaget.

5.27

Skada eller krav som till någon del bygger på förlust av eller skador på virtuella valutor.

6 Anmälan om försäkringsfall och räddningsplikt

Försäkringstagaren och den försäkrade ska

• omedelbart underrätta leverantören av primärtjänsten som Fennia utsett om ett konstaterat eller misstänkt försäkringsfall som sannolikt leder till ersättning med stöd av detta försäkringsavtal
• ge tillträde till leverantören av primärtjänsten som Fennia utsett eller en annan expert till försäkringstagarens eller den försäkrades datasystem och datanät för att begränsa och undersöka skadan.

Försäkringstagaren och den försäkrade är skyldiga att följa de anvisningar som ges av primärtjänsten för att begränsa eller avvärja skadan.

Försäkringstagaren och den försäkrade är skyldiga att se till att Fennias regressrätt bevaras. Om försäkringstagaren eller den försäkrade uppsåtligen eller av oaktsamhet, som inte kan anses vara ringa, försummat sin räddningsplikt som beskrivs i detta villkor, kan ersättningen sänkas eller förvägras.

Leverantörer av primärtjänsten som Fennia utsett och/eller leverantörer av datasäkerhetstjänster har rätt att överlåta till Fennia uppgifter som de samlat i samband med att de erbjudit tjänster och som behövs för att reda ut och ersätta skadan. På tjänsteleverantörers tjänster tillämpas tjänsteleverantörers egna avtalsvillkor som gäller vid respektive tidpunkt.

Försäkringstagaren eller den försäkrade kan alternativt använda en annan leverantör av primärtjänsten än den som Fennia utsett för att utreda försäkringsfallet, förutsatt att leverantören åtminstone motsvarar nivån hos den leverantör av primärtjänsten som Fennia utsett. I detta fall gäller samma skyldigheter för försäkringstagaren eller den försäkrade som när man använder en av Fennia utsedd tjänsteleverantör. Försäkringstagaren eller den försäkrade ska dock dessutom utan dröjsmål anmäla försäkringsfallet till den av Fennia utsedda leverantören av primärtjänsten och se till att en redogörelse för händelsen, såsom beskrivs i punkt 10.1, lämnas till Fennia.

7 Skadebelopp

Skadebeloppet beräknas i enlighet med punkterna 3.1– 4.4. Kostnaderna räknas in i skadebeloppet högst till det belopp som de skulle ha varit om man hade använt tjänsteleverantörer som Fennia utsett. Skadebeloppet omfattar utöver skadestånd även kostnader för utredning, rättegång, ränta och skadeskydd.

8 Ersättningsbelopp

Ersättningsbeloppet fås genom att från skadebeloppet enligt punkt 7 dra av självrisken och sedan beakta bestämmelserna i punkt 10, eventuell underförsäkring och göra avdrag från ersättningen på grund av eventuell försummelse att följa säkerhetsföreskrifterna och de allmänna avtalsvillkoren i angiven ordning. Om den försäkrade eller den skadelidande har rätt att dra av skatten eller inte är skyldig att betala skatten enligt mervärdesskattelagen, betalar Fennia ersättningen med avdrag för skatten.

Den högsta gränsen för Fennias ersättningsskyldighet är det försäkringsbelopp som anges i försäkringsbrevet.

8.1 Självrisk

För varje skadefall dras självrisken som anges i försäkringsbrevet av. Fennia ersätter dock kostnader som uppstår till följd av de åtgärder som anges i punkt 3.1 i försäkringsvillkoren utan självrisk upp till 1 200 euro när en av Fennia utsedd leverantör av primärtjänsten anlitas.

Om ersättning betalas ut med stöd av fler än ett skydd, görs avdrag för den största självrisken. Självrisktiden i avbrottsskyddet tillämpas alltid utöver en annan självrisk när ersättning betalas ut med stöd av avbrottsskyddet.

9 Fennias högsta ersättningsansvar i cyberförsäkring

Vid skador som orsakas av samma avvikelse i datasäkerheten eller ett annat försäkringsfall eller förhållande som omfattas av denna försäkring och som hänför sig till samma kalenderår, är Fennias högsta ersättningsansvar 25 000 000 euro för alla cyberförsäkringar som Fennia beviljat sina kunder, oavsett det försäkringsbelopp som anges i försäkringsbrevet.

Om det sammanlagda skadebeloppet för en skada som omfattas av cyberförsäkringen för Fennias kunder överstiger 25 000 000 euro, har försäkringstagaren, den försäkrade eller annan ersättningstagare rätt att få ersättning från cyberförsäkringen högst enligt försäkringsbeloppet eller skadebeloppet (beroende på vilket som är lägre) och en andel av Fennias högsta ersättningsansvar som motsvarar förhållandet till den sammanlagda summan av ersättningskrav som framställts till Fennia. Dessutom följs bestämmelserna i punkt 8 i försäkringsvillkoret.

Fennia har rätt att fördröja utbetalningen av ersättningen för att fastställa sitt totalansvar.

10 Övriga bestämmelser

10.1 Uppgifter och åtgärder som behövs för utredning av skada

Försäkringstagaren eller den försäkrade ska på egen bekostnad

• lämna in de dokument och övriga uppgifter som Fennia begärt och som behövs för utredning av en skada
• vidta alla behövliga och skäliga åtgärder för att begränsa försäkringsfallet
• låta göra alla skäliga åtgärder för att reda ut försäkringsfallets orsak och omfattning
• spara alla IT-apparater, program och data och ge dem till Fennia och/eller leverantören av primärtjänsten som Fennia utsett
• följa alla anvisningar av Fennia och/eller leverantören av primärtjänsten som Fennia utsett.

Försäkringstagaren eller den försäkrade ska på Fennias begäran

• avstå från advokatsekretessen
• försvara sådana lagliga rättigheter som försäkringstagaren, den försäkrade eller Fennia kan ha beträffande en sådan part som kan vara ersättningsskyldig gentemot försäkringstagaren eller den försäkrade på grund av en avvikelse i datasäkerheten
• upprätta eller lämna in samtliga dokument som Fennia anser behövliga för att trygga rättigheterna enligt detta försäkringsavtal och för att reda ut skadefallet
• närvara vid förhör och rättegångar
• bistå med verkställande av uppgörelse i godo, tryggande och givande av bevis, säkerställande av närvaro av vittnen samt med försvarande eller åtalande vid rättegångar.

10.2 Ersättningskrav som framställs försäkringstagaren eller den försäkrade

Försäkringstagaren eller den försäkrade får inte utan samtycke av Fennia på förhand erkänna ansvar, betala, ingå avtal eller godkänna ersättningskrav som lagts fram till försäkringstagaren eller den försäkrade. Försäkringstagaren eller den försäkrade ska bistå Fennia med att undersöka ersättningskravet, försvara och/eller avtala, använda en advokat som Fennia utsett samt betala självrisken till vilken som helst tredje part som Fennia utsett för att följa en uppgörelse i godo.

Försäkringstagaren eller den försäkrade ska också ge Fennia rättigheter och befogenheter för att sköta förhandlingarna om en lösning med en tredje part eller en rättegång mot denna. Fennia har rätt att besluta om åtgärder och välja ombud i anknytning till rättegången. Om försäkringstagaren eller den försäkrade inte på förhand meddelar Fennia om rättegången, är Fennia inte skyldigt att ersätta kostnaderna för rättegången.

Om Fennia har meddelat försäkringstagaren eller den försäkrade att bolaget är redo att avtala med den skadelidande om ersättning av skadorna och försäkringstagaren eller den försäkrade inte samtycker till detta, är Fennia inte skyldigt att ersätta kostnader som uppstår efter det eller att göra vidare utredningar i ärendet.

10.3 Beställare av tjänster och produkter

Försäkringstagaren eller den försäkrade ska vara beställare av samtliga tjänster och produkter som gäller skadan och anges som betalare på räkningen.

11 Allmänna avtalsvillkor

Utöver de allmänna avtalsvillkoren i företagsskyddet tillämpas följande villkor:

11.1

Försäkrad verksamhet. Försäkringen ersätter skador som inträffat under försäkringsperioden i den fastställda verksamheten. Om den försäkrades verksamhet förändras under försäkringsperioden från det som fastställdes i början av försäkringsperioden, ska försäkringstagaren eller den försäkrade informera Fennia snarast möjligt. Nya verksamheter kan inkluderas i försäkringsskyddet om försäkringstagaren eller den försäkrade informerar Fennia skriftligen och Fennia godkänner tillägget.

11.2

Fusion och företagsköp. Försäkringstagaren eller den försäkrade ska skriftligen meddela Fennia om en fusion eller ett företagsköp inom 30 dagar från att försäkringstagaren eller den försäkrade har fusionerats med en annan juridisk person eller skaffat majoritetsinnehav i en annan juridisk person under försäkringsperioden. Försäkringstagaren eller den försäkrade ska betala Fennia en tilläggspremie som grundar sig på extra ansvar från datumet för fusionen eller företagsköpet fram till slutet av försäkringsperioden.

11.3

Övriga försäkringar. Om det i händelse av ett försäkringsfall finns en annan försäkring, anses detta försäkringsavtal vara en sekundär försäkring, och från detta försäkringsavtal ersätts inte skador eller kostnader för vilka man kan eller skulle kunna få ersättning från en annan försäkring eller vilka ingår i självrisken för en annan försäkring.

11.4

Om försäkringstagaren eller den försäkrade har anmält ett försäkringsfall, återbetalas premien inte till någon del.

11.5

Konfidentialitet. Försäkringstagaren eller den försäkrade får inte avslöja existensen av detta försäkringsavtal, förutom om lagstiftningen förutsätter det eller om det finns ett skriftligt tillstånd av Fennia.

11.6

Försäkringstagaren eller den försäkrade får inte utan ett skriftligt tillstånd av Fennia överföra lagliga rättigheter eller förmåner som gäller detta försäkringsavtal.

11.7

Ändringar. Försäkringstagaren eller den försäkrade ska skriftligt eller elektroniskt i skriftlig form meddela om önskade ändringar på försäkringsavtalet.

11.8

Lagar och föreskrifter. Om något av försäkringsvillkoren i detta försäkringsavtal strider mot den nationella lagstiftningen, den gällande rätten eller andra föreskrifter, följs den nationella lagstiftningen.

11.9

Sådana villkor i det här försäkringsavtalet som eventuellt inte kan tillämpas påverkar inte övriga försäkringsvillkor, och om det är praktiskt ersätts villkoret med ett annat villkor som kan tillämpas och som har samma eller liknande betydelse som villkoret i fråga som inte kan tillämpas.

11.10

Tredje partens rättigheter. En tredje part som inte är en avtalspart i detta försäkringsavtal har inte rätt att verkställa någon del i detta försäkringsavtal. Detta påverkar dock inte de rättigheter eller rättsmedel som den tredje parten annars har.

12 Säkerhetsföreskrifter

12.1 Skyldighet att följa säkerhetsföreskriften

Försäkringstagaren och den försäkrade ska följa denna säkerhetsföreskrift samt övriga säkerhetsföreskrifter som anges i försäkringsbrevet och försäkringsvillkor och se till att säkerhetsföreskrifterna följs inom samtlig verksamhet som påverkar den försäkrade egendomen eller verksamheten. Allt som i denna säkerhetsföreskrift ålagts som försäkringstagarens plikt tillämpas också på samtliga försäkrade. En försäkrad är den till vars förmån en skadeförsäkring gäller.

Försäkringstagaren och den försäkrade ska se till att alla personer som ansvarar för verksamheten får kännedom om säkerhetsföreskrifterna. Om försäkrad egendom har hyrts ut eller verksamhet har lagts ut på entreprenad, ska man se till att hyrestagarna och tjänsteleverantörerna får kännedom om säkerhetsföreskrifterna och skriftligen kräva att de följer säkerhetsföreskrifterna. Säkerhetsföreskrifterna ska också lämnas för kännedom till samtliga försäkrade.

Därtill ska andra förpliktande anvisningar som Fennia gett om förebyggande av skador följas och de åtgärder och system som Fennia separat krävt för förbättring av säkerheten genomföras. Om säkerhetsföreskrifterna inte följs och försummelsen att följa dem bidrar till att en skada uppstår eller till dess omfattning, kan ersättningen sänkas eller förvägras.

12.2 Säkerhetskopiering och skyddande av datasystem

Försäkringstagaren eller den försäkrade ska fastställa säkerhetskopiering av filer och program. Säkerhetskopiering av data, filer och program som är av betydelse för affärsverksamhetens kontinuitet ska dock göras åtminstone enligt följande

• data som förändrats i filer ska säkerhetskopieras varje dag
• en fullständig säkerhetskopiering som säkerställer alla data ska göras minst en gång i veckan
• program som kan säkerhetskopieras ska säkerhetskopieras innan de installeras i ett datasystem och alltid i samband med förändringar
• säkerhetskopior, originalprodukter och koder som berättigar till installation ska förvaras på ett sådant sätt att de inte kan förstöras vid samma skada som filer och program som installerats i datasystemet
• att säkerhetskopieringen lyckas och att säkerhetskopiorna kan återställas till en fungerande helhet med anordningarna och programmen ska regelbundet testas, dock åtminstone två gånger om året.

Som ett tryggt förvaringssätt betraktas förvaring i en annan brandsektion i ett dataskyddsskåp som är åtminstone av klass S 120 DIS eller i en helt annan byggnad eller molntjänst. Utöver originalprodukter och koder som berättigar till installation ska det i säkerhetsarkivet finnas åtminstone de två senaste fullständiga säkerhetskopiorna av filer och de två senaste säkerhetskopiorna av programändringar.

Hela datasystemet ska hållas så uppdaterat, komplett, kompatibelt och säkerställt att säkerhetskopior av program och filer kan återställas efter en sakskada i reparerade eller återanskaffade anordningar och att hela datasystemet kan återställas med en rimlig arbetsinsats till den nivå som föregick skadetidpunkten.

Tillgängliga programuppdateringar ska installeras på ett dokumenterat sätt utan obefogat dröjsmål, men senast inom följande tidsramar räknat från den dag som en programuppdatering har lanserats

• datasystem som är anslutna till internet: 30 dagar
• inbyggda system (embedded systems) och operativ teknik (OT): 180dagar eller inom den tidsram som program-/utrustningstillverkaren har rekommenderat
• övriga datasystem: 60 dagar.

Försäkringstagarens eller den försäkrades datasystem ska ha ett tillräckligt program på proffsnivå för bekämpning och avlägsnande av skadeprogram, och de ska vara permanent aktiverade och de ska uppdateras automatiskt. Det är viktigt att regelbundet kontrollera att programvarans skyddsnivå är tillräcklig och ändamålsenlig samt då hotnivån kräver det.

Datasystemen ska skyddas med ett säkert lösenord. När det gäller användningen av lösenord ska anvisningar ges om att lösenordet inte får innehålla ord eller kombinationer som kan kopplas till försäkringstagarens eller den försäkrades arbetstagare eller andra användares identitet i datasystemen, såsom namn eller födelsedatum. Även lösenordsfraser betraktas som säkra lösenord, och får inte heller innehålla ord eller hänvisningar som är personligt betydelsefulla för användaren (t.ex. födelsedagar, familjemedlemmars namn eller arbetsgivarens namn).

Försäkringstagarens eller den försäkrades datasystem och datanät ska vara skyddade med en permanent aktiverad brandvägg. Brandväggarna ska uppdateras regelbundet och det ska dessutom säkerställas regelbundet att deras skyddsnivå är tillräcklig och ändamålsenlig samt då hotnivån kräver det.

Om tjänster som hänger samman med databehandling har lagts ut på entreprenad, ska försäkringstagaren eller den försäkrade skriftligen kräva och om möjligt säkerställa i praktiken att alla leverantörer av tjänsten uppfyller åtminstone de ovannämnda kraven.

12.3 Datasystem som nått slutet av sin livscykel

Om försäkringstagaren eller den försäkrade inte kan genomföra de säkerhetskopierings- och skyddsåtgärder som avses i punkt 12.2 på grund av att tillverkarens produktsupport inte längre finns tillgänglig för de använda datasystemen eller om datasystemet på grund av sin ålder inte möjliggör fullgörandet av de skyldigheter som fastställts i skyddsanvisningarna, ska försäkringstagaren eller den försäkrade alternativt se till att det finns tillräckliga och nödvändiga åtgärder som minskar cyberrisker för att trygga kontinuiteten i verksamheten.

Med åtgärder som minskar cyberrisker avses en helhet som består av strategisk planering, datatekniska åtgärder och kontinuerlig övervakning av informationssäkerhetsincidenter. Till dessa åtgärder hör till exempel isolering/segmentering av datanät, virtuell patchning, utökad produktsupport för datasystemet från tillverkaren eller förhöjda övervakningsåtgärder för datasystemet, såsom övervakning med hjälp av ett kontrollrum.