YT180 Tietoturvavakuutus

Vakuutusehto YT180

Tietoturvavakuutus

Tietoturvavakuutusehdot määrittelevät vakuutussopimuksen sisällön yhdessä Yritysturvan yleisten sopimusehtojen, vakuutuskirjan ja vakuutuskirjaan merkittyjen erityisehtojen ja suojeluohjeiden kanssa. Vakuutusta tehtäessä on voitu sopia vakuutusturvaa laajentavista tai supistavista erityisehdoista. Nämä on merkitty vakuutuskirjaan.

1 Tietoturvavakuutukseen ja vahingon korvaamiseen liittyviä määritelmiä ja keskeisiä käsitteitä

Alivakuutus: jos riskin suuruuden arvioinnin ja vakuutusmaksun perusteena oleva tunnusluku (esimerkiksi palkkasumma, liikevaihto, henkilömäärä tai laskutus) on ilmoitettu Fennialle todellista pienempänä, on kyseessä alivakuutus. Tällöin vakuutuksesta korvataan vain niin suuri osa omavastuulla vähennetystä vahingon määrästä kuin Fennialle ilmoitetun tunnusluvun ja sen todellisen arvon välinen suhde osoittaa.

Asiantuntija: Fennian ja/tai tietoturvapoikkeamien ensivastepalveluiden toimittajan yhdessä tai erikseen nimittämä ulkoinen henkilö tai oikeushenkilö, kuten it-asiantuntija, forensiikka-asiantuntija, lakimies tai pr-konsultti.

Digitaalinen media: vakuutuksenottajan tai vakuutetun verkkosivustot, sosiaalisen median tai sähköpostin kautta jaettava teksti, kuvat, videot tai ääni.

Ensivastepalvelu: palvelu, jonka tarkoituksena on vakuutustapahtuman syyn selvittäminen ja poistaminen sekä seurannaisvahinkojen välttäminen tai pienentäminen.

Haittaohjelma: järjestelmään kuulumaton ja sen toimintaa haittaava ohjelmisto tai koodi (kuten virukset, vakoiluohjelmat, madot, troijalaiset, rootkit-ohjelmat tai kiristysohjelmat), jonka tarkoituksena on hankkia luvaton pääsy tietojärjestelmiin ja/tai häiritä niitä.

Henkilötiedot: kaikenlaiset tietosuojalainsäädännössä määritellyt henkilötiedot, joita voidaan käyttää yksinään tai yhdessä muiden tietojen kanssa yksittäisen henkilön tunnistamiseen (kuten sukunimi, henkilötunnus, potilastiedot, ajokortin numero, verotunnus, luotto- tai debit-kortin numero, osoite tai puhelinnumero taikka henkilökohtaisen käyttäjätilin tunnukset).

Infrastruktuuri: tietoliikennelaitteet, ilmastointi, keskeytymättömän virransyötön laitteistot (UPS), erilliset generaattorit, taajuudenmuuntimet, muuntajat ja muut välineet, joilla ylläpidetään tietojärjestelmiä ja tietojen käyttöä tukevia sähköisiä järjestelmiä.

Inhimillinen virhe: vakuutuksenottajan tai vakuutetun tai vakuutuksenottajan tai vakuutetun työntekijän huolimattomuudesta tai tarkkaamattomuudesta johtuva tietotekniikan käyttövirhe (kuten virhe käytettävän ohjelmiston valinnassa, asetusvirhe tai kertaluonteinen epätarkoituksenmukainen toiminto). Ulkoistetun palvelun toimittajan tai tämän työntekijän huolimattomuudesta tai tarkkaamattomuudesta johtuva kertaluonteinen tietotekniikan käyttövirhe, kun käytetään palveluntoimittajan järjestelmää. Inhimillisellä virheellä ei kuitenkaan tarkoiteta virhettä ohjelmoinnissa, eikä suojeluohjeessa asetetun velvoitteen laiminlyöntiä.

Internet: maailmanlaajuinen avoin tietoverkko, jossa voidaan siirtää tietoa.

Internet-palvelu: palvelut, jotka mahdollistavat internetin käytön, kuten (1) internet-yhteyden muodostamisen ja internetin käytön mahdollistavat palvelun toimittajat, IT-laitteista ja teknisistä laitteista vastaavat internet palveluiden tarjoajat; (2) verkkotunnusjärjestelmiin liittyvät palveluiden toimittajat; (3) muut internet- tai ulkoisten verkkopalveluiden tarjoajat, jotka vastaavat internetin yhdysliikenteestä ja (4) kaapeliverkkojen, satelliitti- ja radioviestintäverkkojen operaattorit.

Intranet: yksityinen tai rajoitettu sisäinen tietoverkko.

IT-laitteet: tietojärjestelmän tai laitteiston fyysiset osat, joita käytetään tietojen tallentamiseen, lähettämiseen, käsittelyyn, lukemiseen, muuttamiseen tai hallintaan, mukaan lukien sähköiset tallennusvälineet.

Johtavassa asemassa olevat henkilöt: vakuutuksenottajan ja vakuutetun entiset, nykyiset tai tulevat hallituksen jäsenet, johtajat, toimivan johdon jäsenet ja muut henkilöstön jäsenet, joilla on paljon vastuuta ja päätösvaltaa ja oikeus toimia vakuutetun puolesta.

Kolmas osapuoli: jokin muu henkilö tai oikeushenkilö kuin vakuutuksenottaja tai vakuutettu tai vakuutuksenottajan tai vakuutetun hallituksen jäsen, johtaja tai työntekijä.

Korvausvaatimus: kolmannen osapuolen vakuutuksenottajaan tai vakuutettuun kohdistama vaatimus tai väittämä, joka koskee sellaista korvausta, saatavaa, omaisuutta, vahingonkorvausta tai oikeuden täytäntöönpanoa, joka voidaan välittömästi saattaa käsiteltäväksi välimiesmenettelyssä tai tuomioistuimessa.

Kyberkiristys: 1) kolmannen osapuolen esittämä uskottava uhkaus aiheuttaa vakuutustapahtuma vakuutuksenottajan tai vakuutetun tietojärjestelmässä, ellei hänelle makseta lunnaita tai 2) kolmannen osapuolen esittämä vaatimus lunnaista, jotta tämä kolmas osapuoli lopettaa aiheuttamansa tietoturvapoikkeaman vakuutuksenottajan tai vakuutetun tietojärjestelmässä.

Kybersodankäynti: suvereenin vieraan valtion tai tämän lukuun, puolesta, ohjauksessa tai toimesta toimivan tahon tietojärjestelmien avulla toteuttama teko, jonka tarkoituksena on haitata, estää tai häiritä tietojärjestelmien toimintaa ja/tai manipuloida tai tuhota näiden sisältämää tietoa.

Lunnaat: raha, bitcoinvaluutta tai muu virtuaalivaluutta, jota kolmas osapuoli vaatii maksettavaksi kyberkiristyksen yhteydessä.

Luottamukselliset tiedot: kaikenlaiset sähköisessä muodossa olevat kaupallisesti arkaluonteiset liikesalaisuudet, jotka eivät ole julkisesti saatavilla, riippumatta siitä, ovatko ne merkitty luottamuksellisiksi vai ei.

Ohjelmisto: sovelluksista, skripteistä tai ohjelmista koostuva digitaalinen ohje- tai käskyjoukko, jota käytetään tietojärjestelmien ohjaamiseen ja tehtävien suorittamiseen.

Ohjelmistopäivitys: ohjelmiston tai laiteohjelmiston laillisen jakelijan tai kehittäjän julkaisema muutoskokonaisuus, jonka tarkoituksena on ohjelmiston tai sitä tukevien tietojen päivittäminen, korjaaminen tai parantaminen esimerkiksi toimivuuden, käytettävyyden, suorituskyvyn tai tietoturvan osalta.

Ohjelmointi: ohjelmiston lähdekoodin kehittäminen, muokkaaminen, poistaminen tai kääntäminen ohjelmistokieleltä toiselle.

Omavastuu: omavastuu on vakuutuskirjaan merkitty tai vakuutusehdoissa erikseen määritetty osuus, joka vähennetään vahingon määrästä korvauksen määrää laskettaessa.

Operatiivinen teknologia (OT; operation technology): IT-laitteistojen ja ohjelmistojen muodostama kokonaisuus, jolla hallitaan mekaanisia laite-, tuotanto- ja taloteknisiä prosesseja. Operatiiviseen teknologiaan luetaan kuuluvaksi esimerkiksi tuotantohallintajärjestelmät (ICS) ja valvontajärjestelmät (SCADA).

Palvelunestohyökkäys: ilkivaltainen hyökkäys, jossa aiheutetaan tietojärjestelmien ja verkon toimintojen täydellinen tai osittainen keskeytyminen, häiriö ja/tai käytön estyminen ylikuormittamalla tietojärjestelmät suurella määrällä pyyntöjä, mukaan lukien hajautetut palvelunestohyökkäykset.

Palvelut: vakuutuksenottajan tai vakuutetun IT-laitteiden, infrastruktuurin, sähköisen datan tai ohjelmistojen käsittelyyn, kunnossapitoon, suojaamiseen tai tallentamiseen liittyvät palvelut (kuten LaaS, PaaS, SaaS). Tällä ei kuitenkaan tarkoiteta televiestintä- ja internet-palveluita tarjoavia osapuolia.

PCI-DSS: maksukortteja koskevat Payment Card Industry Data Security Standards -tietoturvastandardit.

Puolustautumiskulut: sellaiset asiantuntijoista, asianajajista, selvityksistä, oikeudenkäynneistä, tutkimuksista ja/tai menettelyistä aiheutuvat kustannukset, kulut ja palkkiot, joita tarvitaan vakuutuksenottajan tai vakuutetun puolustamiseen riita-asioissa, kaupallisissa asioissa, hallinnollisissa asioissa ja/tai rikosasioissa. Tällä ei kuitenkaan tarkoiteta vakuutuksenottajan tai vakuutetun toimintaan kuuluvia normaaleja palkkakuluja.

Salalause: koostuu vähintään neljästä sanasta ja on pituudeltaan vähintään 15 merkkiä. Käytettyjen sanojen tulee muodostaa epätavallinen tai asiayhteydestä irrallinen yhdistelmä.

Sota: sodalla tarkoitetaan mitä tahansa konfliktia (riippumatta siitä, onko sota julistettu vai ei), jota käydään aseiden ja/tai väkivallan voimalla kahden tai useamman valtion tai kansan välillä, sisällissotaa sekä maahanhyökkäyksen, kapinan, vallankumouksen tai sotilasvallankaappauksen kaltaisia sotatoimia tai puolustautumista tällaista tilannetta vastaan.

Sulautetut järjestelmät (embedded systems): tietojärjestelmä, joka on laadittu tiettyä tarkoitusta varten ja joka on sulautettu osaksi suurempaa mekaanista tai elektronista järjestelmää.

Sähköiset tallennusvälineet: IT-laitteet, kuten ulkoiset kiintolevyt, CD- ja DVD-levyt, magneettinauhat tai -levyt, USB-muistitikut, joita käytetään tietojen tallentamiseen ja säilytykseen.

Tieto: vakuutuksenottajan tai vakuutetun omistamat tai käyttämät kaikenlaiset sähköisessä muodossa olevat tiedot, käyttö- ja esitystavasta riippumatta. Tällaisia voivat olla esimerkiksi teksti, kaaviot, kuvat, videot tai ohjelmistot.

Tietojärjestelmä: tietotekniikka- ja viestintäjärjestelmät, kuten IT-laitteistot ja infrastruktuuri, ohjelmistot, sähköiset tallennusvälineet ja muut laitteet, joita käytetään tietojen luomiseen, käyttöön, käsittelyyn, suojaamiseen, seuraamiseen, tallentamiseen, hakemiseen, näyttämiseen tai siirtämiseen.

Tietoturvapoikkeama: vahingonteko, haittaohjelma, inhimillinen virhe, palvelunestohyökkäys tai tietovarkaus, joka tapahtuu vakuutuksenottajan, vakuutetun tai ulkoistetun palveluntoimittajan tietojärjestelmässä tai on suunnattu sitä kohtaan.

Tietovarkaus: tietojärjestelmään kohdistuva vahingonteko, jolla kopioidaan tai saadaan tietojärjestelmistä luvattomasti esimerkiksi luottamuksellisia tietoja, dataa tai henkilötietoja.

Tietoverkko: tietojärjestelmien ja niihin liitettyjen laitteiden muodostama kokonaisuus, jonka ansiosta verkkoon kuuluvat laitteet voivat vaihtaa tietoja ja muita resursseja.

Tuotannonhallintajärjestelmä (ICS; Industrial control system): IT-laitteisto- ja ohjelmistokokonaisuus, jota käytetään teollisuustuotantoprosessien ohjaamiseen ja/tai hallintaan.

Työntekijä: kuka tahansa henkilö, joka suorittaa vakuutuksenottajalle tai vakuutetulle palveluita tai tekee työtä vakuutuksenottajan tai vakuutetun työnjohdon alaisena. Työntekijöiksi luetaan myös vakuutuksenottajan tai vakuutetun IT-palveluiden toimittamista varten palkkaama ulkoinen henkilöstö, joka työskentelee vakuutuksenottajan tai vakuutetun työnjohdon alaisena, pois lukien johtavassa asemassa olevat henkilöt.

Ulkoistettu tietojärjestelmä: ulkoistetun palvelun toimittajan valvonnassa ja hallinnassa olevat tietojärjestelmät, jotka vakuutuksenottaja, vakuutettu tai ulkoistetun palvelun toimittaja omistaa, joiden käyttöön vakuutuksenottaja, vakuutettu tai ulkoistetun palvelun toimittaja on hankkinut lisenssit tai jotka vakuutuksenottaja, vakuutettu tai ulkoistetun palvelun toimittaja on vuokrannut.

Ulkoistetun palvelun toimittaja: kolmas osapuoli, joka tarjoaa vakuutuksenottajan tai vakuutetun kanssa solmimaansa kirjalliseen sopimukseen perustuvia palveluita, pois lukien energia-, televiestintä- ja internet-palveluita tarjoavat osapuolet. Ulkoistetun palvelun toimittajaksi ei katsota tämän käyttämiä alihankkijoita.

Vahingonteko: laiton teko, jonka tarkoituksena on aiheuttaa haittaa tiedoille, tietojärjestelmille tai tietoverkoille tai käyttää niitä luvattomasti tietojärjestelmän tai tietoverkon välityksellä.

Vahva salasana: tietojärjestelmän käyttöoikeuden osoittava merkkijono, joka koostuu vähintään 8 merkistä ja sisältää tietojärjestelmän mahdollistaessa vähintään kolme seuraavista tekijöistä: iso kirjain, pieni kirjain, erikoismerkki, numero. Vahva salasana ei saa sisältää toistuvia tai toisiaan loogisesti seuraavia yhdistelmiä, kuten ”1111”, ”1234” tai ”abcd”. Myös salalauseet katsotaan vahvoiksi salasanoiksi.

Vakuutettu: se, jonka hyväksi vahinkovakuutus on voimassa.

Vakuutuksenottaja: se, joka on tehnyt Fennian kanssa vakuutussopimuksen.

Vakuutuksenottajan tai vakuutetun tietojärjestelmä: vakuutuksenottajan tai vakuutetun hallinnassa olevat tietojärjestelmät, jotka vakuutuksenottaja tai vakuutettu omistaa, joiden käyttöön vakuutuksenottaja tai vakuutettu on hankkinut lisenssit tai jotka vakuutuksenottaja tai vakuutettu on vuokrannut.

Vakuutuskausi: Vakuutuksen voimassaoloaika on vakuutuskirjaan merkitty ajanjakso.

Vakuutusmäärä: vakuutuskirjaan merkitty vakuutusmäärä on Fennian korvausvelvollisuuden ylimpänä rajana jokaisessa vakuutustapahtumassa ja yhden vakuutuskauden aikana yhteensä kaikista korvattavista kustannuksista ja vahingoista.

Vakuutustapahtuma: tietoturvapoikkeama, korvausvaatimus, kyberkiristys ja/tai kyberrikos (kuten kohdassa 3.5 Kyberrikosturva).

Valvontajärjestelmät (SCADA systems): ohjelmistoista ja IT-laitteista muodostuva keskitetty kokonaisuus, joka valvoo ja säätelee teollisuustuotantoprosesseja joko tuotantolaitoksessa tai etäyhteyden välityksellä.

Valvontaviranomainen: viranomainen, valtion organisaatio tai minkä tahansa lainkäyttöalueen lakisääteinen elin, jolla on valtuudet panna täytäntöön henkilötietojen valvontaan tai käsittelyyn liittyvät lakisääteiset velvoitteet sovellettavan tietosuojalainsäädännön mukaisesti.

Varmuuskopio: kaksoiskappale vakuutuksenottajan tai vakuutetun tiedoista, jonka avulla vakuutuksenottajan tai vakuutetun tietojärjestelmiin tallennetut tiedot ovat palautettavissa sellaiseen tilaan, missä ne olivat ennen tästä vakuutuksesta korvattavan vakuutustapahtuman aiheutumista.

Virtuaalivaluutat: kaikki digitaaliset ja virtuaaliset valuutat kuten Bitcoin, Ethereum ja vastaavat sekä NFT (non- fungible token) varallisuuserät.

2 Vakuutustapahtuma, vakuutuksen voimassaoloalue ja sarjavahinko

2.1 Korvattava vahinko

Vakuutuksen sisältö ja soveltuvat turvat on merkitty vakuutuskirjaan.

Vakuutus kattaa kohtien 3–4 mukaiset vahingot ja kustannukset sen mukaan, kun vakuutuskirjaan on merkitty. Korvauksen edellytyksenä on, että vahingot ja kustannukset ovat suoranainen seuraus kussakin kohdassa tarkemmin määritetystä vakuutustapahtumasta, joka tapahtuu vakuutuksenottajan tai vakuutetun tietojärjestelmässä tai on suunnattu sitä kohtaan.

Mahdolliset vakuutustapahtumat, jotka aiheutuvat ulkoistetun palvelun toimittajan palveluista, kuuluvat vakuutuksen piiriin aivan kuten ne olisivat aiheutuneet vakuutuksenottajan tai vakuutetun omista tietojärjestelmistä, ellei niitä ole rajattu vakuutuksen ulkopuolelle.

Vakuutuksesta korvataan ne kohdan 3 mukaiset vakuutuksenottajalle tai vakuutetulle itselleen aiheutuneet vahingot, jotka

• todetaan vakuutuskauden aikana ja
• ovat seurausta vakuutuskirjaan erikseen merkityn takautuvan päivämäärän (retroaktiivinen päivä) jälkeen tapahtuneesta teosta, laiminlyönnistä tai muusta olosuhteesta. Ellei takautuvaa päivämäärää ole merkitty vakuutuskirjaan, se on vakuutuksen alkamispäivä.

Vakuutuksesta korvataan ne kohdan 4 mukaiset toiselle aiheutuneet vahingot,

• joissa kolmas osapuoli on tehnyt vakuutuksenottajalle tai vakuutetulle korvausvaatimuksen vahingosta vakuutuskauden aikana ja
• jotka ovat seurausta vakuutuskirjaan erikseen merkityn takautuvan päivämäärän (retroaktiivinen päivä) jälkeen tapahtuneesta teosta, laiminlyönnistä tai muusta olosuhteesta. Ellei takautuvaa päivämäärää ole merkitty vakuutuskirjaan, se on vakuutuksen alkamispäivä.

Vakuutuksen alkamispäivä on kunkin vakuutetun osalta se päivä, kun vakuutus tuli voimaan tämän hyväksi.

Vakuutuksesta korvataan toiselle aiheutunut vahinko myös siinä tapauksessa, että vakuutuksenottaja tai vakuutettu saa vakuutuskauden aikana tietoonsa olosuhteen, joka myöhemmin johtaa kolmannen osapuolen esittämään korvausvaatimukseen ja tekee tästä olosuhteesta kirjallisen ilmoituksen Fenniaan vakuutuskauden aikana tai 30 päivän sisällä vakuutuksen päättymisestä. Vahingon katsotaan tällöin aiheutuneen sen vakuutuskauden aikana, jona olosuhdeilmoitus on tehty.

2.2 Voimassaoloalue

Vakuutuksen voimassaoloalue on merkitty vakuutuskirjaan.

Vakuutus kattaa vakuutuksenottajalle tai vakuutetulle itselleen aiheutuneita vahinkoja, jos vahinko on tapahtunut vakuutuksen voimassaoloalueella.

Vahingoissa, jotka ovat aiheutuneet toiselle (vastuuvahingot), vakuutus kattaa vahingon, johon liittyvät vaatimukset kuuluvat voimassaoloalueella sijaitsevan tuomioistuimen tai käytävän välitysmenettelyn toimivaltaan.

Riippumatta siitä, mitä vakuutuksen voimassaoloalueeksi on vakuutuskirjaan merkitty tai edellä on mainittu,

• vakuutus ei ole voimassa eikä siitä makseta mitään korvauksia Suomen ulkopuolisissa maissa siltä osin, kuin kyseisen maan lainsäädäntö edellyttää paikallista vakuuttamista paikallisessa vakuutusyhtiössä
• vakuutus ei ole voimassa eikä siitä makseta mitään korvauksia, jos vakuutusturvan myöntäminen tai korvausten maksaminen olisi vastoin Yhdistyneiden kansakuntien päätöslauselman tai Euroopan unionin, Yhdistyneen kuningaskunnan tai Amerikan yhdysvaltojen lakien tai määräysten mukaisia kauppa- tai taloudellisia pakotteita, kieltoja tai rajoituksia.

2.3 Sarjavahinko

Saman teon, laiminlyönnin tai olosuhteen aiheuttamat vahingot katsotaan yhdeksi vakuutustapahtumaksi siitä riippumatta, onko korvausvaatimus niistä tehty tai vahinko todettu yhden tai useamman vakuutuskauden aikana. Jos tällaisista vahingoista esitetään korvausvaatimus eri vakuutuskausien aikana, katsotaan ne kohdistuneiksi siihen vakuutuskauteen, jonka aikana ensimmäisestä vahingosta on tehty kirjallinen korvausvaatimus.

3 Vakuutetulle itselleen aiheutunut vahinko

3.1 Tietoturvaloukkauksen hallinta

Vakuutuksesta korvataan seuraavat kohtuulliset ja tarpeelliset tietoturvapoikkeamasta vakuutuksenottajalle tai vakuutetulle aiheutuvat ylimääräiset kulut

a) asiantuntijan tekemästä todellisen tai perustellusti epäillyn tietoturvapoikkeaman tutkimisesta, todentamisesta, syyn selvittämisestä ja vahingon välittömästä rajoittamisesta. Tällaista rajoittamista voi olla muun muassa haittaohjelman poistaminen tai käyttäjätilien sulkeminen.

b) asiantuntijan vakuutuksenottajalle tai vakuutetulle laatimasta kirjallisesta suosituksesta, jossa on otettu kantaa keinoihin, joilla pyritään estämään vastaavanlaisen tietoturvapoikkeaman tapahtuminen tulevaisuudessa

c) tietosuojalainsäädännön tai -määräysten noudattamisesta tai määräysten mukaisten toimenpiteiden tekemisestä (kuten ilmoitukset viranomaisille tai yksittäisille henkilöille)

d) sisäisen tai ulkoisen tietoturvapoikkeaman hallintaan tarkoitetun kriisinhallintakeskuksen ylläpitämisestä 30 päivän ajan siitä, kun vakuutuksenottaja tai vakuutettu sai tiedon tietoturvapoikkeamasta

e) henkilötietojen omistajien luottotietojen väärinkäytön estämisestä ja identiteettivarkauksien monitorointipalvelun ostamisesta ulkoiselta asiantuntijalta. Tämän turvan käytön edellytyksenä on, että kuluihin on saatu etukäteen Fennian kirjallinen hyväksyntä.

f) kohtuulliset ja tarpeelliset kulut, jotka aiheutuvat Fennian etukäteen kirjallisesti hyväksymän asiantuntijan käytöstä tietoturvapoikkeamasta todennäköisesti aiheutuvien vahingollisten mainevaikutusten pienentämiseksi. Kustannuksia korvataan enintään kahden kuukauden ajalta tietoturvapoikkeaman havaitsemisesta.

g) lakimiehen käytöstä silloin kun kyse on vastaamisesta viranomaisen vakuutuksenottajalle tai vakuutetulle esittämään selvityspyyntöön tai puolustautumisesta viranomaisen vakuutuksenottajaa tai vakuutettua vastaan suuntaamaa toimenpidettä vastaan.

Vakuutuksenottajan tai vakuutetun oman henkilökunnan suorittaessa kohdissa c), d), e) tai g) tarkoitettuja toimenpiteitä, korvataan ainoastaan ylityökustannukset.

3.2 Tietojen ja ohjelmistojen palauttaminen

Vakuutuksesta korvataan kaikki kohtuulliset ja tarpeelliset kustannukset, jotka aiheutuvat tietojen ja ohjelmistojen sekä tietojärjestelmien puhdistamisesta ja palauttamisesta samaan tilaan kuin välittömästi ennen tietoturvapoikkeamaa. Vakuutuksesta ei kuitenkaan korvata korvaavan tai olemassa olevan tietojärjestelmän kehittämisestä tai tietojen uudelleen luomisesta aiheutuvia kustannuksia, mikäli tietojärjestelmä tai tiedot eivät ole palautettavissa toimintakuntoisiksi tietoturvapoikkeaman seurauksena.

Vakuutuksesta korvataan vaihtoehtoisesti vakuutuksenottajan tai vakuutetun IT-laitteiden uusimisesta aiheutuvat tarpeelliset ja kohtuulliset kustannukset, mikäli asiantuntija on todennut, että korvaavien, entistä tasoa vastaavien IT-laitteiden hankinta on kustannuksiltaan edullisempaa, kuin olemassa olevien IT-laitteiden puhdistaminen ja palauttaminen toimivaan tilaan tietoturvapoikkeaman seurauksena. Tämä laajennus ei kuitenkaan koske IT- laitteita, jotka liittyvät operatiiviseen teknologiaan (OT) tai sulautettuihin järjestelmiin (embedded systems).

3.3 Liiketoiminnan keskeytyminen

Vakuutuksesta korvataan keskeytysvakuutuskatteen menetys, joka keskeytysaikana aiheutuu vakuutuksenottajan tai vakuutetun tietojärjestelmien käytön keskeytymisestä tai tietojen käytön estymisestä kokonaan tai osittain tietoturvapoikkeaman suoranaisena seurauksena.

Keskeytysvakuutuskate on liiketoiminnan tuotto, joka saadaan vähentämällä liikevaihdosta materiaali- ja palvelukulut. Keskeytysvakuutuskatteen vakuutusarvo on se keskeytysvakuutuskatteen määrä, jonka vakuutuksenottaja tai vakuutettu olisi saanut keskeytysaikana, jos vakuutettu liiketoiminta olisi jatkunut normaalisti, keskeytyksettä.

Keskeytysaika on vakuutuskirjaan merkittyä omavastuuaikaa seuraava ajanjakso siitä alkaen, kun vakuutuksenottajan tai vakuutetun tietojärjestelmät osittain tai kokonaan eivät ole käytettävissä siihen asti, kunnes vakuutuksenottajan tai vakuutetun tietokonejärjestelmät ovat jälleen täysin käytettävissä.

Vahingon määräksi lasketaan enintään niin suuri osa keskeytysvakuutuskatteen vakuutusarvosta, kuin tietoturvapoikkeaman aiheuttama liikevaihdon väheneminen keskeytysaikana on siitä liikevaihdosta, joka olisi keskeytysaikana toteutunut ilman tietoturvapoikkeaman tapahtumista. Korvausta suoritetaan enintään kolmen kuukauden mittaiselta ajanjaksolta, ellei vakuutuskirjaan ole toisin merkitty.

Kun arvioidaan liikevaihdon ja kateosuuden määrää, käytetään perusteena edellisten tilikausien toteutuneita arvoja ja otetaan huomioon todettavissa ollut liiketoiminnan kehitys.

Lisäksi vakuutuksesta korvataan ylimääräiset kulut Fennian kanssa kirjallisesti sovituista toimenpiteistä, joiden avulla pienennetään tietoturvapoikkeamasta aiheutuvaa keskeytysvakuutuskatteen menetystä tai estetään se kokonaan.

Ylimääräiset kulut ovat kuluja, joita ei olisi syntynyt, jos liiketoiminta olisi jatkunut normaalisti, ilman tietoturvapoikkeamasta aiheutuvaa keskeytymistä. Tällaisia kuluja voivat olla esimerkiksi tilapäisasennuksista, ylimääräisistä alihankinnoista tai ylitöistä aiheutuneet kulut.

3.4 Kyberkiristys

Vakuutuksesta korvataan kohtuulliset ja tarpeelliset kustannukset kyberkiristystapauksen selvittämiseksi. Lisäksi vakuutuksesta korvataan vakuutuksenottajan tai vakuutetun mahdollisesti maksamat lunnaat, jos kansallinen lainsäädäntö sallii lunnaiden maksamisen ja ulkopuolinen kiristysrikoksiin erikoistunut asiantuntija on lausunnossaan suosittanut lunnaiden maksamista. Korvaussuoritus lunnaista tehdään aina vakuutuksenottajalle tai vakuutetulle.

Korvauksen edellytyksenä on, että vakuutuksenottaja tai vakuutettu ei ole paljastanut tämän kohdan mukaisen turvan olemassaoloa kolmansille osapuolille tai työntekijöille ja että vakuutuksenottaja tai vakuutettu on Fennian pyynnöstä ilmoittanut viranomaisille kyberkiristyksestä. Jos vakuutuksenottaja tai vakuutettu on rikkonut edellä olevaa ehtoa, Fennia voi irtisanoa tämän kohdan mukaisen vakuutuksen päättymään välittömästi siitä päivämäärästä, jolloin tieto on paljastunut.

3.5 Kyberrikosturva

Vakuutuksesta korvataan vakuutuksenottajalta tai vakuutetulta laittomasti anastettu rahasumma, kun anastus on suoranainen seuraus kolmannen osapuolen tekemästä luvattomasta sähköisestä siirrosta vakuutuksenottajan tai vakuutetun pankkitililtä tai vakuutuksenottajan tai vakuutetun tietojärjestelmässä olevan tiedon muuttamisesta ja jota summaa vakuutuksenottaja tai vakuutettu ei pysty saamaan takaisin. Tämän turvan perusteella ei kuitenkaan korvata lahjakorttien, asiakashyvitysten tai bonuspisteiden eikä virtuaalivaluuttojen anastusta.

3.6 Maksukortteja koskevat tietoturvastandardit (PCI-DSS)

Vakuutuksesta korvataan kohtuulliset ja tarpeelliset kulut, jotka aiheutuvat

• asiantuntijan käytöstä epäillyn PCI-DSS-loukkauksen tutkimiseen,
• PCI-DSS-uudelleensertifioinnista tai
• PCI-DSS-loukkauksesta johtuvasta luotto-, pankki- tai prepaid-korttien uusimisesta

silloin kun nämä kulut johtuvat suoraan tietoturvapoikkeamasta.

4 Toiselle aiheutuneet vahingot

4.1 Yksityisyyden suojan ja salassapitovelvollisuuden rikkoutuminen – korvausvastuu

Vakuutuksesta korvataan taloudellinen ja EU:n tietosuoja-asetuksen tarkoittama aineeton vahinko, josta vakuutuksenottaja tai vakuutettu on voimassa olevan oikeuden mukaan korvausvastuussa ja josta tehty korvausvaatimus perustuu vakuutuksenottajan tai vakuutetun hallussa olevien luottamuksellisten tietojen ja/tai henkilötietojen vahingoittumiseen, menettämiseen, luvattomaan käsittelyyn, siirtämiseen tai paljastumiseen tietoturvapoikkeaman seurauksena tai tietosuojaa koskevan lainsäädännön rikkomiseen.

Tämän kohdan perusteella korvataan myös vakuutuksenottajan tai vakuutetun puolustuskulut puolustautumisesta tällaista vaatimusta vastaan.

4.2 Tietoturvallisuuden pettäminen – korvausvastuu

Vakuutuksesta korvataan taloudellinen vahinko, josta vakuutuksenottaja tai vakuutettu on voimassa olevan oikeuden mukaan korvausvastuussa ja joka perustuu siihen, että kolmas osapuoli esittää tämän tietojärjestelmissä olevien luottamuksellisten tietojen vahingoittumiseen, menettämiseen, paljastumiseen tai varkauteen tai tämän tietojärjestelmän toiminnan häiriytymiseen tai vahingoittumiseen liittyvän korvausvaatimuksen, joka johtuu suoraan vakuutuksenottajan tai vakuutetun tietojärjestelmään kohdistuneesta tietoturvapoikkeamasta.

Tämän kohdan perusteella korvataan myös vakuutuksenottajan tai vakuutetun puolustuskulut puolustautumisesta tällaista vaatimusta vastaan.

4.3 Digitaalinen media – korvausvastuu

Vakuutuksesta korvataan taloudellinen ja EU:n tietosuoja-asetuksen tarkoittama aineeton vahinko, josta vakuutuksenottaja tai vakuutettu on voimassa olevan oikeuden mukaan korvausvastuussa ja joka perustuu siihen, että kolmas osapuoli esittää korvausvaatimuksen, joka liittyy

• kunnianloukkaukseen
• tekijänoikeuden, omistusoikeuden, mainoslauseen, tavaramerkin, toiminimen, ulkoasun, palvelumerkin, palvelunimen tai verkkotunnuksen loukkaukseen
• yksityisyyttä koskevien oikeuksien loukkaukseen tai niihin puuttumiseen

ja joka on seurausta vakuutuksenottajan tai vakuutetun toiminnasta digitaalisessa mediassa. Tämän turvan perusteella korvataan myös vakuutuksenottajan tai vakuutetun puolustuskulut esitettyä korvausvaatimusta vastaan.

4.4 Työntekijän henkilökohtainen korvausvastuu

Kohtien 4.1–4.3. perusteella korvataan myös työntekijän henkilökohtainen vastuu siinä tapauksessa, että kolmannen osapuolen korvausvaatimus kohdistuu häneen työssä tapahtuneen teon perusteella. Vakuutuksesta ei kuitenkaan korvata työntekijän henkilökohtaista vastuuta siinä tapauksessa, että vahinkoon on syynä tahallinen tai törkeän huolimaton teko.

5 Korvausrajoitukset

Vakuutuksesta ei korvata:

5.1

vahinkoa, joka aiheutuu kolmannen osapuolen infrastruktuurin tai toimittaman palvelun toimintahäiriöstä tai keskeytyksestä (esim. televiestintä-, internet-, satelliitti- ja kaapelipalveluiden sekä sähkön, kaasun, veden ja muiden yleishyödyllisten palveluiden toimittajat).

5.2

vahinkoa, joka aiheutuu lakosta, mellakasta tai muusta yhteiskuntajärjestystä horjuttavasta tapahtumasta.

5.3

vahinkoa, joka aiheutuu sodasta tai kybersodankäynnistä.

5.4

vahinkoa, joka aiheutuu vaarallisten aineiden, minkä tahansa epäpuhtauksien tai saastuttavien aineiden päästöstä, leviämisestä, suodattumisesta, kulkeutumisesta, vapautumisesta, vuotamisesta tai muusta vastaavasta tapahtumasta.

5.5

vahinkoa, joka aiheutuu vakuutuksenottajan tai vakuutetun tietojärjestelmän, tietokoneiden, ohjelmistojen tai tietojen takavarikoinnista, menetetyksi julistamisesta (konfiskaatiosta), pakkolunastuksesta, tuhoutumisesta tai vahingoittumisesta, joka johtuu valtiollisen, siviili- tai sotilasviranomaisen määräyksestä.

5.6

vahinkoa, joka aiheutuu laittoman tai ilman asianmukaista lisenssiä käytettävän ohjelmiston käytöstä.

5.7

vahinkoa, joka aiheutuu vakuutuksenottajan tai vakuutetun tietojärjestelmien mitoitusvirheestä tai puutteellisesta käsittelytehosta, jonka vuoksi järjestelmä ei sovellu aiottuun tarkoitukseensa.

5.8

vahinkoa, joka aiheutuu vakuutuksenottajan, vakuutetun tai sen johtavassa asemassa olevien henkilöiden tai ulkoistetun palvelun toimittajan ilkivaltaisesta, törkeän huolimattomasta tai tahallisesta käytöksestä, väärinkäytöksestä tai petoksesta.

Edellä mainittua korvausrajoitusta ulkoistetun palvelun toimittajan tahallaan tai törkeällä huolimattomuudella aiheuttamista vahingoista sovelletaan vain vakuutuksiin, jotka ovat alkaneet Fenniassa 31.12.2023 jälkeen.

5.9

omaisuusvahinkoa tai vahinkoa, joka syntyy omaisuusvahingon seurauksena. Omaisuusvahingolla tarkoitetaan aineellisen omaisuuden fyysistä vahingoittumista, menetystä tai tuhoutumista, mukaan lukien aineellisen omaisuuden käytön estyminen.

5.10

vahinkoa, joka aiheutuu siitä, että vakuutuksenottaja tai vakuutettu on laiminlyönyt määräyksen tai ohjeen ryhtyä kohtuullisiin toimenpiteisiin vahingon rajoittamiseksi tai ei ole tehnyt kohtuullisesti yhteistyötä viranomaisen kanssa vakuutustapahtumaa koskevan tutkinnan tai tapahtumaan liittyvien keskustelujen aikana.

5.11

sakkoa, tietoturvasakkoa, rangaistusluonteista korvausta tai mitä muuta rangaistusta tahansa, eikä vahinkoa, joka aiheutuu viranomaismääräysten rikkomisesta, kuten esimerkiksi tietosuojalakien mukaisten ilmoitusten laiminlyönti.

5.12

rahoitusmarkkina- tai kaupankäyntitappiota tai kuluja, jotka syntyvät siitä, että arvopapereita ei pystytä myymään tai siirtämään.

5.13

vahinkoa, joka aiheutuu tietojärjestelmien tai niiden osien suunnitellusta seisokista, suunnitellusta käyttökeskeytyksestä tai joutoajasta.

5.14

vahinkoa, joka aiheutuu vakuutuksenottajan, vakuutetun tai ulkoistetun palvelun toimittajan vuokra-ajan, sopimuksen, lisenssin tai tilausten keskeytyksestä, irtisanomisesta tai umpeutumisesta.

5.15

henkilövahinkoa. Henkilövahingolla tarkoitetaan sairautta, vammaa, kuolemaa sekä näihin liittyvää haittaa, psyykkistä ahdistusta, traumaa tai harmia. Henkilövahingoksi luetaan myös olemassa olevan sairauden tai vamman pahentuminen, sekä henkilövahinkoon liittyvä seurannaisvahinko kuten ansiotulojen menetys.

Vakuutuksesta korvataan kuitenkin ehtokohdan 4.1 perusteella henkilövahinkoon liittymätön EU:n tietosuoja-asetuksen tarkoittama aineeton vahinko, josta vakuutuksenottaja tai vakuutettu on voimassa olevan oikeuden mukaan korvausvastuussa.

5.16

vahinkoa, joka aiheutuu immateriaalioikeuksien, kuten patenttien, tavaramerkkien tai tekijänoikeuksien, varkaudesta, loukkauksesta tai paljastumisesta. Tämä rajoitus ei koske vakuutusturvan kohtia 4.1 Yksityisyyden suojan ja salassapitovelvollisuuden rikkoutuminen -korvausvastuu ja 4.3 Digitaalinen media -korvausvastuu, paitsi patenttien osalta, joihin liittyviä vaatimuksia ei koskaan korvata.

5.17

vahinkoa, joka perustuu korvausvaatimukseen, jonka on tehnyt

• vakuutuksenottajan tai vakuutetun määräysvaltaan kuuluva oikeushenkilö
• vakuutuksenottajan tai vakuutetun tytäryhtiö
• oikeushenkilö, joka kuuluu vakuutuksenottajan tai vakuutetun tai sen tytäryhtiön todelliseen määräysvaltaan omistus- tai äänivallan perusteella tai muutoin
• henkilö, jolla on enemmistöomistus vakuutuksenottajasta tai vakuutetusta
• yhteisö, jossa vakuutuksenottajalla tai vakuutetulla on osakkuus, osakkuuden määrästä riippumatta
• yhteisö, yhteenliittymä tai yhteisyritys, jossa vakuutuksenottaja tai vakuutettu on osallisena
• yhtiö tai yhteisö, jolla on määräysvalta vakuutuksenottajaan tai vakuutettuun.

5.18

vahinkoa siltä osin, kuin korvausvastuu perustuu sellaiseen sitoumukseen tai sopimusmääräykseen, jolla vakuutuksenottaja tai vakuutettu on ottanut itselleen enemmän vastuuta kuin sillä olisi voimassa olevan oikeuden mukaan ilman tuollaista sitoumusta tai sopimusmääräystä.

5.19

vahinkoa, joka aiheutuu virheellisestä, puutteellisesta tai epätäydellisestä kuvauksesta, joka koskee tavaroita, tuotteita tai palveluita tai niiden hintaa.

5.20

alennuksia, palvelutasohyvityksiä, lisäetuja, hinnanalennuksia, kuponkeja, palkintoja, etuuksia taikka muita sopimukseen perustuvia tai perustumattomia kannustimia, myynninedistämisvälineitä tai houkuttimia.

5.21

vahinkoa, joka aiheutuu verkkosivustolla tai verkkopalvelussa olevan tiedon poistamatta jättämisestä vakuutuksenottajan tai vakuutetun saatua valituksen tai pyynnön kolmannelta osapuolelta.

5.22

vahinkoa, joka aiheutuu vakuutustapahtumasta tai olosuhteista, jotka ovat olleet tai joiden olisi pitänyt olla vakuutuksenottajan tiedossa ennen vakuutuksen alkamispäivää.

5.23

vahinkoa, joka aiheutuu sellaisesta toiminnasta tai riskin olennaisesta muutoksesta, jota ei ole ilmoitettu Fennialle ja jota Fennia ei ole hyväksynyt.

5.24

kustannuksia, jotka aiheutuvat tietoturvapuutteiden korjaamisesta tai suojaustason tai tietojen laadun parantamisesta siitä, mitä se oli ennen vakuutustapahtumaa.

5.25

keskeytysvahinkoa, kun vakuutuksenottaja tai vakuutettu ei ole pitänyt vakuutetusta liiketoiminnasta kirjanpitolain edellyttämää kirjanpitoa.

5.26

vahinkoa, joka johtuu vakuutuksenottajan tai vakuutetun yhtiön johtavassa asemassa olevan henkilön antamasta yhtiöön liittyvästä lausunnosta, informaatiosta, yhtiön edustajana toimimisesta tai muusta yhtiöön liittyvästä toimenpiteestä.

5.27

vahinkoa tai vaatimusta, joka miltään osin perustuu virtuaalivaluuttojen menettämiseen tai vahingoittumiseen.

6 Vakuutustapahtuman ilmoittaminen ja pelastamisvelvollisuus

Vakuutuksenottajan ja vakuutetun on

• viipymättä ilmoitettava Fennian ilmoittamalle ensivastepalvelun toimittajalle todetusta tai epäillystä vakuutustapahtumasta, joka todennäköisesti johtaa korvaukseen tämän vakuutussopimuksen perusteella
• sallittava Fennian ilmoittaman ensivastepalvelun toimittajan tai muun asiantuntijan pääsy vakuutuksenottajan tai vakuutetun tietojärjestelmiin ja tietoverkkoon vahingon rajoittamistoimia ja tutkintaa varten.

Vakuutuksenottaja ja vakuutettu on velvollinen noudattamaan ensivastepalvelun antamia ohjeita vahingon rajoittamiseksi tai torjumiseksi.

Fennian osoittamilla ensivastepalvelun ja/tai tietoturvapalvelun toimittajilla on oikeus luovuttaa palvelun tuottamisen yhteydessä keräämiänsä vahingon selvittämiseksi ja korvaamiseksi tarvittavia tietoja Fennialle. Palvelun toimittajien tuottamiin palveluihin sovelletaan kulloinkin voimassa olevia kyseisen palvelun toimittajan omia sopimusehtoja.

Vakuutuksenottaja tai vakuutettu voi vaihtoehtoisesti käyttää vakuutustapahtuman selvittämiseen myös muuta kuin Fennian nimeämää ensivastepalvelun toimittajaa, jos tämä kyvykkyyksiltään vastaa vähintään Fennian nimeämän ensivastepalvelun tasoa. Tällöin vakuutuksenottajaa tai vakuutettua koskevat kaikki samat velvollisuudet kuin käytettäessä Fennian nimeämää palveluntarjoajaa. Vakuutuksenottajan tai vakuutetun tulee kuitenkin ilmoittaa viipymättä vakuutustapahtumasta lisäksi Fennian nimeämälle ensivastepalvelun toimittajalle ja huolehdittava, että tapahtumasta toimitetaan Fennialle kohdassa 10.1 kuvattu selvitys.

Vakuutuksenottajalla ja vakuutetulla on velvollisuus huolehtia, että Fennian takautumisoikeus säilyy. Jos vakuutuksenottaja tai vakuutettu on tahallisesti tai huolimattomuudesta, jota ei voida pitää vähäisenä, laiminlyönyt tässä ehdossa kuvatun pelastamisvelvollisuutensa, voidaan hänelle tulevaa korvausta alentaa tai se evätä.

7 Vahingon määrä

Vahingon määrä lasketaan kohtien 3.1–4.4 mukaisesti. Kustannukset lasketaan vahingon määrään enintään sen suuruisina kuin ne olisivat toteutuneet käyttämällä Fennian osoittamia palveluntoimittajia. Vahingon määrään lasketaan vahingonkorvauksen lisäksi selvitys-, oikeudenkäynti- ja korkokulut. Muiden kuin kuluttajaan rinnastettavien vakuutuksenottajien osalta myös vahingontorjuntakulut lasketaan vahingon määrään.

8 Korvauksen määrä

Korvauksen määrä saadaan vähentämällä kohdan 7 mukaisesta vahingon määrästä omavastuu ja ottamalla huomioon kohdan 10 säännökset, mahdollinen alivakuutus sekä suojeluohjeiden mahdollisen laiminlyönnin ja yleisten sopimusehtojen perusteella tehtävät korvauksen vähennykset mainitussa järjestyksessä. Jos vakuutettu tai vahinkoa kärsinyt on arvonlisäverolain mukaan oikeutettu vähentämään veron tai ei ole velvollinen veroa maksamaan, Fennia maksaa korvauksen veron osuudella vähennettynä.

Fennian korvausvelvollisuuden ylimpänä rajana on vakuutuskirjaan merkitty vakuutusmäärä.

8.1 Omavastuu

Jokaisesta vahinkotapahtumasta vähennetään vakuutuskirjaan merkitty omavastuuosuus. Fennia korvaa kuitenkin vakuutusehtojen kohdassa 3.1 mainituista toimenpiteistä aiheutuvia kustannuksia ilman omavastuuta 1 200 euroon asti käytettäessä Fennian nimeämää ensivastepalvelun toimittajaa.

Jos korvausta maksetaan useamman kuin yhden turvan perusteella, vähennetään korvauksesta suurin omavastuu. Keskeytysturvan omavastuuaikaa sovelletaan muun omavastuun lisäksi aina kun korvausta maksetaan keskeytysturvan perusteella.

9 Fennian ylin korvausvastuu tietoturvavakuutuksessa

Vahingoissa, jotka johtuvat samasta tietoturvapoikkeamasta tai muusta tällä vakuutuksella katettavasta vakuutustapahtumasta tai olosuhteesta ja jotka kohdistuvat samaan kalenterivuoteen, on Fennian korvausvastuun ylin määrä vakuutuskirjalla mainitusta vakuutusmäärästä huolimatta kaikista Fennian asiakkailleen myöntämistä tietoturvavakuutuksista yhteensä enintään 25 000 000 euroa.

Jos Fennian asiakkaiden yhteenlaskettu tietoturvavakuutuksen korvauspiirissä oleva vahingon määrä ylittää 25 000 000 euroa, on vakuutuksenottaja, vakuutettu tai muu korvauksensaaja oikeutettu saamaan korvausta tietoturvavakuutuksesta enintään vakuutusmäärän tai vahingon määrän (sen mukaan kumpi on pienempi) ja Fennialle esitettyjen korvausvaatimusten yhteissumman välisen suhteen mukaisen osuuden Fennian ylimmän korvausvastuun mukaisesta määrästä. Lisäksi noudatetaan vakuutusehdon kohdan 8 määräyksiä.

Fennialla on oikeus viivästyttää korvauksen maksua kokonaisvastuunsa määrittämiseksi.

10 Muita säännöksiä

10.1 Vahingon selvittämiseksi tarvittavat tiedot ja toimet

Vakuutuksenottajan tai vakuutetun on omalla kustannuksellaan

• toimitettava Fennian pyytämät vahingon selvittämiseksi tarvittavat asiakirjat ja muut tiedot
• ryhdyttävä kaikkiin tarvittaviin ja kohtuullisiin toimenpiteisiin vakuutustapahtuman rajoittamiseksi
• annettava tehdä kaikki kohtuudella mahdolliset toimenpiteet vakuutustapahtuman syyn ja laajuuden selvittämiseksi
• säilytettävä kaikki IT-laitteet, ohjelmistot ja tiedot ja annettava ne Fennian ja/tai Fennian ilmoittaman ensivastepalvelun toimittajan käyttöön ja
• noudatettava kaikkia Fennian ja/tai Fennian ilmoittaman ensivastepalvelun toimittajan antamia ohjeita.

Vakuutuksenottajan tai vakuutetun on Fennian pyynnöstä

• luovuttava asianajosalaisuudesta
• puolustettava laillisia oikeuksia, joita vakuutuksenottajalla, vakuutetulla tai Fennialla voi olla sellaisen osapuolen suhteen, joka voi olla tietoturvapoikkeaman vuoksi korvausvelvollinen vakuutuksenottajaa tai vakuutettua kohtaan
• laadittava tai toimitettava kaikki asiakirjat, joita Fennia pitää tarpeellisina tämän vakuutussopimuksen mukaisten oikeuksien turvaamiseksi ja vahinkotapahtuman selvittämiseksi
• oltava läsnä kuulusteluissa ja oikeudenkäynneissä
• avustettava sovintoratkaisujen täytäntöönpanossa, todisteiden turvaamisessa ja antamisessa, todistajien läsnäolon varmistamisessa taikka oikeudenkäynnissä puolustautumisessa tai syyttämisessä.

10.2 Vakuutuksenottajalle tai vakuutetulle esitetyt korvausvaatimukset

Vakuutuksenottaja tai vakuutettu ei saa ilman Fennian etukäteen antamaa suostumusta myöntää vastuuta, suorittaa maksua, tehdä sopimusta tai hyväksyä vakuutuksenottajalle tai vakuutetulle esitettyjä korvausvaatimuksia. Vakuutuksenottajan tai vakuutetun on autettava Fenniaa korvausvaatimuksen tutkinnassa, puolustuksessa ja/tai sopimisessa, käytettävä Fennian nimeämää asianajajaa ja maksettava omavastuu mille tahansa Fennian osoittamalle kolmannelle osapuolelle sovintoratkaisun noudattamiseksi.

Vakuutuksenottajan tai vakuutetun on myös annettava Fennialle oikeudet ja valtuudet hoitaa sovintoneuvottelut kolmannen osapuolen kanssa tai oikeudenkäynti tätä vastaan. Fennialla on oikeus päättää toimenpiteistä ja asiamiehen valinnasta oikeudenkäyntiin liittyen. Jos vakuutuksenottaja tai vakuutettu ei ilmoita oikeudenkäynnistä etukäteen Fennialle, ei Fennialla ole velvollisuutta korvata oikeudenkäynnistä aiheutuneita kustannuksia.

Jos Fennia on ilmoittanut vakuutuksenottajalle tai vakuutetulle olevansa valmis tekemään sopimuksen vahingonkärsineen kanssa tämän vahinkojen korvaamisesta, eikä vakuutuksenottaja tai vakuutettu tähän suostu, ei Fennia ole velvollinen korvaamaan sen jälkeen aiheutuneita kuluja eikä suorittamaan enempiä selvittelyjä asiassa.

10.3 Palveluiden ja tuotteiden tilaaja

Vakuutuksenottajan tai vakuutetun pitää olla kaikkien vahinkoon liittyvien palveluiden ja tuotteiden tilaaja ja merkitty laskun maksajaksi.

11 Yleiset sopimusehdot

Yritysturvan yleisten sopimusehtojen lisäksi noudatetaan seuraavia ehtoja

11.1

Vakuutettu toiminta. Vakuutuksesta korvataan vakuutuskauden alkaessa määritellyssä toiminnassa aiheutuneita vahinkoja. Jos vakuutetun toiminta muuttuu vakuutuskauden aikana siitä, mitä vakuutuskauden alkaessa on määritelty, vakuutuksenottajan tai vakuutetun on informoitava Fenniaa muutoksesta mahdollisimman pian. Uudet toiminnot voidaan sisällyttää vakuutusturvaan, jos vakuutuksenottaja tai vakuutettu ilmoittaa asiasta Fennialle kirjallisesti ja Fennia hyväksyy lisäyksen.

11.2

Fuusio ja yritysosto. Vakuutuksenottajan tai vakuutetun on ilmoitettava Fennialle kirjallisesti 30 päivän kuluessa fuusiosta tai yritysostosta siitä, että vakuutuksenottaja tai vakuutettu on fuusioitunut toisen oikeushenkilön kanssa tai hankkinut enemmistöomistuksen toisesta oikeushenkilöstä vakuutuskauden aikana. Vakuutuksenottajan tai vakuutetun on maksettava Fennialle lisävastuuseen perustuva lisävakuutusmaksu fuusion tai yritysoston päivämäärästä alkaen vakuutuskauden loppuun asti.

11.3

Muut vakuutukset. Jos vakuutustapahtuman varalta on muu vakuutus, tämä vakuutussopimus katsotaan toissijaiseksi vakuutukseksi eikä tämän vakuutussopimuksen perusteella korvata vahinkoa tai kustannuksia, joista on tai olisi mahdollista saada korvausta muun vakuutuksen perusteella tai jotka sisältyvät muun vakuutuksen omavastuuseen.

11.4

Jos vakuutuksenottaja tai vakuutettu on ilmoittanut vakuutustapahtumasta, vakuutusmaksua ei palauteta miltään osin.

11.5

Luottamuksellisuus. Vakuutuksenottaja tai vakuutettu ei saa paljastaa tämän vakuutussopimuksen olemassaoloa, paitsi jos lainsäädäntö edellyttää paljastamista tai siihen on Fennian antama kirjallinen lupa.

11.6

Vakuutuksenottaja tai vakuutettu ei saa siirtää tähän vakuutussopimukseen liittyviä laillisia oikeuksia tai etuja ilman Fennian antamaa kirjallista lupaa.

11.7

Muutokset. Vakuutuksenottajan tai vakuutetun on ilmoitettava toivomistaan vakuutussopimukseen tehtävistä muutoksista kirjallisesti tai sähköisesti.

11.8

Lait ja määräykset. Jos jokin tämän vakuutussopimuksen vakuutusehdoista on kansallisen lainsäädännön, voimassa olevan oikeuden tai muiden määräysten vastainen, noudatetaan kansallista lainsäädäntöä.

11.9

Tämän vakuutussopimuksen mahdollisesti soveltamiskelvoton ehto ei vaikuta muihin vakuutusehtoihin ja, mikäli käytännöllistä, se korvataan soveltamiskelpoisella ehdolla, jolla on sama tai samankaltainen tarkoitus kuin kyseisellä soveltamiskelvottomalla ehdolla.

11.10

Kolmannen osapuolen oikeudet. Kolmannella osapuolella, joka ei ole tämän vakuutussopimuksen osapuoli, ei ole oikeutta panna täytäntöön mitään tämän vakuutussopimuksen osaa. Tämä ei kuitenkaan vaikuta kolmannella osapuolella muuten oleviin oikeuksiin tai oikeussuojakeinoihin.

12 Suojeluohjeet

12.1 Suojeluohjeen velvoittavuus

Vakuutuksenottajan ja vakuutetun on noudatettava tätä suojeluohjetta sekä vakuutuskirjaan ja vakuutusehtoihin merkittyjä muita suojeluohjeita ja valvottava, että suojeluohjeita noudatetaan kaikessa toiminnassa, joka vaikuttaa vakuutettuun omaisuuteen tai toimintaan. Kaikkea, mikä tässä suojeluohjeessa on asetettu vakuutuksenottajan velvollisuudeksi, sovelletaan myös kaikkiin vakuutettuihin. Vakuutettu on se, jonka hyväksi vahinkovakuutus on voimassa.

Vakuutuksenottajan ja vakuutetun on saatettava suojeluohjeet kaikkien toiminnasta vastuussa olevien henkilöiden tietoon. Jos vakuutettua omaisuutta on annettu vuokralle tai toimintaa on ulkoistettu, suojeluohjeet on saatettava vuokralleottajien ja palveluntoimittajien tietoon ja kirjallisesti edellytettävä, että nämä noudattavat suojeluohjeita. Suojeluohjeet on saatettava myös kaikkien vakuutettujen tietoon.

Tämän lisäksi on noudatettava muita Fennian antamia velvoittavia ohjeita vahinkojen torjumiseksi ja toteutettava Fennian erikseen edellyttämät, turvallisuutta parantavat toimet ja järjestelmät. Jos suojeluohjeita ei noudateta ja noudattamatta jättäminen vaikuttaa vahingon syntyyn tai sen laajuuteen, korvausta voidaan vähentää tai se voidaan evätä.

12.2 Varmuuskopiointi ja tietojärjestelmien suojaus

Vakuutuksenottajan tai vakuutetun on määritettävä tiedostojen ja ohjelmistojen varmuuskopiointi. Liiketoiminnan jatkuvuuden kannalta merkityksellisten tietojen, tiedostojen ja ohjelmistojen varmuuskopiointi on tehtävä kuitenkin vähintään seuraavasti

• tiedostojen muuttuneet tiedot on varmuuskopioitava päivittäin
• kaikki tiedot varmistava täysvarmistus on tehtävä vähintään viikon välein
• varmuuskopioitavissa olevat ohjelmistot on varmuuskopioitava ennen tietojärjestelmään asentamista ja aina muutosten yhteydessä
• varmuuskopiot, alkuperäistuotteet ja asentamiseen oikeuttavat tunnukset on säilytettävä siten, etteivät ne voi tuhoutua samassa vahingossa tietojärjestelmään asennettujen tiedostojen ja ohjelmiston kanssa
• varmuuskopioinnin onnistuminen ja varmistusten palauttaminen laitteistojen ja ohjelmistojen kanssa toimivaksi kokonaisuudeksi on testattava säännöllisesti, kuitenkin vähintään kahdesti vuodessa.

Turvalliseksi säilytystavaksi katsotaan säilyttäminen eri palo-osastossa vähintään S 120 DIS-luokan dataturvakaapissa tai kokonaan eri rakennuksessa tai pilvipalvelussa. Alkuperäistuotteiden ja asentamiseen oikeuttavien tunnusten lisäksi varmuusarkistossa pitää olla vähintään kaksi viimeistä tiedostojen täysvarmistusta ja ohjelmistojen muutosvarmistusta.

Tietojärjestelmä on kokonaisuudessaan pidettävä niin ajantasaisena, eheänä, yhteensopivana ja varmistettuna, että ohjelmisto- ja tiedostovarmistukset voidaan esinevahingon jälkeen palauttaa korjattuihin tai jälleen hankittuihin laitteistoihin ja että koko tietojärjestelmä voidaan palauttaa vahinkohetkeä edeltävään tasoon kohtuullisella työmäärällä.

Saatavilla olevat ohjelmistopäivitykset on asennettava dokumentoidusti ilman aiheetonta viivästystä, kuitenkin viimeistään seuraavien aikamääreiden kuluessa ohjelmistopäivityksen julkaisemisesta laskettuna

• internetiin yhteydessä olevat tietojärjestelmät: 30 päivää
• sulautetut järjestelmät (embedded systems) ja operatiivinen teknologia (OT): 180 päivää tai ohjelmisto-/laitetoimittajan suositusten mukaisessa aikamääreessä
• muut tietojärjestelmät: 60 päivää.

Vakuutuksenottajan tai vakuutetun tietojärjestelmissä on oltava riittävä, ammattilaistasoinen haittaohjelmien torjunta- ja poisto-ohjelmisto, jonka on oltava pysyvästi aktivoituna ja automaattisesti päivittyvä. Ohjelmiston suojaustason riittävyys ja oikeellisuus on tarkistettava säännöllisesti ja uhkatason sitä edellyttäessä.

Tietojärjestelmät on suojattava vahvalla salasanalla. Salasanan käytön osalta tulee ohjeistaa, että salasana ei saa sisältää sanoja tai yhdistelmiä, jotka ovat liitettävissä vakuutuksenottajan tai vakuutetun työntekijän tai tietojärjestelmien muiden käyttäjien henkilöllisyyteen, kuten nimi tai syntymäpäivä. Salalauseet katsotaan myös vahvoiksi salasanoiksi, eivätkä nekään saa sisältää käyttäjälle henkilökohtaisesti merkityksellisiä sanoja tai viittauksia (esim. syntymäpäivät, perheenjäsenten nimet tai työnantajan nimi).

Vakuutuksenottajan tai vakuutetun tietojärjestelmän ja tietoverkon on oltava suojattu pysyvästi aktivoidulla palomuurilla. Palomuurit tulee päivittää säännöllisesti, minkä lisäksi palomuurien suojaustason riittävyys ja oikeellisuus on tarkistettava säännöllisesti ja uhkatason sitä edellyttäessä.

Jos tietojenkäsittelyyn liittyviä palveluita on ulkoistettu, vakuutuksenottajan tai vakuutetun on kirjallisesti edellytettävä ja mahdollisuuksiensa mukaan käytännössä varmistettava, että kaikkien palveluiden toimittajat noudattavat vähintään edellä mainittuja vaatimuksia.

12.3 Elinkaaren lopussa olevat tietojärjestelmät

Jos vakuutuksenottaja tai vakuutettu ei voi toteuttaa kohdassa 12.2 tarkoitettuja varmuuskopiointi- ja suojaustoimenpiteitä sen takia, että käytössä oleville tietojärjestelmille ei ole enää saatavilla valmistajan tuotetukea tai jos tietojärjestelmä ei sen ikääntyneisyyden takia mahdollista suojeluohjeissa asetettujen velvollisuuksien täyttämistä, tulee vakuutuksenottajan tai vakuutetun vaihtoehtoisesti varmistaa, että käytössä on liiketoiminnan jatkuvuuden turvaamisen kannalta riittävät ja tarpeelliset tietoturvariskiä vähentävät toimenpiteet.

Tietoturvariskiä vähentävillä toimenpiteillä tarkoitetaan strategisen suunnittelun, tietoteknisten toimenpiteiden ja tietoturvapoikkeamien jatkuvan seurannan muodostamaa kokonaisuutta, johon kuuluvia toimenpiteitä ovat esimerkiksi tietoverkkojen eristäminen/segmentointi, virtuaalinen paikkaus (virtual patching), tietojärjestelmän jatketun tuotetuen hankkiminen valmistajalta tai korostuneet tietojärjestelmien valvontatoimenpiteet kuten tietoturvavalvomotoiminnot.