ENISA EUにおけるサイバー保険の需要サイド (2023.02.23)
こんにちは、丸山満彦です。
ENISAが、サイバー保険サービスの獲得に関する基幹業務運営事業者(OESs)の現状と課題を分析した報告書をだしていますね。。。
● ENISA
・2023.02.23 Demand Side of Cyber Insurance in the EU
Demand Side of Cyber Insurance in the EU | EUにおけるサイバー保険の需要サイド |
The report analyses current perspectives and challenges of Operator of Essential Services (OESs) related to the acquirement of cyber insurance services. Information and statistics are presented according to the selection, acquisition and use of cyber insurance as a mitigation tool in the context of their daily business’ lifecycle. The collection of data and opinions were elaborated in relation to the category of OESs included in the network and information security (NIS) directive (Directive (EU) 2016/1148. Nonetheless, results and evidences would be also applicable to essential and important entities defined in the framework of the NIS2 Directive (EU) 2022/2555. | 本報告書は、サイバー保険サービスの獲得に関連する重要サービス事業者(OESs)の現状と課題について分析している。日常業務のライフサイクルの中で、緩和手段としてのサイバー保険の選択、取得、利用について、情報と統計を提示している。データと意見の収集は、ネットワークと情報セキュリティ(NIS)指令(指令(EU)2016/1148)に含まれるOESsのカテゴリに関連して精緻化された。それでも、結果と証拠は、NIS2指令(EU)2022/2555の枠組みで定義された必須かつ重要なエンティティにも適用されるであろう。 |
・[PDF]
目次...
EXECUTIVE SUMMARY | エグゼクティブサマリー |
1. INTRODUCTION | 1. 序文 |
2. THE DEMAND SIDE OF CYBER INSURANCE SECTOR | 2. サイバー保険分野の需要側 |
2.1 RISK-MANAGEMENT PRACTICES | 2.1 リスクマネジメントの実践 |
2.2 CYBER INSURANCE AND OTHER COVERAGE | 2.2 サイバー保険とその他の補償 |
2.3 IDENTIFICATION AND SELECTION OF CYBER INSURER | 2.3 サイバー保険会社の特定と選択 |
2.4 CONTRACT AND PROCESS | 2.4 契約とプロセス |
2.5 MAINTENANCE AND SUPPORT | 2.5 メンテナンスとサポート |
2.6 CLAIM PROCEDURE | 2.6 保険金請求手続き |
2.7 AWARENESS AND SKILLS | 2.7 意識とスキル |
3. RECOMMENDATIONS | 3. 推奨事項 |
4. ANNEXES | 4. 附属書 |
4.1 ANNEX A. ABRREVIATIONS | 4.1 附属書 A. 用語集 |
4.2 ANNEX B. BIBLIOGRAPHY | 4.2 附属書 B. 書誌事項 |
4.3 ANNEX C. SURVEY QUESTIONS | 4.3 附属書 C. 調査の質問事項 |
4.4 ANNEX D. SURVEY RESULTS | 4.4 附属書 D. 調査結果 |
エグゼクティブサマリー
EXECUTIVE SUMMARY | エグゼクティブサマリー |
This report analyses current perspectives and challenges of Operator of Essential Services (OESs) related to the acquirement of cyber insurance services. Information and statistics are presented according to the selection, acquisition and use of cyber insurance as a mitigation tool in the context of their daily business’ lifecycle. The collection of data and opinions were elaborated in relation to the category of OESs included in the network and information security (NIS) directive (Directive (EU) 2016/1148. Nonetheless, results and evidences would be also applicable to essential and important entities defined in the framework of the NIS2 Directive (EU) 2022/2555. | 本報告書は、サイバー保険サービスの獲得に関する基幹業務運営事業者(OESs)の現状と課題を分析したものである。日常業務のライフサイクルの中で、緩和手段としてのサイバー保険の選択、加入、利用について、情報および統計が示されている。データと意見の収集は、ネットワークと情報セキュリティ(NIS)指令(指令(EU)2016/1148)に含まれるOESsのカテゴリに関連して精緻化された。しかし、結果と証拠は、NIS2指令(EU)2022/2555の枠組みで定義された必須かつ重要なエンティティにも適用されるだろう。 |
The report addresses exclusively the ‘demand side’ of cyber-insurance market, applicable to the particular case of OESs. The analysis and results have been conducted from a methodological approach which integrates: desk-research, on-line survey, phone interviews, data analysis and recommendations for policymakers. To the purpose, the analysis aims at addressing different segments of the cyber insurance contracting process, namely: risk management practices, cyber insurance coverage, claims processes and opinions from the respondents in key areas such as skills. | 本報告書は、OESsという特殊なケースに適用されるサイバー保険市場の「需要サイド」のみを対象としている。分析と結果は、机上調査、オンライン調査、電話インタビュー、データ分析、政策立案者への提言を統合した方法論的アプローチで実施されたものである。この目的のために、分析は、サイバー保険の契約プロセスの様々なセグメント、すなわち、リスクマネジメントの実践、サイバー保険の適用範囲、クレーム処理、スキルなどの主要分野における回答者の意見に取り組むことを目的としている。 |
In terms of results, the analysis shows that a big proportion of operators of essential services consider cyber insurance less attractive due to increasing prices and decreasing coverage. This phenomenon is highly noted specially in small entities in a moment in which ransomware incidents are on the rise[1]. Data from both the survey and the semistructured interviews support these findings. Other key findings of the analysis were: | 分析の結果、重要なサービスを提供する事業者の多くが、価格の上昇と補償範囲の縮小により、サイバー保険の魅力が低下していると考えていることが明らかになりました。この現象は、ランサムウェアのインシデントが増加している現在、特に小規模な事業者で強く指摘されている[1]。調査および半構造化インタビューから得られたデータは、これらの知見を裏付けている。その他の主な分析結果は以下のとおりである。 |
• hird-party liabilities are the preferred additional coverage that companies would like to have added in their cyber insurance coverage; | ・企業がサイバー保険の補償範囲に追加したい補償は,第三者賠償責任である。 |
• cyber-risk is being highly addressed on qualitative basis. For a 77 % of operators of essential services there is a formalized process to identify cyber-risk. On the other hand, 64 % of OESs do not quantify cyber-risks; | ・サイバーリスクは定性的には高度に対処されている。必須サービスの事業者の77%は、サイバーリスクを特定するための正式なプロセスが存在する。一方、OESの64%はサイバーリスクを定量化していない。 |
• other risk mitigation strategies were often mentioned as more favourable than risk transfer due to coverage and costs. | ・他のリスク軽減戦略は,補償範囲とコストの点から,リスク移転よりも好ましいとしばしば言及されている。 |
Regarding recommendations, the report provides advice to policymakers in EU and its Member States and also to the community of OESs. The report focuses on the analysis of demand side of cyber insurance (particularly OESs), and accordingly related recommendations target policymakers and OESs. Accordingly, key recommendations for policy makers are: | 提言については、EUとその加盟国の政策立案者、およびOESsのコミュニティに対してアドバイスを提供している。本報告書は、サイバー保険(特にOESs)の需要サイドの分析に焦点を当てており、それに応じて、政策立案者とOESsをターゲットにした関連勧告を行っている。従って、政策立案者に対する主な提言は以下の通りである。 |
• Implement guidance mechanisms to OESs focused on: identification of assets, monitor key metrics, conduct periodic risk assessments, security controls identification and quantification of risks. | ・資産の特定,主要評価指標の監視,定期的なリスク評価の実施,セキュリティ管理の特定,リスクの定量化に焦点を当てたOESsへの指導体制を導入すること。 |
• Promote the creation of frameworks oriented to identify and exchange good practices among OESs, particularly those related to identification, mitigation and quantification of risk exposure. | ・特にリスクエクスポージャーの特定,軽減及び定量化に関連した,OESs間のグッドプラクティスの特定及び交換を目的とした枠組みの構築を促進する。 |
• Be aware of the heterogeneity of OESs in terms of size, economic sector and strategic function. Formulation of policy action should be coherent with specific needs and challenges of OESs without losing sight of differences among them, e.g. small entities vs large operators. | ・OESの規模、経済分野及び戦略的機能における異質性を認識する。政策行動の策定は、OESs間の差異(例:小規模事業者と大規模事業者)を見失うことなく、OESsの具体的なニーズと課題に合致したものであるべきである。 |
• Address the feasibility of more economically sustainable cyber-insurance policies by working closer to cyber-insurance brokers. | ・サイバー保険ブローカーとより緊密に連携し,より経済的に持続可能なサイバー保険政策の実現可能性に取り組む。 |
Similarly, key recommendations to OES are: | 同様に、OESに対する主な提言は以下の通り。 |
• Improve maturity of risk management practices, especially those related to identification, mitigation and quantification of risk exposure. | ・リスクマネジメントの成熟度,特にリスクエクスポージャーの特定,軽減,定量化に関する成熟度を向上させること。 |
• Consider to allocate or increase budgetary provisions to implementing processes related to identification of assets, monitor key metrics, conduct periodic risk assessments, security controls identification and quantification of risks based on industry best practices. | ・資産の特定,主要評価指標の監視,定期的なリスク評価,セキュリティ管理の特定,業界のベストプラクティスに基づくリスクの定量化に関するプロセスの実施に,予算を配分または増額することを検討する。 |
• Improve knowledge transfer and sharing among OESs allowing to learn from good practices when contracting and implementing cyber insurance to the benefit of these operators. | ・OESs間の知識の伝達と共有を改善し,これらの事業者の利益のためにサイバー保険を契約・導入する際に優れた実践例から学ぶことができるようにする。 |
[1] https://www.enisa.europa.eu/publications/enisa-threat-landscape-2021/@@download/fullReport
« EDPB EU-米国データ・プライバシー・フレームワークにおける改善を歓迎するが、いいたいことは54ページ分ほどある(^^) | Main | ENISA 国家サイバーセキュリティ戦略の実施に向けた効果的なガバナンスフレームワークの構築 »
Comments