Diagram di bawah ini mengilustrasikan berbagai risiko cyber, di mana risiko-risiko tersebut dapat dicakup dalam polis asuransi tradisional (seperti polis asuransi profesional dan business interruption) dan batasan yang menentukan apakah risiko tersebut benar-benar tercakup dalam polis asuransi tersebut:
Diagram tersebut menunjukkan bahwa polis asuransi yang ada terkadang, secara langsung atau tidak langsung, memberikan perlindungan untuk risiko cyber tertentu. PRA menyebut ini sebagai:
- Jaminan cyber afirmatif. Artinya, ada polis yang secara eksplisit mencakup pertanggungan risiko cyber.
- Risiko cyber non-afirmatif. Yaitu, polis yang ada yang tidak secara eksplisit memasukkan atau mengecualikan cakupan untuk risiko cyber; namun, klausul asuransi cukup luas untuk mencakup insiden cyber (selama tidak ada pengecualian yang berlaku).
Penanggung menghadapi eksposur yang signifikan melalui risiko cyber non-afirmatif. Hal ini menyebabkan PRA menetapkan harapannya pada manajemen risiko penjaminan asuransi cyber yang hati-hati dan meminta perusahaan asuransi untuk mengembangkan rencana tindakan untuk meningkatkan manajemen mereka dan mengurangi eksposur yang tidak diinginkan terhadap risiko tersebut. Asosiasi Pasar Lloyd (LMA) telah mengikuti pendekatan PRA dan menerbitkan berbagai model klausul untuk membantu pasar asuransi properti dan marine serta asuransi properti retail dan komersial dalam memberikan kejelasan cakupan jaminan cyber.
Dalam konteks ini, perlu ditekankan bahwa, pengecualian yang biasa digunakan dalam polis asuransi yang ada dapat menghalangi pertanggungan untuk beberapa risiko terkait cyber. Risiko cyber juga dapat menjadi salah satu dari beberapa penyebab kerugian.
Berdasarkan hukum Inggris, perusahaan asuransi hanya akan bertanggung jawab atas kerugian yang disebabkan oleh risiko yang ditanggung oleh polis. Penyebab terdekat dalam
konteks ini mengacu pada penyebab kerugian yang dominan, efektif atau operatif. Ada kemungkinan ada beberapa penyebab langsung kerugian yang beroperasi secara bersamaan.
Oleh karena itu, masalah penting adalah apakah perusahaan asuransi akan bertanggung jawab dalam keadaan di mana tidak semua penyebab langsung kerugian terkait dengan risiko yang ditanggung oleh perusahaan asuransi (yaitu, risiko cyber). Dalam keadaan ini, posisi historis di bawah hukum Inggris pada dasarnya adalah bahwa:
- Jika ada dua penyebab kerugian terdekat, salah satunya dilindungi secara khusus dan yang lainnya tidak secara khusus ditanggung atau dikecualikan secara khusus (yaitu perlindungan cyber non-afirmatif), perusahaan asuransi pada prinsipnya akan bertanggung jawab atas kerugian tersebut.
- Jika ada dua penyebab kerugian terdekat, salah satunya secara khusus ditanggung dan yang lainnya secara khusus dikecualikan (yaitu, pengecualian perlindungan cyber), perusahaan asuransi dapat mengandalkan pengecualian untuk seluruh kerugian.
Untuk alasan ini, tertanggung menggunakan asuransi cyber untuk melindungi mereka dari kerugian jika risiko cyber terjadi, ketimbang mencoba mengandalkan polis eksisting dan tradisional yang mungkin tidak mencakup luas dan dalamnya kerugian dan kewajiban terkait cyber.
Tertanggung juga harus menyadari bahwa bahaya lain dari mengandalkan kebijakan tradisional untuk menutupi risiko cyber adalah bahwa klaim kewajiban cyber dapat mengikis limit asuransi dan berdampak pada renewal polis asuransi yang penting dan terkadang wajib seperti asuransi professional indemnity untuk profesional yang ditunjuk.