Polis asuransi cyber biasanya akan menentukan batas tanggung jawab agregat dan juga cenderung menentukan retensi tertentu. Batasan dan retensi mungkin berbeda tergantung asuransinya.
Retensi
Retensi (juga dikenal sebagai self-insured retention atau SIR) adalah jumlah yang harus dibayar oleh tertanggung sebelum asuransi melekat. Sebagian besar retensi adalah retensi finansial tetapi “time retentions” atau “waiting periods” juga sering ditemukan dalam kaitannya dengan cyber business interruption. Jika kerugian yang diklaim kurang dari jumlah retensi, tertanggung harus menanggung semua kerugian. Umumnya, peningkatan retensi akan mengurangi jumlah premi.
Misalnya, polis mungkin memiliki uang pertanggungan sebesar £1 juta (limit liability) dan memiliki retensi £20.000.
• Skenario satu: kerugian cyber sebesar £10.000 (kurang dari retensi). Dalam hal ini, tertanggung akan menanggung kerugian penuh sebesar £10.000.
• Skenario dua: kerugian cyber sebesar £500.000 (lebih dari retensi tetapi kurang dari limit liability). Dalam hal ini, tertanggung akan membayar £20.000 pertama dan perusahaan asuransi akan membayar sisa £480.000.
• Skenario tiga: kerugian cyber sebesar £1,5 juta (lebih dari retensi dan limit liability). Dalam hal ini, tertanggung akan membayar £20.000 pertama, perusahaan asuransi akan menanggung £1 juta berikutnya dan £480.000 sisanya akan ditanggung oleh tertanggung. Deductible, yang relatif jarang dalam asuransi cyber, beroperasi untuk mengikis limit liability; sedangkan retensi tidak. Jika, dalam contoh ini, polis memiliki pengurangan sebesar £20.000, perusahaan asuransi hanya akan membayar £980.000.
Contoh di atas adalah murni ilustrasi dan untuk risiko besar dengan batas kewajiban yang besar, retensi sering diukur dalam jutaan pound.
Limit secara agregat
Polis cyber umumnya memiliki limit liability agregat daripada ditulis berdasarkan one single claim. Limit agregat menetapkan jumlah total yang akan dibayarkan selama durasi polis, yang berarti bahwa beberapa klaim dapat bersama-sama mengikis limit meskipun masing-masing klaim tersebut mungkin termasuk dalam limit.
Agregasi klaim
Polis asuransi cyber biasanya akan berisi bahasa agregasi, yang beroperasi sehingga klaim terkait atau serupa diperlakukan sebagai satu klaim tunggal. Bagaimana ini akan beroperasi tergantung pada bentuk kata-kata tertentu yang digunakan dalam polis asuransi tertentu, tetapi tujuan keseluruhan dari agregasi adalah untuk meminimalkan eksposur perusahaan asuransi sehingga total pembayaran tidak melebihi batas per-klaim yang disepakati. Namun, agregasi dapat menguntungkan tertanggung karena memungkinkan tertanggung untuk menyatukan beberapa kerugian yang lebih kecil sehingga kerugian keseluruhan yang diderita melebihi retensi dan memicu tanggung jawab perusahaan asuransi.
Kata-kata untuk menentukan klaim mana yang akan diklasifikasikan sebagai “terpisah” atau “serupa/berhubungan” dalam klausa agregasi perlu dipertimbangkan secara hati-hati antara penanggung dan tertanggung. Ini karena dalam perselisihan, kata-kata yang ambigu dapat mengubah interpretasi apakah klausa agregasi berlaku.
Dalam AIG Europe Ltd versus OC320301 LLP [2017] UKSC 18, Mahkamah Agung menyatakan bahwa menentukan apakah transaksi terkait untuk tujuan agregasi melibatkan pelaksanaan penilaian. Pengadilan mempertimbangkan interpretasi klausa agregasi yang menyangkut beberapa klaim yang timbul dari tindakan atau kelalaian yang sama atau tindakan atau kelalaian serupa dalam “serangkaian masalah atau transaksi terkait”. Dinyatakan bahwa kata “terkait” menyiratkan bahwa ada keterkaitan antara hal-hal dan hal-hal itu dalam beberapa cara harus cocok seluruhnya.