Polis asuransi cyber biasanya berisi pengecualian, antara lain:
• Malicious acts. Meskipun polis biasanya memberikan pertanggungan untuk tindakan yang tidak disengaja, pertanggungan itu tidak akan mencakup pelanggaran atau tindakan yang disengaja oleh tertanggung. Tindakan yang disengaja oleh karyawan nakal, seperti dalam kasus WM Morrisons Supermarket plc versus Sejumlah Penggugat [2018] EWCA Civ 2339, bagaimanapun, akan ditanggung, jika tindakan tersebut tidak dilakukan atau dimaafkan oleh manajemen senior tertanggung. (Untuk informasi lebih lanjut, lihat Pembaruan hukum, Majikan bertanggung jawab secara vicariously liable atas pengungkapan data pribadi rekan kerja oleh karyawan (Pengadilan Banding). Perhatikan bahwa keputusan Pengadilan Tinggi tentang tanggung jawab perwakilan majikan dibatalkan oleh Mahkamah Agung pada tahun WM Morrison Supermarkets plc versus Sejumlah Penggugat [2020] UKSC 12, dipertimbangkan dalam pembaruan Hukum, Majikan tidak bertanggung jawab secara perwakilan atas pelanggaran perlindungan data yang dilakukan oleh seorang karyawan (Mahkamah Agung)).
• Recklessness or negligence. Polis juga dapat berisi pengecualian di mana tertanggung, misalnya, dengan lalai gagal memelihara sistem keamanan yang memadai atau, lebih umum, gagal meningkatkan atau memperbarui sistem. Pengecualian tersebut, bagaimanapun, kontroversial dan semakin jarang.
• Known cyber incidents / Insiden siber yang diketahui. Polis siber sering kali mengecualikan pertanggungan di mana tertanggung mengetahui, atau seharusnya mengetahui secara wajar, tentang insiden siber dan gagal mengungkapkannya pada awal polis. Penanggung biasanya menjalankan latihan pengungkapan yang panjang sebelum polis dimulai, sehingga mereka dapat menghitung dan menanggung risiko mereka. Jika tertanggung gagal mengungkapkan insiden cyber yang diketahui, pertanggungan biasanya dikecualikan. Ini tidak sama dengan insiden cyber yang tidak diketahui sebelum dimulainya suatu kebijakan.
• Double insurance / asuransi ganda. Polis sering kali berisi pengecualian yang melarang tertanggung untuk mengklaim berdasarkan polis asuransi jika risiko cyber sudah tercakup dalam polis asuransi lain. Hal ini diharapkan dalam keadaan di mana polis asuransi cyber dimaksudkan untuk mengisi kesenjangan antara perlindungan yang diberikan oleh polis asuransi tradisional yang ada. Masalah asuransi ganda biasanya ditangani dengan dimasukkannya klausul “other insurance clause” tetapi terkadang klausul other insurance dan pengecualian other insurance ditemukan bersamaan dalam polis.
• Perang dan terorisme. Polis pasti akan berisi pengecualian tanggung jawab atas kerugian terkait cyber yang diakibatkan oleh tindakan perang dan terorisme, meskipun klausul pengecualian ini terkadang kurang memberatkan daripada yang diadopsi dalam jalur tradisional seperti asuransi properti. Seperti telah disebutkan di atas, area abu-abu dari dugaan serangan siber yang disponsori negara bangsa, seperti WannaCry dan NotPetya pada tahun 2017, duduk lebih natural dalam cyber insurers’ underwriting appetite dan banyak klaim terkait telah dipenuhi oleh perusahaan asuransi siber. Berkenaan dengan terorisme, undang-undang setempat tentu saja dapat melarang perusahaan asuransi membayar klaim kehilangan uang tebusan jika ada alasan untuk mencurigai bahwa pemeras cyber mungkin juga teroris. Misalnya, berdasarkan pasal 17A(1)(b) Terrorism Act 2000, merupakan pelanggaran bagi perusahaan asuransi untuk melakukan pembayaran berdasarkan kontrak asuransi jika pembayaran dilakukan sebagai tanggapan atas permintaan untuk tujuan terorisme.
• Infrastruktur. Kekhawatiran atas risiko cyber agregat berarti bahwa polis asuransi cyber selalu mengecualikan kerugian yang timbul dari kegagalan utilitas seperti listrik, gas dan air serta penyedia layanan internet, telekomunikasi dan satelit.
• Betterment. Polis asuransi cyber umumnya tidak dimaksudkan untuk menempatkan tertanggung dalam posisi yang lebih baik daripada jika tidak ada risiko yang ditanggung, dan karenanya mengecualikan biaya pemulihan sistem komputer ke standar fungsionalitas yang lebih tinggi daripada yang semula terjadi. Namun, pengecualian ini terkadang dapat dikurangi untuk memungkinkan perlindungan afirmatif, misalnya, di mana komponen atau program asli tidak lagi dapat dibeli, untuk menyediakan biaya yang setara dengan yang terdekat.
• Bodily Injury and property damage. Cedera pribadi selalu dikecualikan dari perlindungan asuransi cyber (kecuali untuk kesusahan atau kecemasan dalam konteks tanggung jawab privasi, dan terkadang klaim pencemaran nama baik). Kerusakan properti yang nyata biasanya dikecualikan, tetapi pengecualian dapat dinegosiasikan, misalnya, untuk sektor industri tertentu atau, semakin meningkat, dalam konteks “bricking”. Bricking mengacu pada perangkat keras yang dirender sehingga menjadi tidak berguna oleh malware, dan dukungan bricking (carving back property damage exclusions) memungkinkan biaya penggantian perangkat keras itu, dan untuk pemulihan data terkait atau eksposur gangguan bisnis.
• Assumed liability under contract. Polis cyber biasanya berisi pengecualian yang berkaitan dengan kewajiban yang timbul dari jaminan dan ganti rugi yang dilikuidasi. Namun, pengecualian ini sering dilunakkan dengan kualifikasi bahwa kewajiban tersebut yang akan ada tanpa adanya asumsi kewajiban dalam hal apapun akan ditanggung.
• Retroactive date. Beberapa polis termasuk pengecualian tanggal retroaktif yang berkaitan dengan klaim yang timbul dari tindakan salah yang dilakukan sebelum tanggal tertentu yang ditentukan dalam polis. Pengecualian ini bertujuan untuk mencegah penanggung dari keharusan mengganti kerugian tertanggung atas klaim yang diajukan selama periode polis yang berkaitan dengan peristiwa yang terjadi bertahun-tahun sebelumnya.