Asuransi siber atau Cyber Insurance pertama kali muncul sekitar satu generasi yang lalu, terutama di AS. Asuransi ini digunakan untuk memastikan gangguan bisnis dan, khususnya, kerusakan pada eksposur data yang disebabkan oleh dot-com bubble. Namun, dengan limit terbatas.
Ketika internet dan jaringan pembayaran tumbuh, kekhawatiran akan kerentanan meningkat. Pemberlakuan California Security Breach Information Act, SB1386, yang mengatur privasi informasi pribadi, terbukti menjadi titik balik bagi bisnis asuransi cyber di AS.
Undang-undang memberlakukan kewajiban pada mereka yang menangani data untuk mengungkapkan insiden siber yang merugikan kepada pihak berwenang dan mereka yang terkena dampak.
Perubahan legislatif serupa di seluruh negara bagian AS telah menjadi salah satu pendorong utama pasar asuransi siber. Pendekatan legislatif yang lebih ketat ini telah tercermin di Uni Eropa dalam General Data Protection Regulation 2016/679 (GDPR) yang mulai berlaku pada 25 Mei 2018.
Regulasi GDPR, DPA 2018 dan NIS
Pasal 5(1)(f) GDPR memuat prinsip “integritas dan kerahasiaan”, yang juga disebut sebagai prinsip keamanan. Prinsip ini mensyaratkan bahwa data pribadi harus diproses dengan cara yang sesuai untuk menjamin keamanan, termasuk perlindungan terhadap pemrosesan data pribadi yang tidak sah atau melanggar hukum, dan juga terhadap kehilangan, kehancuran, atau kerusakan yang tidak disengaja dan menggunakan tindakan teknis atau organisasi yang sesuai.
Selain itu, prinsip akuntabilitas dalam Pasal 5(2) mewajibkan pengawas untuk dapat menunjukkan kepatuhan terhadap prinsip tersebut. Ini dilengkapi dengan Pasal 32 yang memberikan persyaratan keamanan yang lebih spesifik.
Sementara prinsip keamanan hanya berlaku untuk pengontrol, Pasal 32 berlaku untuk pengontrol dan pemroses dan Pasal 28 mengharuskan pemroses terikat secara kontrak untuk mengambil tindakan keamanan yang disyaratkan oleh Pasal 32. GDPR juga membebankan kewajiban untuk mencatat dan melaporkan pelanggaran data tertentu (Pasal 33 dan 34, GDPR ).
GDPR memberikan subjek data dan otoritas pengawas nasional (SA) dengan kekuatan yang signifikan untuk menegakkan ketentuannya dan mendapatkan kompensasi atas pelanggarannya. Antara lain, SA diberikan:
- Beberapa kewenangan investigasi, korektif dan otorisasi dan penasehat (Pasal 58, GDPR).
- Kekuasaan untuk mengenakan denda administratif pada pengontrol dan pemroses (Pasal 83) hingga 4% dari total omset tahunan perusahaan di seluruh dunia atau EUR20 juta.
Inggris Raya mengesahkan Data Protection Act 2018 (DPA 2018) pada 23 Mei 2018. DPA menetapkan kerangka kerja untuk undang-undang perlindungan data di Inggris. Ini memperbarui dan menggantikan Data Protection Act 1998, dan berada di samping GDPR.
Sementara itu menyesuaikan bagaimana GDPR berlaku di Inggris, itu pada akhirnya menyediakan penyelarasan hukum Inggris dengan GDPR di luar Brexit. Ini juga menetapkan aturan perlindungan data terpisah untuk otoritas penegak hukum, memerluas perlindungan data ke beberapa area lain seperti keamanan dan pertahanan nasional, dan menetapkan fungsi dan wewenang Komisi Informasi.
Meskipun Inggris meninggalkan Uni Eropa pada 31 Januari 2020 (hari keluar), selama masa transisi Inggris-Uni Eropa (31 Januari hingga 31 Desember 2020) Inggris akan terus diperlakukan untuk sebagian besar tujuan seolah-olah masih menjadi negara anggota Uni Eropa, dan sebagian besar undang-undang UE (termasuk sebagaimana telah diubah atau ditambah) akan terus berlaku di Inggris Raya. Ini berarti bahwa GDPR terus berlaku di Inggris Raya hingga akhir periode transisi Inggris-Uni Eropa, berada di samping DPA 2018.
Setelah akhir masa transisi, Data Protection, Privacy and Electronic Communications (Amandemen, dll.) (Keluar UE) 2019 (SI: 2019/419) (Peraturan DP Brexit), akan mulai berlaku dan akan memperkenalkan GDPR Inggris Raya yang baru dengan menggabungkan GDPR dan GDPR yang berlaku (yang muncul berdasarkan DPA 2018) ke dalam GDPR Inggris Raya. GDPR akan dikenal sebagai GDPR UE.
Network and Information Systems Regulations 2018 (SI 2018/506) (Peraturan NIS) mulai berlaku di Inggris pada tanggal 10 Mei 2018, menerapkan Directive on Security of Network and Information Systems ((EU) 2016/1148) (Petunjuk NIS dan kadang-kadang disebut sebagai Petunjuk Keamanan Siber).
Seperti GDPR, Peraturan NIS memberlakukan persyaratan keamanan dan pelaporan insiden dan memberikan hukuman tinggi (hingga £17 juta, peraturan 18(6)). Namun, fokus mereka adalah pada keamanan sistem TI ketimbang keamanan data pribadi yang diproses oleh sistem tersebut. Dalam praktiknya, kedua rezim tersebut seringkali terkait erat meskipun hanya dua kelompok bisnis atau organisasi lain yang dicakup oleh Peraturan NIS:
- Operator layanan esensial (OES – operators of essential services) yang penting bagi perekonomian dan masyarakat luas, termasuk energi, transportasi, perawatan kesehatan, pasokan dan distribusi air minum, serta infrastruktur digital (seperti titik pertukaran internet, penyedia layanan sistem nama domain, dan domain tingkat atas pendaftar nama).
- Penyedia layanan digital yang relevan (RDSP – Relevant digital service providers) di Inggris, seperti penyedia pasar online, mesin pencari online, dan layanan cloud computing.
Regulasi yang meningkat, termasuk implementasi GDPR dan Regulasi NIS, telah menyebabkan peningkatan permintaan akan asuransi cyber khusus, karena risiko pinalti dari regulator dan liability terkait GDPR telah meningkat.
Serangan siber profil tinggi yang menyebabkan kerugian gangguan bisnis yang signifikan, seperti serangan siber WannaCry dan NotPetya, telah mendorong minat lebih lanjut dalam asuransi siber dalam beberapa tahun terakhir.
Perlindungan asuransi siber telah berkembang dari waktu ke waktu untuk mencerminkan lanskap risiko siber yang berkembang, diperburuk oleh proliferasi cloud computing dan big data. Evolusi ini akan berlanjut seiring dengan berkembangnya teknologi dan posisi hukum/peraturan.
Apa yang tampak seperti asuransi siber saat ini dapat berubah secara signifikan di masa depan, tetapi kaitan yang sama dengan ketergantungan teknologi akan tetap ada. Sebagai akibat dari perubahan sifat risiko, cakupan asuransi cyber itu sendiri dalam keadaan evolusi yang konstan.
Studi menunjukkan bahwa pasar asuransi cyber masih diyakini dalam masa pertumbuhan. Pada penelitian asuransi yang diambil oleh korporasi, sektor publik, dan organisasi nirlaba antara tahun 2013 dan 2017, diperkirakan bahwa pada tahun 2021 pertumbuhan premi paling cepat akan datang dari jaminan cyber, berdasarkan pertumbuhan tahunan premi siber sebesar 23% untuk periode dan premi di seluruh dunia diperkirakan bernilai $ 4 miliar pada tahun 2021.