Cyberforsikring CyberPlus
Cyberforsikring CyberPlus
Forsikringsvilkår TE-CYBERPLUS-02, 01.09.2023
Købstædernes Forsikring
Xxxxxxxxxx 00X 0000 Xxxxxxxxx K CVR-nr. 51148819 xxxxxxxxxxxx@xxxxxxxxxxxx.xx xxx.xxxxxxxxxxxx.xx
Indhold
4. Forsikringssum og selvrisiko 6
5. Hvornår dækker forsikringen 6
Cyberforsikring - CyberPlus
Disse vilkår er i tilslutning til de enhver tid gældende generelle vilkår for TotalErhverv, medmindre de er fraveget i nærværende vilkår.
Alle begreber i disse vilkår er med fed skrift og har den betydning, som er anført i definitioner.
1. Hvad er dækket
1.1 Håndtering af IT-sikkerhedshændelser
Forsikringen dækker rimelige og nødvendige omkostninger, som du har pådraget dig som følge af en fak- tisk eller formodet cyberhændelse:
a. hvor en ekspert undersøger og anfører årsagen til cyberhændelsen,
b. hvor en ekspert begrænser cyberhændelsen og om nødvendigt eliminerer elementerne deri (såsom at slette malware eller deaktivere kompromitterede brugerkonti),
c. hvor en ekspert dokumenterer og indberetter til dig om cyberhændelsen, samt kommer med rimelige anbefalinger om, hvordan, du kan styrke dit computersystems modstandskraft mod lignende fremtidi- ge cyberhændelser.
d. for at overholde de gældende databeskyttelseslove efter et brud på datasikkerheden (såsom at give meddelelse til din tilsynsmyndighed eller registrerede personer),
e. til at drive et internt eller eksternt krisehåndteringscenter (herunder en telefonisk hotline), som kan drives af dine medarbejdere eller eksperter, der kan kræve overtidsbetaling i de første 30 dage, efter at en for- sikringsbegivenhed er indberettet til forsikringsselskabet.
f. til at købe kredit og overvågningstjenester angående identitetstyveri til fordel for registrerede perso- ner, der påvirkes af et brud på datasikkerheden, med forbehold af forsikringsselskabets forudgående, skriftlige samtykke,
g. Til at en ekspert kan rådgive dig om beskyttelse af dit omdømme indtil udløbet af beskyttelsesperio- den angående omdømme, for at forhindre eller afbøde virkningerne af negativ omtale, som med rime- lighed kunne opstå efter en forsikringsbegivenhed,
h. for juridiske omkostninger, der er afholdt for at reagere på handlinger truffet af tilsynsmyndighederne med hensyn til Cyberhændelsen.
Forsikringsselskabet refunderer også eventuelle, juridisk administrative bøder og sanktioner, som man kan forsikre sig imod, som er pålagt af din tilsynsmyndighed som en direkte følge af et brud på datasik- kerheden.
1.2. Retablering
Forsikringen dækker rimelige og nødvendige omkostninger, som du har pådraget dig som følge af en fak- tisk eller formodet cyberhændelse:
a. for at retablere og konfigurere dine data, din software og dit computersystem efter en cyberhændelse, så tæt som muligt til den tilstand, som de var i umiddelbart forud for cyberhændelsen.
Dette omfatter ikke omkostninger til forskning og reudvikling af data og/eller software, som ikke kan gendannes.
b. for at udskifte din hardware, hvis en ekspert har fastslået, at udskiftningen af din hardware (eller en del heraf) vil være mere effektiv og økonomisk end at dekontaminere (rense) eller omkonfigurere dit com- putersystem.
Denne dækning omfatter ikke omkostninger til udskiftning af hardware indeholdt i Operationel Teknolo- gi (OT) og indlejrede systemer.
Den udskiftede hardware skal være af tilsvarende standard og funktionalitet som din eksisterende
hardware før cyberhændelsen.
1.3. Driftstab
Forsikringen dækker dig for din mistede bruttoavance og øgede arbejdsomkostninger, som er påløbet i forsikringsperioden som en direkte følge af den fuldstændige eller delvise utilgængelighed eller forringel- se i tjenesten ved dit eller din Serviceudbyders computersystemer forårsaget af en cyberhændelse, som er dækket af forsikringen. Dette gælder også i tilfælde af fuldstændig eller delvis utilgængelighed af data, som er lagret eller på anden måde behandles på din eller din serviceudbyders computersystem, forårsa- get af en cyberhændelse, der er dækket af denne forsikring.
1.4. Cyberafpresning
Forsikringsselskabet refunderer dig en eventuel løsesum, du betaler (hvor det lovligt), samt rimelige og nødvendige omkostninger til at løse cyberafpresning. Forud for beslutningen om at betale løsesum skal der konsulteres en ekspert indenfor afpresning.
Hvis Forsikringsselskabet anmoder dig om det, skal du give alle relevante retshåndhævende myndighe- der meddelelse om cyberafpresningen.
Omkostningerne erstattes indenfor den maksimale forsikringssum og med maksimalt 30% af denne.
1.5. PCI-DSS
Forsikringsselskabet refunderer dig eventuelle pengebøder og sanktioner, som du er blevet pålagt af et betalingskortmærke på grund af dit brud på PCI-DSS, som er direkte forårsaget af en cyberhændelse. Hvis et betalingskortmærke kræver det, betaler Forsikringsselskabet også rimelige og nødvendige om- kostninger, som du har pådraget dig for:
a. en PCI-kriminalteknisk undersøger skal undersøge en mistanke om et brud på PCI-DSS,
b. PCI-DSS gencertificering eller
c. genudstedelse af et kredit-, hæve- eller forudbetalt kort på grund af dit brud på PCI-DSS,
d. direkte forårsaget af en cyberhændelse.
e. Omkostningerne erstattes indenfor den maksimale forsikringssum og med maksimalt 10% af denne.
1.6. Ansvar for datasikkerhed
Forsikringen dækker eventuelle beløb, som du juridisk er ansvarlig for, og som stammer fra et tredjem- andskrav for brud på datasikkerheden i forbindelse med fortrolige oplysninger eller en tredjemands personoplysninger (herunder dine medarbejderes personoplysninger) eller for overtrædelse af gælden- de databeskyttelseslovgivning.
Forsikringen dækker også dine påløbne omkostninger til juridisk forsvar med forsikringsselskabets
samtykke.
1.7. Ansvar for netværkssikkerhed
Forsikringen dækker eventuelle beløb, som du er juridisk ansvarlig for, og som udspringer fra et tredjem- andskrav for en cyberhændelse på dine computersystemer, der har medført:
a. skade på, ændring af, ødelæggelse af, ikke bemyndiget adgang til, ikke bemyndiget videregivelse af
data, som er lagret på tredjemands computersystemer
b. afbrydelse eller forringelse tredjemands computersystemers ydeevne.
Forsikringen dækker også dine omkostninger til juridisk forsvar, som er påløbet med forsikringsselska- bets samtykke.
1.8. Medieansvar
Forsikringen dækker eventuelle beløb, som du har det juridiske ansvar for, og som udspringer af et tredje- mandskrav for:
a. ærekrænkelse,
b. brud på ophavsret, titel, slogan, varemærke, handelsnavn, servicemærke, servicenavn eller domæne- navn eller
c. brud på eller forstyrrelse af rettigheder angående privatlivets fred, som er en følge af dine onlinemedie- aktiviteter.
Forsikringen dækker også dine omkostninger til juridisk forsvar, som er påløbet med forsikringsselska- bets samtykke.
Omkostningerne erstattes indenfor den maksimale forsikringssum og med maksimalt 10% af denne.
1.9. Generelle betingelser, der gælder for punkt 1.6, 1.7 og 1.8
Forsikringen dækker ligeledes dine medarbejderes personlige juridiske ansvar, der udspringer af et tred- jemandskrav for handlinger eller udeladelser inden for deres opgaver som medarbejdere, undtagen hvis disse handlinger eller undladelser er forsætlige, ondsindede eller bevidste.
2. Hvad er ikke dækket
2.1. Forsikringen dækker ikke et krav fra dig i henhold til denne forsikring, som udspringer direkte eller indi- rekte af følgende:
2.1.1. Forsikringsbegivenheder eller omstændigheder, der med rimelighed kan føre til en forsikringsbegi- venhed, som er kendt af dig eller som med rimelighed burde have været kendt af dig forud for, at forsikrin- gen trådte i kraft,
2.1.2. Fejl, forstyrrelse, forringelse eller afbrydelse af infrastruktur eller forbundne tjenester fra de følgende tredjemandsleverandører, som ikke kontrolleres af dig: leverandører af telekommunikation, internetservice, satellit, kabel, elektricitet, gas eller vand,
2.1.3. Terrorisme, under forudsætning af at denne udeladelse ikke gælder for cyberterrorisme,
2.1.4. Strejke, oprør eller uroligheder,
2.1.5. Krig og/eller Statsstøttede cyberangreb,
2.1.6. Udledning, udbredelse, udsivning, vandring, frigivelse eller udstrømning af farlige stoffer, forurenende stoffer eller forureningskilder,
2.1.7. Beslaglæggelse, konfiskation, krav, ødelæggelse eller skade på dit computersystem på grund af handlinger, krav eller et pålæg fra en regering, regulerende myndighed, domstol eller andet organs side,
2.1.8. Forkert dimensionering af dine computersystemer, hvilket gør dem uegnede til det særskilte formål eller brug,
2.1.9. Din eller din serviceudbyders forsætlige, ondsindede eller bevidste handling eller undladelse,
2.1.10. Tab af eller skade på konkret ejendom og eventuelle følgetab, herunder mistet brug af konkret ejen- dom,
2.1.11. Hvis Forsikringsselskabet forbydes af betale, forsikre og/eller give dig nogen ydelse til dig ved en ju- ridisk eller lovgivningsmæssig sanktion, forbud eller begrænsning,
2.1.12. Hvis du har undladt at tage rimelige skridt til at samarbejde med eller forhindre idømmelse af et på- bud, en instruks eller anvisning fra din tilsynsmyndighed, som udspringer direkte eller indirekte af en for- sikringsbegivenhed,
2.1.13. Bøder, pønalt begrundet erstatning eller bod uanset arten (undtagen at dette ikke gælder for afsnit
1.1 (håndtering af IT-sikkerhedshændelser) eller afsnit 1.5 (PCI-DSS),
2.1.14. Investerings- eller handelstab, herunder eventuel manglende mulighed for at sælge, overdrage eller på anden vis afhænde værdipapirer,
2.1.15. Planlagt nedetid, planlagte afbrydelser eller tomgangsperiode for computersystemer eller dele af
computersystemer,
2.1.16. Din eller din serviceudbyders manglende betaling af et forfaldent beløb, fornyelse eller udvidelse af lejeaftale, aftale, licens eller bestilling af levering af varer eller ydelser,
2.1.17. Personskade, psykologisk, traume, sygdom eller dødsfald,
2.1.18. Tyveri, krænkelse af eller videregivelse af intellektuel ejendom (såsom f.eks. patenter, varemærker, ophavsrettigheder). Denne undladelse gælder ikke for 1.6 (Ansvar for datasikkerhed) eller 1.8 (Mediean- svar). Dog er tyveri, misligholdelse eller videregivelse af patenter altid undtaget.
2.1.19. Tredjemandskrav fremsat af eller på vegne af: en juridisk enhed med reel kontrol over dig, nogle af
xxxx datterselskaber, en juridisk enhed, som du, dit moderselskab eller xxxx datterselskaber har reel kon-
trol over, en person som ejer en majoritetsaktiepost over dig, en juridisk enhed, som du har en økonomisk interesse i uanset beløbets størrelse, eller et partnerskab eller joint venture, som du er part i,
2.1.20. Videregående ansvar end, hvad der følger af almindelige erstatningsregler. Denne undtagelse gæl- der ikke for sanktioner, der fremsættes over for dig fra et betalingskortmærke, som er dækket i henhold til afsnit 1.5 (PCI-DSS),
2.1.21. Unøjagtig, utilstrækkelig eller ufuldstændig beskrivelse af varer, ydelser eller priserne derpå,
2.1.22. Kulancemæssig eller skønsmæssige forlig eller udtryk for god vilje overfor tredjemand, herunder ra- batter, kredit på ydelser, reduktioner, prisnedsættelser, kuponer, gevinster, præmier eller andre aftalemæs- sige eller ikke-aftalemæssige incitamenter, reklamefremstød eller tilskyndelser,
2.1.23. Omkostninger til forbedring af dit computersystem eller dine data ud over den tilstand, det var i forud for forsikringsbegivenheden, medmindre det er uundgåeligt i forbindelse med gendannelse af data eller software eller aktiviteter forbundet med håndtering af IT-sikkerhedshændelser, som er dækket af den- ne forsikring.
2.1.24. Eventuelle krav (herunder omkostninger til forsvar), der udspringer af dit ansvar hvad angår ledel- sen af den forsikrede virksomhed eller angående udarbejdelsen eller udsendelsen af en erklæring, udta- lelse eller oplysninger om den forsikrede virksomhed.
2.1.25 Tab af eller beskadigelse af digitale gavekort, tilgodebeviser eller anden digital- eller virtuel valuta.
3. Hvor dækker forsikringen
3.1 Danmark og danske interesser i hele verden ekskl. erstatningsansvar i USA og Canada.
4. Forsikringssum og selvrisiko
4.1. Den Maksimale forsikringssum fremgår af policen.
4.2 Den Maksimale forsikringssum udgør den højeste grænse for forsikringsselskabets forpligtelse for krav anmeldt under forsikringen indenfor det enkelte forsikringsår
4.3 Selvrisikoen fremgår af policen.
4.3.1 Selvrisiko opkræves ikke for omkostninger, som du har pådraget dig som følge af en faktisk eller for- modet cyberhændelse omfattet af vilkårenes pkt. 1.1 a-e indenfor de første 48 timer.
5. Hvornår dækker forsikringen
5.1. Hvornår dækker forsikringen
Enhver forsikringsbegivenhed som omfattes af pkt. 1.1-1.5 skal først opdages af dig i løbet af forsikrings- perioden og indberettes til forsikringsselskabet i løbet af forsikringsperioden (eller i løbet af den auto- matisk udvidede anmeldelsesperiode).
Ethvert tredjemandskrav omfattet af pkt. 1.6-1.9 skal først fremsættes mod dig i løbet af forsikringsperio- den og indberettes til forsikringsselskabet i løbet af forsikringsperioden (eller i løbet af den automatisk udvidede anmeldelsesperiode).
Enhver omstændighed, som du bliver klar over og indberetter til forsikringsselskabet i løbet af forsik- ringsperioden (eller i løbet af den automatisk udvidede anmeldelsesperiode), som medfører, et tred- jemandskrav, anses for at være indberettet, og tredjemandskravet anses for at være fremsat i løbet af forsikringsperioden.
Forsikringsbegivenheder dækkes kun, såfremt de skyldes en ondsindet handling, undladelse eller men- neskelig fejl, der er begået efter den retroaktive dato anført i policen.
5.3. Serieskader
Alle forsikringsbegivenheder, der udspringer af, bygger på, kan tilskrives eller har forbindelse på nogen måde til samme oprindelige årsag eller kilde, udgør én enkelt forsikringsbegivenhed, som dækkes på tidspunktet på den tidligste forsikringsbegivenhed i serien, med den selvrisiko og den maksimale for- sikringssum som var gældende på daværende tidspunkt. Hvis den tidligste forsikringsbegivenhed i se- rien blev opdaget, eller det tidligste tredjemandskrav i serien blev fremsat forud for forsikringsperiodens ikrafttrædelse, dækkes hele serien af forsikringsbegivenheder ikke.
6. Generelle betingelser
6.1. Forsikringsselskabets ansvar
Forsikringsselskabet er ikke ansvarlige for den selvrisiko, der gælder for hver enkel forsikringsbegiven- hed eller tredjemandskrav. Forsikringsselskabets ansvar er ud over selvrisikoen og er med forbehold for den maksimale forsikringssum for hver forsikringsbegivenhed eller tredjemandskrav, og den samlede maksimale forsikringssum som anført i policen.
6.2. Sikkerhedsforholdsregler
Det er en betingelse for forsikringsdækningen at du:
a. tager ugentlig backup af dine data,
b. installerer, vedvarende aktiverer og automatisk opdaterer, tilstrækkelig professionel anti-malware soft- ware til dine computersystemer, og
c. beskytter dine computersystemer og computernetværk mod cyberhændelser ved tilstrækkelige og regelmæssigt opdaterede
− stærk adgangskode,
− systemkonfigurationer og
− firewalls
d. installere og dokumentere sikkerhedsopdateringer (software patch) for al software og/eller firmware,
inden for følgende tidsgrænser efter sikkerhedsopdateringen er blevet gjort tilgængelig:
− internetvendte computersystemer: 30 dage,
− driftsteknologi (OT) og indlejrede systemer: 90 dage eller i henhold til anbefalinger fra den respektive fabrikant,
− alle andre computersystemer: 60 dage.
e. opgraderer, erstatter eller ophører med brugen af software eller hardware, som ikke længere under- støttes af producenten, inden for en periode på tre måneder.
I tilfælde af at sikkerhedsforholdsreglerne i punkt 6.2 (a) til (e) er outsourcet til en softwareproducent eller serviceudbyder, skal den eller de respektive serviceaftaler omfatte sammenlignelige kontraktlige forplig- telser, der skal opfyldes af softwareproducenten eller serviceudbyderen.
Hvis du ikke overholder disse sikkerhedsforholdsregler, har forsikringsselskabet retten til at afvise betaling til dig i tilfælde af en cyberhændelse. Dette gælder dog ikke for omkostninger i henhold til punkt. 1.1 (a) til (e), indtil den manglende overholdelse af sikkerhedsforholdsreglerne er blevet konstateret af forsikrings- selskabet eller en ekspert.
Dog vil forsikringsselskabet ikke afvise betalingen til dig, hvis du beviser, at den manglende overholdelse af de ovennævnte sikkerhedsforholdsregler hverken var forsætlig eller groft uagtsom. Ligeledes vil forsik- ringsselskabet ikke afvise betalingen til dig, hvis du beviser, at cyberhændelsen ikke var forårsaget af eller blev forværret af den manglende overholdelse af de ovenstående sikkerhedsforholdsregler.
6.3. Forsikringsdækning i henhold til flere punkter
En forsikringsbegivenhed, der påvirker mere end ét dækningsafsnit gøres til genstand for den højest gæl- dende selvrisiko og derudover, hvis dette gælder, karenstiden for afsnit 1.3 (Driftstab).
6.4. Regres
Hvis der foretages betaling i henhold til denne forsikring, indtræder forsikringsselskabet i alle dine rettig- heder angående inddrivelse fra en tredjemand. Du skal gøre alt, hvad der er nødvendigt til at sikre disse rettigheder og du må ikke frasige dig dine rettigheder. Penge, som er inddrevet, anvendes først til even-
tuelle omkostninger og udgifter, der er medgået til at opnå inddrivelsen, og dernæst til betalinger, forsik- ringsselskabet har foretaget, og endeligt til andre betalinger, du har foretaget.
6.5. Væsentlig ændring i risikoen
Du skal give forsikringsselskabet meddelelse, så snart det er rimeligt muligt, om eventuelle væsentlige ændringer i risikoen, som du bliver klar over eller med rimelighed burde have været klar over, herunder, men ikke begrænset til, et opkøb fra eller af dig i løbet af forsikringsperioden. Forsikringsselskabet be- taler ikke for en forsikringsbegivenhed som følge af nogen væsentlig ændring i risikoen, medmindre for- sikringsselskabet har accepteret denne væsentlige ændring i risikoen og modtaget tilstrækkelig udvidet præmie (hvis forsikringsselskabet kræver det).
6.6. Anden forsikring
Hvis der er en anden forsikring for samme forsikringsbegivenhed, gælder denne forsikring ud over den anden forsikring og bidrager ikke sammen med den anden forsikring. Du må ikke forsikre selvrisikoen som anført i policen.
6.7. Fortrolighed
Du må ikke videregive eksistensen af denne forsikring undtagen til din øverste ledelse, professionelle rådgi- vere, finansielle institutioner eller hvor du juridisk har pligt til at gøre dette, medmindre forsikringsselskabet har givet forudgående, skriftligt samtykke. Forsikringsselskabet betaler måske ikke et krav i henhold til afsnit
1.4 - cyberafpresning eller kan måske annullere din dækning i henhold til dette punkt straks fra datoen for videregivelse.
6.8. Meddelelser
Meddelelser skal være skriftlige og sendes pr. e-mail, anbefalet brev eller overbragt til adressaterne anført i policen eller anden aftalt adresse. Du kan give meddelelse pr. telefon, men skal derefter så snart som mu- ligt sende en skriftlig meddelelse .
6.9. Overdragelse
Du må ikke overdrage nogen juridiske rettigheder eller interesser i denne forsikring uden forsikringssel- skabets forudgående, skriftlige samtykke.
6.10. Ændringer
Ændringer i denne forsikring skal aftales skriftligt af parterne.
6.11. Lovgivning eller forordninger
Hvis en bestemmelse i denne forsikring er i uoverensstemmelse med lovgivningen eller forordninger i en jurisdiktion, hvor denne forsikring gælder, skal denne forsikring ændres af parterne for at overholde denne lovgivning eller forordninger.
6.12. Vilkårenes uafhængighed
En bestemmelse i denne forsikring, der ikke kan håndhæves, påvirker ikke andre bestemmelser, og hvis det er muligt, erstattes den af en retskraftig bestemmelse med samme eller lignende hensigt som den ik- ke-retskraftige bestemmelse.
6.13. Tredjemands rettigheder
Ingen tredjemand, der ikke er part i denne forsikring, har nogen ret til at håndhæve en del af denne forsik- ring.
7. I tilfælde af skade
7.1. Anmeldelse
Du skal anmelde til forsikringsselskabet, så snart det er rimeligt muligt:
a. et faktisk eller mistænkt brud på datasikkerheden, cyberhændelse, eller cyberafpresning, der kan give anledning til betaling i henhold til denne forsikring.
b. et tredjemandskrav eller en omstændighed, der kan give anledning til et tredjemandskrav.
7.2. Dine forpligtelser
Du skal:
a. give forsikringsselskabet bevis, der viser hændelsen og beskrive de sandsynlige følger af en forsik- ringsbegivenhed,
b. stille optegnelser og dokumentation til rådighed for forsikringsselskabet vedrørende overholdelse af sikkerhedsforholdsreglerne i punkt 6.2 efter at en cyberhændelse er blevet rapporteret til forsikringssel- skabet.
c. stille tekniske rapporter til rådighed for forsikringsselskabet, når disse er afsluttet. De tekniske rapporter skal omfatte professionelle tekniske erklæringer vedrørende: indledende adgang (inkl. relevante udnyt- telser og sårbarheder), yderligere bevægelser i forbindelse med cyberangrebet og dine aktiviteter an- gående softwarepatching.
d. træffe alle rimelige og nødvendige foranstaltninger for at begrænse varigheden og indvirkningen af en
forsikringsbegivenhed,
e. foretage og tillade at alle sådanne ting foretages, som kan være mulige for at fastsætte årsagen til og omfanget af forsikringsbegivenheden,
f. bevare hardware, software og data og gøre disse tilgængelige for forsikringsselskabet.
g. levere en detaljeret beregning af omkostninger, udgifter eller nedsættelse af bruttofortjenesten. Med henblik herpå skal du fremlægge al dokumentarisk bevismateriale, herunder eventuelle gældende rap- porter, regnskabsbøger, regninger, fakturaer eller andre dokumenter, som Forsikringsselskabet måtte anmode om, og du skal assistere forsikringsselskabet i vores undersøgelser.
h. overholde alle rimelige anbefalinger, som Forsikringsselskabet har givet.
7.3. Tredjemandskrav og lovgivningsmæssige sager mod dig
7.3.1. Forsikringsselskabet har retten til, men ikke pligten til at forsvare et dækket tredjemandskrav, som er fremsat mod dig. Dette gælder også for det juridiske forsvar i sammenhæng med eventuel lovgivnings- mæssig sag, der er anlagt mod dig.
Hvis Forsikringsselskabet vælger at forsvare dig, rådfører vi os med dig og bestræber os på at opnå en aftale med dig angående udpegning af forsvarer, men beholder retten til at udpege en forsvarer og til at arrangere forsvaret, som det anses for nødvendigt.
7.3.2 Du må ikke uden Forsikringsselskabets forudgående, skriftlige samtykke, tage bekræftende til gen- mæle, betale, forlige et tredjemandskrav eller påtage dig en forpligtelse, tage bekræftende til genmæle eller aftale et forlig i løbet af en lovgivningsmæssig sag.
7.3.3 Du skal assistere Forsikringsselskabet med at undersøge, forsvare og forlige tredjemandskravet og assistere en advokat eller anden ekspert, som vi udpeger på dine vegne til at forsvare tredjemandskra- vet.
7.3.4 Du skal betale selvrisikoen til en tredjemand, som forsikringsselskabet kræver for at overholde et eventuelt forlig.
Hvis forsikringsselskabet direkte har skadesløsholdt en tredjemand, skal du straks refundere til forsik- ringsselskabet beløbet for den gældende selvrisiko.
7.4. Samarbejde
Hvis forsikringsselskabet anmoder om det, skal du:
a. samarbejde med og assistere forsikringsselskabet, når det er påkrævet, herunder give oplysninger og sikre samarbejde og tilstedeværelse i retten for vidner, som er ansat af dig,
b. stille optegnelser og dokumentation til rådighed for forsikringsselskabet vedrørende overholdelse af sikkerhedsforholdsreglerne i punkt 6.2 efter at en cyberhændelse er blevet rapporteret til forsikringssel- skabet.
c. stille tekniske rapporter til rådighed for forsikringsselskabet, når disse er afsluttet. De tekniske rapporter skal omfatte professionelle tekniske erklæringer vedrørende:
d. indledende adgang (inkl. relevante udnyttelser og sårbarheder), yderligere bevægelser i forbindelse med cyberangrebet og dine aktiviteter angående software-patching.
e. håndhæve juridiske rettigheder, som du eller forsikringsselskabet måtte have mod en tredjemand, der kan være ansvarlig over for dig for en cyberhændelse, herunder at give forsikringsselskabet bemyndi- gelse til at anlægge en retssag i dit navn mod en tredjemand, og at forlige retssagen,
f. fremlægge og give forsikringsselskabet alle dokumenter, som forsikringsselskabet kræver for at sikre
forsikringsselskabets rettigheder i henhold til denne forsikring.
8.1 Automatisk udvidet anmeldelsesperiode
Indtil 30 dage efter udløb af forsikringsperioden eller forsikringsselskabets opsigelse af denne forsikring.
8.2 Back-up
Sikkerhedskopiering af dine data, som er egnet til at gendanne dine originale data til den sidste funge- rende konfiguration før indtræden af forsikringsbegivenheden. Sikkerhedskopier skal opbevares på et lagringsmedie eller et computersystem, som er afbrudt fra det computersystem, der indeholder de origi- nale data, for at sikre, at dine originale data og sikkerhedskopier ikke samtidig kan blive påvirket af en for- sikringsbegivenhed. Egnede backup løsninger kan for eksempel være: lokale backups, netværks backups eller cloud backups.
8.3 Beskyttelsesperiode angående omdømme
60 dage begyndende med forsikringsbegivenheden.
8.4 Bestyrelsesmedlemmer og ledende medarbejdere
Alle tidligere, nuværende eller fremtidige bestyrelsesmedlemmer, ledende medarbejdere eller øverste le- delse.
8.5 Betalingskortmærke
American Express, Discover, JBC, Mastercard, Visa eller en enhed (såsom en erhvervende bank eller be- handler af kortbetalinger), som aftalemæssigt er forpligtet til at håndhæve kravene for den forsikrede virksomheds forpligtelser angående PCI-DSS.
8.6 Brud på datasikkerheden
Et brud på sikkerheden, der medfører hændelig eller ulovlig ødelæggelse, tab, ændring, uautoriseret vide- regivelse af, eller adgang til personoplysninger eller fortrolige oplysninger, der sendes, lagres eller på an- den måde behandles på dine computersystemer eller en Serviceudbyders computersystemer.
8.7 Computernetværk
Et eller flere computersystemer, som er forbundet eller i øvrigt i stand til at udveksle data.
8.8 Computersystemer
Informationsteknologien og kommunikationssystemer (såsom hardware, infrastruktur, software eller elektroniske medier), der anvendes med henblik på at oprette, tilgå, behandle, beskytte, overvåge, lagre, genfinde, vise eller transmittere data.
8.9 Cyberafpresning
Enhver troværdig trussel fremsat af en tredjemand om at begå en ondsindet handling, der påvirker dit computersystem, medmindre der betales en løsesum. Det samme gælder for ethvert krav om løsesum fra en tredjemand som en forudgående betingelse for ophør af en allerede igangværende ondsindet handling på dit computersystem.
8.10 Cyberhændelse
En ondsindet handling (herunder et DoS-angreb eller tyveri af data), malware, en menneskelig fejl, som har indvirkning på dine computersystemer eller en Serviceudbyders computersystemer.
8.11 Cyberterrorisme
En handling udført af en enkeltperson eller gruppe af enkeltpersoner via brugen af computersystemer, for at skade, ødelægge, forstyrre eller tilgå dine computersystemer eller computernetværk, med religiøse, ideologiske eller politiske formål, herunder, men ikke begrænset til indflydelse på en regering og/eller for at indgyde frygt i offentligheden eller en del af offentligheden. Dette inkluderer ikke statstøttede cyberangreb, som altid forbliver undtaget.
8.12 Data
Alle digitale oplysninger, uanset den måde de anvendes eller vises (såsom tekst, figurer, billeder, video eller
software).
8.13 Dine computersystemer
Computersystemer, der ejes, er leaset, givet i licens eller lejes og kontrolleres af den forsikrede virksom- hed.
8.14 DoS-angreb
En ondsindet handling, der forårsager hel eller delvis tab, forstyrrelse eller manglende tilgængelighed for dine computersystemer eller dit computernetværk ved en overbelastende strøm af anmodninger, her- under distribuerede DoS-angreb.
8.15 Du, din og dine
Den forsikrede virksomhed som anført i policen og dennes bestyrelsesmedlemmer og ledende medar- bejdere.
8.16 Ekspert
En person eller juridisk enhed udpeget eller forhåndsgodkendt af forsikringsselskabet (såsom en IT-krimi- nalteknisk undersøger, en kriminalteknisk bogholder, advokat eller PR-konsulent).
8.17 Ekstern aktør
Tredjemand, som hverken er medarbejder eller bestyrelsesmedlem eller ledende medarbejder i den for- sikrede virksomhed og heller ikke er medarbejder hos eller bestyrelsesmedlem eller ledende medarbej- der hos din serviceudbyder.
8.18 Elektroniske medier
Alle IT-anordninger (såsom eksterne drivere, CD-ROM, DVD-ROM, magnetiske bånd eller diske, USB-nøgler), der anvendes til at registrere og lagre data.
8.19 Forsikret virksomhed
Den forsikrede virksomhed som anført i policen.
8.20 Forsikringsbegivenhed
En cyberafpresning, cyberhændelse, brud på datasikkerhed og tredjemandskrav.
8.21 Forsikringsperiode
Varigheden af denne forsikring som anført i policen.
8.22 Forsikringsselskabet
Købstæderns Forsikring
8.23 Fortrolige oplysninger
Alle former for kommercielt følsomme forretningsmæssige og/eller forretningshemmeligheder, som ikke er offentligt tilgængelige, uanset om de er mærket 'fortroligt' eller ikke.
8.24 Fortsatte, faste gebyrer
Faste omkostninger, som stadigt skal betales fuldt ud i skadesløsholdelsesperioden.
8.25 Hardware
De fysiske komponenter i et computersystem, der anvendes til at lagre, sende, behandle, læse, ændre eller kontrollere data, herunder elektroniske medier.
8.26 ICS
Omfatter forskellige kontrolsystemer og tilhørende instrumentering (hardware og/eller software), der an- vendes til industriel processtyring.
8.27 Indlejrede systemer
Et computersystem, der har en dedikeret funktion og er indlejret i et større mekanisk eller elektronisk sy- stem.
8.28 Infrastruktur
Alt kommunikationsudstyr, aircondition, installationer til strømforsyning, enkeltstående generatorer, enhe-
der til frekvensomformere, transformere og andre anlæg, som anvendes til at vedligeholde funktionen af elektroniske faciliteter, der supporterer computersystemer og data.
8.29 Internet
Det verdensomspændende offentlige datanetværk, der tillader transmission af data.
8.30 Internetservice
Tjenester, der muliggør brugen af internettet, såsom (1) udbydere af internettjenester med ansvar for leve- ringen af tjenester, hardware og teknisk udstyr til at tilgå og anvende/drive internettet, (2) tjenesteudby- dere af domænenavne, (3) andre udbydere af tjenester til internettet og eksterne netværk med ansvar for internet exchange, Tier 1-netværksudbydere, og (4) netværksoperatører af kabelnetværk, satellit og radio- kommunikation.
8.31 Intranet
Et privat eller begrænset internt datanetværk.
8.32 IT-tjenester
Et af følgende: drift, behandling, vedligeholdelse, beskyttelse af din hardware, infrastruktur, elektroniske data eller computersoftware, herunder IT-tjenester i skyen, såsom IaaS, PaaS og SaaS), men med undta- gelse af eksterne kommunikationstjenester.
8.33 Karenstid
8 timers karensperiode, der starter med opdagelsen af en forsikringsbegivenhed, som forårsager, at dine computersystemer er delvist eller fuldstændigt utilgængelige.
8.34 Krig
Væbnet konflikt, der involverer fysisk magt:
− af én suveræn stat mod en anden suveræn stat, eller
− som led i en borgerkrig, oprør, revolution, opstand, militær handling eller magtovertagelse, Uanset om der er erklæret krig eller ej.
8.35 Løsesum
Penge, bitcoins eller anden digital valuta, som krævet af tredjemand i forbindelse med cyberafpresning.
8.36 Maksimale forsikringssum
Som anført i policen, herunder eventuel undersummer til den maksimale forsikringssum.
8.37 Maksimal skadesløsholdelsesperiode for driftstab
90 dage fra den dato, hvor den fuldstændige eller delvise utilgængelighed eller forringelse i tjenesten ved
dit eller din serviceudbyders computersystemer opstod.
8.38 Malware
Uautoriseret eller ulovlig software eller kode (såsom vira, spyware, computerorm, trojanske heste, rootkit, ransomware, keyloggers, opkaldsprogrammer og ondsindet sikkerhedssoftware) beregnet på at forårsage skade på eller få adgang til eller afbryde computersystemer eller computernetværk.
8.39 Medarbejder
En person, der udfører tjenester eller udfører arbejde i henhold til en udtrykkelig eller underforstået ansæt- telseskontrakt. Dette omfatter eksternt personale, der leverer tjenester og arbejder inden for den drifts- mæssige struktur og i henhold til den funktionelle myndighed for enheden, der agerer som arbejdsgiver. Dette undtager altid bestyrelsesmedlemmer og ledende medarbejdere.
8.40 Menneskelig fejl
En uagtsom handling eller undladelse, som er begået af dig eller dine medarbejdere i forbindelse med driften af dine computersystemer, samt en uagtsom handling eller undladelse begået af en serviceudby- der eller af medarbejdere hos en serviceudbyder i forbindelse med driften af serviceudbyderens compu- tersystem.
Dette omfatter ikke overtrædelser af sikkerhedsforholdsreglerne som anført i punkt 6.2 i de generelle betin- gelser, hvor forsikringsselskabet har retten til at afvise betaling for et tab, omkostninger eller et krav.
8.41 Omkostninger til juridisk forsvar
Omkostninger, udgifter og/eller honorarer til eksperter, undersøgelser, møder i retten, besigtigelser, under- søgelse og/eller procedurer, som er nødvendige til dit civile, kommercielle, administrative og/eller straffe- retlige forsvar. Dette omfatter ikke dine generelle udgifter (såsom lønninger og kapacitetsomkostninger).
8.42 Ondsindet handling
En uautoriseret eller ulovlig handling med henblik på at forårsage skade på eller få adgang til, eller videre- give data fra computersystemer eller computernetværk ved brug af computersystemer eller computer- netværk.
8.43 Online medieaktiviteter
Al tekst, billeder, videoer eller lyd, der distribueres via din hjemmeside, tilstedeværelse på de sociale medier eller e-mail.
8.44 Operationel Teknologi (OT)
En samling af hardware og software, der kan påvirke en sikker, og pålidelig drift af en industriel proces. OT-miljøer overvåger normalt fysiske processer indenfor fremstilling, energi, medicin, bygningsforvaltning og økosystemer inden for andre industrier. OT inkluderer, men er ikke begrænset til, ICS og SCADA.
8.45 PCI-DSS
Payment Card Industry Data Security Standards.
8.46 PCI kriminalteknisk undersøger
Kriminalteknisk ekspertundersøger, som er godkendt af Rådet for PCI-sikkerhedsstandarder.
8.47 Personoplysninger
Oplysninger i forbindelse med en registreret person, der kan identificeres direkte eller indirekte i forbindel- se med andre oplysninger (såsom navn, ID-nummer, lokationsdata, en onlineidentifikator eller via en eller flere forhold, som er specifikke for den fysiske, psykologiske, genetiske, mentale, økonomiske, kulturelle eller sociale identitet af den fysiske person) som defineret af gældende databeskyttelseslovgivning.
8.48 Præmie
Det beløb, du skal betale som anført i policen.
8.49 Registreret person
En identificeret eller identificerbar fysisk person, som er genstand for personoplysninger.
8.50 Retroaktiv dato
Den dato, der er anført i Policen.
8.51 Samlet maksimale forsikringssum
Det beløb, som er anført i policen, som er det maksimale beløb, som forsikringsselskabet skal betale i henhold til policen, uanset om det vedrører egne tab, tredjemandskrav eller betaling af udgifter.
8.52 SCADA (Supervisory Control and Data Acquisition)
En samling af kontrolsystemer (hardware og/eller software), som indsamler data i realtid fra aktiver i in- dustrielle miljøer, for at kontrollere udstyret og dets forhold.
8.53 Selvrisiko
Den karenstid og hver selvrisiko som anført i policen, som er den periode eller det beløb, som du skal dække, før der er dækning i henhold til denne forsikring.
8.54 Serviceudbyder
En tredjemand, der leverer IT-tjenester til den forsikrede virksomhed i henhold til en skriftlig aftale.
8.55 Sikkerhedsopdateringer
Ændringer til en software, firmware eller dens understøttende data, designet til at opdatere, rette eller for- bedre den. Dette inkluderer rettelser til sikkerhedssårbarheder og andre fejl, der typisk leveres af software- leverandører til operativsystem- og applikationsopdateringer for at forbedre sikkerheden, funktionaliteten, brugervenligheden eller ydeevnen af et program i tide.
8.56 Skadesløsholdelsesperiode
Den periode, hvorunder din virksomhed forstyrres, startende efter at karenstiden er udløbet og sluttende på den dato, hvor dine computersystemer og data er fuldt ud genskabt, og bruttofortjenesten når niveau- et forud for forstyrrelsen af din virksomhed, men som ikke overstiger den maksimale skadesløsholdelses- periode for driftstab som anført i policen.
8.57 Software
En digital standard, kundetilpasset eller individuelt udviklet program, eller en applikation der indeholdes i eller køres af et computersystem, som indeholder et sæt instrukser, der, når de er inkorporeres på et ma- skinlæsbart medie, kan medføre at en maskine med muligheder for at behandle oplysninger kan indikere, udføre eller opnå en særskilt funktion, opgave eller resultat.
8.58 Statsstøttet cyberangreb
Brug af et computersystem, under ledelse af eller under kontrol af en suveræn stat til at forstyrre, nægte adgang til eller forringe funktionaliteten af et computersystem og/eller kopiere, fjerne, manipulere, nægte adgang til eller ødelægge information i et computersystem.
På trods af forsikringsselskabets bevisbyrde, som forbliver uændret, vil du og forsikringsselskabet overveje alle tilgængelige, objektive og rimelige beviser, for at tilskrive et Statsstøttet cyberangreb til en suveræn stat. Dette kan omfatte formel eller officiel tilskrivning fra regeringen af den stat, hvor computer- systemerne, der er berørt af et Statsstøttet cyberangreb fysisk er placeret, til en anden suveræn stat eller dem, der handler efter dens ledelse eller under dens kontrol.
8.59 Stærk adgangskode
Adgangskode bestående af 8 eller flere tegn, i en kombination af mindst tre af følgende:
− store bogstaver
− små bogstaver
− specielle symboler
− tal
Brugen af gentagne tegn (f.eks. "1234", "1111", "abcde"), tastaturmønstre (f.eks. "asdfgh") eller brugen af per- sonlige oplysninger om medarbejderen (f.eks. fødselsdatoer, vejnavne) skal undgås.
8.60 Tab af bruttofortjeneste
Den rimelige beregning af reduktionen i nettofortjeneste (før skat), når der tages højde for tidligere han- delsmønstre og markedsforhold, samt eventuelle fortsatte faste gebyrer. Beregningen skal bygge på en analyse af din omsætning og udgifter i de 12 måneder forud for opdagelsen af forsikringsbegivenheden. Beløbet for skadesløsholdelse pr. dag er 1/365-del af den årlige bruttofortjeneste i de 12 måneder forud for forstyrrelsen af din virksomhed. Beregningen skal også tage højde for rimelig projektion af fremtidig løn- somhed, hvis der ikke var sket et tab.
Skadesløsholdelsen må ikke overstige den værdi, der er fremkommet ved at multiplicere beløbet for ska- desløsholdelse pr. dag med den maksimale skadesløsholdelsesperiode for driftstab (i dage), som anført i punkt 8.31 eller den beløbsmæssige undersum anført i policen, hvilken der end er det mindste beløb.
8.61 Terrorisme
Handlinger begået med politiske, religiøse, ideologiske eller lignende formål, herunder hensigten om at på- virke en regering og/eller at indgyde frygt i offentligheden eller en del af offentligheden.
8.62 Tilsynsmyndighed
En overvågende myndighed, uafhængig offentlig myndighed, lovgiver, regeringsorganisation eller lovfæ- stet organ, der er bemyndiget til at håndhæve lovpligtige forpligtelser i forbindelse med kontrol eller be- handling af personoplysninger i overensstemmelse med respektiv, gældende databeskyttelseslovgivning.
8.63 Tredjemand
En person eller juridisk enhed bortset fra den forsikrede virksomhed som anført i policen.
8.64 Tredjemandskrav
Et skriftligt krav eller en påstand om kompensation eller skadeserstatning fremsat af en tredjemand over for dig.
8.65 Tyveri
En ondsindet handling med ulovlig kopiering eller opnåelse af fortrolige oplysninger, data eller personop- lysninger, fra computersystemer.
8.66 Øgede arbejdsomkostninger
Den øgede udgift, som nødvendigvis og med rimelighed er påløbet alene med det formål at undgå eller mindske det forsikrede tab af bruttofortjeneste, der, uden denne udgift, ville være indtrådt i løbet af den maksimale skadesløsholdelsesperiode for driftstab. Skadesløsholdelsen må ikke overstige beløbet for tab af bruttofortjeneste, som dermed er undgået.
Omkostninger og udgifter, der er dækket af andre afsnit end punkt 1.3 i disse vilkår, anses ikke for at være
øgede arbejdsomkostninger.