CYBERFÖRSÄKRING 610:2

CYBERFÖRSÄKRING 610:2

CYBERFÖRSÄKRING 610:2

Särskilt villkor • Gäller från 2021-01-01

Genom detta särskilda villkor utökas försäkringen till att omfatta cyberskada. För cyberförsäkringen svarar Dina Försäk- ring AB, Box 2372, 103 18 Stockholm. Detta villkor gäller som tillägg till Allmänna villkor Företag DF01 och villkor Företags- försäkring DF20.

1. ALLMÄNNA VILLKOR

Som tillägg till separat villkor – Allmänna villkor Företag DF01 – gäller följande.

1.5 Uppgifter för förnyad försäkring

För beräkning av premie för nytt försäkringsår ska försäkringstagaren* lämna uppgift om

• omsättning* för senaste räkenskapsåret

• förändrade förhållanden avseende lämnade uppgifter vid försäkringens tecknande.

2. VAD GÄLLER FÖRSÄKRINGEN FÖR

Mot försäkringstagarens* betalning av premien, eller mot överenskommelse med denne om att premien ska betalas för den försäkrades* räkning, åtar sig försäkringsgivaren* att efter avdrag för självrisk* ersätta följande.

2.1 Försäkrade skadehändelser

2.1.1 Förlust och krav

Förlust* för den försäkrade* hänförlig till varje krav* som för första gången framställs mot den försäkrade* och som an- mäls till anvisad part för incidenthantering* under försäkringstiden*.

2.1.2 Avbrott

Avbrottsskada* orsakad av en avbrottshändelse* som inträffar under försäkringstiden, på eller efter retroaktivt datum* och som upptäcks under försäkringstiden*.

2.1.3 PCI böter och utredningskostnader

Förlust* för den försäkrade* avseende PCI böter och utredningskostnader* orsakade av en informationsincident* som upptäcks och anmäls av den försäkrade* till anvisad part för incidenthantering* under försäkringstiden*.

2.1.4 Återställandekostnader

Försäkringen gäller dock utan avdrag för självrisk* vid följande skadehändelser:

Återställandekostnader* som orsakas den försäkrade* av en faktiskt eller hotande avbrottshändelse*, informationsinci- dent* eller nätverksincident* och som först upptäcks av den försäkrade* samt som anmäls till anvisad part för incident- hantering* under försäkringstiden*.

2.2 Högsta ersättning

Den högsta ersättning som lämnas framgår av försäkringsbrevet och detta är det maximala belopp som försäkringen kommer att betala, inklusive försvarskostnader*, och oavsett antalet försäkringsfall.

2.3 Sammanhörande försäkringsfall

Alla krav* eller förluster* avseende samtliga i detta villkor tillämpliga avsnitt, som direkt eller indirekt härrör från, eller på något annat sätt är relaterade till samma grundorsak, ska anses utgöra ett försäkringsfall, som kommer anses anmält vid tidpunkten för den första skadeanmälan. Alla krav eller förluster avseende samtliga i denna försäkring tillämpliga avsnitt, som berör fler än ett avsnitt, ska anses utgöra ett försäkringsfall.

2.4 Självrisk

Med självrisk avses den del av skadebeloppet som den försäkrade får betala vid varje skada om inget annat framgår under respektive avsnitt. Självrisken anges i försäkringsbrevet.

2.5 Ägarbyte

Om någon person, grupp eller bolag får kontroll över mer än 50% av försäkringstagarens* registrerade aktiekapital eller försäkringstagarens* styrelses sammansättning under försäkringstiden*, begränsas skyddet enligt denna försäkring till krav* avseende avbrottshändelser*, informationsincidenter* och nätverksincidenter* som har inträffat före dagen för sådan försäljning, konsolidering, fusion eller annan form av erhållande av kontroll, förutom då försäkringsgivaren* har accepterat att utvidga försäkringsskyddet och försäkringstagaren* har accepterat villkoren för sådan utvidgning av för- säkringsskyddet.

2.6 Överlåtelse

Denna försäkring och därmed följande rättigheter kan inte överlåtas utan föregående skriftligt godkännande från försäk- ringsgivaren*.

3. VAD GÄLLER FÖRSÄKRINGEN INTE FÖR

Försäkringsgivaren* är fri från ansvar vad gäller ersättning, åtagande eller tillhandahållande av annan förmån eller tjänst avseende ett krav* eller förlust* som är hänförlig till, orsakad av, eller grundad på något av följande:

3.1 Sak- eller personskada

Dödsfall, personskada eller förlust av eller skada på materiell egendom, dock ska detta undantag inte tillämpas på psykisk oro eller psykiska skador som uppkommer som ett resultat av en informationsincident* eller nätverksincident*. Förtydli- gande: data som förvaras i elektroniskt format är inte att anse som materiell egendom.

3.2 Förutsebar skada

Fakta eller omständigheter som den försäkrade* kände till innan försäkringstidens* ikraftträdande.

3.3 Grov vårdslöshet och uppsåt

Uppsåtlig, brottslig eller bedräglig handling som begåtts av någon person i den försäkrades* ledning eller under sådan persons överinseende.

3.4 Tillförsel utifrån

Fel, avbrott, eller störningar i eller på, elnätet, allmännyttiga tjänster, satelliter, eller externa telekommunikationstjänster, som inte står under den försäkrades* direkta operativa kontroll.

3.5 Krig

Krigshandling, invasion eller annan krigsliknande operation, inbördeskrig, upplopp, civil oro, uppror, revolution, revolt eller kravaller.

3.6 Konkurs

Konkurs, likvidation eller insolvens hos den försäkrade* eller någon annan person – inklusive tillhandahållare av moln- tjänst.

3.7 Lag, myndighets föreskrift eller annan sanktion

• Brott mot anti-Spam- eller telemarketinglagstiftning någonstans i världen.

• Försäkringsskydd, betalning, service, förmån och/eller den försäkrades* affärsverksamhet eller den aktivitet ur vilken kravet* eller förlusten* härrör, bryter mot någon tillämplig handelssanktion eller ekonomisk sanktion, alternativt lag eller annan författning, någonstans i världen. Denna bestämmelse har företräde framför samtliga övriga villkor i denna försäkring.

3.8 Uppgradering eller förbättring

Kostnader för, uppgradering eller förbättring av försäkrads* applikation, system eller nätverk.

3.9 Krav mot person i ledande ställning

Förlust* eller krav* som framställs mot en person i dennes kapacitet av innehavare av ledande ställning hos den försäk- rade*

3.10 Försäkrads skyldighet i egenskap av arbetsgivare

Skyldighet som den försäkrade* har i egenskap av arbetsgivare eller möjlig arbetsgivare till en anställd, inklusive krav avseende ogrundad uppsägning, eller krav i anledning av anställningsavtal, avtal om stadigvarande ersättning till en kon- sult, utbildningsavtal eller yrkespraktik.

3.11 Sexuella, etniska eller andra trakasserier

Påståenden om sexuella, etniska eller andra trakasserier eller övergrepp samt diskriminering eller särbehandling avse- ende kön, etnicitet, funktionshinder, sexuell läggning, religion, ålder samt någon annan form av diskriminering eller särbehandling, oavsett om påståendena framställs av en anställd eller någon annan.

3.12 Asbest

Direkt eller indirekt skada härrörande från eller orsakad av asbest eller asbestrelaterad skada, inklusive användning, före- komst, existens, upptäckande, borttagande, förstörande eller undvikande av asbest eller utsatthet för asbest.

3.13 Radioaktivitet och strålning

Konsekvens av, oavsett direkt eller indirekt, eller på något annat sätt involverande:

• joniserad strålning, kontaminering av radioaktivitet, kärnbränsle eller kärnavfall;

• radioaktiva, giftiga, explosiva eller på annat sätt farliga egenskaper avseende atomkärnprocess eller del därav.

3.14 Miljöföroreningar

Konsekvens av, eller på något annat sätt involverande, miljöföroreningar, eller direkt eller indirekt faktisk, påstått eller

hotande utflöde, spridning, utsläpp eller läckage av föroreningar.

3.15 Elektromagnetism

Konsekvens av elektromagnetiska fält, elektromagnetisk strålning, elektromagnetism, i enlighet med nedan definitioner;

• elektromagnetiskt fält betyder ett kraftfält som består av associerade elektriska och magnetiska komponenter;

• elektromagnetisk strålning betyder en följd av elektromagnetiska vågor;

• elektromagnetism betyder magnetism som utvecklats av en våg av elektricitet.

3.16 Naturskador

Eld, blixt, explosion, nedslag eller andra naturskador.

3.17 Flygplan och andra luftfartyg

Flygplan, luftfartyg, svävare eller hydrokopter

3.18 Okrypterad portabel media

Den försäkrades* förlust av okrypterad portabel media, varvid sådan media inkluderar men är inte begränsad till: bärbara datorer, s.k. smart phones, surfplattor och usb-minnen. Med okrypterad likställs även ej lösenordskyddad enhet.

3.19 Elektronisk överföring

Elektronisk överföring av medel, pengar eller egendom som tillhör den försäkrade*, eller för vilken den försäkrade* är ansvarig.

3.20 Ansvar enligt kontrakt

Kontraktuellt ansvar som den försäkrade* åtagit sig, under förutsättning att sådant ansvar inte skulle ha kunnat göras gäl- lande även utan avtal. Detta undantag ska inte gälla för försäkringsskydd enligt punkt 2.1.3.

3.21 Patent och företagshemlighet

Missbruk av eller intrång i patent eller företagshemlighet.

3.22 Underlåtenhet att tillhandahålla yrkesmässiga tjänster

Faktisk eller påstådd underlåtenhet att tillhandahålla yrkesmässiga tjänster.

4. SÄKERHETSFÖRESKRIFTER

Det åligger den försäkrade att följa av myndigheter meddelade föreskrifter och förordningar samt övriga lagar och för- ordningar som är tillämpliga i den försäkrade verksamheten.

4.1 Särskilda säkerhetsföreskrifter

Utöver angivna säkerhetsföreskrifter i villkor Företagsförsäkring DF20, gäller för cyberförsäkringen följande särskilda säkerhetsföreskrifter.

• Den försäkrade* ska använda och upprätthålla ett fackmässigt antivirusskydd samt brandvägg avseende den för- säkrades* nätverk. Med upprätthålla menas att regelbundna säkerhetsuppdateringar eller patchar från utgivare eller motsvarande installeras utan skäligt dröjsmål.

• Den försäkrade*, eller den försäkrades tillhandahållare av molntjänst*, ska ta backup på kritisk information minst var sjunde dag. När sådan information kopieras till flyttbar media ska sådan flyttbar media säkert förvaras på separat geografisk plats.

4.2 Påföljd vid åsidosättande av särskild säkerhetsföreskrift

Har särskilda säkerhetsföreskrifter inte följts lämnas endast ersättning för skada i den mån skadan skulle ha inträffat även om föreskriften hade följts.

5. ÅTGÄRDER VID SKADA

5.1 Anmälan av skada

Anmälning av krav*, förlust* eller avbrottshändelse* ska, så snart som praktiskt möjligt, men aldrig senare än 7 (sju) dagar efter att den försäkrade* fått kännedom om en incident, lämnas till anvisad part för incidenthantering* som anges i för- säkringsbrevet. Den försäkrade ska på begäran tillhandahålla den information och dokumentation relaterad till inciden- ten som anvisad part för incidenthantering* eller försäkringsgivaren* anser sig behöva för att kunna fatta beslut i skadan.

5.2 Anmälan vid misstanke om skada

Den försäkrade* kan anmäla omständigheter till anvisad part för incidenthantering* som rimligen kan förväntas ge upp- hov till ett krav*, vilket ska ske med angivande av anledningen till varför sådant krav* kan förväntas. Om sådan anmälan lämnas kommer varje krav* som därefter direkt eller indirekt framställs mot den försäkrade* med påstående om sådana omständigheter, eller härrörande från, eller på något annat sätt sammanhörande med sådana omständigheter, anses ha framställts vid tidpunkten för när anmälan av sådana omständigheter lämnades av den försäkrade* till anvisad part för anvisad part för incidenthantering*.

5.3 Uppgörelse i godo

När försäkringsgivaren* eller anvisad part för incidenthantering* så begär är den försäkrade* skyldig att medverka till uppgörelse i godo med den skadelidande.

Den försäkrade* har inte rätt att utan bolagets skriftliga tillåtelse medge skadeståndsskyldighet, godkänna ersättnings- krav eller utbetala ersättning vid något krav*. Den försäkrade* är också skyldig att förhindra att den försäkrade* ådöms skadeståndsskyldighet genom tredskodom.

5.4 Uppgiftsskyldighet och utredning

Den försäkrade* ska samarbeta med försäkringsgivaren*, anvisad part för incidenthantering* eller det ombud som utses av dessa för att utreda kravet* eller avbrottshändelsen*, samt överlämna all information och dokumentation som kan anses nödvändig för utredningen eller skaderegleringen.

Försäkringsgivaren* eller anvisad part för incidenthantering* ska ha rätt att genomföra de inspektioner som de anser nödvändiga avseende ansökan om försäkring eller uppgifter lämnade i samband med tecknandet av försäkringen samt avseende försäkringsskyddet.

5.5 Skiljeförfarande

Samtliga tvister som uppstår med anledning av detta avtal samt tvister som uppstår med anledning av rättsförhållanden med anknytning till eller härrörande från avtalet, kan på begäran av någon part avgöras genom skiljeförfarande i enlighet med svensk skiljelagstiftning.

5.6 Skadeersättningsregler

Försäkringsgivaren* eller anvisad part för incidenthantering* har rätt men ingen skyldighet att ta kontroll över, försvara samt förlika krav* eller utredningar. Har försäkringsgivaren* eller anvisad part för incidenthantering* förklarat sig villig att göra upp i godo med den som kräver skadestånd är försäkringsgivaren* fri från skyldighet att ersätta därefter uppkom- men kostnad och att företa ytterligare utredning.

6. DEFINITIONER

Under detta avsnitt finns de ord som i villkoren är markerade med asterisk (*) beskrivna.

Avbrottshändelse

Med avbrottshändelse avses cyberincident* som orsakar ett oplanerat systemavbrott, nätverksstörning, eller försämring av den försäkrades* nätverk eller ett nätverk tillhörande en tillhandahållare av molntjänst*.

Avbrottsskada

Med avbrottsskada avses den försäkrades* förlust av bruttovinst, plus skäliga utlägg för upprätthållande av drift, funktio- nalitet samt service i den försäkrades* verksamhet, där den direkta orsaken är en avbrottshändelse*, men endast:

• Efter utgången av karenstiden*, och

• Till den dag då den försäkrades verksamhet är återställd till samma eller motsvarande situation, funktionalitet och service som innan skadan, dock inte överstigande 180 dagar från dagen då avbrottet, störningen eller försämringen påbörjades, varvid dessa 180 dagar inte ska vara begränsade av utgången av försäkringstiden*.

Avbrottsskada* inkluderar också kostnader och utlägg som ådragits för att undvika eller begränsa effekterna av system- avbrottet eller nätverksstörningen, för att upptäcka och minimera sådan störning eller försämring av nätverket, säkra bevisning och/eller bevisa den försäkrades* skada.

Anvisad part för incidenthantering

Med anvisad part för incidenthantering avses Crawford & Company (Sweden) AB, Box 6044, 171 06 Solna eller part de anlitat i sin tur. Telefonnummer dygnet runt vid misstanke om skada: 0775-170 170.

Cyberincident

Med cyberincident avses:

• Olovlig tillgång*

• Handhavandefel*

• Denial of service attack*

• installation eller introduktion av sabotageprogram* till ett nätverk som ägs eller drivs av den försäkrade*, inklusive tillhandahållare av molntjänstens* nätverk.

Cyberutpressningskostnader

Med cyberutpressningskostnader avses ersättning för skäliga arvoden, kostnader och utlägg som den försäkrade eller annan för dennes räkning betalar efter föregående skriftligt godkännande från försäkringsgivaren* för att upphäva eller motverka ett trovärdigt hot avseende en avbrottshändelse*, informationsincident* eller nätverksincident*, som är orsa- kad av eller försök till utpressning från tredje part.

Den Försäkrade

Med den försäkrade avses försäkringstagaren*, i försäkringsbrevet angivna medförsäkrade och dotterbolag till försäk- ringstagaren* vid tidpunkten för försäkringens ikraftträdande, och/eller som senare förvärvas, under förutsättning att meddelande lämnas till försäkringsgivaren* om sådant förvärv, och försäkringsgivaren* inte invänder inom 30 dagar från sådant meddelande.

Denial of service attack

Med denial of service attack avses en attack mot ett datasystem i syfte att hindra normal användning av systemet.

Förlust

Med förlust avses kostnader som uppstår i samband med domar, förlikningar och avgöranden inklusive men inte begrän- sat till skadestånd, böter, viten och straffskadestånd, med anledning av ett krav* som täcks av denna försäkring, till den omfattning det är tillåtet enligt svensk lag. Förlust* ska också inkludera försvarskostnader* och ombudsarvoden*.

Försvarskostnader

Med försvarskostnader avses skäliga arvoden, kostnader och utlägg (inklusive men inte begränsat till ombuds- och sak- kunnigarvoden) ådragna av den försäkrade* för att försvara, förlika eller överklaga ett krav*.

Försäkringsgivaren

Med försäkringsgivaren avses Dina Försäkring AB, Box 2372, 103 18 Stockholm.

Försäkringstid

Med försäkringstid avses den period som anges i försäkringsbrevet och avser under vilken period försäkringen gäller.

Fullständig definition finns i Allmänna villkor Företag DF01.

Försäkringstagaren

Med försäkringstagaren avses den juridiska person som anges som försäkringstagare i försäkringsbrevet.

Handhavandefel

Med handhavandefel avses oförutsedd förstöring eller modifiering av den försäkrades* data eller program av en anställd

eller en tillhandahållare av molntjänst*.

Informationsincident

Med informationsincident avses:

• förlust eller misstänkt förlust av icke-offentlig data eller information, tillhörande tredje part, för vilken den försäkrade* är juridiskt ansvarig.

• brott mot personuppgiftslagstiftning någonstans i världen av den försäkrade* eller någon som den försäkrade* är juridiskt ansvarig för, under förutsättning att informationsincidenten* inträffar under försäkringstiden, på eller efter det retroaktiva datum som anges i försäkringsbrevet.

Inlösenavtal

Med inlösenavtal avses ett avtal mellan den försäkrade* och en annan organisation som tillåter den försäkrade* att accep- tera betalningar med debet- eller kreditkort.

Karenstid

Med karenstid avses det antal timmar som anges i försäkringsbrevet, och som måste passera vid en avbrottshändelse* innan en avbrottsskada* anses inträffat. Karenstiden* tillämpas på varje enskild avbrottshändelse*.

Krav

Med krav avses varje skriftligt krav, oavsett om kravet är civilrättsligt, straffrättsligt, administrativt, regulatoriskt eller genom skiljeförfarande mot den försäkrade*, med begäran om ersättning eller annan kompensation eller påföljd, där orsaken är en informationsincident*, medieincident* eller nätverksincident*.

Kreditkontrollkostnader

Med kreditkontrollkostnader avses skäliga arvoden, kostnader och utlägg, ådragna efter föregående skriftligt godkän- nande från försäkringsgivaren*, för övervakningstjänster rörande identitets- eller kreditstölder, inklusive köp av identi- tetsskyddsförsäkring för en tid om 12 månader från dagen för Informationsincidenten*.

Medieincident

Med medieincident avses allt digitalt innehåll eller trycksaker som skapats och visas av den försäkrade och som direkt leder till:

• ett intrång i upphovsrätt, äganderätt, slogan, varumärke, firmanamn eller domännamn;

• plagiering, piratkopiering, missbruk eller stöld av idéer

• förtal, inklusive misskreditering av en produkt eller tjänst

• brott mot sekretess eller annat intrång i skyddad kommunikation.

under förutsättning att sådan medieincident* inträffar i den försäkrades* normala affärsverksamhet och att sådan medie- incident* inträffar under försäkringstiden, på eller efter det retroaktiva datum som anges i försäkringsbrevet. Tillverkning, leverans, försäljning eller distribution av materiella varor eller produkter betraktas inte som en medieincident.

Nätverksincident

Med nätverksincident avses:

• utsändande av sabotageprogram* från den försäkrades* nätverk, eller från ett nätverk tillhörande en tillhandahållare av molntjänst*.

• ett misslyckande med att säkra den försäkrades* datasystem eller nätverk som resulterar i olovlig tillgång*.

• ett misslyckande med att förhindra en denial of service attack* som utgår från den försäkrades* nätverk eller från ett nätverk tillhörande en tillhandahållare av molntjänst*, under förutsättning att sådan nätverksincident* inträffar under försäkringstiden, på eller efter det retroaktiva datum som anges i försäkringsbrevet.

Olovlig tillgång

Med olovlig tillgång avses användandet av den försäkrades* datasystem eller nätverksinfrastruktur av en person eller personer som saknar tillåtelse därtill, inklusive anställda.

Ombudsarvoden

Med ombudsarvoden avses nödvändiga och skäliga arvoden, kostnader och utlägg ådragna för att erhålla juridisk råd- givning eller representation till skydd för den försäkrades* intressen med anledning av en informationsincident* eller nätverksincident*.

Ombudsarvoden* ska inkludera kostnader avseende utredning, hantering och försvar av regulatoriska förfaranden.

PCI böter och utredningskostnader

Med PCI böter och utredningskostnader avses alla belopp som den försäkrade* är lagligen skyldig att betala enligt ett Inlösenavtal* till följd av en informationsincident* som resulterar i ett brott mot den s.k. Payment Card Industry Data Security Standard, inklusive men inte begränsat till arvoden, handläggningskostnader, avgifter för bristande regelefter- levnad, kompensation för bedrägliga transaktioner, kostnader till följd av utfärdande av nya kort samt utseende av en PCI Forensic Investigator.

PR kostnader

Med PR (Public relations) kostnader avses skäliga arvoden, kostnader och utlägg, ådragna efter föregående skriftligt god- kännande från försäkringsgivaren*, varvid sådant godkännande inte oskäligt ska återhållas, för att få råd och stöd för att skydda eller begränsa skada på den försäkrades rykte.

Retroaktivt datum

Med retroaktivt datum avses den dag som anges i försäkringsbrevet under retroaktivt skydd.

Sabotageprogram (eng. Malware)

Med sabotageprogram avses kod som är designad för att:

• radera, hindra tillgång till, eller korrumpera data, inklusive men inte begränsat till utpressningsprogram (eng. ransom- ware);

• skada eller störning av nätverk eller system;

• kringgå en produkt eller tjänst till skydd för nätverket.

Tillhandahållare av molntjänst

Med tillhandahållare av molntjänst avses varje tredje part med vilken den försäkrade* har träffat ett skriftligt avtal angå- ende tillhandahållande av molntjänst, infrastrukturplattform eller företagsapplikation.

Underrättelsekostnad

Med underrättelsekostnad avses skäliga arvoden, kostnader och utlägg för att underrätta fysiska eller juridiska personer vars data eller information har eller kan ha gått förlorad, eller kostnaden för att underrätta dataskyddsmyndighet eller liknande, till följd av en informationsincident*.

Undersökningskostnader

Med undersökningskostnader avses skäliga arvoden, kostnader och utlägg som den försäkrade* haft för att utreda orsa- ken till, omfattningen och utbredningen av en informationsincident*, en avbrottshändelse* eller en nätverksincident*.

Återställandekostnad för data

Med återställningskostnad för data avses skäliga arvoden, kostnader och utlägg för återställande och/eller ersättande av data och/eller program som har förlorats, raderats, korrumperats eller krypterats genom en cyberincident* eller informa- tionsincident*, samt kostnaden för att förhindra eller minimera följdskador i anledning därav, samt kostnader för att be- vara bevisning av materiell betydelse för civilrättsligt anspråk, brottslig gärning eller i övrigt otillbörligt handlande. Dessa kostnader inkluderar kostnaden för att köpa ersättningslicenser för program då så är nödvändigt.

Återställandekostnader

Med återställandekostnader avses:

• Kreditkontrollkostnader*

• Cyberutpressningskostnader*

• Återställandekostnad för data*

• Undersökningskostnader*

• Ombudsarvoden*

• Underrättelsekostnader* och

• PR kostnader*