📞 Telefon ✉ Email
SC Conexo Development SRL — Partener exclusiv Asirom VIG
Acasă Produse Business Cyber Risk

Asigurare Cyber Risk

Asigurare Asirom VIG pentru incidente cibernetice — ransomware, breșe de date personale, sancțiuni GDPR și NIS2, răspundere civilă cyber, întreruperea activității IT. Acces la o echipă de răspuns specializată în primele ore după incident, prin parteneri pre-negociați.

✓ Ransomware și malware ✓ Breșe de date personale ✓ Sancțiuni GDPR și NIS2 ✓ Echipă răspuns incident ✓ Business interruption IT

Atacuri reale tot mai dese, sancțiuni care pot lichida o cifră de afaceri

DNSC a gestionat 101 atacuri ransomware în România în 2024 — un atac la fiecare 3-4 zile. Iar sancțiunea maximă GDPR poate atinge 4% din cifra de afaceri anuală globală — adesea suficient pentru a închide o firmă mică-medie. Cyber Risk acoperă ambele linii.

Atacuri ransomware RO 2024101 atacurigestionate de DNSC · 68 firme private, 20 instituții publice, 13 persoane fiziceSursa: DNSC · raport anual 2024
vs
Sancțiune maximă GDPR4% CAdin cifra de afaceri anuală globală sau 20 mil EUR · cea mai mare valoareSursa: Regulament UE 2016/679 art. 83
Ghid

Când e Cyber Risk obligatoriu

Asigurarea cyber a devenit în 2025 o componentă standard a managementului riscului operațional pentru firmele cu sisteme IT critice, baze de clienți sau care procesează date personale la scară. Decizia depinde de profilul de risc, sector și obligațiile de conformitate.

Pe scurt
  • Pentru orice firmă cu sisteme IT critice, baze de clienți, vânzare online sau procesare date personale
  • Pentru entitățile NIS2 (esențiale sau importante) din 18 sectoare reglementate — sancțiuni separate față de GDPR
  • Acoperă răspunsul tehnic + sancțiunile asigurabile + răspunderea față de terți, nu înlocuiește măsurile interne de securitate
Scenariu ipotetic · doar pentru ilustrare

Un atac ransomware paralizează o firmă de distribuție 11 zile

Distrib Plus SRL, distribuitor angro, 65 angajați, sediu în Brașov, cifră de afaceri ~12 mil EUR/an. Sistemele critice: ERP, WMS pentru depozit, EDI cu furnizori, sistem de facturare.

Într-o noapte de duminică, un atac ransomware criptează stațiile, serverul ERP, sistemul de back-up local. Marți dimineața, firma se trezește fără facturare, fără gestiune de stoc, fără EDI cu furnizorii. Atacatorii cer 180.000 EUR recompensă.

Asiguratul activează hotline-ul Asirom în primele ore. În cele 24-72 ore decisive, intervin paralel: echipa forensic (izolarea atacului, evaluarea amplorii), negociator specializat (reducerea recompensei la 62.000 EUR, validarea că grupul ransomware nu este pe lista de sancțiuni OFAC), juriști GDPR (verificarea dacă există obligație de notificare la ANSPDCP în 72h), consultanți PR (gestionarea comunicării cu clienții B2B și presa locală).

După 11 zile, operațiunile sunt restabilite. Costurile totale acoperite din poliță: răscumpărarea aprobată, costurile de recuperare IT, expertiza forensic, juridicul GDPR, comunicarea de criză, plus pierderea de profit business interruption pe perioada paralizării.

180krecompensă cerută inițial de atacatoriEUR cerere
62krecompensă redusă prin negociator specializatEUR negociat
11durata paralizării operaționalezile
24-72fereastră în care intervine echipa de răspunsh critic
72termenul de notificare ANSPDCP dacă există breșă de dateh GDPR

⚠ Decizia de plată a răscumpărării se ia exclusiv cu autorizația asigurătorului, după verificarea că grupul nu este sub sancțiuni internaționale; orice plată unilaterală anulează acoperirea și poate atrage expunere penală.

Patru categorii de acoperire

Polița lucrează pe patru axe în paralel — fiecare cu sume asigurate și sublimite proprii, negociate la emitere.

Asirom VIG — Condiții generale Cyber Risk + reasigurare cu specializare cyber prin VIG

01
Răspuns tehnic la incidentCosturile de investigație forensic, izolarea atacului, recuperarea datelor, reconstrucția sistemelor, plata recompensei (cu aprobare prealabilă și verificare a sancțiunilor internaționale). Aici intră și negociatorul specializat pentru ransomware — un serviciu pre-contractat care reduce frecvent recompensele cu 30-60%.
02
Sancțiuni și conformitateSancțiuni GDPR aplicate de ANSPDCP (Legea 190/2018), sancțiuni NIS2 aplicate de DNSC pentru entitățile esențiale și importante (OUG 155/2024, Legea 124/2025). Plus costurile de notificare a persoanelor vizate, juridic specializat GDPR, monitorizare credit pentru victime, consultanță PR pentru gestionarea crizei publice.
03
Răspundere civilă față de terțiDespăgubirile către clienți, parteneri, băncile cardholderilor și alte terțe părți afectate de incidentul cibernetic — atunci când sistemele compromise transmit malware sau cauzează prejudicii financiare prin nefuncționare. Componenta esențială pentru furnizorii B2B (ERP, hosting, SaaS, procesatori plăți).
04
Întreruperea activității ITPierderea de profit calculată pe baza rapoartelor financiare istorice, plus costurile suplimentare de continuitate operațională (sedii alternative, procese manuale, personal IT extern temporar, comunicare de criză). Franșiza de timp standard este 8-24 ore, după care începe să curgă plafonul.
"

În cazul unei breșe de securitate care implică date cu caracter personal, operatorul notifică autoritatea de supraveghere fără întârzieri nejustificate, în termen de cel mult 72 de ore de la luarea la cunoștință. Sancțiunile pot ajunge până la 20 milioane EUR sau 4% din cifra de afaceri anuală globală, valoarea mai mare.

Regulamentul UE 2016/679 (GDPR) — art. 33 și art. 83

Trei configurări tipice Cyber Risk

Aceeași poliță, trei profile de firmă cu nivele diferite de expunere și obligații. Limitele finale se decid după chestionarul de securitate de 50-80 întrebări tehnice.

Primele sunt orientative, pentru firme cu măsuri de securitate adecvate (2FA, backup imutabil, EDR, training phishing); fără aceste măsuri prima crește sau emiterea se refuză.

IMM 5-50 angajați

CA până la 5 mil EUR, sub NIS2

Profil tipic
Retail online, agenții marketing, IT consultanță, firme servicii
Limite recomandate
250.000-500.000 EUR
Risc dominant
Ransomware + phishing + breșă date clienți
Obligație NIS2
De regulă nu se aplică; rămâne obligația GDPR
Primă anuală orientativă
1.500-4.000 EUR
Măsuri minime
2FA, backup, antivirus, training anual

Firmă medie 50-250 angajați

CA 5-50 mil EUR, posibil NIS2 important

Profil tipic
Producție, e-commerce mare, IT/SaaS, logistică, sănătate privată
Limite recomandate
500.000-2.000.000 EUR
Obligații suplimentare
NIS2 importantă (în sectoare listate); audit cybersec
Risc adăugat
RC cyber față de clienți B2B + sancțiuni NIS2
Primă anuală orientativă
4.000-12.000 EUR
Măsuri minime extinse
EDR, SIEM minim, plan răspuns documentat, segmentare rețea

Entitate esențială NIS2

Energie, sănătate, financiar, utilități, IT critic

Profil tipic
Spitale, IFN-uri, operator utilități, SaaS critic, infrastructură digitală
Limite recomandate
2.000.000 - 10.000.000+ EUR
Sancțiuni maxime
NIS2 esențială: 10 mil EUR / 2% CA; GDPR: 20 mil EUR / 4% CA
Subscriere
Centralizată VIG Viena pentru limite peste 1 mil EUR
Primă anuală orientativă
12.000-50.000+ EUR
Cerințe tehnice
Audit cybersec independent, SOC operațional, raportare DNSC 24h
Detalii

Cum funcționează contractul în detaliu

Patru aspecte importante înainte de emitere: cui se adresează, mecanica notificării incidentelor, cerințele minime de securitate și excluderile standard.

🏢Pentru cine este Cyber Risk

Polița este recomandată pentru:

  • Firme IT și SaaS — dezvoltatori software, hosting, cloud, agenții web. Risc multiplu: profesional, contractual (SLA cu clienții), GDPR ca procesatori.
  • Sănătate și sector medical — spitale, clinici, laboratoare, farmacii online. Datele medicale sunt categorii speciale GDPR art. 9, cu sancțiuni maxime. Sectorul cu cel mai mare cost mediu global per breșă (10,93 mil USD, IBM 2024).
  • Servicii financiare — bănci, IFN-uri, instituții de plată, brokeri. Categorie esențială NIS2, plus obligații DORA (Digital Operational Resilience Act).
  • E-commerce și retail online — magazine online, marketplace, procesatori plăți. Date de card (PCI-DSS), istoric cumpărături, adrese livrare; atacuri tip Magecart frecvente.
  • Producție și industrie critică — fabrici cu sisteme SCADA/ICS, linii automatizate. Manufacturing este unul dintre sectoarele cel mai vizate de grupurile ransomware.
  • Administrație publică și utilități — primării, operatori apă/gaz/energie. Entități esențiale NIS2, cu obligație de raportare incident în 24 ore către DNSC.

În practică, aproximativ 80% din firmele cu peste 20 angajați și cifra de afaceri peste 1 mil EUR au profil de risc cyber semnificativ.

⏱️Cum se declară un incident — pași și termene

Procesul de declarare a unui incident cibernetic combină trei termene legale paralele:

  1. Notificare asigurător în 24-48 ore de la detectare (număr hotline disponibil non-stop). Asigurătorul dispatchează echipa forensic, negociatorul și juriștii.
  2. Notificare ANSPDCP în 72 ore dacă există breșă de date personale (art. 33 GDPR). Notificarea persoanelor vizate este obligatorie când există risc ridicat pentru drepturile și libertățile lor (art. 34 GDPR).
  3. Raportare DNSC în 24 ore pentru entitățile NIS2 (raport inițial), 72 ore pentru raport intermediar, 1 lună pentru raport final.

Cele mai importante sunt primele 24-72 ore — perioadă în care se decide dacă firma pierde 50.000 EUR sau 500.000 EUR. Plata unilaterală a recompensei către atacatori (fără autorizarea asigurătorului) anulează acoperirea și poate atrage expunere penală dacă grupul ransomware se află pe liste internaționale de sancțiuni (OFAC, UE).

🔒Cerințe minime de securitate pentru asigurabilitate

Asigurătorul verifică minimum opt elemente la emitere și pe parcursul contractului:

  1. 2FA/MFA pe toate conturile critice (administratori, email, VPN, sisteme financiare).
  2. Backup-uri offline sau imutabile, cu test de restore documentat recent.
  3. EDR sau antivirus modern pe toate stațiile, nu doar pe servere.
  4. Patch management — sisteme de operare și aplicații actualizate, vulnerabilități critice remediate în maxim 30 zile.
  5. Training phishing anual pentru toți angajații.
  6. Plan de răspuns la incident documentat, testat periodic.
  7. Segmentare rețea — separarea zonelor critice de rețelele utilizator standard.
  8. Control acces pe principiul least-privilege.

Fără aceste măsuri minime, polița se emite cu primă majorată semnificativ sau emiterea se refuză. Pentru entitățile NIS2 esențiale, cerințele sunt mai stricte și includ audit cybersec independent, SOC operațional și politici formalizate de management al riscului.

⚠️Excluderi standard

Principalele excluderi conform condițiilor generale Cyber Risk Asirom:

  • Vulnerabilități cunoscute și neremediate peste 90 de zile — neglijența majoră anulează acoperirea.
  • Daune prin utilizarea de software fără licență sau cu licențe expirate.
  • Incidente anterioare emiterii poliței — acoperirea nu este retroactivă.
  • Fraude interne săvârșite de angajații proprii — se asigură separat prin polițe de fidelitate.
  • Daune la hardware fizic — se asigură prin polița de echipamente electronice (modul în Business IMM sau Phoenix).
  • Război cibernetic declarat între state — exclus general în industria asigurărilor cyber globală.
  • Plata recompensei fără autorizația asigurătorului sau către grupuri ransomware aflate pe liste internaționale de sancțiuni.
  • Activitățile nedeclarate sau cu profil de risc semnificativ diferit față de cel declarat în chestionarul de securitate.

Lista completă se include în condițiile generale ale poliței, individualizate per contract.

FAQ

Întrebări frecvente despre Cyber Risk

Cine ar trebui să aibă poliță cyber în 2025?
Orice firmă care folosește sisteme IT pentru operațiuni critice, procesează date personale (orice firmă cu baze de clienți), vinde online, are furnizori IT externi sau este în lista celor 18 sectoare NIS2. În practică, ~80% din firmele cu peste 20 angajați și cifra de afaceri peste 1 mil EUR se încadrează într-un profil de risc cyber semnificativ.
Ce acoperă efectiv polița și ce NU acoperă?
Acoperă: costurile de răspuns la incident (forensic, recuperare, notificare), pierderea de profit din întreruperea activității IT, răspunderea civilă față de terți afectați, sancțiunile GDPR/NIS2 (în măsura asigurabilă conform legii), extorcarea și recompensa (cu aprobare prealabilă), fraudele tip CEO/BEC, costurile de PR și juridice, monitorizare identitate pentru persoanele vizate.

NU acoperă: daune la hardware fizic (acoperite prin Echipamente Electronice), propriul software malițios dezvoltat intern, fraude ale angajaților proprii, nerespectarea intenționată a obligațiilor de securitate, incidente anterioare emiterii poliței.
Cât costă polița pentru o firmă mică-medie?
Tariful se individualizează după cifra de afaceri, număr angajați, sector, număr de înregistrări personale procesate, măsuri de securitate existente, istoric incidente. Pentru firme sub 5 mil EUR cifra de afaceri: prime anuale orientative 1.500-8.000 EUR pentru limite 250.000-1.000.000 EUR. Sectoarele de risc ridicat (financiar, sănătate, e-commerce) plătesc 1,5-2,5× mai mult la aceeași limită.
Ce se întâmplă dacă plătesc recompensa fără să anunț asigurătorul?
Acoperirea se anulează — plata unilaterală nu se decontează retroactiv. Procedura impune notificarea obligatorie a asigurătorului înainte de orice plată, pentru că: (1) trebuie verificat dacă grupul ransomware nu este sub sancțiuni OFAC/UE (plata ar fi ilegală); (2) asigurătorul are echipă de negociatori care reduc frecvent recompensa cu 30-60%; (3) asigurătorul acoperă doar plățile aprobate conform procedurii contractuale.
Cum se declară un incident cibernetic?
Pași obligatorii: (1) detectare atac → izolare imediată sisteme compromise; (2) notificare asigurător în 24-48 ore (număr hotline disponibil non-stop); (3) asigurătorul dispatchează echipa forensic, negociatorul, juriștii; (4) dacă este breșă de date personale — notificare ANSPDCP în 72 ore (art. 33 GDPR); (5) notificare persoane vizate dacă există risc ridicat (art. 34 GDPR); (6) pentru entități NIS2 — raport inițial DNSC în 24 ore, raport intermediar în 72 ore, raport final într-o lună.
Cât de agresiv aplică ANSPDCP amenzi GDPR?
Tot mai agresiv. În 2024 s-au aplicat 83 amenzi totalizând aproximativ 1,86 mil RON. În primele 4 luni din 2025: 52 amenzi, 1,13 mil RON — ritm aproape dublu. Principalele cauze: dezvăluiri neautorizate de date, supraveghere video disproporționată, cookies fără consimțământ, nerăspuns la solicitări GDPR, măsuri de securitate inadecvate. Art. 83 GDPR permite până la 4% din cifra de afaceri — amenzi în EUR la firme cu CA mare au fost deja aplicate.
NIS2 — cum știu dacă firma mea intră?
NIS2 (transpus prin OUG 155/2024 + Legea 124/2025) vizează entități esențiale și importante din 18 sectoare. Criterii cumulative: (1) activitate într-un sector listat; (2) dimensiune — entitate medie sau mai mare (50+ angajați SAU cifra de afaceri peste 10 mil EUR). Sectoare esențiale: energie, transport, bancar, sănătate, apă, infrastructură digitală, administrație publică, spațiu. Sectoare importante: poștă, deșeuri, chimie, alimentație, producție, digital providers, cercetare. Evaluarea oficială se face prin DNSC.
Cât durează emiterea unei polițe cyber?
Emiterea este mai lungă decât la alte polițe — 7-14 zile lucrătoare: completare chestionar de securitate detaliat (50-80 întrebări tehnice), proof of controls (screenshot-uri, politici, configurări), eventual evaluare externă a suprafeței de atac, subscriere centralizată la Asirom VIG (cu reasigurare obligatorie la reasigurători internaționali cu specializare cyber), negociere limite + franșize + excluderi specifice, emitere contract. Pentru limite peste 1 mil EUR, subscrie direct biroul de cyber din Viena (Vienna Insurance Group).

Scenariile, statisticile și exemplele sunt ilustrative, cu rol pedagogic. Datele DNSC, ANSPDCP și IBM Cost of a Data Breach 2024 sunt sursele oficiale citate. Condițiile efective — limite, franșize, sublimite per tip de incident, excluderi specifice — sunt stabilite prin contractul de asigurare Cyber Risk și prin chestionarul de risc individualizat. Reglementări aplicabile: Regulamentul UE 2016/679 (GDPR), Legea 190/2018 privind implementarea GDPR în România, OUG 155/2024 și Legea 124/2025 de transpunere a Directivei UE 2022/2555 (NIS2), Legea 362/2018 (NIS1 anterioară), Legea 237/2015 privind activitatea de asigurare și reasigurare, Codul Civil (Legea 287/2009) art. 1.357-1.372 privind răspunderea civilă delictuală. Pentru firmele din categorii NIS2 esențiale/importante, nicio poliță de asigurare nu suplinește conformitatea tehnică — asigurarea acoperă consecințele financiare, nu obligațiile legale de securitate. Asirom VIG (SC Asigurarea Românească — Asirom Vienna Insurance Group SA) este autorizată ASF prin autorizația RA-023/2003. SC Conexo Development SRL (brand Asira) este intermediar de asigurări autorizat înscris în Registrul ASF. Pentru cotație personalizată, contactează consultantul Asira.

Produse asemănătoare

Alte soluții Asirom care pot completa protecția ta

🏗️
Tehnice

Construcții & Tehnice

CAR/EAR, CPM, ASIBOND

Vezi detalii →
📦
Tehnice

Transport & Marfă

CMR transportatori

Vezi detalii →
Tehnice

Maritim & Nautic

Ambarcațiuni + nave

Vezi detalii →

Solicită cotație Cyber Risk

Construim polița după evaluarea măsurilor de securitate ale firmei. Cotație în 7-14 zile lucrătoare.

Ești deja client Asira? Intră în Contul meu →