Business 11 min citire Echipa ISAIDE

Asigurarea cyber — de ce tot mai multe firme din România o aleg

Ransomware, breșe de date, GDPR și NIS2 — ce poate acoperi o poliță cyber și de ce nu înlocuiește măsurile de securitate IT.

Asigurarea cyber — de ce tot mai multe firme din România o aleg

În urmă cu câțiva ani, riscul cibernetic părea o problemă pentru bănci, companii mari de tehnologie sau instituții publice. Astăzi, aproape orice firmă este expusă: magazine online, clinici, cabinete, restaurante, firme de contabilitate, transportatori, producători, agenții de marketing, companii IT, școli private, service-uri, hoteluri sau birouri de consultanță. Dacă firma folosește email, laptopuri, aplicații de facturare, site web, baze de date cu clienți, procesare de plăți, servere, cloud sau sisteme de gestiune, atunci are risc digital.

Asigurarea cyber a devenit tot mai relevantă pentru antreprenori deoarece un atac informatic nu mai înseamnă doar „nu merge calculatorul”. Poate însemna blocarea activității, pierderea datelor, șantaj prin ransomware, notificări GDPR, investigații tehnice, avocați, comunicare de criză, recuperarea sistemelor, pierderea clienților și costuri care apar rapid, exact când firma nu mai poate funcționa normal.

Vezi asigurări business, asigurarea bunurilor firmei, întreruperea activității și asigurările pentru firmă.

Ce este asigurarea cyber

Asigurarea cyber este o poliță care poate acoperi pierderile și costurile generate de incidente cibernetice. În funcție de contract, poate include costuri de investigare, recuperare de date, restaurare sisteme, consultanță IT forensic, notificarea persoanelor afectate, asistență juridică, răspundere față de terți, întreruperea activității cauzată de un atac, cheltuieli de comunicare și, în unele cazuri, costuri legate de ransomware.

Această asigurare nu înlocuiește securitatea IT. Nu este o alternativă la backup, firewall, autentificare multifactor, actualizări software, politici de acces sau instruirea angajaților. Este o plasă de siguranță financiară pentru momentul în care, în ciuda măsurilor preventive, incidentul se produce.

Pentru antreprenori, întrebarea corectă nu este doar „avem antivirus?”, ci „dacă mâine ne sunt criptate serverele, cât ne costă să repornim firma?”

De ce riscul cyber este diferit de alte riscuri

Un incendiu afectează de obicei o locație. Un accident auto afectează un vehicul. Un atac cyber poate afecta simultan toată firma: emailul, facturarea, comenzile, stocurile, accesul la fișiere, datele clienților, site-ul și comunicarea internă.

Riscul cyber este periculos pentru că este invizibil până când produce efecte. O firmă poate fi compromisă timp de săptămâni fără să știe. Un email fals poate părea legitim. Un angajat poate deschide un atașament infectat. O parolă reutilizată poate fi folosită pentru acces neautorizat. Un server neactualizat poate deveni poarta de intrare pentru atacatori.

Directoratul Național de Securitate Cibernetică descrie ransomware-ul ca malware care împiedică accesul la fișiere sau chiar la întregul sistem informatic infectat până la plata unei răscumpărări. Pentru o firmă mică sau medie, câteva zile fără acces la date pot însemna comenzi pierdute, facturi neemise, clienți nemulțumiți și angajați care nu pot lucra.

Ransomware: atacul care blochează firma

Ransomware-ul este unul dintre cele mai cunoscute motive pentru care firmele caută asigurare cyber. Atacatorii criptează fișierele, blochează sistemele și cer bani pentru deblocare. În multe cazuri, amenință și cu publicarea datelor furate.

Costurile nu se limitează la răscumpărare. Pentru multe firme, costurile reale sunt altele:

  • investigarea atacului;
  • oprirea sistemelor compromise;
  • restaurarea datelor din backup;
  • reconstruirea serverelor;
  • reinstalarea aplicațiilor;
  • verificarea stațiilor de lucru;
  • consultanță tehnică specializată;
  • comunicarea cu clienții;
  • notificări către autorități;
  • pierdere de venit pe perioada opririi;
  • costuri juridice;
  • afectarea reputației.

O firmă care are backup bun poate evita plata răscumpărării, dar tot poate avea costuri mari pentru curățarea sistemelor și reluarea activității. De aceea, asigurarea cyber nu este doar despre bani plătiți atacatorilor, ci mai ales despre recuperare.

Breșe de date și GDPR

Un alt risc major este încălcarea securității datelor cu caracter personal. Dacă firma procesează date despre clienți, angajați, pacienți, utilizatori, parteneri sau abonați, un incident cyber poate deveni și incident GDPR.

GDPR prevede că, în cazul unei încălcări a securității datelor cu caracter personal, operatorul trebuie să notifice autoritatea de supraveghere fără întârzieri nejustificate și, dacă este posibil, în cel mult 72 de ore de la momentul la care a luat cunoștință de incident, cu excepția cazului în care încălcarea este puțin probabil să genereze un risc pentru drepturile și libertățile persoanelor fizice. ANSPDCP pune la dispoziție formular pentru notificarea încălcărilor de securitate a datelor cu caracter personal.

Pentru antreprenori, acest termen de 72 de ore este foarte important. Într-un incident real, primele ore sunt haotice: firma încearcă să afle ce s-a întâmplat, ce sisteme sunt afectate, ce date au fost accesate, cine trebuie anunțat și ce măsuri trebuie luate. O poliță cyber bună poate include acces rapid la specialiști tehnici și juridici care ajută la evaluarea incidentului.

Amenzi și sancțiuni

GDPR are un regim sever de sancțiuni. Articolul 83 prevede două niveluri de amenzi administrative: unele încălcări pot fi sancționate până la 10 milioane euro sau 2% din cifra de afaceri anuală globală, iar încălcările mai grave pot ajunge până la 20 milioane euro sau 4% din cifra de afaceri anuală globală, luându-se în calcul valoarea mai mare.

Atenție: nu orice amendă este automat asigurabilă. Depinde de legislație, de natura sancțiunii și de condițiile poliței. Unele polițe pot acoperi costuri de apărare, consultanță juridică sau cheltuieli de gestionare a incidentului, dar nu trebuie presupus că orice amendă sau penalitate este acoperită. Acest aspect trebuie verificat explicit în contract.

NIS2 și presiunea de conformare

Pe lângă GDPR, unele companii pot intra sub incidența cadrului NIS2, transpus în România prin OUG nr. 155/2024 și aprobat ulterior prin Legea nr. 124/2025. Acest cadru este relevant mai ales pentru entități esențiale și importante, în sectoare precum energie, transporturi, sănătate, infrastructură digitală, servicii digitale, financiar, administrație și alte domenii critice.

Legea introduce obligații legate de gestionarea riscurilor, raportarea incidentelor, responsabilitatea conducerii și măsuri de securitate. Pentru anumite încălcări, sancțiunile pot ajunge, în cazul entităților importante, până la 7 milioane euro sau 1,4% din cifra de afaceri anuală globală, iar pentru entitățile esențiale până la 10 milioane euro sau 2% din cifra de afaceri anuală globală, potrivit textului publicat.

Nu toate firmele intră sub NIS2, dar tendința este clară: securitatea cibernetică devine subiect de guvernanță, nu doar problemă tehnică.

Ce costuri poate acoperi asigurarea cyber

O poliță cyber poate fi construită pe mai multe componente. Acoperirile diferă de la un contract la altul, dar pot include:

  • investigație tehnică după incident;
  • servicii forensic;
  • recuperare și restaurare date;
  • reinstalare sisteme;
  • costuri de notificare a persoanelor afectate;
  • consultanță juridică;
  • comunicare de criză;
  • monitorizare identitate pentru persoane afectate;
  • costuri de apărare în reclamații;
  • răspundere față de clienți sau parteneri;
  • întreruperea activității cauzată de incident cyber;
  • pierdere de profit pe perioada opririi;
  • costuri suplimentare de lucru;
  • cheltuieli legate de ransomware, dacă sunt incluse;
  • acoperire pentru fraudă informatică, dacă este inclusă.

Pentru antreprenori, cea mai valoroasă parte poate fi accesul rapid la o echipă de răspuns: specialiști IT, avocați, consultanți de comunicare și experți în gestionarea incidentelor. Când firma este blocată, timpul costă.

Ce nu acoperă de obicei

Excluderile sunt foarte importante. O poliță cyber poate exclude:

  • incidente cunoscute înainte de încheierea poliței;
  • lipsa măsurilor minime de securitate declarate;
  • sisteme neactualizate intenționat;
  • fraudă internă intenționată;
  • pierderi cauzate de război cibernetic, în funcție de contract;
  • amenzi neasigurabile legal;
  • pierderi reputaționale generale;
  • scădere de piață;
  • defecte de infrastructură nelegate de un incident cyber;
  • încălcări deliberate ale legii;
  • costuri care nu sunt aprobate conform procedurii poliței;
  • parole partajate sau lipsă totală de control, dacă polița impune cerințe minime.

Multe polițe cer măsuri minime: backup, antivirus, actualizări, autentificare multifactor, politici de acces, criptare sau instruire. Dacă firma declară că are aceste măsuri, dar în realitate nu le are, pot apărea probleme la daună.

De ce IMM-urile sunt vulnerabile

Firmele mici și mijlocii cred adesea că nu sunt ținte. Realitatea este diferită. Atacatorii folosesc instrumente automate care caută parole slabe, servere expuse, emailuri vulnerabile și aplicații neactualizate. O firmă mică poate fi atacată nu pentru că este celebră, ci pentru că este ușor de compromis.

IMM-urile au adesea: bugete IT limitate; lipsă de personal specializat; backup neverificat; parole reutilizate; lipsă de MFA; site-uri neactualizate; angajați neinstruiți; date personale stocate dezorganizat; dependență mare de câteva aplicații.

Pentru o firmă mică, un incident de 5 zile poate fi mai grav decât pentru o companie mare care are departament IT, echipă juridică și plan de continuitate.

Diferența dintre securitate IT și asigurare cyber

Securitatea IT reduce probabilitatea incidentului. Asigurarea cyber reduce impactul financiar când incidentul se produce. Ai nevoie de ambele.

Măsurile de securitate includ: backup offline sau imutabil; testarea periodică a restaurării; autentificare multifactor; parole unice; actualizări regulate; segmentarea rețelei; protecție endpoint; filtrare email; training anti-phishing; politici de acces; audit de vulnerabilitate; plan de răspuns la incident; jurnalizare și monitorizare.

Asigurarea intervine după incident, dar nu poate compensa lipsa totală de prevenție. O firmă care nu are backup, nu actualizează sistemele și nu controlează accesul va avea risc mare și poate primi condiții mai restrictive sau primă mai mare.

Întreruperea activității după un atac cyber

Una dintre cele mai importante acoperiri este întreruperea activității. Dacă sistemele sunt blocate, firma nu poate factura, livra, produce, programa, comunica sau încasa. Pierderea nu este doar tehnică, ci financiară.

Exemple: magazin online indisponibil timp de 3 zile; clinică fără acces la programări și fișe; firmă de contabilitate fără acces la documente; producător cu sistem de gestiune blocat; depozit fără acces la WMS; hotel fără sistem de rezervări; firmă de transport fără dispecerat funcțional.

Asigurarea cyber poate acoperi pierderea de profit și costurile suplimentare, dacă această clauză este inclusă. Vezi asigurarea de întrerupere a activității pentru diferența față de polița de bunuri. Trebuie verificată perioada de așteptare, perioada de indemnizare, modul de calcul și documentele necesare.

Răspunderea față de terți

Un incident cyber poate afecta și alte persoane. Dacă datele clienților sunt divulgate, dacă un partener suferă pierderi din cauza unei breșe sau dacă un client cere despăgubiri pentru neglijență în securitatea datelor, firma poate avea răspundere față de terți.

Exemple: datele clienților sunt publicate; datele cardurilor sunt compromise; un client este victima unei fraude după o breșă; un partener cere despăgubiri; un contract impune standarde de securitate neîndeplinite; un atac pornit din sistemele firmei afectează un client.

O poliță cyber poate include costuri de apărare și despăgubiri, în limitele contractului. Vezi și răspunderea civilă generală și răspunderea civilă profesională pentru firme IT și consultanță.

Cum alegi suma asigurată

Suma asigurată trebuie aleasă în funcție de dimensiunea riscului digital, nu doar de cifra de afaceri. O firmă cu venituri moderate, dar cu multe date sensibile, poate avea risc mare. O firmă cu activitate dependentă total de sisteme digitale poate pierde mult dacă este blocată.

Analizează: câte date personale procesezi; cât de sensibile sunt datele; cât timp poți funcționa fără sisteme IT; cât costă o zi de oprire; ce obligații ai prin contracte; ce costuri ar avea notificarea persoanelor afectate; ce costă refacerea sistemelor; ce aplicații sunt critice; cât de bun este backup-ul.

O sumă prea mică poate fi epuizată rapid de investigație, avocați și refacerea sistemelor, înainte să mai rămână bani pentru pierderea de profit.

Ce trebuie verificat în poliță

Înainte de semnare, verifică atent: ce incidente sunt acoperite; dacă ransomware-ul este inclus; dacă sunt acoperite costurile forensic; dacă este inclusă recuperarea datelor; dacă sunt acoperite breșele GDPR; dacă există acoperire pentru întreruperea activității; care este perioada de așteptare și de indemnizare; dacă sunt acoperite terții; ce măsuri minime de securitate sunt cerute; ce excluderi există; dacă sunt acoperite serviciile cloud și furnizorii IT; cum se raportează incidentul; cine aprobă cheltuielile urgente.

Nu cumpăra o poliță cyber doar după preț. O poliță ieftină, dar fără ransomware, fără întrerupere a activității sau fără forensic, poate fi insuficientă. Vezi cum citești polița de asigurare.

Greșeli frecvente

  • să crezi că firma este prea mică pentru a fi atacată;
  • să confunzi backup-ul cu recuperarea completă — backup-ul ajută doar dacă este actual, curat, separat și testat;
  • lipsa autentificării multifactor pentru email, cloud și aplicații critice;
  • nedeclararea corectă a sistemelor, volumului de date și măsurilor de securitate la încheierea poliței;
  • să nu ai plan de răspuns la incident;
  • să presupui că toate amenzile GDPR sunt acoperite;
  • să nu verifici dacă furnizorii IT și cloud sunt incluși.

Concluzie

Asigurarea cyber este tot mai importantă pentru firmele din România deoarece activitatea economică depinde de date, aplicații, email, cloud, plăți digitale și sisteme informatice. Un atac ransomware, o breșă de date sau o compromitere de email poate opri firma, poate genera obligații GDPR și poate produce costuri tehnice, juridice și reputaționale semnificative.

GDPR impune notificarea autorității în cazul încălcărilor de securitate a datelor, dacă există risc pentru drepturile și libertățile persoanelor, în termen de cel mult 72 de ore de la momentul la care operatorul a luat cunoștință de incident, unde este fezabil. Cadrul NIS2 transpus în România arată că securitatea cibernetică devine o responsabilitate de management pentru entitățile vizate, nu doar o problemă tehnică.

O poliță cyber bună nu înlocuiește prevenția, dar poate face diferența între o criză gestionabilă și o oprire costisitoare a afacerii. Întrebarea corectă nu este „de ce aș avea nevoie de asigurare cyber?”, ci: „dacă mâine pierd accesul la date, sisteme și clienți, cât timp pot rezista și cine mă ajută să recuperez?”

Solicită ofertă business prin ISAIDE — analiză pe domeniu de activitate și comparare de soluții.

Notă: Acest articol are caracter informativ general și se bazează pe legislația în vigoare la data publicării. Pentru situații specifice, consultați un broker de asigurări autorizat.

Referințe și surse

  1. Regulamentul (UE) 2016/679 (GDPR)
  2. ANSPDCP — notificarea încălcărilor de securitate
  3. DNSC — informații despre ransomware
  4. Legea nr. 124/2025 — securitate cibernetică (NIS2)

Citește și

Vezi toate articolele
Asigurare de accidente pentru angajați: obligații ale angajatorului vs opțiuni facultative
Business

Asigurare de accidente pentru angajați: obligații ale angajatorului vs opțiuni facultative

SSM, accidente de muncă și polița privată de grup — ce este obligatoriu pentru IMM-uri și când merită protecție suplimentară pentru echipă.

Citește articolul
Asigurarea de răspundere civilă profesională — pentru cine este obligatorie în România
Business

Asigurarea de răspundere civilă profesională — pentru cine este obligatorie în România

Medici, avocați, notari, arhitecți, evaluatori, auditori și alți profesioniști reglementați — când legea sau statutul profesional impune polița și ce verifici înainte de semnare.

Citește articolul
Asigurarea clădirii comerciale vs. asigurarea locuinței — diferențe esențiale
Business

Asigurarea clădirii comerciale vs. asigurarea locuinței — diferențe esențiale

PAD, facultativă, stocuri, întreruperea activității și răspunderea civilă — de ce o clădire comercială nu se asigură ca o locuință.

Citește articolul