De ce 2026 este anul în care orice firmă serioasă trebuie să discute despre cyber insurance

Trei lucruri s-au schimbat fundamental în ultimele 18 luni pentru firmele din România:

  • Atacurile cresc accelerat. Conform raportului DNSC (Directoratul Național de Securitate Cibernetică), incidentele raportate de firme românești au crescut cu peste 40% în 2024-2025, iar pierderile medii per incident au depășit 80.000 EUR pentru IMM-uri.
  • Cadrul legal s-a strâns. NIS2 și Legea 58/2024 au făcut managementul firmei răspunzător PERSONAL pentru incidentele cibernetice. GDPR rămâne activ cu amenzi reale aplicate de ANSPDCP.
  • Clienții enterprise impun obligații contractuale. Firmele furnizoare pentru bănci, asigurători, retail mare, automotive primesc anexe contractuale obligatorii de „cyber insurance minim X EUR limită" – fără poliță, contractul nu se semnează sau nu se reînnoiește.

⚠️ În 2025-2026, peste 60% din contractele B2B noi cu firme mari/medii din România includ clauze de „cyber security" cu cerință explicită de cyber insurance. Lipsa poliței nu mai este o opțiune ignorabilă – este pierderea unui client.

Ce este cyber insurance pe scurt

Cyber insurance (asigurarea cibernetică) este o poliță specializată care acoperă pierderile financiare directe și indirecte cauzate de incidente cibernetice. Este complet diferită de asigurările tradiționale de bunuri sau răspundere civilă – nu acoperă pagubele fizice, ci pe cele digitale, operaționale și reputaționale rezultate dintr-un atac informatic sau breșă de date.

Cele 2 categorii principale

  • First-party coverage (acoperire proprie) – plătește pierderile suferite direct de firma ta: oprirea activității, costuri de remediere, plată ransomware (dacă polița permite), restaurare date, investigație forensic, costuri de notificare clienți afectați.
  • Third-party coverage (răspundere față de terți) – plătește pentru daune cauzate altora: clienți cărora le-au fost scurse date, parteneri afectați de propagarea unui malware, amenzi GDPR (dacă sunt asigurabile în jurisdicția respectivă), procese intentate de afectați.

Polițele moderne oferă AMBELE categorii combinate, cu sub-limite specifice pentru fiecare tip de incident.

Ce acoperă concret o poliță cyber insurance bună în 2026

Acoperiri tipice într-o poliță cyber insurance modernă (2026) First-party (pierderile firmei tale) 💰 Plata ransomware (cu aprobare prealabilă) 🔧 Costuri de remediere & restaurare sistem 📉 Pierderi din întreruperea activității (business interruption) 🕵️ Investigație forensic (cine, cum, ce a luat) 📞 Hotline 24/7 incident response specialiști IT 📧 Costuri notificare clienți afectați 📰 Costuri PR / management criză reputațională 💼 Costuri juridice & consultanță conformitate Third-party (răspundere terți) ⚖️ Procese intentate de clienți afectați 💵 Despăgubiri pentru terți (negociate) 📑 Amenzi GDPR / NIS2 (acolo unde sunt asigurabile) 🛡️ Răspundere parteneri (lanț de aprovizionare) 🧑‍⚖️ Costuri apărare în instanță 📃 Răspundere media (defăimare, copyright) 🏥 Răspundere PCI-DSS (carduri compromise) 🔌 Răspundere către furnizori cloud / SaaS
Acoperiri standard într-o poliță cyber insurance modernă. Pentru o firmă mică-medie, limitele tipice sunt 250.000 – 1.000.000 EUR per incident, cu sub-limite pe categorie.

Cât costă o asigurare cibernetică în România în 2026

Prețul depinde de 6 factori principali:

  • Cifra de afaceri – baza de calcul; firmele cu CA > 5M EUR plătesc disproporționat mai mult
  • Sectorul – sănătate, financiar, retail online, fintech, IT au prime mai mari (risc + amenzi mai mari)
  • Cantitatea de date personale stocate (clienți, angajați, vizitatori site)
  • Măsurile tehnice existente – MFA, backup, EDR, training pot reduce prima cu 20-50%
  • Istoricul incidentelor – orice incident raportat anterior crește prima sau exclude acoperirea
  • Limita de acoperire aleasă (250k vs 500k vs 1M EUR) și deductibilul (franșiza)
Prime anuale orientative – cyber insurance România 2026 (EUR) Profil firmă Limită 250.000 EUR Limită 500.000 EUR Limită 1.000.000 EUR Servicii B2B, 10-30 ang. CA < 2M EUR · risc redus ~800 - 1.500 EUR ~1.400 - 2.500 EUR ~2.500 - 4.000 EUR E-commerce retail CA 2-10M · multe carduri ~1.500 - 3.000 EUR ~2.800 - 5.000 EUR ~5.000 - 8.500 EUR Sănătate / financiar date sensibile la scară ~2.500 - 5.000 EUR ~4.500 - 8.500 EUR ~8.500 - 15.000 EUR IT / SaaS / dev supply chain risk ridicat ~1.800 - 3.500 EUR ~3.200 - 6.500 EUR ~6.500 - 12.000 EUR Prime ORIENTATIVE 2026 — depind de măsurile tehnice, istoric, broker. Reducerile pentru firme cu MFA + EDR + backup ajung la 30-50%.
Estimări de piață pentru firmele românești în 2026. Firmele cu măsuri tehnice solide documentate obțin reduceri semnificative; lipsa MFA sau backup poate dubla prima sau duce la respingerea cererii.

Cerințele tehnice pe care le impune ASIGURĂTORUL pentru a accepta polița

În 2020-2022, asigurătorii vindeau polițe cu chestionare scurte. Astăzi, după valul masiv de daune ransomware (LockBit, BlackCat, Royal), chestionarele au 50-150 întrebări tehnice și fiecare răspuns „NU" la o cerință critică înseamnă fie respingere, fie primă triplată.

Cerințe „obligatorii" – fără ele, asigurătorul refuză

  • MFA pe toate conturile critice: email (Microsoft 365 / Google Workspace), VPN, acces remote, conturi admin. Recomandăm tranziția la passkeys, recunoscute drept cel mai sigur mecanism MFA.
  • Backup 3-2-1 funcțional și testat: minim trei copii, două medii diferite, una offline/imutabilă. Vezi ghidul complet. Asigurătorul cere dovezi de testare de restaurare lunară.
  • EDR sau antivirus next-generation pe toate stațiile (nu doar antivirus clasic). Soluții acceptate: Microsoft Defender for Business, SentinelOne, CrowdStrike, Bitdefender GravityZone.
  • Filtrare email anti-phishing activă (M365 ATP, Google Workspace Advanced, Mimecast, Proofpoint).
  • Patch management documentat: actualizări critice aplicate în maxim 30 zile (sau 7 zile pentru vulnerabilitățile critice publicate).
  • Training anti-phishing anual pentru toți angajații, cu evidență de participare.

Cerințe „recomandate" – fără ele, prima crește 50-100%

  • Segmentarea rețelei (VLAN-uri separate pentru server, utilizatori, oaspeți, IoT)
  • Plan de răspuns la incident scris și testat anual (tabletop exercise)
  • Privilegii minime de acces (least privilege) și revizuire trimestrială
  • Logging centralizat și retenție minim 6 luni
  • Acoperire firewall cu inspecție trafic (UTM/NGFW)
  • Politica scrisă de utilizare AI (impactul ChatGPT/Copilot pe date – vezi ghidul nostru AI)
  • Conformitate GDPR documentată (DPA-uri cu furnizorii, registru prelucrări, etc.)

Cerințe „bonus" – aduc reduceri de 10-30% pe primă

  • SOC sau MDR (Managed Detection and Response) extern 24/7
  • Penetration test extern anual cu raport remediat
  • Certificare ISO 27001 sau echivalent
  • Hardware security keys (YubiKey) pentru conturi admin
  • Implementare passkeys pe email și conturi critice
  • NAS cu snapshots imutabile și replicare offsite (vezi ghid NAS)

💡 Practica iSoft Consulting: înainte de a recomanda clienților o poliță, facem un „audit de pre-acceptare" intern – verificăm pe 80 puncte ce este în loc și ce trebuie făcut. Investind 1-2 săptămâni în îmbunătățiri tehnice ÎNAINTE de a aplica reduce prima cu 30-50% și accelerează acceptarea.

Procesul tipic de obținere a unei polițe – pas cu pas

De la decizie la poliță activă – proces tipic în 4-8 săptămâni 1 Pas 1 – Audit intern de pre-acceptare (1-2 săptămâni) Cu un partener IT verifici starea actuală pe 80+ puncte tehnice (MFA, backup, EDR, etc.). Rezultat: listă de gaps care trebuie închise înainte de aplicare la asigurător. 2 Pas 2 – Remediere gaps tehnice (1-3 săptămâni) Activare MFA peste tot, configurare EDR, testare backup, training echipă. Documentare riguroasă. Pașii de remediere reduc prima cu 30-50% – investiție mai mică ca diferența de primă pe 2 ani. 3 Pas 3 – Chestionar asigurător + ofertă (1-2 săptămâni) Completarea chestionarului tehnic (50-150 întrebări) cu documentație de susținere. Brokerul cere oferte la 3-5 asigurători. Compari acoperiri, excluderi, prime, sub-limite. 4 Pas 4 – Semnare, plată primă, activare poliță Citirea ATENTĂ a clauzelor de excludere – cu juristul firmei. Negociere sub-limite specifice. Polițe tipice anuale, cu reînnoire condiționată de menținerea măsurilor tehnice declarate.
Procesul tipic durează 4-8 săptămâni. Firmele care încearcă să sară peste auditul de pre-acceptare ajung tipic la prime cu 50-100% mai mari sau respingere.

Excluderile clasice – ce NU acoperă polița (și de ce contează)

Cele mai dureroase situații apar când o firmă crede că are acoperire și descoperă, după incident, că cazul cade sub o excludere. Excluderile tipice în 2026:

  • Neglijență gravă demonstrată: lipsa patch-urilor publice de luni de zile, MFA dezactivat manual, antivirus expirat. Dacă investigația arată că „știai și nu ai făcut nimic", se respinge.
  • Acte de război cibernetic: clauza „war exclusion" extinsă după Merck vs ACE (2022). Atacurile atribuite statelor naționale (Rusia, China, Coreea de Nord, Iran) pot fi excluse. Verifică clauza „silent cyber" și „cyber war".
  • Incidente anterioare datei poliței: dacă atacatorul era deja în rețea înainte de începerea poliței (chiar dacă l-ai descoperit ulterior), incidentul nu se acoperă. Audit pre-acceptare obligatoriu.
  • Amenzi penale (vs civile/administrative). Amenzile ANSPDCP pentru GDPR sunt administrative – acoperite. Amenzile penale ale managementului – NU.
  • Pierderea proprietății intelectuale fără breșă demonstrabilă. Dacă concurența îți „aspiră" cod sursă fără urmă, nu se acoperă.
  • Costuri de upgrade securitate post-incident: polița plătește restaurarea la starea de dinainte, nu îmbunătățirea („betterment exclusion").
  • Cripto / blockchain: pierderile din wallet-uri compromise sau hack-uri DeFi sunt tipic excluse complet.
  • Răspunderea profesională: dacă vinzi servicii IT și un client te dă în judecată pentru pierderi cauzate de tine, ai nevoie de poliță separată „Tech E&O" (Errors & Omissions).

⚠️ Cea mai frecventă surpriză negativă: firma crede că plata ransomware este acoperită automat. În realitate, multe polițe cer aprobare PREALABILĂ de la asigurător înainte de orice negociere cu atacatorul, iar refuzul de cooperare cu asigurătorul invalidează acoperirea.

Cum se face o cerere de despăgubire – pașii post-incident

  1. Notificare imediată către asigurător – tipic în 24-72 ore de la descoperire. Întârzierea poate invalida acoperirea.
  2. Activarea hotline-ului 24/7 al asigurătorului – primești acces la firmă de incident response, juriști, specialiști PR. Folosirea echipei lor (vs propriilor specialiști neaprobați) este de regulă obligatorie.
  3. Containment – izolarea sistemelor afectate, păstrarea evidenței digitale pentru forensic. NU șterge nimic, NU plăti ransomware fără aprobare.
  4. Investigație forensic – condusă de firma aprobată de asigurător. Determină vectorul de atac, ce date au fost compromise, scope-ul real.
  5. Notificări obligatorii: ANSPDCP în 72 ore (dacă date personale), DNSC (dacă firmă NIS2), clienți afectați – cu suport juridic.
  6. Restaurare – sub coordonarea asigurătorului, cu documentarea fiecărui cost.
  7. Cerere despăgubire – cu toate documentele justificative. Plata tipică în 30-90 zile după aprobarea cazului.

Greșelile care invalidează polița – evită-le cu orice preț

  • Declarații tehnice neadevărate în chestionarul de aplicare. Dacă declari „MFA pe toate conturile" și după incident se descoperă că nu era pe email-ul compromis, polița se anulează retroactiv.
  • Modificări de infrastructură nedeclarate. Achizițiile, fuziunile, schimbarea de furnizor cloud trebuie comunicate asigurătorului în termen contractual.
  • Neglijarea măsurilor declarate. Dacă activezi MFA pentru aplicare și îl dezactivezi după, asigurătorul are dovada că ai înșelat – respingere garantată.
  • Plata ransomware fără aprobare. Tipic invalidează acoperirea pentru întregul incident.
  • Folosirea propriilor specialiști neaprobați pentru incident response, când polița cere echipa asigurătorului. Costurile nu se rambursează.
  • Notificare târzie. Termenele sunt stricte (24-72 ore). „Am vrut să rezolvăm intern întâi" = pierderea acoperirii.
  • Pierderea evidenței digitale prin ștergerea log-urilor, reinstalarea sistemelor înainte de forensic.
  • Neînnoirea poliței la timp (gap de zile între polițe vechi și nouă în care un incident apare).

Cine vinde cyber insurance în România în 2026

Piața românească are două canale principale:

  • Asigurători locali care vând cyber insurance produs propriu sau distribuit: Allianz-Țiriac, Generali, Omniasig, Groupama, Euroins, NN.
  • Brokeri specializați care plasează polițe pe piața internațională Lloyd's, AIG, Chubb, Beazley, Hiscox – cu acoperiri mai mature pentru limite mari (peste 500.000 EUR) și sectoare critice.

Recomandăm întotdeauna lucrul printr-un broker specializat în cyber – nu printr-un broker generalist sau direct cu asigurătorul – pentru că negociază termenii, compară excluderile și știe care produs are practica de daune cea mai bună.

De ce contează un partener IT pentru obținerea unei polițe bune

Asigurătorii nu evaluează firma „cum e", ci „cum o reprezintă chestionarul tehnic". Un partener IT specializat te ajută:

  • Completarea corectă a chestionarului – cu dovezi documentare per întrebare
  • Identificarea gaps-urilor care vor fi descoperite la audit și remedierea lor PROACTIV
  • Documentarea măsurilor existente într-un format pe care asigurătorul îl acceptă
  • Discuții tehnice cu auditorul asigurătorului pentru a justifica configurări neobișnuite
  • Procedura de incident response scrisă, integrată cu cerințele poliței
  • Reînnoirea anuală – verificarea că nimic nu s-a schimbat în mod care invalidează polița

💡 La iSoft Consulting facem audit de pre-acceptare pentru cyber insurance, asistăm completarea chestionarelor și implementăm tehnic cerințele asigurătorului (MFA, backup 3-2-1, EDR, patch management, training). Lucrăm cu brokeri specializați din România pentru a optimiza prima și acoperirea.

Întrebări frecvente

Avem deja asigurare „all risks" pentru bunuri – nu acoperă și cyber?

Nu. Polițele tradiționale de bunuri au excluderi explicite pentru cyber („silent cyber") din 2020-2022 încoace, după presiunile Lloyd's. Trebuie poliță separată dedicată cyber.

Plătim deja Microsoft 365 Business Premium care include securitate – mai e nevoie de poliță?

Da. Microsoft 365 oferă instrumente tehnice (Defender, Intune, Conditional Access), nu acoperire financiară post-incident. Cele două sunt complementare – instrumentele reduc probabilitatea atacului, polița acoperă consecințele financiare când atacul totuși reușește.

Suntem firmă mică (10 angajați) – chiar avem nevoie?

Statistic, 43% din atacurile ransomware vizează firme cu sub 100 angajați. Pierderea medie pentru o firmă mică este 50.000-150.000 EUR (răscumpărare + downtime + remediere). O poliță anuală de 1.500-2.500 EUR acoperă acest risc. Răspuns scurt: da, mai ales dacă ai date personale de clienți (oricine are).

Cât durează plata despăgubirii după incident?

Tipic 30-90 zile după aprobarea cazului. Cheltuielile de urgență (echipa de incident response, hotline) sunt acoperite imediat, fără așteptare. Despăgubirea pentru business interruption și pierderi se calculează după închiderea investigației forensic.

Ce se întâmplă dacă atacatorul nu este identificat?

Nu contează pentru cele mai multe polițe – nu trebuie să demonstrezi „cine" te-a atacat, doar că incidentul s-a întâmplat și nu este sub o excludere. Doar clauza „war exclusion" cere atribuire la stat, ceea ce este oricum greu de demonstrat.

Putem schimba asigurătorul la reînnoire dacă nu suntem mulțumiți?

Da, dar atenție la „gap-uri": polița nouă trebuie să înceapă în aceeași zi în care expiră cea veche, fără pauză. Brokerul gestionează tranziția. Schimbarea după un incident raportat este aproape imposibilă în primii 3-5 ani.

Plătim ransomware – este legal în România?

Plata în sine nu este interzisă în România, dar trebuie verificată legalitatea per caz: dacă atacatorul este sub sancțiuni internaționale (lista OFAC, UE), plata devine ilegală. Asigurătorul are juriști care verifică această dimensiune înainte de aprobarea plății.

Polița acoperă atacurile cauzate de un angajat (insider threat)?

Tipic da – atât atacuri intenționate (angajat răzbunător, vânzare de date) cât și neintenționate (click pe phishing) sunt acoperite. Excluderile vizează doar acțiunile fraudoase ale managementului firmei sau ale acționarilor.

Ce relație este între cyber insurance și conformitatea NIS2?

NIS2 cere măsuri tehnice și organizatorice plus răspundere personală a managementului. Cyber insurance acoperă consecințele financiare ale incidentelor (inclusiv unele amenzi) și demonstrează diligență – este un argument puternic în orice procedură ANSPDCP/DNSC. Vezi ghidul nostru NIS2.

Cum aleg între limita 250k / 500k / 1M EUR?

Calculează scenarii: dacă întrerupi activitatea 2 săptămâni, cât pierzi (CA + costuri restaurare + notificări)? Pentru firmele mici cu CA < 2M EUR, 250-500k acoperă majoritatea scenariilor. Pentru firmele cu obligații contractuale față de clienți mari sau cu date sensibile mari, 1M+ este standardul.

asigurare cibernetică cyber insurance cyber risk ransomware cyber liability securitate firme NIS2 GDPR