Un arrêté du 13 décembre 2022, publié au Journal officiel le 20 décembre, relatif à la classification des engagements d’assurance consécutifs aux atteintes aux systèmes d’information et de communication, crée deux catégories d’opérations dédiées au risque dit « cyber »  dans le Code des assurances afin d’améliorer le pilotage économique et réglementaire des passifs exposés à ce risque.

Ainsi, à l’article A. 344-2 du Code des assurances, après le vingt-huitième alinéa, sont insérés deux alinéas ainsi rédigés : 

• « 32 Dommages aux biens consécutifs aux atteintes aux systèmes d’information et de communication ;
• « 33 Pertes pécuniaires consécutives aux atteintes aux systèmes d’information et de communication ; ».

La création de ces deux catégories dans le Code des assurances n’aura d’impact que sur les comptes ouverts à compter du 1^er janvier 2023.

Elle fait suite à la position prise en septembre dernier par la Direction générale du Trésor qui recommandait la création d’une catégorie spécifique au cyber dans le code des assurances. Jusqu’à présent, les garanties cyber se retrouvaient classées dans les dommages aux biens, responsabilité civile ou pertes pécuniaires. Désormais, l’inventaire des engagements de l’assureur devra mentionner le type de garantie par référence aux catégories d’assurance et donc distinguer les garanties cyber 32 ou 33. 

Arrêté du 13 décembre 2022