Żyjemy w epoce bardzo dynamicznych zmian. Po pierwsze – innowacje i postęp technologiczny, po drugie – czynniki geopolityczne i geoekonomiczne. Oba te wektory bezpośrednio i proporcjonalnie przebudowują mapę ryzyk w Polsce i na świecie. W rankingach od kilku lat pojawiają się zagrożenia, których wcześniej nie notowano – choćby dezinformacja, wskazywał prezes Marsh McLennan w Polsce i Co-CEO Marsh McLennan w Europie Środkowo-Wschodniej Artur Grześkowiak podczas spotkania z dziennikarzami.
Na tym tle globalny rynek ubezpieczeniowy pozostaje dziś wyraźnie „miękki”, co jest skutkiem nadpodaży kapitału. Miękkość nie sprowadza się jednak wyłącznie do spadku wycen ryzyka. W wielu obszarach obserwujemy jednocześnie wzrost szkodowości i częstotliwości incydentów, co stoi w sprzeczności z obserwowanym trendem cenowym.
Najlepiej widać to w ubezpieczeniach specjalistycznych, zwłaszcza D&O oraz cyber. W środowisku podwyższonej niepewności zarządzanie przedsiębiorstwem jest trudniejsze, a ekspozycja na odpowiedzialność władz spółek rośnie. Równolegle stawki ubezpieczeniowe w tych liniach spadają – nierzadko o kilka procent. W ryzykach cyber Marsh McLennan widzi dodatkowo dwucyfrową przecenę, według danych rynkowych średnio ok. –15% r/r.
Dzieje się tak mimo stałego wzrostu intensywności ataków – od powszechnych infekcji i kampanii ransomware, po systematyczne próby włamań w instytucjach infrastrukturalnych. Przykładowo Giełda Papierów Wartościowych w Warszawie notuje wiele prób dziennie. Co równie ważne, skala szkód już się materializuje. W Polsce w 2024 r. ok. 10% firm zgłosiło szkodę z polisy cyber, a łączna liczba zgłoszeń wzrosła o 61%. To jakościowa zmiana otoczenia ryzyka, którą Marsh McLennan komunikuje klientom – aby świadomie zarządzać ekspozycją i chronić marżę.
Drugim dużym blokiem są ryzyka geopolityczne i ekonomiczne, w naszym regionie mocno związane z wojną na Ukrainie. Oddziałują one na konkurencyjność firm, wybory kierunków rozwoju, a także na kapitał ludzki: strukturę populacji, postawy społeczne i zaangażowanie pracowników. W tym kontekście jednym z kluczowych wyzwań regulacyjnych jest dyrektywa o transparentności wynagrodzeń, która – w naszej ocenie – istotnie wpłynie na rynek pracy. Warto zauważyć, że modele pełnej transparentności były już testowane biznesowo (casus Bridgewater sprzed około dwóch dekad). Rozwiązanie bywa kontrowersyjne, ale jego efektywność operacyjna jest trudna do podważenia – być może także w Europie okaże się szansą, nie tylko wyzwaniem.
Wnioski praktyczne:
- konieczne jest podnoszenie dojrzałości cyber (procedury, technologia, ćwiczenia, reakcja na incydenty), bo częstość ataków rośnie szybciej niż ceny polis spadają;
- przy miękkim rynku i rosnącej szkodowości warto weryfikować limity, warunki i retencje – szczególnie w D&O i cyber;
- w obszarze HR i compliance należy zawczasu przygotować ramy wdrożenia transparentności wynagrodzeń, łącząc wymogi prawne z kulturą organizacyjną.
Małgorzata Splett-Kulik, Head of FINPRO & Cyber w Marsh McLennan Polska wskazuje na trzy trendy rynkowe.
Po pierwsze: oszczędności na istniejących programach. Część firm szuka dziś redukcji kosztów lub lepszego stosunku ceny do zakresu.
Po drugie: dobudowa ochrony. Wciąż zdarzają się organizacje, które nie mają polisy cyber i rozglądają się za pierwszym rozwiązaniem.
Po trzecie: uszczelnianie programów. Coraz więcej klientów podnosi limity i domyka luki (np. w łańcuchu dostaw czy przerwach w działalności u podwykonawców).
Penetracja rynku pozostaje niska. Szacunkowo ok. 10–15% większych organizacji w Polsce ma pełnowartościowe ubezpieczenie cyber; popularne są małe polisy o ograniczonym zakresie. Te ostatnie rzadko adresują najpoważniejsze scenariusze (długotrwałe przestoje, kosztowna odbudowa środowisk, roszczenia po wycieku danych).
Wyższe limity stają się standardem. Presja rosnącej skali incydentów i dłuższych przestojów (głośne przypadki z ostatnich miesięcy) sprawia, że klienci redefiniują adekwatność limitów oraz udziałów własnych. Równolegle rośnie świadomość, że „goła” polisa nie wystarczy – potrzebne są dodatki konstrukcyjne.
Łańcuch dostaw to temat numer jeden. Nowe konstrukcje polis obejmują przerwę w działalności spowodowaną incydentem u dostawcy (vendor outage), co było słabym punktem wielu programów. Przykład pokazały globalne zakłócenia po błędach jednego z dostawców oprogramowania – klasyczna polisa cyber często nie pokrywała wtórnych skutków u klientów.
„Physical cyber” domyka lukę odpowiedzialności. Standardowe polisy cyber nie obejmują szkód osobowych i rzeczowych. Trwają prace nad rozwiązaniami „physical cyber”, które mają pokrywać skutki materialne ataków (np. uszkodzenie urządzeń, obrażenia), zwłaszcza na styku IT/OT/IoT.
D&O: na co patrzą underwriterzy. W obszarze odpowiedzialności władz spółki rośnie znaczenie: stabilności i zmian w zarządach (częste rotacje zwiększają ryzyko), wdrożenia wymogów NIS2 i DORA (większe obowiązki menedżerów w cyberbezpieczeństwie), przygotowania do Pay Transparency Directive (ryzyko sporów z zakresu praktyk zatrudnienia). Warto pamiętać, że D&O chroni menedżerów, a ewentualne roszczenia wobec spółki wymagają oddzielnego produktu.
Innowacje i dane zamiast intuicji: Marsh McLennan korzysta z największych globalnych baz benchmarkowych (limity, udziały własne, realne wypłaty) – to pozwala precyzyjnie dobrać poziom ochrony. Wspiera firmę wewnętrzna AI, która przygotowuje oceny ryzyka i raporty dla konkretnych profili klientów (branża, jurysdykcja). Zaktualizowana platforma Marsh Central pomaga przećwiczyć i przygotować firmę do ataku: od procedur, przez listy kontrolne, po symulacje.
Na starcie procesu Marsh McLennan udostępnia klientom CSA – rozbudowany kwestionariusz oparty na modelowaniu. Dane z ostatnich pięciu lat pokazują wyraźny postęp: firmy są lepiej przygotowane, a polisy – tańsze i szersze (bo ryzyko jest lepiej zarządzane). Wniosek dla zarządów i działów ryzyka: rynek dojrzewa od „prostych polis” do skrojonych programów opartych na danych, AI i precyzyjnej architekturze klauzul.
Kluczowe decyzje na dziś to:
Czy mamy właściwy zakres i limity (w tym łańcuch dostaw / vendor outage)?
Czy domykamy lukę „physical cyber” przy infrastrukturze OT/IoT?
Czy governance i compliance (NIS2, DORA, pay transparency) są odzwierciedlone w ochronie D&O + pokrewnych liniach?
Taka kombinacja obniża całkowity koszt ryzyka, a nie tylko cenę składki – i realnie zwiększa odporność biznesu.
