Het groeiende aantal cyberincidenten heeft grote impact op bedrijven, zoals problemen met de bedrijfscontinuïteit of reputatieschade. Het Verbond wil de bewustwording van deze risico's vergroten en het risico op schade verkleinen.
Cybercriminaliteit is een verzamelnaam voor onder meer fraude, diefstal of afpersing via internet. Criminelen stelen bijvoorbeeld identiteitsgegevens. Of ze maken computers of servers onbruikbaar en vragen daarna om losgeld.
Ondernemers lopen het risico dat de bedrijfscontinuïteit daardoor in gevaar komt of klantgegevens op straat komen te liggen met reputatieschade en verlies van klanten tot gevolg. Deloitte schatte het totale waardeverlies door cyberrisico’s voor de grootste Nederlandse bedrijven en overheid in al 2016 in op 10 miljard euro per jaar.
Naast criminaliteit en vandalisme kunnen er in de digitale wereld simpelweg systemen falen of gegevens kwijtraken. Menselijk handelen is daar vaak de oorzaak van, bijvoorbeeld door het niet goed uitvoeren van protocollen of gemakkelijk te achterhalen wachtwoorden. Maar ook het systeem zelf kan falen door een bug of softwarefout.
Ondanks de toename van cyberrisico’s is het verzekeren van deze risico’s (particulier en zakelijk) nog niet zo vanzelfsprekend in Nederland. Daarvoor zijn drie oorzaken:
Volgens het Data Analytics Centre van het Verbond bedraagt de bruto premieomzet van cyberverzekeringen in Nederland ongeveer 101 miljoen euro (2023). Dat is een flinke stijging ten opzichte van de 65 miljoen euro in 2022. Maar nog altijd een bescheiden omvang in vergelijking met de ruim twee miljard dollar in de Verenigde Staten. Ook ten opzichte van de bruto premieomvang van de totale Nederlandse schadeverzekeringsmarkt in 2023 (16,5 miljard euro) is het aandeel cyberverzekeringen klein.
Hoewel het premievolume de afgelopen jaren is toegenomen en Nederland het in vergelijking met andere Europese landen niet slecht doet, blijven de absolute aantallen klein. Zeker ook gezien de dichte ICT-infrastructuur in ons land. Daarnaast geldt het overgrote deel van het aanbod aan cyberverzekeringen voor de zakelijke markt. De markt voor particulieren staat nog in de kinderschoenen. Een deel van de cyberrisico’s wordt gedekt via traditionelere verzekeringen, zoals aansprakelijkheid en brand.
Verzekeraars werken hierbij vaak samen met partners op het gebied van IT, security, wet- en regelgeving, forensisch en communicatie.
Met behulp van de Risicoklassenindeling Digitale Veiligheid krijgen ondernemers en bedrijven inzicht in de cyberrisico’s en informatie over preventiemaatregelen. Aan de hand van negen vragen wordt een inschatting gemaakt van het risico op een cyberaanval. Deze inschatting bepaalt in welke risicoklasse een onderneming valt en welke concrete preventiemaatregelen kunnen worden genomen. Het Verbond is nauw betrokken geweest bij de ontwikkeling van deze tool.
Het kennis- en standaardisatie-instituut voor de financiële dienstverlening, SIVI, publiceert binnenkort de eerste codes schadeoorzaken voor de branche Cyberverzekeringen. Deze zijn in overleg met het platform Cyber ontwikkeld. Het doel van de codes is om duidelijkheid te krijgen bij het registreren van een schadeoorzaak.
De codes zijn onderverdeeld in hoofd- en subcategorieën. De hoofdcategorieën zijn onder meer criminaliteit, diefstal en menselijk handelen, terwijl onder de subcategorieën schadeoorzaken vallen als phishing, data-lek, ransomware, etc. In de komende tijd zullen verzekeraars ervaren of de codes eventueel moeten worden aangevuld.
Wat speelt zich af binnen de sector in het kader van cyberverzekeringen? Deze vraag wordt eens per jaar beantwoord met de marktmonitor van het Verbond. Op deze manier worden de trends op de markt bijgehouden.
Het Verbond participeert ook in de werkgroep Cyber van MKB-Nederland en VNO-NCW. Deze werkgroep richt zich op het bevorderen van risicobewustzijn van (mkb-)ondernemers en ontwikkelt branche-specifieke instrumenten onder de noemer Samen Digitaal Veilig.
De Vereniging Nederlandse Assurantiebeurs (VNAB) heeft een handleiding opgesteld voor verzekeringsadviseurs en bedrijven over het afsluiten van een cyberverzekering. Doel is om inzicht te geven in de betekenis van een cyberverzekering en de wijze waarop deze in de co-assurantie/(groot) zakelijke markt tot stand komt.
Toch biedt de handleiding ook voor kleinere bedrijven nuttige informatie over welke dekking cyberverzekeringen bieden, welke voorwaarden worden gehanteerd en welke preventieve maatregelen minimaal zijn vereist.
Incidenten bij onder andere de Universiteit Maastricht en de gemeente Hof van Twente hebben de discussie over het (verzekeren van) betalen van losgeld aangezwengeld. De politiek, de minister van Justitie en Veiligheid en de politie roepen op om nooit losgeld te betalen, maar de dagelijkse praktijk is weerbarstig. Nynke Brouwer promoveerde op een proefschrift over cyberverzekeringen. Zij noemt een verbod zinloos: “Het leidt niet per se tot minder uitbetalingen.” Een gesprek over haar proefschrift, de rol van verzekeraars en de zin en onzin van losgeld lees je hier.
Verzekeraars doen er alles aan om te voorkomen dat een bedrijf na een hack losgeld moet betalen. De minister pleit voor een verbod op het verzekeren van vergoeden van losgeld. Het Verbond wijst er op dat dit in de praktijk juist heel weinig oplevert en zelfs averechts werkt. Verzekeraars kunnen er namelijk voor zorgen dat bedrijven niet ingaan op losgeld-eisen en er eerst alles aan doen om het probleem op andere manieren op te lossen. Verzekeraars maken daarvoor veel extra kosten, onder andere voor technisch en forensisch onderzoek. Hulpverlening en vergoeding van kosten vallen al onder de dekking. Daarmee kunnen ondernemers concreet worden geholpen en kan betaling van losgeld vaak worden voorkomen of het losgeldbedrag wordt significant verminderd.
Tijdens de livestream Security, risico en claims in balans is een start gemaakt met de discussie over dit onderwerp, die vervolgens tijdens enkele ronde tafelgesprekken is voortgezet.
Ook de eigen cyberveiligheid van verzekeraars is van groot belang. Om een operationele bijdrage te leveren aan de cyberveiligheid van de sector zélf, vindt dienstverlening plaats via het Computer Emergency Response Team (i-CERT) voor de verzekeringssector. Hiernaast is er een speciaal platform (Insurance ISAC) voor Chief Information Security Officers (CISO’s) van verzekeraars. Deze jaagt kennisdeling aan en draagt daarmee bij aan een digitaal veilige bedrijfsvoering door verzekeraars.
Het (i-CERT) wordt ondersteund door het Centrum Bestrijding Verzekeringscriminaliteit (CBV) van het Verbond. Deze centrale dienst informeert en adviseert verzekeraars doorlopend over actuele cyberbedreigingen en coördineert collectieve acties.
De toename in het aantal cyberaanvallen leidt ertoe dat verzekeraars steeds kritischer worden wat betreft het verzekeren van cyberrisico’s. De cyberverzekeringsmarkt in Nederland is relatief klein en volop in beweging. Verzekeraars stellen zich daarom verschillend op wanneer het aankomt op de het dekken van deze risico’s.
De ongrijpbaarheid van cyberrisico’s, vanwege een gebrek aan data en de kans op opeenstapeling van incidenten (en daarmee zeer grote schades), kunnen leiden tot het stellen van (extra) eisen aan preventie, het limiteren van maximale schadevergoedingen, aanpassingen in premies of zelfs het stoppen met het verzekeren van deze risico’s. Elke verzekeraar maakt hierin zijn eigen afweging.
In de VS en ons omringende landen als Duitsland, Frankrijk en het Verenigd Koninkrijk zijn vergelijkbare ontwikkelingen gaande.
Publicaties van het Verbond
