Verzekeraar luidt noodklok

Cyberverzekering, ondoenbaar?

Afsluiten en dekking zijn niet langer zekere zaken

Jasper Bakker, beeld Shutterstock

In de harde realiteit van groeiende cybercrime plus dwingende wet- en regelgeving spelen verzekeringen een onzekere rol. Het afsluiten van een securityverzekering gaat niet meer zomaar en Europa’s grootste verzekeraar heeft al gewaarschuwd dat cyberaanvallen onverzekerbaar worden. Bovendien gaat het niet alleen om bedrijf en klant, maar ook om bedrijf en IT-leverancier.

Miljoenen Nederlanders zijn slachtoffer geworden van een datalek begin 2023. Treinreizigers, tv-kijkers, internetgebruikers, zorgverzekerden, festivalbezoekers en vele andere consumenten. Allemaal klanten van een verzameling verschillende bedrijven: NS, VodafoneZiggo, CZ, Vrienden van Amstel Live, enzovoorts. De verbindende link? Marktonderzoeker Blauw. Maar dat bedrijf is zelf niet de bron van dit omvangrijke datalek.

Marktonderzoeker, gemeente

Nee, het Nederlandse bedrijf dat voor vele klanten marktonderzoek doet, is zelf eigenlijk ook slachtoffer. Want de bron van het datalek is IT-leverancier Nebu, waar een security-incident is geweest. Details daarover zijn nogal onder de pet gehouden, wat Blauw niet bepaald zint en waarover het dus een kort geding heeft aangespannen.

Een juridisch conflict tussen IT-leverancier en klant speelt ook bij een andere securityramp; de ransomware-infectie bij de gemeente Hof van Twente. Daar is voor miljoenen euro’s aan schade geleden, waarbij leverancier en klant elkaar aanwijzen als verantwoordelijke en aansprakelijke partij. Over schade verhalen en dekking, kwesties die toch iets ‘voor de verzekering’ zijn?

“De toekomst voor cybersecurity en verzekeringen ziet er somber uit”

‘Onverzekerbaar’

Cybersecurity is altijd al een geval apart geweest wat verzekeren betreft, maar de toekomst ziet er somber uit. Niet natuurrampen, maar cyberaanvallen zijn in de nabije toekomst niet meer te verzekeren. Dit was enkele maanden terug de doemstijding van CEO Mario Greco van Zurich Insurance Group, dat tot de grootste verzekeringsmaatschappijen van Europa behoort. Systematische risico's zoals pandemieën en klimaatverandering stonden al hoog op de zorgenlijst van verzekeraars, maar daar komen digitale aanvallen met stip bij.

De verzekeringssector zou namelijk de enorme kosten van zulke ingrijpende en verreikende gebeurtenissen niet of nauwelijks kunnen dekken. Terwijl verzekeringsclaims vanwege natuurrampen nu voor het tweede jaar op rij de grens van 113,5 miljard euro bereiken, zijn het digitale rampen waar verzekeringstopman Greco zich vooral zorgen om maakt. Het cyberrisico wordt onverzekerbaar, aldus Greco.

Oplopende schades

Tegelijk met de toegenomen impact en kosten van hackaanvallen speelt de zwakke weerbaarheid van veel bedrijven en organisaties. Kabinetsplannen, samenwerkingsverbanden, innovatieprogramma’s, subsidies, maar ook budgetloze verplichtingen en EU-regels moeten de cyberweerbaarheid vergroten. Daar horen niet alleen technische voorzieningen bij.

Ook organisatorische en beleidsmaatregelen behoren tot het benodigde beschermingspakket, waarbij cybersecurityafspraken en cyberverzekeringen ook meespelen. Praktisch probleem: het afsluiten van een securityverzekering gaat niet meer zomaar, want verzekeraars stellen steeds hogere eisen.

Jaren geleden zijn verzekeringsmaatschappijen in het gat gesprongen van een gloednieuwe markt: verzekeren tegen digitale inbraken. Aanvankelijk werden voor zo’n cybersecurityverzekering niet al te zware eisen gesteld, maar dat is sinds een paar jaar anders. Het is verzekeraars namelijk duidelijk geworden dat de schades flink (en steeds meer) kunnen oplopen.

Scherpere voorwaarden, hoger eigen risico, opgehoogde tarieven

Strenger, dus sterker?

Sommige verzekeraars zijn dan ook gestopt met het verstrekken van cybersecurityverzekeringen. Andere aanbieders leggen de lat hoger; ze hanteren scherpere voorwaarden. Zo is het bedrag voor eigen risico verhoogd, in sommige gevallen zelfs naar 100.000 tot 250.000 euro, schreef IT- en IE-advocaat Louise de Gier eerder al in AG Connect.

Daarnaast zijn de tarieven opgehoogd, zijn vragenlijsten uitgebreid en worden risicosectoren in kaart gebracht. Bij dat laatste horen bedrijven met veel data (zoals marktonderzoekers?), bedrijven met gevoelige data of bedrijven waarvoor tijd een kritieke factor is. Verder kunnen keteneffecten ook verzekeringsgevolgen hebben. Denk aan payment providers, SaaS-aanbieders, IT-dienstverleners die voor derde partijen werken, maar natuurlijk ook overheden, ziekenhuizen, banken, transportbedrijven en bedrijven waar de supply chain een belangrijke rol speelt.

De strengere eisen van verzekeraars maken het misschien moeilijker om cyberdekking te krijgen. Maar ze dwingen in wezen wel betere cybersecurity af. Daarmee kunnen dan gróte schades worden voorkomen. In ieder geval qua claims dan.