Nog lang geen volwassen markt

cyber (algemeen beeld)

(Marie-Louise de Smit en Maarten de Jonge van Aon en Ruud de Pont van Klap in Katern Cyber in VVP 2) Terwijl het risico van een cyberaanval elk jaar groter wordt, werd het voor bedrijven de afgelopen jaren steeds moeilijker om zich tegen cyberrisico’s te verzekeren. Gloort er hoop? Marie-Louise de Smit en Maarten de Jonge van Aon en Ruud de Pont van Klap schetsen de ontwikkelingen bij cyberverzekeringen.

Hoe ontwikkelt jullie portefeuille cyberverzekeringen zich?

Marie-Louise de Smit, Cyber Broking Director Aon Nederland: ”We hebben dit jaar een enorme groei kunnen realiseren met ons team. Onze consultants en brokers werken bijna bij elke zakelijke adviesaanvraag met elkaar samen. Advisering op cyberweerbaarheid en cyberverzekerbaarheid zijn onlosmakelijk met elkaar verbonden. We bieden verzekeringen aan van veel verschillende verzekeraars en onze volmacht. Dit is noodzakelijk, aangezien sommige verzekeraars maar een deel van de markt wensen te verzekeren.”

Ruud de Pont, Account director bij Klap Verzekeringsmakelaar: “De zakelijke portefeuille is groeiende, niet alleen door premieverhogingen maar ook in aantallen. In het particuliere segment hebben relaties beperkt aandacht voor een cyberverzekering. Ondernemingen en non-profit instellingen erkennen het belang van een goede cyberpolis inmiddels volledig. Cybersecurity is niet meer weg te denken van de directie- en bestuurstafel. Het grootste probleem is alleen dat de ontwikkelingen zeer snel gaan. Wat vandaag veilig is, kan morgen kwetsbaar blijken door nieuwe vormen van cybercriminaliteit. Bescherming van persoonsgegevens, privacywetgeving, grootschalige datalekken dragen bij aan de importantie. Pen-testen geven belangrijke informatie over de kwetsbaarheid van de systemen, mits uitgevoerd door een deskundige onafhankelijk derde partij. Ook training van medewerkers krijgt, hoewel in mijn visie nog onvoldoende, steeds meer aandacht. Zonder MFA (Multi Factor Authenticatie), up to date besturingssystemen en software is in feite geen verzekering meer mogelijk. Verzekeraars stellen eisen aan de IT-omgeving, back-up en tijdig uitvoeren van software-updates (30 dagen! na release).”

Focus verschuift

Op welke onderdelen van een cyberpolis slaan jullie het meeste acht in jullie advies?

Maarten de Jonge, Senior Managing Cyber Consultant en verantwoordelijk voor schaalbare cyberdienstverlening bij Aon: ”We geven niet alleen advies over de meest passende dekking, maar ook over hoe onze relaties hun cyberweerbaarheid kunnen verhogen. Grote organisaties begeleiden en helpen we met het volledige traject richting verzekeren. Voor middelgrote ondernemingen en het kleinbedrijf inventariseren we waar zij staan in relatie tot de eisen van verzekeraars. Voordat we daarna een verzekeringsaanvraag doen, leggen we eerst de resultaten vast in een rapportage en bespreken we deze. Een team van cyberconsultants ondersteunt onze adviseurs hierbij. Lag eerder de focus op IT-security maatregelen, nu kijken we ook vooral naar alle maatregelen die de gevolgen van een incident minimaliseren, zoals een goed ingerichte Incident Response.”

De Smit: “Wat betreft dekking letten we op alle aspecten, maar het is afhankelijk van de bedrijfsvoering van een aspirant verzekerde of hij meer kans loopt op grote schade door een datalek of door bedrijfsstilstand als gevolg van een ransomware aanval, bijvoorbeeld.”

De Pont: “In feite is de bedrijfscontinuïteit van onze klant in het geding. Vooral na malware is vaak niet duidelijk welke IT-onderdelen zijn getroffen. Het impliceert meestal dat de volledige IT-omgeving stap voor stap opnieuw moet worden opgebouwd. Dit is zeer tijdrovend en ontzettend kostbaar, nog afgezien van mogelijke schade door stilstand. Ransomware en malware zijn belangrijke issues. Per slot van rekening is een menselijke fout snel gemaakt. Overheden, openbaar bestuur en instellingen lijken vaker te maken te krijgen met cyberaanvallen dan het bedrijfsleven en verdienen extra aandacht. Snelle en deskundige ondersteuning moet direct na de attack beschikbaar zijn, evenals deskundige juridische ondersteuning. Een cyberpolis c.q. verzekeraar moet hierin voorzien, al dan niet door inschakeling van derden. Wij vinden dit onderdeel van de polis misschien wel het allerbelangrijkste.”

Marie-Louise de Smit (Aon): ‘Cyberdekking goed laten aansluiten op vraag specifieke klant.’

Malware geeft hoogste kosten

Welke soorten cyberschade manifesteren zich het meest? Welke zijn het duurst?

De Smit: “In tegenstelling tot wat veel organisaties denken, is het gevraagde losgeld niet de grootste schadecomponent maar eerder de schade door bedrijfsstilstand. Daarnaast kost het vaak meer tijd en geld dan gedacht om het bedrijf weer up and running te krijgen. Dit is ook een reden waarom de verzekeraars vragen stellen over de bedrijfscontinuïteitsplannen.”

De Jonge: “De hoge schadelast heeft er voor gezorgd dat verzekeraars sinds eind 2022 aanzienlijk hogere eisen stellen aan de cyberweerbaarheid. In onze eigen portefeuilles, bijvoorbeeld die van volmacht zien we nauwelijks schade. Waarschijnlijk dankzij de expertise en tijd die we investeren in het voortraject van de aanvragen.”

Ruud de Pont (Klap): ‘Social engineering zien we ook steeds vaker in het midden- en kleinbedrijf.’

De Pont: “De schadelast neemt sterk toe. Zowel het aantal incidenten, als de omvang ervan. Ransom- en malware zijn de belangrijkste schadeoorzaken direct gevolgd door social engineering en phishing. Zie ook het rapport van Europees Agentschap voor Cyberbeveiliging (Enisa) - Threat Landscape 2022. Social engineering zien we ook steeds vaker in het midden- en kleinbedrijf. Met name bij relaties in internationale handel. Malware geeft in feite de hoogste kosten.”

Hoger eigen behoud

Hoe denken jullie dat voorwaarden en premie zich de komende tijd ontwikkelen?

De Pont: “Dat is vrij simpel. De voorwaarden zijn steeds stringenter evenals het acceptatieproces. De premie kent een zeer sterke opwaartse druk als een resultaat van de continu stijgende schadelast. Verzekeraars introduceren sub-limieten, langere wachttijden en hoog eigen aandeel/behoud. De dekkingen voor bedrijfsschade staan onder druk.

“Verzekeraars passen in zeer rap tempo de voorwaarden aan ten nadele van verzekeringnemer. Er worden nieuwe polisvoorwaarden geïntroduceerd die steeds omvangrijker en moeilijker te interpreteren zijn. De ruime dekkingen en bepalingen uit de begintijd van de cyberpolis zijn verleden tijd. Er is sprake van een hoger eigen behoud. Daarnaast is bij alle verzekeraars een uitgebreid acceptatieproces van toepassing. Verzekeraars kijken zeer stringent naar de bestaande IT-omgeving en de security ervan. Steeds meer ook in de keten om de onderneming of instelling heen, de samenwerkende partners, etcetera. Vaak dient de IT-omgeving aangepast te worden alvorens de verzekering tot stand kan komen. De premies vertonen een scherpe stijging. Een aantal verzekeraars heeft geen verzekeringsmogelijkheid meer voor grote gemeenten, (financiële) instellingen of bedrijven met een omzet boven de 150 miljoen. Daarentegen zijn er ook verzekeraars die uitsluitend nog offreren bij een omzet vanaf 100 miljoen. Het aantal verzekeraars die cyberverzekeringen aanbieden neemt af en er ontstaat krapte in de markt waardoor in feite de verzekerbaarheid in het geding komt.”

Aon is positiever. De Smit: “Voor sommige segmenten en sectoren geldt dat de extreem harde markt van de afgelopen twee jaar heeft plaatsgemaakt voor stabilisatie. Afhankelijk van het soort organisatie, zijn er weer mogelijkheden om de premiestijging binnen de perken te houden, mits je voldoet aan de gestelde eisen en de cyberweerbaarheid dus op orde is. In dat geval is volledige ransomwaredekking ook soms mogelijk.

“Het is mogelijk dat de huidige trend doorzet, waarbij op sommige verzekeringsprogramma’s wellicht zelfs premiereductie tot de mogelijkheden behoort. De voorwaarden worden weer wat uitgebreid, hetgeen alles te maken heeft met het feit dat er steeds meer aanbieders op de markt komen. Verzekeraars zien cyber als een groeimarkt. Als een organisatie een goed cyberrisicoprofiel heeft, is goede dekking tegen marktconforme prijzen mogelijk.”

Cybercriminelen zitten niet stil

Is volgens jullie in Nederland inmiddels sprake van een volwassen cyberverzekeringsmarkt?

De Jonge: “Wanneer met volwassen bedoeld wordt dat de cyberverzekeringsmarkt voorspelbaar is, en dat verzekeringen eenvoudig te vergelijken zijn, dan denk ik dat we de komende jaren nog zeker niet op een overzichtelijke volwassen markt kunnen rekenen. Oorzaak is dat het cyberrisico sterk in ontwikkeling is. We hebben te maken met criminelen die niet stilzitten. Ook blijft de digitale transformatie doorzetten. Dit maakt het voor verzekeraars moeilijk om met de data van vandaag een stabiel aanbod voor een langere periode te doen. Een selectief acceptatiebeleid, gebaseerd op de kwaliteit van het cyberrisicomanagement van een organisatie, kan er voor zorgen dat organisaties die hun cyberweerbaarheid op orde hebben zich goed kunnen verzekeren voor een marktconforme premie.”

De Pont: “De grotere ondernemingen en instellingen hebben inmiddels een visie en strategie voor cyberrisicomanagement. Vaak maakt een cyberverzekering daar onderdeel van uit. Tegelijkertijd zijn de recente premiestellingen, eigen behoud en wachttermijnen voor dit segment zodanig hoog dat klanten het risico voor eigen rekening nemen. Een goed inzicht in de eigen IT-omgeving, regelmatig testen en een responseplan zijn dan wel een vereiste, alsmede een goede keten van direct inzetbare specialisten na een incident. Op 10 november jongstleden heeft het Europees Parlement de NIS2-richtlijn goedgekeurd. Deze richtlijn is bedoeld om de cybersecurity in alle lidstaten naar een hoger niveau te brengen en is van toepassing op organisaties als aanbieder van essentiële diensten (bijvoorbeeld energiemaatschappijen) maar nu ook voor belangrijke aanbieders (onder andere ziekenhuizen). Bij de eerste is pro-actief toezicht van toepassing en bij de tweede categorie reactief bijvoorbeeld na een incident. Beide categorieën moeten veiligheidsmaatregelen treffen in hun IT-omgeving. Het lijkt ons belangrijk in onze dienstverlening hier nota van te nemen. Zo is Klap onder meer voor deze aspecten recent een samenwerking aangegaan met BDO Cyber Security Advisory. In toenemende mate is ook het midden- en kleinbedrijf kwetsbaar gebleken voor cybercriminaliteit. Ook daar is dus een cyberverzekering belangrijk. Wij hebben het acceptatieproces voor dit segment middels een online tool op onze website nog steeds eenvoudig en snel weten te houden.”

Sluitstuk

Waar moet een adviseur die cyberverzekeringen adviseert volgens jullie nadrukkelijk op letten?

De Smit: ”Het is belangrijk om te controleren of de polisvoorwaarden wel dát risico dekken dat voor deze verzekerde belangrijk is. Verder helpt het iedereen (verzekerde, adviseur en verzekeraar) om vroeg te beginnen met het verlengingsproces. Als je daar te laat mee begint, is het al haast onmogelijk om een marktverkenning te doen bij andere verzekeraars.”

Maarten de Jonge (Aon): ‘Komende jaren nog zeker geen overzichtelijke volwassen markt.’

De Jonge: “Met de huidige ontwikkelingen moet elke adviseur zijn of haar relaties ruim voor aanvang van het prolongeren al inzicht kunnen geven in de belangrijkste nieuwe acceptatiecriteria omdat de realisatie hiervan tijd vraagt.”

De Pont: “Het is onze taak om klanten bewust te maken van het scala aan risico’s op dit gebied en daar waar nodig input te geven aan hun cybersecuritybeleid. Ook wanneer alles op orde is, resteren er financiële risico’s die met een adequate cyberverzekering afgedekt kunnen worden. De snelle beschikbaarheid van specialisten bij een calamiteit is een belangrijk dekkingselement in de polis. Daarmee is de cyberverzekering in feite het sluitstuk op het cybersecuritymanagement van een relatie.”

Reactie toevoegen

 
Meer over
Interpolis: ondernemers onderschatten impact cyberaanval

Interpolis: ondernemers onderschatten impact cyberaanval

Ondernemers onderschatten de impact van een cyberaanval op hun bedrijf en medewerkers. Negen van de tien ondernemers denkt binnen een week na een succesvolle aanval...

Aon: zorgvuldigheid vereist bij bedrag ineens

Aon: zorgvuldigheid vereist bij bedrag ineens

“In een ideale wereld krijgt iedere deelnemer een persoonlijk gesprek voor pensionering, om zich goed voor te kunnen bereiden en de juiste keuzes te kunnen...

Nederland koploper in workcations

Nederland koploper in workcations

Nederland is koploper als het gaat om landen waar op afstand of vanaf het vakantieadres gewerkt mag worden. “Dit vereist duidelijke richtlijnen voor het onderscheid...

Klanten trouw aan hun autoverzekeraar

Klanten trouw aan hun autoverzekeraar

Maar liefst 93 procent van de klanten wil bij de huidige autoverzekeraar klant blijven. Interpolis heeft de trouwste klanten, met een gemiddelde klanthistorie van...

Dekkingsgraden pensioenfondsen weer in de lift

Dekkingsgraden pensioenfondsen weer in de lift

De indicatieve gemiddelde dekkingsgraad van de Nederlandse pensioenfondsen is in augustus gestegen naar 120 procent. Goede rendementen in combinatie met een beperkte...

Trendbreuk: dekkingsgraden pensioenfondsen gedaald

Trendbreuk: dekkingsgraden pensioenfondsen gedaald

De indicatieve gemiddelde dekkingsgraad van de Nederlandse pensioenfondsen is in juli gedaald naar 118 procent. Lagere aandelenrendementen in combinatie met een...

Jolanda Bron benoemd tot Head of MGA van One Underwriting

Jolanda Bron benoemd tot Head of MGA van One Underwriting

Jolanda Bron is benoemd tot Head of MGA van One Underwriting, het volmachtbedrijf van Aon Nederland. Zij wordt verantwoordelijk voor het verder vormgeven van het...

Nieuwe subregio Aon onder leiding van Philip Alliet

Nieuwe subregio Aon onder leiding van Philip Alliet

België, Nederland en Luxemburg gaan bij Aon per 1 september een nieuwe Benelux subregio vormen die onder leiding komt te staan van Philip Alliet (de huidige...

Aon: pensioentransitie vraagt rust, voldoende tijd en energie

Aon: pensioentransitie vraagt rust, voldoende tijd en energie

“We staan aan de vooravond van de grootste transitie in ons pensioenstelsel ooit. Er zijn veel berekeningen nodig, een goed onderbouwd proces en er moeten...

Opnieuw stijgende dekkingsgraden pensioenfondsen

Opnieuw stijgende dekkingsgraden pensioenfondsen

De indicatieve gemiddelde dekkingsgraad van de Nederlandse pensioenfondsen is in april gestegen naar 118 procent. De indicatieve beleidsdekkingsgraad, gebaseerd...