Nog lang geen volwassen markt

1. 12 mei 2023, door Samenstelling Toon Berendsen
2. 0 reacties

Hoe ontwikkelt jullie portefeuille cyberverzekeringen zich?

Marie-Louise de Smit, Cyber Broking Director Aon Nederland: ”We hebben dit jaar een enorme groei kunnen realiseren met ons team. Onze consultants en brokers werken bijna bij elke zakelijke adviesaanvraag met elkaar samen. Advisering op cyberweerbaarheid en cyberverzekerbaarheid zijn onlosmakelijk met elkaar verbonden. We bieden verzekeringen aan van veel verschillende verzekeraars en onze volmacht. Dit is noodzakelijk, aangezien sommige verzekeraars maar een deel van de markt wensen te verzekeren.”

Ruud de Pont, Account director bij Klap Verzekeringsmakelaar: “De zakelijke portefeuille is groeiende, niet alleen door premieverhogingen maar ook in aantallen. In het particuliere segment hebben relaties beperkt aandacht voor een cyberverzekering. Ondernemingen en non-profit instellingen erkennen het belang van een goede cyberpolis inmiddels volledig. Cybersecurity is niet meer weg te denken van de directie- en bestuurstafel. Het grootste probleem is alleen dat de ontwikkelingen zeer snel gaan. Wat vandaag veilig is, kan morgen kwetsbaar blijken door nieuwe vormen van cybercriminaliteit. Bescherming van persoonsgegevens, privacywetgeving, grootschalige datalekken dragen bij aan de importantie. Pen-testen geven belangrijke informatie over de kwetsbaarheid van de systemen, mits uitgevoerd door een deskundige onafhankelijk derde partij. Ook training van medewerkers krijgt, hoewel in mijn visie nog onvoldoende, steeds meer aandacht. Zonder MFA (Multi Factor Authenticatie), up to date besturingssystemen en software is in feite geen verzekering meer mogelijk. Verzekeraars stellen eisen aan de IT-omgeving, back-up en tijdig uitvoeren van software-updates (30 dagen! na release).”

Focus verschuift

Op welke onderdelen van een cyberpolis slaan jullie het meeste acht in jullie advies?

Maarten de Jonge, Senior Managing Cyber Consultant en verantwoordelijk voor schaalbare cyberdienstverlening bij Aon: ”We geven niet alleen advies over de meest passende dekking, maar ook over hoe onze relaties hun cyberweerbaarheid kunnen verhogen. Grote organisaties begeleiden en helpen we met het volledige traject richting verzekeren. Voor middelgrote ondernemingen en het kleinbedrijf inventariseren we waar zij staan in relatie tot de eisen van verzekeraars. Voordat we daarna een verzekeringsaanvraag doen, leggen we eerst de resultaten vast in een rapportage en bespreken we deze. Een team van cyberconsultants ondersteunt onze adviseurs hierbij. Lag eerder de focus op IT-security maatregelen, nu kijken we ook vooral naar alle maatregelen die de gevolgen van een incident minimaliseren, zoals een goed ingerichte Incident Response.”

De Smit: “Wat betreft dekking letten we op alle aspecten, maar het is afhankelijk van de bedrijfsvoering van een aspirant verzekerde of hij meer kans loopt op grote schade door een datalek of door bedrijfsstilstand als gevolg van een ransomware aanval, bijvoorbeeld.”

De Pont: “In feite is de bedrijfscontinuïteit van onze klant in het geding. Vooral na malware is vaak niet duidelijk welke IT-onderdelen zijn getroffen. Het impliceert meestal dat de volledige IT-omgeving stap voor stap opnieuw moet worden opgebouwd. Dit is zeer tijdrovend en ontzettend kostbaar, nog afgezien van mogelijke schade door stilstand. Ransomware en malware zijn belangrijke issues. Per slot van rekening is een menselijke fout snel gemaakt. Overheden, openbaar bestuur en instellingen lijken vaker te maken te krijgen met cyberaanvallen dan het bedrijfsleven en verdienen extra aandacht. Snelle en deskundige ondersteuning moet direct na de attack beschikbaar zijn, evenals deskundige juridische ondersteuning. Een cyberpolis c.q. verzekeraar moet hierin voorzien, al dan niet door inschakeling van derden. Wij vinden dit onderdeel van de polis misschien wel het allerbelangrijkste.”

Malware geeft hoogste kosten

Welke soorten cyberschade manifesteren zich het meest? Welke zijn het duurst?

De Smit: “In tegenstelling tot wat veel organisaties denken, is het gevraagde losgeld niet de grootste schadecomponent maar eerder de schade door bedrijfsstilstand. Daarnaast kost het vaak meer tijd en geld dan gedacht om het bedrijf weer up and running te krijgen. Dit is ook een reden waarom de verzekeraars vragen stellen over de bedrijfscontinuïteitsplannen.”

De Jonge: “De hoge schadelast heeft er voor gezorgd dat verzekeraars sinds eind 2022 aanzienlijk hogere eisen stellen aan de cyberweerbaarheid. In onze eigen portefeuilles, bijvoorbeeld die van volmacht zien we nauwelijks schade. Waarschijnlijk dankzij de expertise en tijd die we investeren in het voortraject van de aanvragen.”

De Pont: “De schadelast neemt sterk toe. Zowel het aantal incidenten, als de omvang ervan. Ransom- en malware zijn de belangrijkste schadeoorzaken direct gevolgd door social engineering en phishing. Zie ook het rapport van Europees Agentschap voor Cyberbeveiliging (Enisa) - Threat Landscape 2022. Social engineering zien we ook steeds vaker in het midden- en kleinbedrijf. Met name bij relaties in internationale handel. Malware geeft in feite de hoogste kosten.”

Hoger eigen behoud

Hoe denken jullie dat voorwaarden en premie zich de komende tijd ontwikkelen?

De Pont: “Dat is vrij simpel. De voorwaarden zijn steeds stringenter evenals het acceptatieproces. De premie kent een zeer sterke opwaartse druk als een resultaat van de continu stijgende schadelast. Verzekeraars introduceren sub-limieten, langere wachttijden en hoog eigen aandeel/behoud. De dekkingen voor bedrijfsschade staan onder druk.

“Verzekeraars passen in zeer rap tempo de voorwaarden aan ten nadele van verzekeringnemer. Er worden nieuwe polisvoorwaarden geïntroduceerd die steeds omvangrijker en moeilijker te interpreteren zijn. De ruime dekkingen en bepalingen uit de begintijd van de cyberpolis zijn verleden tijd. Er is sprake van een hoger eigen behoud. Daarnaast is bij alle verzekeraars een uitgebreid acceptatieproces van toepassing. Verzekeraars kijken zeer stringent naar de bestaande IT-omgeving en de security ervan. Steeds meer ook in de keten om de onderneming of instelling heen, de samenwerkende partners, etcetera. Vaak dient de IT-omgeving aangepast te worden alvorens de verzekering tot stand kan komen. De premies vertonen een scherpe stijging. Een aantal verzekeraars heeft geen verzekeringsmogelijkheid meer voor grote gemeenten, (financiële) instellingen of bedrijven met een omzet boven de 150 miljoen. Daarentegen zijn er ook verzekeraars die uitsluitend nog offreren bij een omzet vanaf 100 miljoen. Het aantal verzekeraars die cyberverzekeringen aanbieden neemt af en er ontstaat krapte in de markt waardoor in feite de verzekerbaarheid in het geding komt.”

Aon is positiever. De Smit: “Voor sommige segmenten en sectoren geldt dat de extreem harde markt van de afgelopen twee jaar heeft plaatsgemaakt voor stabilisatie. Afhankelijk van het soort organisatie, zijn er weer mogelijkheden om de premiestijging binnen de perken te houden, mits je voldoet aan de gestelde eisen en de cyberweerbaarheid dus op orde is. In dat geval is volledige ransomwaredekking ook soms mogelijk.

“Het is mogelijk dat de huidige trend doorzet, waarbij op sommige verzekeringsprogramma’s wellicht zelfs premiereductie tot de mogelijkheden behoort. De voorwaarden worden weer wat uitgebreid, hetgeen alles te maken heeft met het feit dat er steeds meer aanbieders op de markt komen. Verzekeraars zien cyber als een groeimarkt. Als een organisatie een goed cyberrisicoprofiel heeft, is goede dekking tegen marktconforme prijzen mogelijk.”

Cybercriminelen zitten niet stil

Is volgens jullie in Nederland inmiddels sprake van een volwassen cyberverzekeringsmarkt?

De Jonge: “Wanneer met volwassen bedoeld wordt dat de cyberverzekeringsmarkt voorspelbaar is, en dat verzekeringen eenvoudig te vergelijken zijn, dan denk ik dat we de komende jaren nog zeker niet op een overzichtelijke volwassen markt kunnen rekenen. Oorzaak is dat het cyberrisico sterk in ontwikkeling is. We hebben te maken met criminelen die niet stilzitten. Ook blijft de digitale transformatie doorzetten. Dit maakt het voor verzekeraars moeilijk om met de data van vandaag een stabiel aanbod voor een langere periode te doen. Een selectief acceptatiebeleid, gebaseerd op de kwaliteit van het cyberrisicomanagement van een organisatie, kan er voor zorgen dat organisaties die hun cyberweerbaarheid op orde hebben zich goed kunnen verzekeren voor een marktconforme premie.”

De Pont: “De grotere ondernemingen en instellingen hebben inmiddels een visie en strategie voor cyberrisicomanagement. Vaak maakt een cyberverzekering daar onderdeel van uit. Tegelijkertijd zijn de recente premiestellingen, eigen behoud en wachttermijnen voor dit segment zodanig hoog dat klanten het risico voor eigen rekening nemen. Een goed inzicht in de eigen IT-omgeving, regelmatig testen en een responseplan zijn dan wel een vereiste, alsmede een goede keten van direct inzetbare specialisten na een incident. Op 10 november jongstleden heeft het Europees Parlement de NIS2-richtlijn goedgekeurd. Deze richtlijn is bedoeld om de cybersecurity in alle lidstaten naar een hoger niveau te brengen en is van toepassing op organisaties als aanbieder van essentiële diensten (bijvoorbeeld energiemaatschappijen) maar nu ook voor belangrijke aanbieders (onder andere ziekenhuizen). Bij de eerste is pro-actief toezicht van toepassing en bij de tweede categorie reactief bijvoorbeeld na een incident. Beide categorieën moeten veiligheidsmaatregelen treffen in hun IT-omgeving. Het lijkt ons belangrijk in onze dienstverlening hier nota van te nemen. Zo is Klap onder meer voor deze aspecten recent een samenwerking aangegaan met BDO Cyber Security Advisory. In toenemende mate is ook het midden- en kleinbedrijf kwetsbaar gebleken voor cybercriminaliteit. Ook daar is dus een cyberverzekering belangrijk. Wij hebben het acceptatieproces voor dit segment middels een online tool op onze website nog steeds eenvoudig en snel weten te houden.”

Sluitstuk

Waar moet een adviseur die cyberverzekeringen adviseert volgens jullie nadrukkelijk op letten?

De Smit: ”Het is belangrijk om te controleren of de polisvoorwaarden wel dát risico dekken dat voor deze verzekerde belangrijk is. Verder helpt het iedereen (verzekerde, adviseur en verzekeraar) om vroeg te beginnen met het verlengingsproces. Als je daar te laat mee begint, is het al haast onmogelijk om een marktverkenning te doen bij andere verzekeraars.”

De Jonge: “Met de huidige ontwikkelingen moet elke adviseur zijn of haar relaties ruim voor aanvang van het prolongeren al inzicht kunnen geven in de belangrijkste nieuwe acceptatiecriteria omdat de realisatie hiervan tijd vraagt.”

De Pont: “Het is onze taak om klanten bewust te maken van het scala aan risico’s op dit gebied en daar waar nodig input te geven aan hun cybersecuritybeleid. Ook wanneer alles op orde is, resteren er financiële risico’s die met een adequate cyberverzekering afgedekt kunnen worden. De snelle beschikbaarheid van specialisten bij een calamiteit is een belangrijk dekkingselement in de polis. Daarmee is de cyberverzekering in feite het sluitstuk op het cybersecuritymanagement van een relatie.”

Reactie toevoegen

Naam

E-mailadres

Reactie

Organisatie

Telefoonnummer

VVPVIP HypothekenVVP Innovatie PlatformVIP SchadeVVP Twitter

Toevoegen 

Meer over

• aon