Skip to main content

Bedrijfsschade door cyberincidenten

De impact van een cyberincident kan enorm zijn voor een bedrijf. Logisch dus dat steeds meer bedrijven maatregelen nemen om de cyber- en technologische risico’s te beperken. Maar zelfs met de beste preventiemaatregelen, kunnen cyberincidenten plaatsvinden. Een cyberriskverzekering is daarom aan te bevelen.
Digital cyberspace with particles and Digital data network connections concept.

Eigen bedrijfsschade door cyberincidenten wordt nog altijd onderschat: cyberriskverzekering biedt dekking

De impact van een cyberincident kan enorm zijn voor een bedrijf. Logisch dus dat steeds meer bedrijven maatregelen nemen om de cyber- en technologische risico’s te beperken. Maar zelfs met de beste preventiemaatregelen, kunnen cyberincidenten plaatsvinden. Een cyberriskverzekering is daarom aan te bevelen. Wat is een cyberriskverzekering? welke ontwikkeling is er de afgelopen jaren geweest? en hoe helpt het bedrijven?

 

De ‘privacyverzekering’ voorbij

Sjaak Schouteren, Cyber Practice Leader bij Marsh: “Cyberriskverzekeringen zijn nog jong, ongeveer 30 jaar geleden werden de eerste cyberrisicoverzekeringen afgesloten in de Verenigde Staten. De focus lag toen vooral op het verzekeren van de gevolgen en privacy-aansprakelijkheid die voortvloeien uit een datalek. De cyberverzekering werd daardoor een aanvulling op traditionele verzekeringen, zoals een brand- en bedrijfsschadeverzekering. Die dekken de gevolgen van een cyberincident namelijk niet.”

Rond 2008 verzekerden de eerste bedrijven in Nederland zich tegen cyberrisico’s. De meeste polissen werden afgesloten door financiële instellingen, mede omdat zij zich door regelgeving en regulering al meer bewust waren van cyberrisico’s. Met de komst van de Algemene Verordening Gegevensbescherming (AVG) nam de vraag naar cyberriskverzekeringen toe.

“Dat kwam vooral omdat deze verzekering ook de eventuele boete vanuit de Autoriteit Persoonsgegevens dekt. In onze opinie is dat nooit echt een doorslaggevend argument geweest om een cyberverzekering af te sluiten. Cyberriskverzekeringen zijn in de tussentijd namelijk geëvolueerd tot een verzekering met een bredere dekking. Naast de privacy-aansprakelijkheid dekt het nu ook de kosten voor ‘cyberincident response’: de acute kosten die een bedrijf maakt wanneer er een incident heeft plaatsgevonden. Dan kun je denken aan kosten voor crisismanagement en het inschakelen van experts. Bovendien bestaat de belangrijkste dekking nu uit de eigen schade van het bedrijf als gevolg van een incident, zoals gederfde brutowinst en extra kosten die je maakt. Hierdoor is de cyberverzekering ook erg belangrijk voor bedrijven in de maakindustrie. Dat zijn bedrijven die minder data hebben dan andere bedrijven, maar waar een cyberincident zeer directe en grote gevolgen kan hebben. Dat blijkt ook uit het aantal claims uit die sector. Het niveau vanuit de maakindustrie ligt inmiddels op gelijk niveau met de financiële sector (14%), gevolgd door de derde sector: technologie/IT/services (13%).”

"Claims maakindustrie op hetzelfde niveau als financiële sector"

 

Meer aandacht voor verstoring bedrijfsvoering 

Hoewel cyberrisico’s steeds meer gemeengoed worden, zijn verzekeringen hiervoor dat nog niet. Schouteren: “We zien dat bedrijven in Nederland wel maatregelen nemen tegen cyberrisico’s, maar zich er desondanks nog onvoldoende tegen verzekeren. Tegelijkertijd blijven de potentiële cyber- en technologische risico's voor bedrijven toenemen.”

Het is een misvatting dat alleen grote organisaties met veel data gevaar lopen. “Het feit dat jouw bedrijf bepaalde data heeft en ICT-systemen gebruikt, houdt in dat deze relevant zijn voor jouw bedrijfsvoering. Een inbreuk op die data of systemen leidt dus als snel tot een bedrijfsonderbreking. Helaas snappen criminelen dat ook en spelen ze daarop in. Hierdoor kunnen álle organisaties slachtoffer worden van cybercriminelen.”

Een ransomware-aanval bijvoorbeeld, kan een aanzienlijke financiële impact hebben en een forse verstoring van de bedrijfsvoering betekenen. “Bedrijven zijn zich niet altijd bewust van de impact. Het is niet langer de vraag óf een cyberincident zich zal voordoen, maar wanneer. Goed om te realiseren is dat in de gevallen waar als laatste redmiddel losgeld werd betaald, het losgeld zelf ‘slechts’ 24% van de totale financiële schade uitmaakte. Daarbij krijgt een bedrijf gemiddeld gedurende 24 dagen te maken met een onderbreking van hun dagelijkse werkzaamheden als gevolg van zo’n incident.”

De aandacht voor de impact op de onderbreking van de werkprocessen wordt daarom belangrijker. Verzekeraars bieden dienstverlening waarmee bedrijven kunnen anticiperen en reageren op een cyberincident en er uiteindelijk van kunnen herstellen. “Daarbij kun je denken aan een 24/7-hulplijn en de mogelijkheid om experts in te schakelen voor ICT-forensisch onderzoek en crisismanagement, juridische zaken en PR. Maar ze helpen klanten ook bij de verbetering van hun cybersecurity door het aanbieden van tools, bijvoorbeeld tegen phishing.”

"Na een ransomware-aanval heeft een bedrijf een onderbreking van gemiddeld 24 dagen"

 

Eigen schade bepaalt vooral de financiële impact

“Als we kijken naar de financiële impact van claims (vanuit een cyberverzekering) zien we dat 5 tot 7% van de schade betrekking heeft op aansprakelijkheidszaken. Dit kan privacy aansprakelijkheid zijn maar ook netwerkaansprakelijkheid. 20-25% heeft betrekking op kosten die gemaakt worden voor crisismanagement en 70-75% heeft betrekking op schadevergoeding van de eigen schade. Bij ‘eigen schade’ moet je denken aan herstelkosten voor reconstructie van data en het opnieuw configureren van netwerken, systemen en applicaties. Maar ook de boetes door een toezichthouder zoals de Autoriteit Persoonsgegevens en - wellicht het allerbelangrijkste - de gederfde brutowinst in verband met cyber-bedrijfsschade en extra kosten die je maakt als gevolg van het incident, vallen daaronder.”

"70 procent van de claimbedragen is voor schadevergoeding van de eigen schade van een bedrijf"

 

Lagere premie voor dezelfde dekking

De ontwikkeling van de premies voor cyberriskverzekeringen is gunstig. “We komen door een hausse aan ransomwareclaims uit een harde markt waarbij de dekking werd uitgekleed en premies snel stegen. Inmiddels zien we dat de markt verzacht en dekking weer wordt uitgebreid. De premies zijn stabiel of soms tot 10-30% lager ten opzichte van vorig jaar, bij gelijke of zelfs uitgebreidere dekking.”

“Het is belangrijk om samen met een ervaren cyberrisico-adviseur naar je concrete behoeften en limiet te kijken. We zagen de laatste jaren dat bedrijven budget gedreven inkochten terwijl je uiteraard risico gedreven zou moeten inkopen. Het is goed om verschillende risicoscenario’s en de financiële impact daarvan goed met elkaar door te spreken. Als je kijkt naar het MKB zien we dat bijvoorbeeld bedrijven met een omzet vanaf € 50 miljoen bijna allemaal voor een limiet kiezen van minimaal € 2,5 miljoen. Organisaties die kleiner zijn kiezen wel voor een lagere limiet. Zo kan een bedrijf met € 25 miljoen omzet bijvoorbeeld een limiet van € 1 miljoen nemen met een eigen risico van € 5.000. De jaarpremie die daar tegenwoordig bij hoort is zo’n € 4.500.”

"Risicogedreven inkopen voorkomt onderdekking"

De sterke vraag naar cyberriskverzekeringen en het feit dat verzekeraars en verzekeringsmakelaars hierin investeren in kapitaal en mensen, zijn duidelijke signalen dat de cyberriskverzekering ‘here to stay’ is.

Meer informatie over de cyberverzekering via Marsh vindt u hier