Wat een cyberverzekering wel en niet dekt

Steeds meer organisaties sluiten een cyberverzekering af. Dat is een logische stap, want de financiële gevolgen van een incident kunnen groot zijn. Het probleem ontstaat zodra een organisatie de verzekering ziet als vervanging van beveiligingsbeleid, in plaats van als aanvulling erop.

Dat onderscheid is belangrijker dan het lijkt, en het wordt vaak pas duidelijk op het moment dat het te laat is: bij het indienen van een claim.

Waarom verzekeraars steeds strenger worden

Cyberverzekeraars hebben de afgelopen jaren fors meer uitbetaald dan ze hadden voorzien. Ransomware-aanvallen, datalekken en bedrijfsonderbreking door cyberincidenten zijn vaker voorgekomen en hebben hogere schadebedragen opgeleverd dan de premies dekten. Het gevolg: verzekeraars stellen scherpere eisen aan de organisaties die ze verzekeren.

Waar een paar jaar geleden een vragenlijst van een pagina voldoende was, vragen verzekeraars nu om concreet bewijs van genomen maatregelen. Multifactorauthenticatie, een actueel patchbeleid, segmentatie van het netwerk, een werkend back-upproces: dit zijn geen suggesties meer, maar voorwaarden voor dekking.

Wie deze eisen niet kan aantonen, betaalt een hogere premie, krijgt een lagere dekking, of wordt simpelweg niet verzekerd.

Wat een polis vaak niet dekt

Een cyberverzekering wekt soms de indruk dat alle financiële gevolgen van een incident worden afgedekt. In de praktijk zijn er belangrijke uitsluitingen die organisaties pas ontdekken als het te laat is.

Verlies door nalatigheid

Als een organisatie kan aantonen dat ze structureel heeft nagelaten basismaatregelen te nemen, bijvoorbeeld het niet installeren van bekende beveiligingsupdates, kan een verzekeraar de claim afwijzen. De polis dekt risico, niet onachtzaamheid.

Reputatieschade

De financiële impact van klantverlies, een dalende beurskoers of een verslechterde concurrentiepositie is zelden volledig gedekt. Verzekeraars vergoeden doorgaans de directe kosten van een incident, niet de langetermijngevolgen voor de marktpositie.

Boetes en sancties

Boetes die door toezichthouders worden opgelegd, bijvoorbeeld onder de AVG of straks de Cyberbeveiligingswet, zijn in veel polissen uitgesloten of slechts beperkt gedekt. De gedachte achter deze uitsluiting: een verzekering mag niet fungeren als vrijwaring voor het overtreden van de wet.

Statelijke aanvallen

Veel polissen bevatten een uitsluiting voor aanvallen die worden toegeschreven aan statelijke actoren, een zogenaamde “act of war” clausule. Het probleem: attributie van een aanval aan een staat is vaak onduidelijk, wat tot langdurige juridische geschillen kan leiden over de vraag of een incident wel of niet is gedekt.

Verlies van onderhandelingspositie

Sommige polissen vereisen dat de verzekeraar wordt geraadpleegd voordat losgeld wordt betaald of voordat met een aanvaller wordt onderhandeld. Organisaties die zelfstandig handelen, lopen het risico dat de uiteindelijke kosten niet worden vergoed.

De polis werkt pas als de basis op orde is

Dit is de kern van het probleem met de gedachte dat een verzekering voldoende is: een polis is een vangnet voor onverwachte schade, niet een vervanging voor het beperken van risico. Verzekeraars verwachten, en eisen steeds vaker contractueel, dat een organisatie een redelijk niveau van beveiliging op orde heeft voordat de dekking ingaat.

Dat betekent in de praktijk dat de meeste organisaties hun beveiligingsniveau eerst moeten verbeteren om verzekerbaar te worden, niet andersom. De verzekering is het sluitstuk, niet het startpunt.

Wat verzekeraars in de praktijk vragen

De exacte eisen verschillen per verzekeraar en per sector, maar een aantal voorwaarden komt structureel terug:

  • Multifactorauthenticatie op alle externe toegang en kritieke systemen
  • Een actueel en getest back-upproces, gescheiden van het productienetwerk
  • Een gedocumenteerd patchbeleid met aantoonbare uitvoering
  • Endpoint detection en monitoring op kritieke systemen
  • Een incidentresponsplan met duidelijke verantwoordelijkheden
  • Beperkte en gecontroleerde toegang tot beheerdersaccounts

Organisaties die deze maatregelen niet op orde hebben, lopen het risico dat een claim wordt afgewezen op basis van onvolledige of onjuiste informatie bij het aanvragen van de polis.

Drie vragen voor bestuurders

Kunnen we de vragenlijst van onze verzekeraar nu eerlijk en volledig invullen? Niet wat we denken dat klopt, maar wat daadwerkelijk aantoonbaar is. Het verschil tussen die twee wordt zichtbaar bij een claim, niet bij het afsluiten van de polis.

Weten we precies wat onze polis wel en niet dekt? Lees de polisvoorwaarden, met name de uitsluitingen. Een goedkope polis met brede uitsluitingen biedt minder zekerheid dan een duurdere polis met een beperkter maar duidelijker dekkingsgebied.

Is onze beveiliging het startpunt of het sluitstuk van ons risicobeleid? Als het antwoord “sluitstuk” is, ligt daar het eerste werk. Een verzekering corrigeert geen structureel gebrek aan beveiliging.

Wat RiskGuard hierin doet

RiskGuard helpt organisaties hun beveiligingsniveau in kaart te brengen en te verbeteren tot een niveau dat aansluit op wat verzekeraars eisen. We ondersteunen bij het beoordelen van polisvoorwaarden in samenhang met de daadwerkelijke beveiligingssituatie, zodat dekking en realiteit op elkaar aansluiten.

Wil je weten of jouw organisatie voldoet aan de eisen van moderne cyberverzekeraars? Neem contact op voor een vrijblijvend gesprek.

Benieuwd hoe jouw organisatie scoort?
Doe de gratis zelfscan en ontdek waar de risico's zitten.

Doe de zelfscan

Lees verder:

Een plaatje van een hamer op een boek

NIS2 in de praktijk: wat de toezichthouder echt van je verwacht

a digital chain

Zero trust: wat het betekent buiten de marketingfolder

Entrepreneur working with bills

Wat een cyberaanval echt kost: verder dan de directe schade