Voorwaarden van een cyberverzekering

Om de voorwaarden van een cyberverzekering goed te begrijpen, is het belangrijk eerst te weten waartegen zo’n verzekering precies bescherming biedt. Een cyberverzekering beschermt bedrijven tegen de financiële schade van cyberaanvallen, zoals datalekken, ransomware en phishing. Vooral voor het MKB is dit essentieel, omdat 43% van de cyberaanvallen op kleine bedrijven gericht is. Hier zijn de belangrijkste punten:

• Dekking:
  • Directe schade: Herstel van systemen, bedrijfsonderbreking.
  • Indirecte schade: AVG-boetes, reputatieverlies.
• Diensten: Forensisch onderzoek, juridische hulp, crisismanagement.
• Kosten:
  • Gemiddelde jaarpremie: €500 – €100.000, afhankelijk van bedrijfsgrootte.
  • Eigen risico: €1.000 – €25.000.
• Uitsluitingen: Schade door oorlog, bekende kwetsbaarheden, of sociale engineering valt vaak buiten de dekking.
• Beveiligingseisen: Multi-factor authenticatie, back-ups, en regelmatige updates zijn verplicht.

Belangrijk: 60% van gehackte MKB-bedrijven gaat binnen zes maanden failliet. Bescherm je bedrijf met een cyberverzekering én goede beveiligingsmaatregelen van Verzekercyber.

Snel overzicht

Met de opkomst van strengere regelgeving, zoals de NIS2-richtlijn, wordt een cyberverzekering steeds belangrijker. Zorg dat je voldoet aan de eisen en beperk risico’s met preventieve maatregelen.

Kernonderdelen van de polis

Directe en indirecte dekkingsvormen

Een cyberverzekering biedt dekking in twee hoofdcategorieën: directe schade, zoals bedrijfsverliezen, en indirecte schade, zoals aansprakelijkheid tegenover derden.

Deze categorieën vormen de basis voor de standaarddekkingen binnen een cyberverzekering.

Standaard dekkingsgebieden

Uit onderzoek blijkt dat 72% van het MKB zonder cyberverzekering vreest dat een cyberaanval hun bedrijfsvoering volledig kan ontwrichten ^[3]. De belangrijkste dekkingsgebieden zijn:

1. Incident Response Directe toegang tot specialistische hulp bij een cyberincident. Denk aan forensisch onderzoek en crisismanagement om de situatie onder controle te krijgen.”Our innovative data-driven insurance product has been created to help European companies protect themselves from the financial consequences of cyber-attacks and data breaches while offering them peace of mind.” ^[1]
2. Financiële bescherming Financiële dekking voor diverse kostenposten, waaronder:
   • Systeem- en dataherstel
   • Kosten door bedrijfsonderbreking
   • Cyberfraude
   • Juridische kosten
3. Aanvullende diensten Toegang tot experts op verschillende gebieden, zoals:
   • IT-forensisch onderzoek
   • Juridische ondersteuning
   • PR-crisismanagement
   • Incident response teams

Limieten en eigen risico uitgelegd

Voor het Nederlandse MKB gelden de volgende richtlijnen voor premies en eigen risico’s:

“Cyber criminals are getting bolder all the time, and AI is helping them be more efficient. It’s critical to protect your data – which could be your company’s biggest asset – from those who want to use it for malicious purposes.” ^[5]

Bij het kiezen van een polis is het belangrijk om rekening te houden met:

• De aard en hoeveelheid data die uw bedrijf opslaat
• De mogelijke gevolgen van een datalek
• De grootte van uw bedrijf
• Specifieke regelgeving binnen uw sector

Een alarmerend feit: 60% van gehackte MKB-bedrijven gaat binnen zes maanden failliet ^[4]. Dit benadrukt hoe essentieel het is om uw bedrijf goed te beschermen.

Beperkingen van de polis

Standaard uitsluitingen

Cyberverzekeringen bevatten vaak uitsluitingen die de dekking beperken. Hier zijn enkele veelvoorkomende uitsluitingen:

“Companies with cyber insurance must fully understand what they need to do to maintain the provisions of a policy.” – Doug Howard, CEO bij Pondurance ^[7]

Naast deze uitsluitingen bevatten polissen ook limieten die de dekking verder specificeren.

Dekkingsgrenzen

De voorwaarden van een cyberverzekering bevatten verschillende beperkingen in de dekking, zoals:

• Territoriale dekking: De polis is alleen geldig in bepaalde landen of regio’s ^[6].
• Tijdslimieten: De gemiddelde tijd om een datalek te ontdekken en op te lossen bedraagt 277 dagen ^[7].
• Financiële limieten: Losgeldbetalingen stegen bijvoorbeeld van gemiddeld €740.000 in 2022 naar €1,4 miljoen in 2023 ^[7].

Een opvallend voorbeeld is de zaak van Merck & Co. uit 2017. Het bedrijf leed een schade van €1,27 miljard door de NotPetya-cyberaanval. De verzekeraar weigerde uit te keren op basis van de oorlogsclausule. In 2023 oordeelden rechters echter dat de uitkering verplicht was, omdat de polisvoorwaarden alleen traditionele oorlogsvoering uitsloten ^[7].

Naast deze limieten stellen verzekeraars vaak beveiligingseisen waaraan bedrijven moeten voldoen.

Beveiligingseisen

Verzekeraars hanteren aanvullende eisen om risico’s te beperken. Deze maatregelen zijn niet vrijblijvend; het niet naleven ervan kan gevolgen hebben voor de dekking:

“Requirements and exclusions aren’t always onerous, rather they’re something you just need to understand when you’re agreeing to a contract.” – Doug Howard, CEO bij Pondurance ^[7]

Volgens het Verizon Data Breach Investigations Report wordt 82% van de datalekken veroorzaakt door menselijke fouten ^[8]. Daarom eisen verzekeraars vaak dat bedrijven aantoonbare maatregelen nemen, zoals:

• Regelmatige beveiligingstrainingen voor medewerkers
• Een classificatiesysteem voor gevoelige gegevens
• Periodieke kwetsbaarheidsanalyses
• Gedocumenteerde beveiligingsprocedures

Deze maatregelen zijn bedoeld om de kans op incidenten te verkleinen en de gevolgen ervan te beperken.

Kwalificatie-eisen

Om in aanmerking te komen voor een cyberverzekering, moeten bedrijven niet alleen voldoen aan de eerder genoemde beperkingen, maar ook specifieke beveiligingsmaatregelen treffen.

Vereiste beveiligingsmaatregelen

Verzekeraars stellen steeds hogere eisen aan de beveiliging van organisaties. Het is essentieel dat bedrijven sterke verdedigingsmechanismen hebben opgezet om risico’s te minimaliseren en schade te beperken ^[9].

Incidentresponsregels

Een goed gedocumenteerd en getest incidentresponsplan (IRP) is een vereiste om verzekerd te blijven. Organisaties zonder zo’n plan zijn gemiddeld 58% meer kwijt aan het herstellen van incidenten ^[12].

Belangrijke elementen van een effectief incidentresponsplan:

• Duidelijke rollen en verantwoordelijkheden: Iedereen weet wat te doen in geval van een incident.
• Regelmatige tests en updates: Jaarlijks testen en aanpassen aan veranderende omstandigheden.
• Aansluiting op bedrijfsbehoeften: Het plan moet niet alleen voldoen aan basisnormen, maar ook aansluiten bij de specifieke eisen van de verzekeraar.
• Snelle meldingsprocedures: Zorg dat incidenten direct worden gemeld aan de verzekeraar.

“Een goed voorbereid en getest IRP zorgt ervoor dat teams bij een incident precies weten wat hun rol is en wat ze moeten doen. Dit vermindert verwarring, versnelt de respons, beperkt financiële en reputatieschade en waarborgt de continuïteit van bedrijfsactiviteiten.” – Arezoo Shekarchi, Resilience Senior Technical Security Advisor ^[13]

Naast een solide incidentresponsplan is naleving van gegevensbeschermingsregels een belangrijk aspect.

Gegevensbeschermingsnaleving

Om verzekerd te blijven, is naleving van de Algemene Verordening Gegevensbescherming (AVG) onmisbaar. Boetes bij niet-naleving kunnen oplopen tot 4% van de wereldwijde omzet of €20 miljoen, afhankelijk van welk bedrag hoger is ^[10].

Een paar recente voorbeelden van overtredingen:

• Twitter: $546.000 boete voor het niet tijdig melden van een datalek ^[11].
• Marriott Hotels: $24 miljoen boete voor een datalek waarbij gegevens van 340 miljoen personen betrokken waren ^[11].
• Google: $57 miljoen boete voor het verkeerd omgaan met gebruikersgegevens ^[11].

Om aan de AVG te voldoen en de verzekeringsdekking te behouden, moeten organisaties:

• Regelmatig risico-evaluaties uitvoeren.
• Technische beveiligingsmaatregelen implementeren.
• Medewerkers trainen in gegevensbescherming.
• Controleren dat leveranciers ook voldoen aan de AVG-normen.

/banner/inline/?id=sbb-itb-f5e6f9f

Beleid selectiehandleiding

Risicobeoordeling

Een gedegen risicobeoordeling is onmisbaar bij het kiezen van de juiste cyberverzekering. Wist je dat cyberaanvallen wereldwijd een kostenpost van maar liefst €1,37 biljoen veroorzaken? ^[15] Voor Nederlandse bedrijven is het daarom van groot belang om hun specifieke risico’s helder in kaart te brengen.

Een effectieve risicobeoordeling omvat enkele cruciale stappen:

• Inventarisatie van bedrijfskritische systemen
  Begin met het identificeren en classificeren van je bedrijfsmiddelen. Welke systemen en data zijn essentieel voor de continuïteit van je bedrijf? Maak onderscheid tussen:
  • Kritieke systemen: systemen die direct invloed hebben op de bedrijfsvoering.
  • Belangrijke systemen: systemen met een indirecte impact.
  • Ondersteunende systemen: systemen met een beperkte impact.
• Analyse van kwetsbaarheden
  Onderzoek mogelijke zwakke plekken in:
  • Je technische infrastructuur
  • Bedrijfsprocessen
  • Het personeelsbeleid, inclusief trainingen
  • Relaties met leveranciers

Deze analyse vormt de basis om te bepalen welke dekking je nodig hebt.

Ontdek binnen 5 minuten wat jouw dekking is. Klik op de knop hieronder.

“A cyber risk assessment is an objective evaluation of an organization’s cybersecurity posture.” – Mario Paez, National Cyber Risk Leader bij Marsh McLennan Agency ^[14]