Overslaan en naar de inhoud gaan

Afsluiten securityverzekering gaat niet meer zomaar

  • Opdrachtgevers eisen regelmatig van hun leveranciers dat ze een securityverzekering afsluiten
  • Verzekeraars stellen echter steeds vaker hogere eisen aan hun klanten
  • Dit zijn je opties als bedrijf
  • Lees ook: Verzekering is geen zekere zaak bij ransomware
cybersecurity verzekering
© Shutterstock
Shutterstock

Terwijl het aantal en de ernst van cyberaanvallen op organisaties alleen maar groeien, is de weerbaarheid van veel organisaties nog steeds zeer zwak. Door middel van regelgeving trachten Europese en nationale overheden een betere beveiliging bij organisaties af te dwingen. Opdrachtgevers van deze organisaties op hun beurt verwachten steeds vaker dat hun leveranciers een goede cybersecurityverzekering hebben.

Verzekeraars op hun beurt stellen steeds hogere eisen aan de beveiliging van hun klanten, ziet Louise de Gier.

Veel bedrijven en instellingen onderschatten nog steeds de risico’s van cybercrime. De vraag is niet of er een aanval komt, maar wanneer. Nieuwe regelgeving moet Europa digitaal weerbaarder maken tegen cybercriminaliteit. In de tweede helft van 2024 moet deze zogenoemde NIS2-richtlijn (Network & Information Systems Directive) in de Nederlandse wet geïmplementeerd zijn. Ook wordt gewerkt aan een Europees certificeringssysteem op basis van de EU Cybersecurity Act en komt er specifieke regelgeving voor de financiële sector, de Digital Operational Resilience Act (DORA).

Een goed cybersecuritybeleid omvat de juiste technische maatregelen, organisatorische maatregelen en beleidsmaatregelen, inclusief een incident response plan en duidelijke contracten met de opdrachtgevers van IT-dienstverleners. Opdrachtgevers moeten ook goede cybersecurityafspraken maken met de hele keten van IT-leveranciers, hosting providers en andere betrokken partijen, zoals externe deskundigen.

Goede cybersecurityverzekering

Naast de wettelijke verplichtingen eisen tegenwoordig bijna alle opdrachtgevers dat de IT-leverancier waarmee zaken wordt gedaan een adequate cybersecurityverzekering afsluit bij een gerenommeerde cybersecurityverzekeraar. Als er schade ontstaat door cybercrime en dit komt voor rekening en risico van de IT-leverancier, kunnen de kosten en schades zo hoog oplopen dat dit niet door de IT-leverancier gedragen kan worden. Zo kan de IT-leverancier verantwoordelijk zijn voor een goed back-upbeleid, ook als dat niet expliciet is afgesproken. Er is rechtspraak waarin de IT-leverancier aansprakelijk was voor de schade als gevolg van het ontbreken van een goed werkende back-up. Dit was bijvoorbeeld het geval omdat een leverancier had afgesproken zorg te dragen voor adequate beveiliging.

Ook als de IT-leverancier een totaal beveiligingspakket aanlevert, kan de IT-leverancier aansprakelijk zijn voor het ontbreken van een goed werkende back-up. Als bij een hack de back-ups tevens gehackt worden, kan de schade in de miljoenen lopen, omdat het bedrijf niet meer bij zijn data kan. In het ergste geval kan dit zelfs het faillissement van een bedrijf veroorzaken. Naast de schades wordt er losgeld gevraagd en worden hoge kosten gemaakt omdat deskundigen moeten worden ingeschakeld. En als er gehandeld is in strijd met de privacyregelgeving kan het bedrijf ook nog veroordeeld worden om een boete te betalen. Het is dus van groot belang bij het afsluiten van de cybersecurityverzekering na te gaan of boetes gedekt zijn. Vaak is dit in de polis beperkt en bepaalde fraude is niet automatisch meeverzekerd, zoals identiteits- en CEO-fraude.  

Minder verzekeraars

Jaren geleden sprongen verzekeringsmaatschappijen in het gat van een nieuwe verzekeringsmogelijkheid tegen digitale inbraken. Voor zo’n cybersecurityverzekering werden niet al te zware eisen gesteld. Ongeveer twee jaar geleden werd het bij de gespecialiseerde verzekeringsmaatschappijen steeds duidelijker dat de schades begonnen op te lopen. De vorige minister van Justitie en Veiligheid heeft zelfs onderzoek gedaan naar een verbod op het vergoeden van losgeld door verzekeraars aan cybercriminelen. Het Verbond van Verzekeraars reageerde hier niet enthousiast op. Wel zijn steeds meer verzekeraars gestopt met het verstrekken van cybersecurityverzekeringen.

De verzekeringsbedrijven die nog wel een cybersecurityverzekering aanbieden, hebben de voorwaarden aangescherpt. Het eigenrisicobedrag is verhoogd en kan in bepaalde gevallen zelfs € 100.000 tot € 250.000 bedragen. De vragenlijsten zijn uitgebreid en vernieuwd, risicosectoren worden in kaart gebracht, zoals bedrijven met veel data, bedrijven met gevoelige data of bedrijven waar tijd een belangrijke factor is. Dit zijn bijvoorbeeld payment providers, SaaS-aanbieders, serviceproviders die IT-diensten voor derde partijen uitvoeren, overheden, ziekenhuizen, banken, transportbedrijven en bedrijven waar de supply chain een belangrijke rol speelt.

Risicovolle bedrijven en instellingen moeten voldoen aan zwaardere voorwaarden. De premies worden verhoogd, het maximum uit te keren bedrag kan worden beperkt, waardoor bepaalde bedrijven gedwongen worden bij meerdere cybersecurityverzekeraars een verzekering af te sluiten. Er zijn al bedrijven die het verzekerde bedrag verlagen omdat de verzekering anders onbetaalbaar wordt.

Beroepsaansprakelijkheidsverzekering erbij

Dienstverleners zoals aanbieders van SaaS, PaaS of IaaS of managedserviceproviders zijn een interessante prooi voor hackers omdat ze via hen bij diverse bedrijven binnen kunnen komen. Het is daarom essentieel dat dergelijke IT-bedrijven een goede beroepsaansprakelijkheidsverzekering afsluiten in combinatie met een cybersecurityverzekering. Het is verstandig de verzekering af te sluiten bij een gereputeerde verzekeringsmaatschappij zoals Chubb, AIG of Hiscox, allen gespecialiseerd in cybercrimeverzekeringen.

Eye is een IT-bedrijf dat sinds kort ook cybersecurityverzekeringen aanbiedt voor het MKB, in samenwerking met gerenommeerde cyberverzekeringsmaatschappijen, onder de voorwaarde dat de eigen beveiligingssoftware van Eye wordt gebruikt zodat het risico beheersbaar, verzekerbaar en betaalbaar blijft. De vraag is of er geen tegenstrijdig belang ontstaat. Als er een hack plaatsvindt omdat er een fout zit in de beveiligingssoftware van het IT-beveiligingsbedrijf of omdat er sprake is van een menselijke fout zal het IT-beveiligingsbedrijf zelf moeten beoordelen of de schade als gevolg van een hack onder de cyber-securityverzekering valt of niet. Of het dan uitmaakt dat de beveiligingssoftware en bijbehorende werkzaamheden en het verzekeringsdeel van het beveiligingsbedrijf ondergebracht zijn in twee verschillende bedrijven, is de vraag. Een samenwerking met gerenommeerde verzekeringsmaatschappijen, die los staan van het beveiligingsbedrijf, is in zo'n geval van belang. Of de combinatie van het beveiligen van bedrijven en het aanbieden van een cybersecurityverzekeringen goed uitpakt, zal de toekomst uitwijzen.

NIS2

De NIS2-richtlijn kan op twee manieren van toepassing zijn. Het bedrijf of de instelling valt zelf onder de regelgeving, of het bedrijf of de instelling is toeleverancier van bedrijven of (publieke) instellingen waarvoor de regelgeving van kracht is. De richtlijn richt zich op twee groepen: aanbieders van essentiële diensten (AED) en digitale service providers/dienstverleners (DSP). De aanbieders worden verdeeld in ‘essentieel’ en ‘belangrijk’. Voor de aanbieders van essentiële diensten geldt een strenger toezicht en sanctie-regime.

Kritieke sectoren zijn onder andere de volgende: energie, vervoer, bankwezen, financiële marktinstellingen, gezondheid, drinkwater, afvalwater, digitale infrastructuur, beheer van ICT-diensten (business-to-business), overheidsdiensten, ruimtevaart, post- en koeriersdiensten, afvalbeheer, chemie, voeding, industrie en digitale aanbieders, zoals online marktplaatsen, online zoekmachines en clouddiensten. Alleen digitale dienstverleners met minimaal vijftig medewerkers en een omzet van meer dan €10 miljoen per jaar vallen onder de NIS2-richtlijn. Het bestuur van deze bedrijven en instellingen wordt verantwoordelijk en aansprakelijk voor het managen van cyberrisico’s en moet trainingen volgen. Bij nalatigheid kunnen hoge boetes worden opgelegd, tot 2% van de wereldwijde omzet. Hogere managers kunnen worden geschorst.

De AED’s en DSP’s moeten passende beveiligingsmaatregelen treffen. Het Nationaal Cyber Security Centrum van het ministerie van Justitie en Veiligheid heeft in een handreiking acht basismaatregelen opgesteld. Het is verstandig in ieder geval deze basismaatregelen uit te voeren, updates tijdig te installeren of - als een update nog niet beschikbaar is - andere noodzakelijke maatregelen te nemen, zoals:

  • Maak logbestanden, sla deze op in apart netwerksegment en beperk toegang;
  • Pas multifactorauthenticatie toe;
  • Maak back-ups, test de back-ups op terugzetbaarheid, maak back-ups die los staan van het netwerk (air-gapped), bewaar nog een kopie op een andere locatie, beperk toegang tot back-ups en overweeg versleuteling van back-ups;
  • Segmenteer netwerk/verdeel netwerk in meerdere zones;
  • Bepaal wie toegang heeft tot data en diensten, alleen toegang voor zover dit nodig is voor uitvoeren van taken;
  • Versleutel data met gevoelige bedrijfsinformatie;
  • Controleer welke apparaten en diensten bereikbaar zijn vanaf het internet en bescherm ze.

Afsluiten 

Dat ieder bedrijf of instelling een cybersecurityverzekering kan afsluiten, is niet meer vanzelfsprekend. Als een payment provider of een overheidsbedrijf dat veel of gevoelige data verwerkt bijvoorbeeld geen multifactorauthenticatie gebruikt, kan een verzekeraar besluiten niet of slechts gedeeltelijk te verzekeren - door bepaalde risico’s uit te sluiten. Een verzekeraar hanteert prijsmodellen afhankelijk van de bedrijfsrisico’s en het cybersecuritybeleid. Heeft een bedrijf al deze aspecten op orde, dan is de premie lager dan voor bedrijven waar dat niet zo is. Een goed cybersecuritybeleid is ook om die reden essentieel.

In verband met de nieuwe regelgeving is het belangrijk na te gaan of een bestuurdersaansprakelijkheidsverzekering moet worden afgesloten of worden aangepast. Bestudeer de polisvoorwaarden goed en ga na welke schades gedekt zijn en tot welk bedrag. Let goed op de volgende punten:

  • De verzekerde hoedanigheid; hieruit blijkt welke activiteiten een bedrijf verricht - dat is de onderneming die verzekerd is. Als blijkt dat de onderneming andere bedrijfsactiviteiten verricht dan is de andere bedrijfsactiviteit mogelijk niet verzekerd. Dus ook wijzigingen in bedrijfsactiviteiten moeten tijdig worden doorgegeven.
  • Welke eigen schades en kosten zijn gedekt?
  • Zijn ook schades van andere betrokken partijen verzekerd?
  • Vallen door autoriteiten opgelegde boetes onder de verzekering?
  • Zijn cyberafpersing en daarmee verband houdende kosten verzekerd?
  • Is er geen sprake van overlappende verzekeringen tussen de beroepsaansprakelijkheidsverzekering en de cybercrimeverzekering?
  • Is er een verplichting bepaalde contractvoorwaarden te hanteren?
  • Kan de polis tussentijds worden opgezegd na het voorvallen van een schade?

BTG

Branchevereniging ICT en Telecommunicatie Grootgebruikers (BTG) focust zich op de cyberweerbaarheid van Nederlandse bedrijven en overheden. BTG faciliteert de interactie tussen bedrijven onderling en tussen bedrijven en overheden, zodat de verschillende partijen gebruik kunnen maken van elkaars kennis en deskundigheid op het gebied van cybersecurity.  Kijk voor meer informatie op www.btg.org

Dit artikel verscheen eerder op 31 maart op deze website. 

Magazine AG Connect

Dit artikel is ook gepubliceerd in het magazine van AG Connect (nummer 2 - 2023). Wil je alle artikelen uit dit nummer lezen, bekijk dan de inhoudsopgave.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee