(deel II) NCTV: ‘Bedrijven onervaren met verzekeren gevolgen cyberaanval’

Het wordt steeds lastiger voor bedrijven om zich te verzekeren tegen schade door cybercriminelen. Daarvoor waarschuwt de Nationaal Coordinator Terrorismebestrijding en Veiligheid (NCTV) in het meest recente rapport Cybersecuritybeeld Nederland 2023. Vandaag deel II. Klik hier voor deel I.

• gevolgen slechte cyberveiligheid moeilijk te verzekeren
• onbekendheid verzekeraars met cyberschade
• premies onbetaalbaar

Volgens het rapport van de NCTV kunnen en moeten bedrijven meer doen aan digitale weerbaarheid. Toch zullen cyberincidenten zich voor blijven doen en zal schade niet altijd te voorkomen zijn. De dienst wijst er op dat dit gevolgen heeft voor de verzekerbaarheid. Eerder wees de website voor de it-sector AG Connect in een artikel (‘Nieuwe cybersecuritywet bezorgt gemeenten slapeloze nachten’) op de risico’s die gemeenten lopen. 

Geen polis I

Een belangrijke reden die verzekeraars voor de onverzekerbaarheid tegen cyberrisico’s noemen is de toename van de digitale risico’s. Het aantal cyberaanvallen neemt namelijk al jaren toe en daarmee neemt ook de schade toe, zo stellen de onderzoekers. De groeiende schadeclaims zorgen ervoor dat verzekeraars hun polisvoorwaarden opschroeven en dat de premies stijgen. Ook moeten steeds meer klanten voldoen aan hoge beveiligingseisen. Wie ruim onvoldoende scoort, krijgt geen polis.

Geen polis II

Het toekennen van een verzekeringspolis staat ook onder druk doordat cyberincidenten kunnen uitgroeien tot een systemische crisis. Dit kan dusdanig grote gevolgen hebben dat de gevolgen onverzekerbaar zijn. Als voorbeeld noemen de onderzoekers een incident  waarbij een Amerikaanse
verzekeringsmaatschappij 1,4 miljard dollar schade moest vergoeden aan bedrijf in de pharmasector.

Geen polis III

Een derde oorzaak volgens het onderzoek is de markt voor cybersecurity-verzekeringen in ons land. Die staat volgens de NCTV in de kinderschoenen en is daarom nog beperkt in omvang. Het onderzoek wijst daarvoor naar de De Nederlandse Bank (DNB), die het gebrek aan historische data over incidenten en schade als oorzaak noemt. Daar komt bij dat veel bedrijven zich niet bewust zijn van de potentiële schade die digitale risico’s met zich kunnen meebrengen.

Geen polis IV

Ook noemt het rapport “onduidelijkheid over de dekking van risico’s bij de traditionele verzekeraars” als een oorzaak van onverzekerbaarheid. Hierdoor worden de cyberrisico’s niet expliciet gedekt in traditionele polissen. Er wordt in het onderzoek verwezen naar de toenemende onduidelijkheid die de Europese toezichthouder op verzekeringen ook al benoemde.

Geen polis V

Tot slot noemt de nog een laatste probleem voor bedrijven die zich willen laten verzekeren; de hoogte van de verzekeringspremie. Dit alles kan er uiteindelijk toe leiden dat financieel gezonde organisaties ten onder gaan aan schade die zij lijden als gevolg van cyberincidenten.

Richtlijn cyberveiligheid eis voor verzekeringspolis

De veiligheidsdienst wijst er op dat de EU intussen bezig is met strengere eisen voor digitale veiligheid van organisaties en bedrijven. Een deel van de reeks aan maatregelen moeten niet alleen bedrijven maar ook de gehele keten waarin één netwerk een schakel vormt, beschermen tegen aanvallen en spionage. Experts verwachten dat deze richtlijnen en eisen door verzekeraars gebruikt gaan worden om verzekerbaarheid van ondernemingen te toetsen.

• Met onder meer de Digital Services Act (DSA) worden vanaf juli 2024 de verantwoordelijkheid en aansprakelijkheid geregeld van internetaanbieders, hostingbedrijven, online platformen, zoekmachines en marktplaatsen.
• De Digital Markets Act (DMA) moet over 12 maanden gaan zorgen voor extra markt- en fusietoezicht én concurrentieregels voor de wereldwijd grootste online platforms.
• Met de Cyber Resilience Act (CRA) beoogt de EU te komen tot een veiligere Europese digitale interne markt en een samenleving waarin onveilige producten van de markt kunnen
  worden geweerd en gehaald.
• Verder is de ‘Richtlijn Network and information security’ (NIS) herzien, wat heeft geresulteerd in de NIS2-richtlijn (NIS2). Deze richtlijn regelt welke bedrijven aan welke verplichte security-eisen moeten voldoen.
• De NIS2 heeft tot gevolg dat meer bedrijven onder de Wet beveiliging netwerk- en informatiesystemen (Wbni) gaan vallen dan nu het geval is en dat verschillende aspecten
  van de huidige richtlijn worden aangescherpt, waaronder risicomanagement, het gebruik van encryptie of het afhandelen van incidenten.