Kun je je nog verzekeren tegen cyberaanvallen?

Europese en nationale overheden dwingen met regelgeving een betere beveiliging af bij organisaties. Opdrachtgevers van deze organisaties op hun beurt verwachten steeds vaker dat hun leveranciers een goede cybersecurityverzekering hebben. Verzekeraars op hun beurt stellen steeds hogere eisen aan de beveiliging van hun klanten, schrijft Louise de Gier, IT- en IE-advocaat bij BOLT Advocaten in Utrecht, op AG Connect.

Nieuwe regelgeving moet Europa digitaal weerbaarder maken tegen cybercriminaliteit. In de tweede helft van 2024 moet deze zogenoemde NIS2-richtlijn (Network & Information Systems Directive) in de Nederlandse wet geïmplementeerd zijn. Ook wordt gewerkt aan een Europees certificeringssysteem op basis van de EU Cybersecurity Act en komt er specifieke regelgeving voor de financiële sector, de Digital Operational Resilience Act (DORA).

De schade kan hoog oplopen

Naast de wettelijke verplichtingen eisen tegenwoordig bijna alle opdrachtgevers dat de IT-leverancier waarmee zaken wordt gedaan een adequate cybersecurityverzekering afsluit bij een gerenommeerde cybersecurityverzekeraar. Als er schade ontstaat door cybercrime en dit komt voor rekening en risico van de IT-leverancier, kunnen de kosten en schades zo hoog oplopen dat dit niet door de IT-leverancier gedragen kan worden.

Steeds minder cybersecurityverzekeringen

Jaren geleden sprongen verzekeringsmaatschappijen in het gat van een nieuwe verzekeringsmogelijkheid tegen digitale inbraken. Voor zo’n cybersecurityverzekering werden niet al te zware eisen gesteld. Ongeveer twee jaar geleden werd het bij de gespecialiseerde verzekeringsmaatschappijen steeds duidelijker dat de schades begonnen op te lopen. De vorige minister van Justitie en Veiligheid heeft zelfs onderzoek gedaan naar een verbod op het vergoeden van losgeld door verzekeraars aan cybercriminelen. Het Verbond van Verzekeraars reageerde hier niet enthousiast op. Wel zijn steeds meer verzekeraars gestopt met het verstrekken van cybersecurityverzekeringen.

Afsluiten van een verzekering is niet meer vanzelfsprekend 

Dat een organisatie een cybersecurityverzekering kan afsluiten, is niet meer vanzelfsprekend. Als een een overheidsorganisatie die veel of gevoelige data verwerkt bijvoorbeeld geen multifactorauthenticatie gebruikt, kan een verzekeraar besluiten niet of slechts gedeeltelijk te verzekeren. Een verzekeraar hanteert prijsmodellen afhankelijk van de bedrijfsrisico’s en het cybersecuritybeleid. Heeft een bedrijf al deze aspecten op orde, dan is de premie lager dan voor bedrijven waar dat niet zo is. Een goed cybersecuritybeleid is ook om die reden essentieel.

In verband met de nieuwe regelgeving is het belangrijk na te gaan of een bestuurdersaansprakelijkheidsverzekering moet worden afgesloten of worden aangepast.

Bestudeer de polisvoorwaarden goed en ga na welke schades gedekt zijn en tot welk bedrag. Let goed op de volgende punten:

• De verzekerde hoedanigheid; hieruit blijkt welke activiteiten een organisatie verricht. Wijzigingen in activiteiten moeten tijdig worden doorgegeven.
• Welke eigen schades en kosten zijn gedekt?
• Zijn ook schades van andere betrokken partijen verzekerd?
• Vallen door autoriteiten opgelegde boetes onder de verzekering?
• Zijn cyberafpersing en daarmee verband houdende kosten verzekerd?
• Is er geen sprake van overlappende verzekeringen tussen de beroepsaansprakelijkheidsverzekering en de cybercrimeverzekering?
• Is er een verplichting bepaalde contractvoorwaarden te hanteren?
• Kan de polis tussentijds worden opgezegd na het voorvallen van een schade?

Dit artikel is ook gepubliceerd in het magazine van AG Connect nummer 2.
Lees het hele artikel op de website van AG Connect