Steeds meer bedrijven verzekeren zich voor de schade door cyberaanvallen. Volgens assurantie-expert Frank van Akkerveeken biedt dat meer voordelen dan alleen een financieel vangnet. ‘Verzekeraars hebben heel goed in kaart wat de grootste risico’s en kwetsbaarheden zijn.’
Met de toenemende digitale dreigingen, risico’s en kwetsbaarheden zijn eenvoudige normeringen en basismaatregelen niet meer voldoende, waarschuwt de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) in het Cybersecuritybeeld Nederland 2024. De verantwoordelijkheid voor een goede risicoanalyse rondom cyberweerbaarheid van de eigen organisatie ligt met de Europese NIS2-richtlijn op hetbord van de bestuurder. In Nederland wordt deze geïmplementeerd in de vorm van de Cyberbeveiligingswet, die naar verwachting in het derde kwartaal van 2025 in werking treedt. ‘De richtlijn en de wetgeving zijn erop gespitst dat een bestuurder een actievere rol moet gaan invullen, waarbij ook de bestuurdersaansprakelijkheid om de hoek komt kijken,’ stelt Frank van Akkerveeken van Blue Risk. ‘Je zult nog meer aandacht moeten besteden aan cybersecurity en moeten investeren in goede beveiligingsmaatregelen. Je hebt als bestuurder een zorgplicht, dat je een veilige digitale omgeving creëert. Het is jouw taak dat je toeziet op de uitvoering van de maatregelen. Voldoe je niet aan de NIS2- richtlijn en er is een schade, dan kun je daar aansprakelijk voor worden gesteld.
Grote schades
Cybercriminelen kijken welke bedrijven en organisaties kwetsbaar zijn en voldoende middelen hebben om het losgeld te kunnen betalen, stelt Van Akkerveeken. ‘Wat je in het nieuws leest, zijn de excessen die er zijn, maar wat je niet altijd hoort is of die bedragen ook daadwerkelijk worden betaald. In een groot aantal gevallen worden kleinere bedragen gevraagd of hebben bedrijven forse kosten om zelf erachter te komen wat de schade is geweest en wat er nodig is om nieuwe incidenten te voorkomen.’ Hij vertelt dat, wanneer je systemen worden gehackt, de gemiddelde schade rond de 350 duizend euro ligt. ‘Het is dus echt iets dat aandacht verdient. De impact is groter dan alleen het financiële risico. Denk aan reputatieschade en de tijd die het kost voordat je weer up-and-running bent. Vervolgens duurt het vaak nog een tijd voordat je het vertrouwen in de systemen terughebt.’ Er zijn en komen veel meer verzekeraars op de markt, omdát er een groeiende vraag is naar een goede dekking voor de risico’s, vertelt Van Akkerveeken. ‘Verzekeraars hebben inzicht van wat de kritieke kwetsbaarheden zijn. Het sterke van een cyberverzekering is dat het twee onderdelen dekt. Naast de directe schade die je lijdt, heb je vaak schade van derden, door bijvoorbeeld het lekken van persoonsgegevens.’ Met de verzekering ben je ook verzekerd van expertise om in het oog van de crisis op een professionele manier te acteren. ‘De verzekeraar roeptmeteen de hulp in van IT-bedrijven die snel kunnen opsporen wat de schade is en hersteld moet worden. Daarnaast helpen ze in de communicatie naar klanten. Zodat op een goede manier wordt gecommuniceerd wat er is gebeurd, om geen verdere reputatieschade op te lopen.’ Tot slot krijg je hulp bij de melding naar de Autoriteit Persoonsgegevens. ‘Het is fijn als je juridische ondersteuning krijgt om dit op de juiste manier te doen.’
Analyse van systemen
Zo’n 12 jaar geleden schreef Van Akkerveeken samen met oud-bevelhebber Dick Berlijn al een opinieartikel in het FD dat cybercrime en -spionage op termijn zou uitgroeien tot het grootste risico voor bedrijven. ‘Op dat niveau zitten we nog niet, ook niet qua verzekerbaarheid, maar het staat inmiddels wel al zeer hoog op de agenda van bestuurders. Alle organisaties die aan continuïteit denken, hebben security op hun lijst staan.’ Een cyberverzekering is een mooi sluitstuk, stelt Van Akkerveeken. ‘Het kostenplaatje van een cyberverzekering is een fractie van het totale kostenbudget voor je cybersecurity. Het meeste geld zit in preventie en het actieve testen van je systeem. Of dat nog steeds waterdicht is. Ook daarin is een verzekering een mooie aanvulling op je set aan maatregelen. ‘Bij het afsluiten screent de verzekeraar hoe je je beveiliging hebt ingericht. Dat bied je een mooie analyse van de kwaliteit die je tot nu toe hebt gerealiseerd en de maatregelen die nog nodig zijn.’
