‘Bedrijfsleven gebrekkig verzekerd tegen cyberrisico’s’

Aan de verzekering van cyberrisico’s wordt door het bedrijfsleven wereldwijd relatief weinig budget besteed. Terwijl de gemiddelde schade van incidenten zoals datalekken en bedrijfsstilstand maar liefst 3,3 miljoen dollar is, hebben bedrijven doorgaans slechts 15 procent van hun maximale niet-materiële schade verzekerd. Aan de verzekering van materiële risico’s, zoals brand, wordt gemiddeld vier keer zoveel geld besteed. De gemiddelde dekking daarvan is 60 procent.

Dat blijkt uit het ‘2017 Europe, Middle East & Africa Cyber Risk Transfer Comparison Report’ van Aon en het Ponemon Institute, een onderzoeksbureau op het gebied van privacy, gegevensbescherming en informatiebeveiliging. Voor het onderzoek werden ruim 500 bedrijven gevraagd naar hun dekking van materiële en niet-materiële risico’s.

Financiële schade door cyberincidenten

Uit het rapport blijkt dat maar liefst vier op de tien bedrijven (38%) de afgelopen twee jaar financiële schade leed door cyberincidenten, terwijl zij gemiddeld slechts 15 procent van de maximale niet-materiële schade met een verzekering hebben gedekt. Dit staat in schril contrast met de verzekering van materiële schade. Daaraan wordt gemiddeld vier keer meer geld besteed, waardoor meestal zo’n 60 procent van de maximale materiële schade is gedekt. Een bedrijfsonderbreking door cyberincidenten heeft 50 procent meer impact dan bij materiële schade, blijkt eveneens uit het rapport.

Verzekering eigen verantwoordelijkheid

“De gebrekkige verzekering van cyberrisico’s is ook een hardnekkig probleem in Nederland,” aldus Sjaak Schouteren, Manager Cyber Risk Solutions bij Aon. “De diverse maatregelen in het regeerakkoord in het kader van cyberveiligheid ontslaan bedrijven niet van hun eigen verantwoordelijkheid, zoals goed cyber risk management en een gedegen verzekering.” Het nieuwe kabinet reserveert onder meer 95 miljoen euro voor cybersecurity en trekt 10 miljoen euro extra uit voor de uitvoering van de Wet Computercriminaliteit III.

Meer cyberrisico’s liggen op de loer met de komst van de Algemene verordening voor gegevensbescherming van de EU (AVG), die op 25 mei 2018 van kracht wordt. Slechts 30 procent van de bedrijven is naar eigen zeggen volledig op de hoogte van de juridische en economische gevolgen van de AVG. Boetes voor niet-naleving van de verordening kunnen oplopen tot 20 miljoen euro of 4 procent van de totale omzet van een organisatie.

Bedrijven verwachten meer cyberrisico’s

“Het besef dat cyberrisico’s om aandacht vragen, is er wel,” aldus Schouteren. Bedrijven wereldwijd geven vaak toe dat hun waarde grotendeels bepaald wordt door niet-materiële zaken, zoals de data die het bedrijf beheert. Maar liefst 65 procent van de bedrijven in de EMEA-regio verwacht dat de blootstelling aan cyberrisico's de komende jaren verder toeneemt. “Verzekeringsmaatschappijen zien gelukkig een gestage toename van de vraag naar cyberverzekeringen,” aldus Schouteren. “Nu is het zaak dat die stijging doorzet, het liefst snel.” Een belangrijk aspect daarbij is volgens Schouteren het besef dat een cyberverzekering meer dekt dan alleen de aansprakelijkheid bij een datalek. “Een cyberverzekering biedt ook praktische ondersteuning in het geval van een incident. Een team van experts op verschillende terreinen zorgt ervoor dat de impact van een cyberincident beperkt wordt. Daarin zit de meeste toegevoegde waarde van een cyberverzekering, omdat veel schade ontstaat als gevolg van bedrijfsstilstand. Tegen dit laatste kan men zich overigens ook goed verzekeren met een cyberverzekering.”

Gerelateerde artikelen