Het nieuwe rapport van het Agentschap voor cyberveiligheid van de Europese Unie (ENISA) onderzoekt de uitdagingen waarmee exploitanten van essentiële diensten in de EU worden geconfronteerd wanneer zij een cyberverzekering willen afsluiten. De analyse richt zich op de potentiële uitdagingen voor de exploitanten van essentiële diensten (OES’s), maar verkent ook aspecten van cyberverzekering vanuit het perspectief van beleidsontwikkeling, en doet aanbevelingen voor beleidsmakers en de gemeenschap van OES’s.
Wat blijkt uit het rapport? Nu de huidige trend van toenemende cyberincidenten ook de OES’en in grote mate treft, beschouwt een meerderheid van hen een cyberverzekering als een dienst die zij zich niet kunnen veroorloven gezien de hoge premies en nadelige dekking. Volgens gegevens uit een enquête onder 262 OES’en in de hele EU hebben drie op de vier momenteel geen cyberverzekering. Uit de enquête blijkt ook dat andere risicobeperkende strategieën door OES’en vaak als gunstiger worden beschouwd.
Voor 77% van de respondenten is een geformaliseerd proces ingesteld om cyberrisico’s in kaart te brengen. De overige 23% beschikt niet over een dergelijk proces. Anderzijds verklaart 64% van de organisaties de cyberrisico’s niet te kwantificeren. Alle ondervraagde respondenten verklaren echter te beschikken over riskmanagementpraktijken en een proces om controles te bepalen.De redenen voor het besluit om een verzekering af te sluiten zijn voor 46% dekking in geval van schade als gevolg van een cyberincident, wettelijke verplichting voor 19%, deskundige kennis van verzekeringsmaatschappijen vóór of na een incident.56% van de respondenten verklaarde dat zij andere risicobeperkende instrumenten doeltreffender vonden dan een cyberverzekering.
Aanbevelingen voor beleidsmakers
- Richtmechanismen invoeren om de rijpheid van riskmanagementpraktijken van OES’s te verbeteren;
- De oprichting van kaders bevorderen om goede praktijken onder OESO’s vast te stellen en uit te wisselen, vooral met betrekking tot de identificatie, beperking en kwantificering van risicoblootstelling;
- Initiatieven aanmoedigen, met inbegrip van normalisatie en de ontwikkeling van richtsnoeren, om te voorzien in beoordelingsmethoden voor de kwantificering van cyberrisico’s;
- Samenwerkingskaders met publieke en private partners ontwikkelen om vaardighedenkaders en -programma’s voor cyberverzekering mogelijk te maken, met name op gebieden als risicobeoordeling, juridische aspecten, informatiebeheer en de dynamiek van de cyberverzekeringsmarkt.
Aanbevelingen aan de OES’s
- Vooruitgang boeken met de volwassenheid van riskmanagmentpraktijken;
- toewijzing of verhoging van het budget voor de uitvoering van processen voor de identificatie van activa, belangrijke maatstaven, uitvoering van periodieke risicobeoordelingen, identificatie van beveiligingscontroles en kwantificering van risico’s op basis van beste praktijken in de sector;
- de overdracht en uitwisseling van kennis met andere OES verbeteren.
Ter gelegenheid van de publicatie van het verslag verwelkomde ENISA het bezoek van Petra Hielkema, voorzitter van de Europese Autoriteit voor verzekeringen en bedrijfspensioenen (EIOPA).
ENISA heeft synergieën ontwikkeld met belanghebbenden zoals de EIOPA om acties te ondernemen om inzicht te krijgen in de mechanismen en potentiële behoeften van de cyberverzekeringssector met betrekking tot cyberbeveiliging en marktontwikkeling. Deze synergieën komen tot uiting in de coördinatie van activiteiten om de ontwikkelingen op het gebied van cyberverzekering te volgen, in de uitwisseling van kennis en in multidisciplinaire samenwerking.
Demand Side of Cyber Insurance in the EU – ENISA report 2023
