De cyberverzekeringsmarkt blijft ook in 2022 hoogst uitdagend.
Voor de eerste helft van dit jaar verwacht Aon prijsstijgingen, met in de
tweede helft van 2022 kans op lichte stabilisatie. De enorme toename van ransomware-aanvallen
zorgt ervoor dat het acceptatieproces van cyberverzekeraars steeds uitvoeriger
en arbeidsintensiever is geworden in vergelijking met voorgaande jaren. Dat
blijkt uit het wereldwijde rapport 2022 Errors &
Omissions and Cyber Market Review van Aon, Hierin analyseert Aon verlies-
en prijstrends en structurele veranderingen op het gebied van
cyberverzekeringen en beroepsaansprakelijkheid.
Ransomware
belangrijkste oorzaak stijging aantal cyberclaimsHet aantal claims op cyberverzekeringen is sinds 2018 enorm gestegen, zo
blijkt uit het rapport. Deze ontwikkeling wordt voor een belangrijk deel
veroorzaakt door de vele ransomware-aanvallen, die vanaf begin 2019 tot eind
2021 met meer dan drie keer zoveel toenamen.
Cyberclaims rondom dataprivacy-incidenten waarbij ransomware geen
rol speelde, lieten daarentegen een stabieler beeld zien in dezelfde periode.
In 2021 daalde het aantal cyberclaims licht ten opzichte van het zwaartepunt in
de afgelopen jaren, wat in Q4 van 2020 lag. Uit het onderzoek blijkt verder dat
de gemiddelde duur van bedrijfsonderbreking 22 dagen bedraagt bij een
ransomware-incident (gemeten in Q3 2021) en dat bedrijfsstilstandsschade de
voornaamste schadecomponent is.
Deze ontwikkelingen beïnvloeden het prijsniveau van cyberverzekeringen. In
december 2021 was de gemiddelde premiestijging 137,3% op jaarbasis. Aon benoemt
in het onderzoek dat voor klanten in het mid-marktsegment over geheel 2021
zelfs premiestijgingen zichtbaar waren van 250%. De verwachting is dat in de
eerste helft van 2022 de prijsstijgingen aanhouden, waarna stabilisatie in het
tweede deel van dit jaar kan optreden.
Volgens Marie-Louise de Smit, cyber broking director bij
Aon’s Cyber Solutions, is dat een logisch gevolg van het handelen van
verzekeraars: “Begin 2021 zijn de eerste verzekeraars begonnen met een veel
uitvoeriger acceptatieproces met hierin bijvoorbeeld een uitgebreide
vragenlijst rondom ransomware. Bedrijven die toen al cyberverzekeringen hadden
afgesloten, zaten nog als potentieel ‘slechte’ risico’s in de boeken van de
verzekeraars. Halverwege 2021 waren veel bedrijven wel over op het vernieuwde
acceptatieproces, waardoor verzekeraars de komende maanden de resultaten van
deze strengere acceptatiecriteria verwachten, zoals bijvoorbeeld minder
schades.”
Uitvoeriger acceptatieproces cyberverzekeringenHet strengere acceptatieproces bestaat voor een groot deel uit veel meer en
uitgebreidere vragen, onder andere rondom ransomware en recent gevonden
kwetsbaarheden. Verzekeraars wensen in sommige gevallen niet eens een offerte
voor een cyberverzekering uit te brengen, als de beantwoording van de vragen
niet een bepaald cybervolwassenheidsniveau weergeeft.
De Smit: “Denk hierbij aan vragen over MFA (multi-factor
authenticatie), EDR (eindpuntdetectie en respons) en het hebben en testen van
back-ups. De aanvraagformulieren zijn op alle fronten uitgebreider geworden,
maar ook diepgaander. Waar enkele jaren geleden bijvoorbeeld alleen gevraagd
werd of er back-ups beschikbaar waren, worden nu ook vragen gesteld als: Worden
back-ups dagelijks, wekelijks of maandelijks gemaakt? Waar worden ze
opgeslagen, on-site of off-site? Gebeurt dat versleuteld? En als de opslag
on-site is, zijn ze dan gescheiden van de rest van de bedrijfsprocessen? Op
alle facetten van cyberveiligheid wordt veel dieper ingegaan bij het
acceptatieproces. Het is belangrijk om je bewust te zijn van het soort vragen
dat gesteld wordt, die serieus te beantwoorden en dus de tijd te nemen om een
cyberverzekering in te kopen. Aon helpt organisaties bij dit proces, zodat ze
betere beslissingen kunnen nemen over hun cyberveiligheid en het al dan niet
verzekeren daarvan.”
Bewustzijn
over cyberverzekering verandert
De Smit ziet een verandering in hoe organisaties kijken naar hun
cyberverzekering als gevolg van de toename in cyberincidenten zoals
ransomware-aanvallen of andere datalekken waarbij het handelen van medewerkers
de oorzaak is.
“Je merkt een omslag waarbij bedrijven of organisaties de premie die zij
betalen echt gaan afzetten tegen het gigantische risico wat ze lopen bij een
cyberincident. Dat is ook mede het gevolg van de strengere acceptatie door
verzekeraars. Als een incident zich voordoet, kan de schade enorm zijn,
ongeacht of het nu een aanval door criminelen betreft of een datalek. De
cyberverzekering heb je gewoon nodig en wordt meer en meer gezien als een
calamiteitendekking voor als die grote klapper zich voordoet.”
