Op 23 maart 2020 verscheen de kabinetsreactie op het rapport ‘Voorbereiden op digitale ontwrichting’ van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR). Minister van Veiligheid en Justitie Grapperhaus gaat in die reactie onder andere in op de rol van cyberverzekeringen bij digitale incidenten. In de ogen van de Technische Commissie Cyber van het VNAB schetst ” de minister het onjuiste beeld dat schade na cyberincidenten steeds vaker onder traditionele bedrijfspolissen wordt gedekt en dat dit ‘silent cyber’ heet.”
De Technische Commissie (TC) Cyber van de VNAB heeft silent cyber als één van haar speerpunten op de agenda staan. Silent cyber is namelijk voor bijvoorbeeld brand-, aansprakelijkheid- en transportverzekeraars een onbekend en vaak ongewenst risico. De TC Cyber herkent het door Grapperhaus geschetste beeld niet en legt dit graag uit, meldt zij in een persbericht.
Rapport
WRR en reactie kabinet
De WRR heeft compensatie van slachtoffers beschreven als een belangrijk
onderdeel van herstel na een ontwrichtend incident. Daarom doet de WRR o.a. de
aanbeveling om onderzoek te stimuleren naar de haalbaarheid van een cyberpool
om financiële dekking mogelijk te maken voor schade als gevolg van digitale
ontwrichting.Minister Grapperhaus concludeert in de kabinetsreactie dat er op
dit moment geen aanleiding is voor aanvullende maatregelen met betrekking tot
cyberrisico’s en cyberverzekeringen, omdat ‘ op het gebied van verzekeringen,
schade na cyberincidenten steeds vaker onder normale bedrijfspolissen vallen.’
De minister noemt dit ‘silent cyber’.
Silent
cyber en de trend in de markt
De TC Cyber van de VNAB herkent dit door Grapperhaus geschetste beeld niet.
Eerder ziet de TC Cyber een tegenovergestelde trend in de markt: schade
na cyberincidenten wordt onder traditionele bedrijfspolissen steeds vaker van
dekking uitgesloten. ” De term ‘silent cyber’ houdt namelijk in dat deze
dekking onder een traditionele bedrijfsverzekering, zoals een brand-,
aansprakelijkheids-, technische- of transportpolis, door de verzekeraar niet
was voorzien en dat de polisvoorwaarden daar ook niets over bevatten. De premie
is dus ook niet op cyberrisico’s berekend.” Zij vervolgt: ” Zeker gelet op het
onvoorspelbare karakter van cyberrisico’s en de potentiële grote schade
betekent silent cyber een risico voor traditionele schadeverzekeraars. Niet
voor niets heeft de financieel toezichthouder in het Verenigd Koninkrijk de
verzekeraars opgeroepen om dit risico te ondervangen en heeft Lloyd’s of London
deze oproep aan al haar leden herhaald.Het gevolg is dat steeds meer
verzekeraars cyberrisico’s expliciet op de traditionele polissen gaan
uitsluiten, bijvoorbeeld omdat ze de omvang van het risico onacceptabel vinden
of omdat ze menen dat dit risico niet op een traditionele verzekering thuishoort,
maar op een cyberverzekering.De cyberverzekering dekt echter niet alles. Indien
op de traditionele polissen alle schade na cyberincidenten wordt uitgesloten,
kan er een hiaat in de dekking ontstaan. Het is dus zowel voor verzekeraars als
voor verzekerden niet alleen belangrijk dat silent cyber in kaart wordt
gebracht, maar ook hoe daarmee vervolgens wordt omgegaan.”
Rol TC
Cyber VNAB
Ook in Nederland is silent cyber aan de orde. Dit risico speelt in alle
verzekeringsbranches en is een complex probleem. De TC Cyber heeft silent cyber
dan ook tot één van haar kernpunten aangewezen. ” Wij proberen in kaart te
brengen hoe de markt met silent cyber omgaat en daarin een begeleidende en
adviserende rol te spelen. Daartoe voeren wij intensieve gesprekken met de
andere Technische Commissies voor Brand, Aansprakelijkheid, Transport en
Technische verzekeringen en organiseren wij kennisbijeenkomsten.”
Heroverweging
onderzoek naar aanvullende maatregelen
Het kabinet heeft in haar reactie op het rapport van de WRR geconcludeerd dat
er geen aanleiding is voor nader onderzoek naar aanvullende maatregelen, zoals
onderzoek naar een cyberpool. “Deze conclusie is echter gebaseerd op de
onjuiste veronderstelling dat er vanwege silent cyber steeds meer cyberschade
op traditionele bedrijfspolissen wordt gedekt. De conclusie van het kabinet
verdient dan ook een heroverweging”, aldus de TC Cyber, die aangeeft dat zij
het Ministerie van Justitie en Veiligheid desgewenst graag van advies dient.
Foto Rijksoverheid