Technische Commissie Cyber VNAB: Minister Grapperhaus heeft onjuist beeld van Silent Cyber en dekking cyberrisico’s

Op 23 maart 2020 verscheen de kabinetsreactie op het rapport ‘Voorbereiden op digitale ontwrichting’ van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR). Minister van Veiligheid en Justitie Grapperhaus gaat in die reactie onder andere in op de rol van cyberverzekeringen bij digitale incidenten. In de ogen van de Technische Commissie Cyber van het VNAB schetst ” de minister het onjuiste beeld dat schade na cyberincidenten steeds vaker onder traditionele bedrijfspolissen wordt gedekt en dat dit ‘silent cyber’ heet.”

De Technische Commissie (TC) Cyber van de VNAB heeft silent cyber als één van haar speerpunten op de agenda staan. Silent cyber is namelijk voor bijvoorbeeld brand-, aansprakelijkheid- en transportverzekeraars een onbekend en vaak ongewenst risico. De TC Cyber herkent het door Grapperhaus geschetste beeld niet en legt dit graag uit, meldt zij in een persbericht.

Rapport WRR en reactie kabinet
De WRR heeft compensatie van slachtoffers beschreven als een belangrijk onderdeel van herstel na een ontwrichtend incident. Daarom doet de WRR o.a. de aanbeveling om onderzoek te stimuleren naar de haalbaarheid van een cyberpool om financiële dekking mogelijk te maken voor schade als gevolg van digitale ontwrichting.Minister Grapperhaus concludeert in de kabinetsreactie dat er op dit moment geen aanleiding is voor aanvullende maatregelen met betrekking tot cyberrisico’s en cyberverzekeringen, omdat ‘ op het gebied van verzekeringen, schade na cyberincidenten steeds vaker onder normale bedrijfspolissen vallen.’ De minister noemt dit ‘silent cyber’.

Silent cyber en de trend in de markt
De TC Cyber van de VNAB herkent dit door Grapperhaus geschetste beeld niet. Eerder ziet de TC Cyber een tegenovergestelde trend in de markt:  schade na cyberincidenten wordt onder traditionele bedrijfspolissen steeds vaker van dekking uitgesloten. ” De term ‘silent cyber’ houdt namelijk in dat deze dekking onder een traditionele bedrijfsverzekering, zoals een brand-, aansprakelijkheids-, technische- of transportpolis, door de verzekeraar niet was voorzien en dat de polisvoorwaarden daar ook niets over bevatten. De premie is dus ook niet op cyberrisico’s berekend.” Zij vervolgt: ” Zeker gelet op het onvoorspelbare karakter van cyberrisico’s en de potentiële grote schade betekent silent cyber een risico voor traditionele schadeverzekeraars. Niet voor niets heeft de financieel toezichthouder in het Verenigd Koninkrijk de verzekeraars opgeroepen om dit risico te ondervangen en heeft Lloyd’s of London deze oproep aan al haar leden herhaald.Het gevolg is dat steeds meer verzekeraars cyberrisico’s expliciet op de traditionele polissen gaan uitsluiten, bijvoorbeeld omdat ze de omvang van het risico onacceptabel vinden of omdat ze menen dat dit risico niet op een traditionele verzekering thuishoort, maar op een cyberverzekering.De cyberverzekering dekt echter niet alles. Indien op de traditionele polissen alle schade na cyberincidenten wordt uitgesloten, kan er een hiaat in de dekking ontstaan. Het is dus zowel voor verzekeraars als voor verzekerden niet alleen belangrijk dat silent cyber in kaart wordt gebracht, maar ook hoe daarmee vervolgens wordt omgegaan.”

Rol TC Cyber VNAB
Ook in Nederland is silent cyber aan de orde. Dit risico speelt in alle verzekeringsbranches en is een complex probleem. De TC Cyber heeft silent cyber dan ook tot één van haar kernpunten aangewezen. ” Wij proberen in kaart te brengen hoe de markt met silent cyber omgaat en daarin een begeleidende en adviserende rol te spelen. Daartoe voeren wij intensieve gesprekken met de andere Technische Commissies voor Brand, Aansprakelijkheid, Transport en Technische verzekeringen en organiseren wij kennisbijeenkomsten.”

Heroverweging onderzoek naar aanvullende maatregelen
Het kabinet heeft in haar reactie op het rapport van de WRR geconcludeerd dat er geen aanleiding is voor nader onderzoek naar aanvullende maatregelen, zoals onderzoek naar een cyberpool. “Deze conclusie is echter gebaseerd op de onjuiste veronderstelling dat er vanwege silent cyber steeds meer cyberschade op traditionele bedrijfspolissen wordt gedekt. De conclusie van het kabinet verdient dan ook een heroverweging”, aldus de TC Cyber, die aangeeft dat zij het Ministerie van Justitie en Veiligheid desgewenst graag van advies dient. Foto Rijksoverheid