Het landschap van ‘cyberverzekeringen’ verandert snel. Belangrijke vraag blijft wat je precies verzekert en tegen welke voorwaarden. Iedereen hanteert weer andere voorwaarden en condities en gebruikt eigen formuleringen. Dat kan en moet anders. De roep om standaardisatie wordt steeds luider.lDat bleek tijdens een conferentie over ‘cyber insurance’ die op 3 oktober jl. in Brussel plaatsvond. De conferentie over dit thema was een initiatief van uitgever Commercial Risk Europe. Adri van der Waart, Corprate Insurance Manager bij Arcadis en NARIM-voorzitter, vertolkte als lid van een panel de mening vanuit het vak.
Al eerder gaf hij diverse malen te kennen dat het erg lastig is goed zicht te krijgen op de risico’s van de alsmaar voortschrijdende digitalisering en de grote gevolgen die incidenten met zich mee kunnen brengen, in kaart te brengen. “Dat je te maken krijgt met cyberincidenten is zeker, maar hoe en wat en wanneer is onzeker”, is een eerder gemaakt statement van Adri van der Waart.
Onderzoek Marsh en Microsoft
De belangstelling voor ‘cyber’ groeit en daarmee ook voor de noodzaak bepaalde risico’s af te dekken. Uit recent onderzoek van Marsh en Microsoft blijkt dat steeds meer wereldwijd opererende organisaties een vorm van ‘cyber insurance’ hebben afgesloten: 47% nu tegen 34% in 2017. Het onderzoek werd gehouden onder 1500 grote bedrijven. Uit hetzelfde onderzoek blijkt dat de onzekerheid over de vraag of de cyberverzekring voldoet aan de behoeften van de klant, de organisatie, is gedaald tot 31% tegen 44% twee jaar geleden. Het vertrouwen in de cyberdekking neemt af en de kloof tussen bezorgdheid en aanpak van de risicodreiging groeit. Er is werk aan de winkel.
Cyber insureance: landschap is nog zeer gefragmenteerd
Hoewel dus de noodzaak wordt onderkend en verzekeraars en makelaars als gevolg van de toenemende vraag producten en diensten op dit gebied ontwikkelen, blijft het landschap nog zeer divers en gefragmenteerd.Niet alleen de methoden om inzicht te krijgen in wat de risico’s per organisatie zijn, maar ook de geboden dekkingen en de daarin gebruikte formuleringen en terminologieën, verschillen nog altijd sterk. Terwijl bepaalde zaken in de basis toch hetzelfde zijn. Waarom dan niet meer standaardisatie, luidt de vraag vanuit de Risk & Insurance Managers, de kopers van dit soort verzekeringen.
Als organisatie sta je voor de vraag of je bepaalde risico’s zelf neemt of dat je een risico (of een gedeelte) wil laten afdekken via een verzekering. Die vraag speelt altijd, maar beslist ook op het gebied van cyber. Als je dan diverse aanbieders en hun aanbiedingen gaat vergelijken, zijn de verschillen erg groot. In vrijwel alle opzichten. Dat kan en moet anders en dat vraagt om standaardisatie.‘
‘Verzekeraars: ga aan de slag om gelijke standaardvoorwaarden te ontwikkelen’: ‘
“Makelaars proberen te helpen door meer gestandaardiseerde formuleringen te ontwikkelen en daarmee klanten, onze bedrijven, meer duidelijkheid te bieden. Mijn vraag aan de verzekeraars is: waarom volg je de makelaars niet en ga met elkaar aan de slag om gelijke standaardvoorwaarden te ontwikkelen? Dat zou het voor ons als Risk & Insurance Managers een stuk gemakkelijker maken om te weten wat we kopen.” Bovendien is de afweging om een cyberpolis af te sluiten een stuk makkelijker uit te leggen aan het bestuur.
Zijn standpunt werd tijdens de conferentie van Commercial Risk Europe onderschreven door onder andere Herman Kerremans, manager bedrijfsontwikkeling bij Marsh. Hij zei dat cyberverzekeraars ‘min of meer’ dezelfde cyberdekkingen bieden, maar dat de polisformuleringen, definities en woordenschat sterk verschillen. Dit maakt dingen ingewikkeld voor kopers en is volgens hem ‘onderdeel van het probleem’ met cyberverzekering. “Een gemiddelde koper begrijpt niet echt waar het precies om draait. Het is dus een hele klus voor makelaars om dingen aan de klanten uit te leggen”, aldus Kerremans. “Bij Marsh proberen we onze formuleringen te gebruiken. Sommige providers kunnen daarmee leven en andere niet. Maar het zou veel gemakkelijker zijn als er een algemeen aanvaarde formulering zou zijn voor bijvoorbeeld Europese markten”, voegde hij eraan toe.
‘Consistentie en standaardformuleringen: de markt is zeker nog niet zo ver’
Mark Camillo van AIG, hoofd cyber in Europa, vertelde dat AIG en andere verzekeraars geprobeerd hebben hun beleid op cybergebied consistenter te maken, met name in verschillende regio’s. Maar hij zei dat de markt ‘nog een paar jaar verwijderd is’ van consistentie en standaardformuleringen. “Ik begin een deel van die consistentie in de markt te zien, maar het is zeker nog niet zover als bijvoorbeeld op het gebied van D&O, waar wel standaardformuleringen worden gebruikt.”
De ontwikkeling van een algemene dekking voor cybervoorwaardelijke bedrijfsonderbrekingen is volgens Kerremans van Marsh moeilijk te vinden. Hij waarschuwde Risk & Insurance Managers ook om voorzichtig om te gaan met het gebruik van oorlogsuitsluitingen in de traditionele verzekeringsbranche, met name onroerend goed, om cyberrisico’s af te dekken. Deze uitsluitingen zijn gebruikt om de dekking te ontkennen en op dit specifieke terrein lopen intussen diverse rechtszaken.
‘We gaan een perfect storm tegemoet’
Van zijn kant zei Jérôme Gossé, cybermanager voor continentaal Europa bij Chubb, met de groeiende cyberdreiging en stijgende claims dat de cyberverzekeringsmarkt een ‘perfect storm’ tegemoet gaat. Dit komt volgens hem omdat zowel de keuze van de koper als de capaciteit in de markt is afgenomen. Sommige verzekeraars trekken zich terug uit deze markt na diverse fusies en overnames in de commerciële verzekeringssector, voegde hij eraan toe.
