De cyberverzekeringsmarkt blijft ook in 2022 hoogst uitdagend. Voor de eerste helft van dit jaar verwacht Aon prijsstijgingen, met in de tweede helft van 2022 kans op lichte stabilisatie. De enorme toename van ransomware-aanvallen zorgt ervoor dat het acceptatieproces van cyberverzekeraars steeds uitvoeriger en arbeidsintensiever is geworden in vergelijking met voorgaande jaren.

Dat blijkt uit het wereldwijde rapport 2022 Errors & Omissions and Cyber Market Review van Aon, wereldwijd dienstverlener op het gebied van risico-, pensioen- en gezondheidsoplossingen. Hierin analyseert Aon verlies- en prijstrends en structurele veranderingen op het gebied van cyberverzekeringen en beroepsaansprakelijkheid.

Stijging aantal cyberclaims
Het aantal claims op cyberverzekeringen is sinds 2018 enorm gestegen, zo blijkt uit het rapport. Deze ontwikkeling wordt voor een belangrijk deel veroorzaakt door de vele ransomware-aanvallen, die vanaf begin 2019 tot eind 2021 met meer dan drie keer zoveel toenamen. Cyberclaims rondom dataprivacy-incidenten waarbij ransomware geen rol speelde, lieten daarentegen een stabieler beeld zien in dezelfde periode. In 2021 daalde het aantal cyberclaims licht ten opzichte van het zwaartepunt in de afgelopen jaren, wat in Q4 van 2020 lag. Uit het onderzoek blijkt verder dat de gemiddelde duur van bedrijfsonderbreking 22 dagen bedraagt bij een ransomware-incident (gemeten in Q3 2021) en dat bedrijfsstilstandsschade de voornaamste schadecomponent is.

Premiestijgingen tot 250%
Deze ontwikkelingen beïnvloeden het prijsniveau van cyberverzekeringen. In december 2021 was de gemiddelde premiestijging 137,3 procent op jaarbasis. Aon benoemt in het onderzoek dat voor klanten in het mid-marktsegment over geheel 2021 zelfs premiestijgingen zichtbaar waren van 250%. De verwachting is dat in de eerste helft van 2022 de prijsstijgingen aanhouden, waarna stabilisatie in het tweede deel van dit jaar kan optreden. Volgens Marie-Louise de Smit, cyber broking director bij Aon’s Cyber Solutions, is dat een logisch gevolg van het handelen van verzekeraars: “Begin 2021 zijn de eerste verzekeraars begonnen met een veel uitvoeriger acceptatieproces met hierin bijvoorbeeld een uitgebreide vragenlijst rondom ransomware. Bedrijven die toen al cyberverzekeringen hadden afgesloten, zaten nog als potentieel ‘slechte’ risico’s in de boeken van de verzekeraars. Halverwege 2021 waren veel bedrijven wel over op het vernieuwde acceptatieproces, waardoor verzekeraars de komende maanden de resultaten van deze strengere acceptatiecriteria verwachten, zoals bijvoorbeeld minder schades.”

Uitvoeriger acceptatieproces cyberverzekeringen
Het strengere acceptatieproces bestaat voor een groot deel uit veel meer en uitgebreidere vragen, onder andere rondom ransomware en recent gevonden kwetsbaarheden. Verzekeraars wensen in sommige gevallen niet eens een offerte voor een cyberverzekering uit te brengen, als de beantwoording van de vragen niet een bepaald cybervolwassenheidsniveau weergeeft. De Smit: “Denk hierbij aan vragen over MFA (multi-factor authenticatie), EDR (eindpuntdetectie en respons) en het hebben en testen van back-ups. De aanvraagformulieren zijn op alle fronten uitgebreider geworden, maar ook diepgaander. Waar enkele jaren geleden bijvoorbeeld alleen gevraagd werd of er back-ups beschikbaar waren, worden nu ook vragen gesteld als: Worden back-ups dagelijks, wekelijks of maandelijks gemaakt? Waar worden ze opgeslagen, on-site of off-site? Gebeurt dat versleuteld? En als de opslag on-site is, zijn ze dan gescheiden van de rest van de bedrijfsprocessen? Op alle facetten van cyberveiligheid wordt veel dieper ingegaan bij het acceptatieproces. Het is belangrijk om je bewust te zijn van het soort vragen dat gesteld wordt, die serieus te beantwoorden en dus de tijd te nemen om een cyberverzekering in te kopen. Aon helpt organisaties bij dit proces, zodat ze betere beslissingen kunnen nemen over hun cyberveiligheid en het al dan niet verzekeren daarvan.”

Bewustzijn over cyberverzekering verandert
De Smit ziet een verandering in hoe organisaties kijken naar hun cyberverzekering als gevolg van de toename in cyberincidenten zoals ransomware-aanvallen of andere datalekken waarbij het handelen van medewerkers de oorzaak is. “Je merkt een omslag waarbij bedrijven of organisaties de premie die zij betalen echt gaan afzetten tegen het gigantische risico wat ze lopen bij een cyberincident. Dat is ook mede het gevolg van de strengere acceptatie door verzekeraars. Als een incident zich voordoet, kan de schade enorm zijn, ongeacht of het nu een aanval door criminelen betreft of een datalek. De cyberverzekering heb je gewoon nodig en wordt meer en meer gezien als een calamiteitendekking voor als die grote klapper zich voordoet.”