Preparing for cyber insurance

bron: NARIM

Hoe wapen je je als organisatie tegen de gevolgen van cyberrisico’s? Verzekeren is een optie, maar de variëteit in aanbiedingen van verzekeraars is groot.

In het rapport Preparing for cyber insurance wordt ingegaan op een aantal key questions vanuit Risk Management-perspectief. Namens de NARIM, de Nederlandse beroepsvereniging van risk- en insurance managers, bespreekt Jacques Jaarsma dit rapport.

‘Preparing for cyber insurance’ is samengesteld op initiatief van overkoepelende organisaties van Risk Managers (FERMA), makelaars (BIPAR) en verzekeraars (Insurance Europe). Het is het eerste in zijn soort. Het doel is organisaties beter voor te bereiden bij het in kaart brengen van cyberrisico’s, het mitigeren van deze risico’s en het veel gerichter opvragen en vergelijken van offertes van verzekeraars. Met als doel dat verzekeringen worden afgesloten die nauw zijn afgestemd op de specifieke behoeften van de organisatie.

Eerst aan de slag met het verzamelen van de juiste informatie
Digitale ontwikkelingen en de juridische context waarin we leven, dwingen organisaties steeds meer om cyber insurance-producten te gebruiken voor het beperken van cyberrisco’s en de impact die incidenten kunnen hebben. Dat betekent onder meer dat de insurance buyer, zeker in middelgrote organisaties, intern eerst de juiste underwriting informatie moet verzamelen. Dit proces is een van de grootste uitdagingen. Niet alleen om maximaal voordeel te hebben van de potentie die cyber insurance biedt, maar ook om cyber risk management in je organisatie sterk te verbeteren.

Recente grote cyberincidenten hebben een positief effect gehad, aldus de samenstellers van het rapport: organisaties zijn zich veel meer bewust van de impact van cyberrisico’s en de noodzaak van het managen van hun cybersecurity exposure.

Niemand is immuun voor cyberthreats
Cyberverzekeringen maken deel uit van een heel pakket aan tools voor organisaties om cyberrisico’s beter te beheersen en beter bestand te zijn tegen de gevolgen. Want niemand is immuun, dat is duidelijk.

Het kwantificeren van cyberrisico’s is nu nog erg lastig
Een van de redenen waarom zowel organisaties als makelaars en verzekeraars worstelen met cyberrisks, is de moeilijkheid deze risico’s te kwantificeren. Verzekeren kan een goede optie zijn, maar dan moeten de dekkingen nauw zijn afgestemd op de activiteiten van de organisatie, de mate van digitalisering en de risico’s die hiermee samenhangen.
Grote organisaties hechten belang aan tailor made oplossingen, terwijl voor veel kleinere organisaties de keuze uit meer gestandaardiseerde oplossingen voor de hand ligt, onder meer uit kostenoverwegingen en uit een gebrek aan resources binnen het bedrijf om de noodzakelijke informatie boven water te krijgen.

Want in alle gevallen moet je als organisatie eerst zelf aan het werk. De eerste stap is internal research met alle stakeholders (zie schema hierboven). Het verzamelen van de juiste informatie is een intensief proces aan het begin van het hele traject, maar wel bepalend voor het maken van de afweging of een cyber insurance gewenst is en – zo ja – of je de juiste polis kiest.

Het gaat in dit soort processen om:
– algemene business informatie,
– de cybersecurity culture (de menselijke component, risk awareness),
– information system security (identificatie en authenticatie, security policies, (mobiele) netwerken, secure administration, industrial control systems),
– De rol van IT-leveranciers,
– IT Update Management,
– Ongoing assessments en audits van cyberrisk management plannen,
– Persoonlijke gegevens (juridisch en GDPR).

Om beter inzicht te krijgen in de aanbiedingen van verzekeraars voor cyber insurance worden in het rapport vier key pillars genoemd:
– Preventie
– Assistentie
– Operationele aspecten
– Aansprakelijkheden

Van belang is dat alle relevante zaken worden meegenomen: ook operationele kosten als de productie stilvalt als gevolg van een inbraak of hack, notificatiekosten die te maken hebben met het informeren van klanten en andere stakeholders en juridische kosten als gevolg van claims en andere zaken. Vaak onderschatte elementen.
In het rapport zijn een components checklist en een coverage checklist opgenomen en worden diverse scenario’s behandeld.

Cyberrisico’s: onderdeel van de Risk Management Strategy
Cyberrisico’s en hun omvang horen deel uit te maken van de Risk Management Strategy van elke organisatie, menen de auteurs van het rapport. Verzekeraars verlangen voor het afsluiten van een cyber insurance-polis veel informatie. Het verzamelen van deze informatie kan aanvankelijk ontmoedigend lijken, maar is de inspanning meer dan waard. Dit komt omdat deze exercitie verder gaat dan het bieden van hulp en bijstand in geval van een incident. Het helpt organisaties bij het voorbereiden van de discussie met hun verzekeraar en tussenpersoon én het dient om te peilen in hoeverre je als organisatie klaar bent om cyberrisico’s het hoofd te bieden, zowel in termen van het voorkomen als in termen van adequaat reageren als zich een gebeurtenis voordoet.

Op dezelfde manier zal de verzekeraar op basis van deze informatie de dekking kunnen bieden die het best past bij de behoeften van de organisatie, en nog belangrijker, toegang tot pre- en post-incident services.

Er is geen unieke dekking voor cyberrisico’s
Het landschap van cyberverzekeringen blijft zich ontwikkelen. Cyberrisico’s zullen de komende jaren gemakkelijker te kwantificeren zijn. Maar er is geen unieke dekking voor cyberrisks. Elke organisatie moet daarin tot eigen keuzes komen. Het is goed dat te realiseren.

Dit artikel verscheen eerder op de website van de NARIM: www.narim.com
Jacques Jaarsma is werkzaam bij communicatiebureau Rijken & Jaarsma

GEEN REACTIES