Een polishouder denkt goed verzekerd te zijn tegen cyberaanvallen, maar krijgt na een incident de schade desondanks niet vergoed. Of een verzekeraar moet gevolgschade van een cyberaanval uitkeren, wat leidt tot een onverwachte forse kostenpost. De sector wordt zich langzaam bewust van deze risico’s – silent cyber genoemd – die worden veroorzaakt door onduidelijke formuleringen in de polis.
In mei 2017 deed zich een groot cyberincident voor: Wannacry. Door een aanval met ransomware raakten in korte tijd meer dan 230.000 computers in 150 landen geïnfecteerd. Het Deense containerbedrijf Maersk liep naar eigen zeggen een totale schade op van honderden miljoenen euro’s omdat het bedrijf wekenlang stil lag.
Eye opener
Dit incident was een ‘eye opener’ voor (her)verzekeraars. Het grootste deel van de verzekerbare schade was namelijk verzekerd op traditionele brand-, transport- en aansprakelijkheidsverzekeringen. Dat dit zo zou kunnen gebeuren hadden de (her)verzekeraars nooit voorzien.
Het Verbond legt in een whitepaper uit hoe dit probleem kon ontstaan. De modelpolissen van traditionele verzekeringen zoals Gebouwen, Inventaris/voorraad, Bedrijfsschade en Aansprakelijkheid zijn in een tijd ontworpen waarin IT bij bedrijven geen, of een ondergeschikte rol speelde. Daarom hebben verzekeraars bij het ontwerp en bij de verwerking van aanpassingen onvoldoende rekening gehouden met schade en gedekte gebeurtenissen die door een cyberincident kunnen ontstaan.
Risico onbedoeld gedekt
Het risico dat hierdoor ontstaat, wordt ook wel silent cyber of non-affirmative cyber coverage genoemd. Het risico is niet in- of uitgesloten. Dit kan betekenen dat schade als gevolg van een cyberrisico onbedoeld gedekt is.
Er zijn grofweg drie varianten:
– het cyberrisico wordt als mogelijke oorzaak voor schade niet expliciet in- of uitgesloten;
– het cyberrisico wordt als mogelijke oorzaak voor schade uitgesloten, maar de verwoording is dubbelzinnig of onvolledig;
– het cyberrisico wordt als mogelijke oorzaak voor schade expliciet ingesloten maar de bewoording is dubbelzinnig of conflicteert met andere voorwaarden.
Digitale infrastructuren
Inmiddels is het aantal cyberincidenten in alle sectoren toegenomen. De impact van die aanvallen wordt groter. De COVID-19 pandemie heeft de afhankelijkheid van digitale infrastructuren verder versneld. De Russische inval in Oekraïne zorgt bovendien voor geopolitieke instabiliteit waarbinnen zich verdere cyberincidenten kunnen voordoen. Het onderwerp staat op de agenda van de toezichthouders.
Maatregelen
Verzekeraars nemen verschillende maatregelen om het silent-cyberrisico op te heffen. Alle hebben voor- en nadelen. Zo kunnen verzekeraars schade door cyberrisico’s expliciet insluiten. Dit levert een ruime dekking op, met nauwelijks hiaten. De verzekerde heeft duidelijkheid. Er komen geen discussies over definitie van cyberincidenten. Nadeel is dat deze variant kostbaar is in de uitvoering. Er moet wellicht een hogere premie worden gevraagd.
Andere optie is schade door cyberrisico’s expliciet uit te sluiten. Ook deze optie geeft duidelijkheid voor de verzekerde. Hij is goedkoop en eenvoudig in de uitvoering. Nadelen: het is niet klantvriendelijk, het cyberrisico van klanten wordt niet weggenomen en het staat haaks op de maatschappelijke rol van verzekeraars bij het mitigeren van cyberrisico’s.
Derde optie is de schade door cyberrisico’s uit te sluiten met uitzondering van een aantal specifiek omschreven type cyberincidenten. Voordeel voor de verzekerde: het is beter dan niks. Nadelen: de dekking blijft nog steeds beperkt en er kunnen onduidelijkheden en discussies ontstaan over wat wel en wat niet gedekt is.
Bron: Verbond van Verzekeraars
