Keurmerk voor cyberrisico’s in de maak

Keurmerk voor cyberrisico’s in de maak
© Pixabay

De behoefte aan een keurmerk dat voor eenduidigheid zorgt in de adviezen over cyberbeveiliging is groot, meldt het Verbond van Verzekeraars. Daarom is het Verbond oriënterende gesprekken gestart met het Centrum voor Criminaliteitspreventie en Veiligheid (CCV), Nederland ICT, verzekeraar Chubb en publieke partners. Met een keurmerk in de hand kunnen zowel bedrijven als particulieren makkelijker een vakkundig en betrouwbaar bedrijf inschakelen als zij hun cyberweerbaarheid willen vergroten, aldus het Verbond.

Het aanbod van cyberverzekeringen in Nederland is nog beperkt. De verzekeraars baseren hun producten noodgedwongen op informatie uit andere markten. “De markt voor cyber is nog relatief klein (met tien miljoen bruto premieomzet in 2015), maar groeit met tientallen procenten per jaar”, aldus beleidsadviseur Marko van Leeuwen van het Verbond. “Cyberrisico’s zijn een groeiend en moeilijk grijpbaar maatschappelijk probleem. Dat betekent dat samenwerking in de hele keten essentieel is. Zowel om het risicobewustzijn te vergroten als ook het gewenste niveau van bescherming te bereiken.”

“Daarnaast geven ook cybersecuritybedrijven steeds vaker aan behoefte te hebben aan certificering”, zegt René Corbijn, public policy manager bij Nederland ICT, de branchevereniging van ICT-bedrijven in Nederland. “Een keurmerk kan vraag en aanbod op het gebied van cybersecurity op een transparante wijze bij elkaar brengen. Wij dragen hier graag aan bij.”

Haast geboden
Als het aan de initiatiefnemers ligt, is enige haast geboden. Het cyberrisico ontwikkelt zich sneller dan ieder ander risico. “We kunnen nu al geregeld in de kranten lezen over een hack bij een bedrijf en dat wordt alleen maar erger. De initiatiefnemers pleiten daarom voor een objectieve methode om risico’s te bepalen, én te koppelen aan de gewenste beveiligingsmaatregelen en de daarbij behorende dienstverlening”, aldus Van Leeuwen.

Hij voegt eraan toe dat voor fysieke (inbraak)risico’s een dergelijk model allang bestaat, namelijk de zogenoemde VRKI (verbeterde risicoklassenindeling) en het daaraan gekoppelde BORG (certificering van het beveiligingsbedrijf) die door het CCV wordt beheerd. “Er wordt nu gesproken over een vergelijkbare opzet voor cyber.”

Menselijk falen
Deze Cyber VRKI, zoals het model vooralsnog is gedoopt, omvat naast technische ook organisatorische maatregelen. Van Leeuwen: “Veel risico’s ontstaan juist door menselijk handelen of falen. En net als in de fysieke wereld is een driesterrenslot alleen effectief als je dat bij het verlaten van het pand ook echt op slot doet. Datzelfde geldt voor de cyberwereld. Computers, tablets, telefoons en alle andere apparaten die op het internet zijn aangesloten, zijn alleen goed beschermd als er een deugdelijke firewall is ingeschakeld, en de wachtwoorden goed zijn en ook goed worden beheerd. Als we met andere woorden cyberrisico’s objectief kunnen koppelen aan beveiligingsmaatregelen, dan kunnen bedrijven en particulieren gericht hun IT-beleid aanpassen en hun leverancier de juiste beschermingsmaatregelen laten treffen. Wij noemen dat een handelingsperspectief. Maar voordat je zover bent, moet je wel kunnen vertrouwen op bestaande (gecertificeerde) normen en procedures.” Het mag duidelijk zijn, besluit hij, dat enige haast is geboden.

Het streven is om de komende maanden intensief samen te werken met verzekeraars, cyber-securitybedrijven, het bedrijfsleven en de overheid om ervoor te zorgen dat de eerste Cyber VRKI en een daaraan gekoppelde BORG in de eerste helft van 2018 operationeel kan zijn.

Bron: Verbond van Verzekeraars

GEEN REACTIES