Terug naar overzicht
Blog
Wat gaat veranderen bij cyberverzekeringen in 2024?
09-11-2023
Januari staat voor de deur. Het moment waarop verzekeraars hun polisvoorwaarden wijzigen, ook van cyberverzekeringen. Wat gaat er veranderen? In dit artikel lees je alles over de nieuwste ontwikkelingen in de Nederlandse cyberverzekeringsmarkt.
Dat cyberverzekeringen steeds meer aandacht krijgen in Nederland is niet voor niets. De laatste tijd zien we namelijk een toename in ransomware-aanvallen en andere cyberdreigingen. In 50% van de gevallen met kosten tot gevolg. Bedrijven lopen steeds meer risico en dat heeft gevolgen voor de verzekeringsmarkt. Zo worden premies de laatste jaren hoger en worden acceptatie-eisen steeds strenger. Bedrijven moeten tegenwoordig uitgebreid aantonen dat ze hun cybersecurity hebben verbeterd, inclusief training van het personeel en het gebruik van geavanceerde endpoint-detectie (gericht op het detecteren van kwaadaardige activiteiten op apparaten, zoals malware, virussen en andere bedreigingen) en response-oplossingen (cybersecurity oplossingen die bedrijven helpen snel te reageren op cyberaanvallen en deze te bestrijden). Ook wordt er meer nadruk gelegd op het beheer van gebruikers,- en toegangsrechten en multifactor authenticatie. Om ervoor te zorgen dat bedrijven goed beschermd zijn tegen cybercriminaliteit, werken verzekeraars vaak samen met externe cybersecurity bedrijven voor diepgaande beoordelingen. Daarnaast verwachten verzekeraars dat organisaties sterke controles uitvoeren rond geautomatiseerde systemen en menselijke processen zoals security-awareness trainingen.
Bovenstaande ontwikkelingen laten zien dat het risico van cyberaanvallen is toegenomen, met hogere acceptatie-eisen bij cyberverzekeringen tot gevolg. Logischerwijs heeft dit ook invloed op de voorwaarden en dekking van cyberpolissen in 2024.
We hebben belangrijke trends op een rijtje gezet die impact hebben op cyberpolissen in Nederland:
Bedrijven en organisaties zijn zich er steeds vaker van bewust wat de risico's zijn van cyber-aanvallen en dat de schadelast enorm kan oplopen. Voor verzekeraars geldt dat ze door de toename in criminaliteit vaker moeten uitkeren, wat impact heeft op de prijs van cyberverzekeringen. Aangezien de awareness van bedrijven toeneemt, wordt er meer geld uitgeven aan cybersecurity (waaronder verzekeringen): gemiddeld 8% van het technologiebudget gaat hier nu naartoe, een toename van 3% ten opzichte van 2019. Voor bedrijven die willen investeren in hun cyberveiligheid zit er niets anders op dan de kostenstijging te accepteren als een noodzakelijk onderdeel van hun operationele beveiliging.
Bedrijven moeten hun cybersecurity maatregelen versterken voordat ze een cyberverzekering kunnen afsluiten. Verzekeraars zijn namelijk strenger geworden en stellen hogere acceptatie-eisen. Dit omvat onder andere het beantwoorden van een lijst met uitgebreide vragen, het aantonen van interne trainingen in het herkennen van phishing- en andere aanvalstechnieken en het gebruik van geavanceerde cybersecurity oplossingen. Verzekeraars verwachten ook dat bedrijven sterkere controles uitvoeren rond geautomatiseerde systemen en menselijke processen.
Verzekeringsmaatschappijen eisen steeds vaker dat bedrijven directe en continue monitoring van hun systemen implementeren als onderdeel van hun cyber beveiligingsstrategie (preventie). Dit wordt gedaan om de cybersecurity-awareness te versterken en om ervoor te zorgen dat eventuele bedreigingen snel worden geïdentificeerd en aangepakt. Het gebruik van opensource-scantools voor het onderzoeken van netwerken op kwetsbaarheden en beveiligingsbeoordeling diensten om het risico te evalueren, is een onderdeel van deze trend. Dergelijke maatregelen helpen bij het verminderen van het risico op cyberincidenten, wat een positief effect heeft op de verzekerbaarheid en mogelijk de premies van cyberpolissen.
Wil je als bedrijf een cyberpolis aanvragen voor 2024 in Nederland, dan worden de volgende security controles waarschijnlijk van je gevraagd:
* Geavanceerde endpoint-detectie en response (EDR/XDR)-oplossingen: deze helpen verdachte activiteiten te identificeren en herstellen.
* Multi-factor authenticatie (MFA): vooral voor gevoelige accounts (met veel toegang) wordt dit steeds meer een standaard eis.
* Privileged Access Management (PAM): voor het beheer van lokale admin-, root- en service-accounts.
* Endpoint privilege controls: het vermogen om lokale admin-rechten van gebruikers te verwijderen om misbruik van beheerdersrechten te voorkomen.
* Sterke geprivilegieerde controles: vooral rond geautomatiseerde patchmanagementsystemen (update plan) en kwetsbaarheidsscanners.
* Security-awarenesstrainingen: het regelmatig trainen van medewerkers over cybersecurity.
* Backupprocessen en incident response-plannen (noodprocedure): voorbereiding op hoe snel een organisatie kan herstellen na een cyberaanval.
Meer weten over dit onderwerp? Neem contact op met onze cyberexperts via contact@perfectday.nl.
Dat cyberverzekeringen steeds meer aandacht krijgen in Nederland is niet voor niets. De laatste tijd zien we namelijk een toename in ransomware-aanvallen en andere cyberdreigingen. In 50% van de gevallen met kosten tot gevolg. Bedrijven lopen steeds meer risico en dat heeft gevolgen voor de verzekeringsmarkt. Zo worden premies de laatste jaren hoger en worden acceptatie-eisen steeds strenger. Bedrijven moeten tegenwoordig uitgebreid aantonen dat ze hun cybersecurity hebben verbeterd, inclusief training van het personeel en het gebruik van geavanceerde endpoint-detectie (gericht op het detecteren van kwaadaardige activiteiten op apparaten, zoals malware, virussen en andere bedreigingen) en response-oplossingen (cybersecurity oplossingen die bedrijven helpen snel te reageren op cyberaanvallen en deze te bestrijden). Ook wordt er meer nadruk gelegd op het beheer van gebruikers,- en toegangsrechten en multifactor authenticatie. Om ervoor te zorgen dat bedrijven goed beschermd zijn tegen cybercriminaliteit, werken verzekeraars vaak samen met externe cybersecurity bedrijven voor diepgaande beoordelingen. Daarnaast verwachten verzekeraars dat organisaties sterke controles uitvoeren rond geautomatiseerde systemen en menselijke processen zoals security-awareness trainingen.
Belangrijke trends
Bovenstaande ontwikkelingen laten zien dat het risico van cyberaanvallen is toegenomen, met hogere acceptatie-eisen bij cyberverzekeringen tot gevolg. Logischerwijs heeft dit ook invloed op de voorwaarden en dekking van cyberpolissen in 2024.We hebben belangrijke trends op een rijtje gezet die impact hebben op cyberpolissen in Nederland:
- Multicloudsecurity: bedrijven hebben te maken met complexe cloudomgevingen die een uitdaging vormen voor beveiliging. Er is een beweging om alles naar één security platform te brengen om complexiteit te verminderen.
- Cybercrime-as-a-Service: voor cybercriminelen wordt het steeds eenvoudiger om aanvallen te doen. Op het dark-web vinden ze er diensten die gespecialiseerde aanvallen mogelijk maken.
- Focus van cybercriminelen op kleinere organisaties: kleine en middelgrote organisaties verhogen hun inspanningen om hun cybersecurity te verbeteren.
- Cybersecurity in leveranciersselectie: cybersecurity wordt een steeds belangrijker criterium bij de selectie van leveranciers en verzekeraars hechten daar belang aan.
- Cyberresilience: organisaties richten zich op het verhogen van de weerbaarheid tegen cyberaanvallen.
- Toename van social engineering: aanvallen via social engineering blijven populair en ontwikkelen (steeds geavanceerder), met name op managementniveau.
- NIS2 en risico-gebaseerd beleid: met de nieuwe Europese NIS2-richtlijn moeten bedrijven hun cybersecurity vanuit een breder perspectief benaderen en risico’s kwalificeren en kwantificeren.
Hogere investeringen in cyber-security
Bedrijven en organisaties zijn zich er steeds vaker van bewust wat de risico's zijn van cyber-aanvallen en dat de schadelast enorm kan oplopen. Voor verzekeraars geldt dat ze door de toename in criminaliteit vaker moeten uitkeren, wat impact heeft op de prijs van cyberverzekeringen. Aangezien de awareness van bedrijven toeneemt, wordt er meer geld uitgeven aan cybersecurity (waaronder verzekeringen): gemiddeld 8% van het technologiebudget gaat hier nu naartoe, een toename van 3% ten opzichte van 2019. Voor bedrijven die willen investeren in hun cyberveiligheid zit er niets anders op dan de kostenstijging te accepteren als een noodzakelijk onderdeel van hun operationele beveiliging.
Striktere acceptatie-eisen
Bedrijven moeten hun cybersecurity maatregelen versterken voordat ze een cyberverzekering kunnen afsluiten. Verzekeraars zijn namelijk strenger geworden en stellen hogere acceptatie-eisen. Dit omvat onder andere het beantwoorden van een lijst met uitgebreide vragen, het aantonen van interne trainingen in het herkennen van phishing- en andere aanvalstechnieken en het gebruik van geavanceerde cybersecurity oplossingen. Verzekeraars verwachten ook dat bedrijven sterkere controles uitvoeren rond geautomatiseerde systemen en menselijke processen.
Monitoring
Verzekeringsmaatschappijen eisen steeds vaker dat bedrijven directe en continue monitoring van hun systemen implementeren als onderdeel van hun cyber beveiligingsstrategie (preventie). Dit wordt gedaan om de cybersecurity-awareness te versterken en om ervoor te zorgen dat eventuele bedreigingen snel worden geïdentificeerd en aangepakt. Het gebruik van opensource-scantools voor het onderzoeken van netwerken op kwetsbaarheden en beveiligingsbeoordeling diensten om het risico te evalueren, is een onderdeel van deze trend. Dergelijke maatregelen helpen bij het verminderen van het risico op cyberincidenten, wat een positief effect heeft op de verzekerbaarheid en mogelijk de premies van cyberpolissen.
Voorwaarden voor aanvragen cyberpolis 2024
Wil je als bedrijf een cyberpolis aanvragen voor 2024 in Nederland, dan worden de volgende security controles waarschijnlijk van je gevraagd:
* Geavanceerde endpoint-detectie en response (EDR/XDR)-oplossingen: deze helpen verdachte activiteiten te identificeren en herstellen.
* Multi-factor authenticatie (MFA): vooral voor gevoelige accounts (met veel toegang) wordt dit steeds meer een standaard eis.
* Privileged Access Management (PAM): voor het beheer van lokale admin-, root- en service-accounts.
* Endpoint privilege controls: het vermogen om lokale admin-rechten van gebruikers te verwijderen om misbruik van beheerdersrechten te voorkomen.
* Sterke geprivilegieerde controles: vooral rond geautomatiseerde patchmanagementsystemen (update plan) en kwetsbaarheidsscanners.
* Security-awarenesstrainingen: het regelmatig trainen van medewerkers over cybersecurity.
* Backupprocessen en incident response-plannen (noodprocedure): voorbereiding op hoe snel een organisatie kan herstellen na een cyberaanval.
Meer weten over dit onderwerp? Neem contact op met onze cyberexperts via contact@perfectday.nl.
