Risico’s op bedrijfsschade als gevolg van cyberaanvallen moeten meer krijgen, evenveel als beveiligingscontroles van informatietechnologie en ransomware-dreigingen, zo blijkt uit een nieuw rapport van de International Underwriting Association (IUA).
Het onderzoek dat de marktorganisatie samen met Baker Tilly heeft uitgevoerd, analyseert de schade-ervaringen van de afgelopen jaren. De conclusie is dat het begrip van cyberschade aan bedrijven weliswaar een lange weg heeft afgelegd, maar dat er nog werk aan de winkel is om de schade-ervaring voor zowel verzekeraars als polishouders te verbeteren.
Helen Dalziel, Director of Public Policy bij de IUA, licht toe: “De cyberverzekeringsmarkt heeft de afgelopen jaren een aanzienlijke toename van bedrijfsschadeclaims verwerkt, zowel qua volume als qua waarde. Alleen al in 2024 hebben we de gebeurtenissen Change Healthcare, CDK en CrowdStrike gezien, wat het belang van dekking voor dergelijke risico’s en de dreiging van systeemrisico’s benadrukt. Ons nieuwe rapport probeert de uitdagingen te identificeren die zich voordoen bij het berekenen van cyber bedrijfsschade en hoe deze in de toekomst kunnen worden aangepakt.”
Ben Hobby, directeur bij Baker Tilly, vult aan: ““De dekking voor bedrijfsonderbreking is een cruciaal onderdeel van een cyberverzekeringspolis en kan een belangrijk onderdeel vormen van de schaderegeling. We vinden het daarom van cruciaal belang voor het voortdurende succes van de cyberverzekeringsmarkt om deze ervaringen te delen, zodat cyber bedrijfsonderbreking en de daaruit voortvloeiende financiële blootstellingen beter worden begrepen.”
Conclusie
Het rapport eindigt met de volgende conclusie: “Uit schade-ervaringen blijkt duidelijk dat de cyberverzekeringsmarkt sinds 2018 een lange weg heeft afgelegd in zijn begrip van cyber-BI. Diezelfde schade-ervaring laat echter ook zien dat er nog een lange weg te gaan is om een aantal van de kwesties aan te pakken waarop in dit document commentaar wordt gegeven. In de afgelopen jaren zijn grote inspanningen geleverd om de kans dat ransomware zich voordoet te begrijpen en te verkleinen. Dit volgt op de verschillende interventies van toezichthouders tijdens de ransomwarepandemie van 2020/21 om de uitdagingen aan te pakken die op dat moment bestonden. Deze focus van de toezichthouder lijkt echter ten koste te zijn gegaan van andere dekkingen binnen een cyberpolis, met name bedrijfsschade. Het is daarom te hopen dat cyber BI in de komende jaren evenveel aandacht krijgt als IT- en beveiligingscontroles voorheen kregen. Als dit gebeurt, zal er niet alleen vooruitgang worden geboekt bij het aanpakken van een aantal van de problemen die in dit artikel naar voren zijn gebracht, maar kan er ook verdere marktinnovatie worden verwacht. Dit zijn inderdaad spannende tijden.”
De Cyber Underwriting Group van de IUA publiceerde in 2018 voor het eerst een Business Interruption-rapport met een overzicht van het onderwerp en de principes van hoe een schade zou worden berekend. De nieuwe bijgewerkte publicatie voor 2025 is gratis te downloaden op https://iua.co.uk/cyber.
