Volgens Willis, geven bedrijfsbesturen vaak aan dat ze vertrouwen hebben in hun cyberparaatheid. Recente opvallende cyberincidenten tonen echter aan hoe kwetsbaar dat vertrouwen kan zijn wanneer het op de proef wordt gesteld. Het nieuwe rapport Cyber in Focus 2025 van Willis, gebaseerd op 4.650 cyberclaims en gegevens op bestuursniveau, laat hetzelfde zien: schades zijn groter, breder en duurder dan leidinggevenden verwachten.
Het rapport, dat tijdens de Cyber Security Awareness Month is gepubliceerd, richt zich op vier gebieden die besturen consequent verkeerd inschatten:
Omzet (downtime): Besturen gaan ervan uit dat ransomware-uitval enkele dagen duurt; uit claimgegevens blijkt dat de mediane uitval 24 dagen duurt en dat het gemiddelde verlies door ransomware $ 2,7 miljoen bedraagt. Elke week offline betekent omzetverlies.
Reputatie (leveranciersrisico): Leiders beschouwen leveranciersrisico vaak als secundair, maar ongeveer 50% van de inbreuken begint bij leveranciers (MSP’s, SaaS, nicheleveranciers). Zwakke aansprakelijkheids-, audit- en kennisgevingsclausules drijven de kosten op; toezichthouders verwachten steeds vaker bewijs van toezicht op leveranciers.
Veerkracht (geteste paraatheid): De meeste besturen melden dat ze een plan hebben, maar slechts 68% heeft dit het afgelopen jaar getest. Regelgevers en verzekeraars zijn op zoek naar bewijs dat controles in de praktijk werken, niet alleen naar beleidsverklaringen.
Regelgeving (toenemende verantwoordingsplicht): Opkomende kaders, waaronder de EU AI-wet, veranderende regels in Amerikaanse staten en nieuwe wetgeving inzake kritieke infrastructuur in Hongkong, verhogen de verwachtingen op het gebied van governance, incidentrespons en openbaarmaking.
Andere bevindingen zijn onder meer:
- Beursgenoteerde bedrijven zijn verantwoordelijk voor 36% van de totale schades, ondanks minder incidenten.
- De grootste afzonderlijke claim bedroeg $ 331 miljoen; besturen benadrukken de voordelen van AI, maar uit claims blijkt al dat deepfakes, synthetische identiteiten en generatieve malware worden gebruikt om fraude te plegen.
Peter Foster, voorzitter van Global FINEX Cyber and Cyber Risk Solutions, Willis: “Besturen zijn vaak van mening dat cyberrisico’s onder controle zijn, maar de gegevens bewijzen het tegendeel. Niet-geteste plannen, zwakke leverancierscontracten en onduidelijke bewoordingen zijn precies waar bedrijven geld, reputatie en hun positie ten opzichte van de regelgeving verliezen. De kosten van niet-geteste veerkracht komen tot uiting in gederfde inkomsten, geschillen met aandeelhouders en boetes, en stijgen sneller dan besturen verwachten. Ransomware-simulaties, leveranciersanalyses, AI-governance en beleidsoptimalisatie kunnen helpen om de kloof tussen perceptie en realiteit te overbruggen.”
