Cyberaanvallen kostten grote Britse bedrijven naar schatting in totaal £11,7 miljard in het afgelopen jaar. Rechtszaken vormden de op één na grootste kostenpost, na de directe kosten als gevolg van handelsverstoring (£5,4 miljard). Rechtszaken met aandeelhouders – shareholder litigation) waren goed voor £3,7 miljard van de totale kosten van £11,7 miljard aan cyberaanvallen voor grote Britse bedrijven in 2025, volgens nieuw onderzoek van verzekeringsmakelaar Gallagher en het Centre for Economics and Business Research (CEBR).
De cijfers zijn gebaseerd op een scenario waarin elk getroffen bedrijf de kosten draagt van het ernstigste cyberincident. Rechtszaken vormden de op één na grootste kostenpost, na £5,4 miljard aan directe schades als gevolg van handelsverstoring. Verloren activa, waaronder intellectueel eigendom, voegden nog eens £1,3 miljard toe aan de verliezen van bedrijven, terwijl de boetes van toezichthouders in totaal £108 miljoen bedroegen.
De directe kosten voor het reageren op een aanval waren daarentegen veel lager. Bedrijven gaven £ 226 miljoen uit aan externe ondersteuning, waaronder forensische specialisten, consultants en technische herstelwerkzaamheden, terwijl ze £ 51 miljoen verloren aan interne arbeidskosten doordat de tijd van medewerkers werd besteed aan het beheren van het incident en het herstellen van systemen.
Samen vormen deze reactiekosten slechts een klein deel van de totale financiële impact. De veel grotere risico’s liggen nu in de juridische en reputatieschade die daarop volgt, waarbij aandeelhoudersacties en collectieve rechtszaken aanzienlijke financiële risico’s vormen voor bestuurders.
De kosten van een fout
Wanneer cyberincidenten escaleren, reiken de kosten veel verder dan de initiële verstoring. Alleen al in 2025 leden bedrijven £ 573 miljoen aan reputatieschade en £ 339 miljoen aan het daaruit voortvloeiende verlies aan klantgoodwill, bovenop de directe verstoring en proceskosten. Deze verliezen worden veroorzaakt door langetermijneffecten, zoals de reactie van investeerders, een afnemend marktvertrouwen en langdurige verstoring van de bedrijfsvoering, in plaats van door de directe technische inbreuk.
Aangezien de risico’s van cyberaanvallen op grote Britse bedrijven zeer hoog blijven, zou zelfs een stijging van 5% in de financiële impact hiervan, inclusief verstoring, claims van aandeelhouders en herstelkosten, de totale jaarlijkse verliezen in 2026 boven de £ 12 miljard kunnen brengen.
Het vertrouwen in verzekeringen blijft misplaatst.
Ondanks de omvang van de verliezen, geloven de meeste grote Britse bedrijven dat ze beschermd zijn, aangezien bijna 88% een cyberverzekering heeft afgesloten. De dekking is het meest effectief in de directe nasleep: 72% van de bedrijven is verzekerd voor kosten die voortvloeien uit de onderbreking, 76% voor gegevensherstel en forensisch onderzoek en de technische opruiming na een inbreuk.
Een groot deel van de opkomende proceskosten valt echter elders. Slechts 59% is gedekt voor juridische claims van derden en 49% is verzekerd voor boetes van toezichthouders of GDPR-sancties. Hoewel 86% van de bedrijven een bestuurdersaansprakelijkheidsverzekering heeft, beperken veel polissen de dekking wanneer incidenten verband houden met tekortkomingen in de governance. Dit betekent dat bedrijven bij hun verzekeraar moeten nagaan welke polis hen voor deze kosten dekt.
Laura Parris, executive director Financial Lines bij Gallagher: “Jarenlang hebben besturen cyberrisico’s gemeten in termen van systeemuitval en IT-herstel, maar het risico eindigt niet wanneer de aanval voorbij is. Zoals de spraakmakende aanvallen op winkelketens vorig jaar aantonen, kunnen de juridische, financiële en reputatieschade maandenlang aanhouden. In de VS gingen datalekken zelfs nog verder, met kostbare rechtszaken van aandeelhouders die volledig gericht waren op toezicht en openbaarmaking door het bestuur. Nu cybergovernance steeds meer onder de loep wordt genomen, blijkt uit ons onderzoek dat ook Britse besturen niet immuun zijn voor verliezen van vergelijkbare omvang.”
Zij vervolgt: “Veel organisaties vinden het geruststellend dat ze een cyberverzekering hebben. Maar naarmate het risicoprofiel evolueert en complexer wordt, is een polis hebben niet hetzelfde als volledig beschermd zijn. Als besturen niet actief testen hoe hun cyber- en bestuurdersaansprakelijkheidsverzekering; Wanneer verzekeraars reageren op claims die door cyberaanvallen zijn veroorzaakt, kunnen ze ontdekken dat de aansprakelijkheden die de meeste schade veroorzaken, juist die zijn die niet volledig verzekerd zijn.
