Hoewel investeringen in cyberrisicomanagement de afgelopen tien jaar aanzienlijk zijn toegenomen, is de ontwikkeling en groei van cyberverzekeringen in dezelfde periode in een lager tempo verlopen, aldus een nieuw rapport van Aon.Volgens Aon zijn de wereldwijde uitgaven aan informatiebeveiliging de afgelopen tien jaar meer dan verdrievoudigd. Dit weerspiegelt de toenemende afhankelijkheid van bedrijven van digitale infrastructuur en de groeiende schaal en complexiteit van die infrastructuur.
Aon meldt dat hoewel de premies voor cyberverzekeringen in die periode zijn gestegen naarmate de cyberdekking zich uitbreidde, cyberverzekeringen nog steeds slechts een klein deel uitmaken van de totale uitgaven van bedrijven aan cyberbeveiliging.Cyberverzekeringen vertegenwoordigen momenteel doorgaans slechts 4 tot 5% – ongeveer $ 15 tot 16 miljard – van de wereldwijde markt voor informatiebeveiliging van $b 300 miljard, aldus het Aon-rapport. De resterende investeringen zijn gericht op controles, systemen en operationele veerkracht.
De snelheid waarmee cyberverzekeringen worden afgesloten, weerspiegelt doorgaans de grootte van organisaties, aldus Aon. Onder grote ondernemingen – met een omzet van $ 1 miljard of meer – sluit maar liefst 94% een cyberverzekering af, terwijl dit onder kleinere organisaties – met een omzet van minder dan $ 10 miljoen – slechts 17% of minder is.
“Deze divergentie wijst op meer dan alleen een dekkingskloof. Het weerspiegelt hoe organisaties prioriteit geven aan uitgaven voor cyberrisico’s”, aldus het Aon-rapport. “Het grootste deel van het kapitaal blijft stromen naar preventie en risicobeperking, terwijl er relatief weinig wordt toegewezen aan het overdragen van financiële volatiliteit. In feite verzekeren veel organisaties een groeiend deel van hun cyberrisico zelf, vaak zonder die keuze expliciet als een kapitaalbeslissing te formuleren.”
Het Aon-rapport meldt dat cyberverzekeringen zich hebben ontwikkeld en dat de dekking is veranderd als reactie op de soorten schades die zich hebben voorgedaan. Eerdere cyberverzekeringen richtten zich op een smaller risicogebied, met slechts beperkte nadruk op operationele verstoring of financiële schade, aldus Aon.”Na verloop van tijd legden de schadegevallen de grenzen bloot. De dekking werd uitgebreid van alleen reactie op datalekken en onderzoek door regelgevende instanties naar bedrijfsonderbrekingen, storingen in afhankelijke systemen, ransomware, aansprakelijkheid voor privacyschendingen en verdediging tegen regelgeving. De capaciteit nam ook toe door middel van faciliteitengebaseerde structuren die zijn ontworpen om scenario’s met een hogere schadegraad te ondersteunen.”
Deze veranderingen weerspiegelen dat de cyberverzekeringsmarkt direct reageert op schadegevallen in de praktijk, in plaats van op theoretische risico’s, aldus Aon.”De lastigere vraag is of aankoopbeslissingen, verwachtingen en programmastructuren gelijke tred hebben gehouden met wat de huidige dekking beoogt te dekken”, aldus het Aon-rapport. “Naarmate de potentiële cyberschades in omvang toenemen, worden aannames over limieten en eigen risico steeds meer op de proef gesteld.”








