De Financial Conduct Authority (FCA) heeft haar bezorgdheid geuit over onduidelijke formuleringen in cyberverzekeringspolissen die volgens haar mogelijk niet voldoen aan de behoeften van klanten.
In een brief aan CEO’s van grote verzekeraars, waarin prioriteiten op verschillende gebieden worden geschetst, belooft Matt Brewis, director of insurance supervision, policy & competition – consumers & competition van de FCA, dat de toezichthouder het cyberverzekeringslandschap zal blijven monitoren en ‘actie zal ondernemen’ tegen bedrijven die zij als uitschieters beschouwt.
De huidige wereldwijde direct geschreven premies voor cyberverzekeringen bedroegen $16,7 miljard in 2022 en dit cijfer zal naar verwachting explosief stijgen tot $33,4 miljard in 2027, volgens cijfers van Globaldata die door de toezichthouder worden aangehaald. “Het is een cruciaal instrument voor riskmanagement en crisisherstel voor veel bedrijven, groot en klein”. aldus Brewis.
“Nu cyberaanvallen toenemen, zijn we bezorgd dat onduidelijke formuleringen in cyberpolissen ertoe kunnen leiden dat bedrijven niet voldoen aan de behoeften van hun klanten. Om te voorkomen dat de verwachtingen van klanten en de uitkomsten van de polissen niet op elkaar aansluiten, is het van cruciaal belang dat bedrijven kunnen bewijzen dat de producten voldoen aan de behoeften van klanten en waarde bieden, aldus de toezichthouder.
“Bedrijven die cyberverzekeringen aanbieden, moeten ervoor zorgen dat hun polisvoorwaarden duidelijk zijn en dat klanten begrijpen welke dekking ze kopen”, aldus Brewis. “We verwachten ook dat bedrijven cyberclaims op een eerlijke en tijdige manier. Hij moedigt marktdeelnemers aan om te blijven bouwen aan hun cyberkennis, ook op het niveau van de raad van bestuur en de ‘tweede/derde verdedigingslinie’, om de risico’s beter te begrijpen en passend producttoezicht toe te passen.
Cyberverzekeringsformuleringen opnieuw onder de loep
De polisvoorwaarden van cyberverzekeringen zijn de afgelopen jaren onder de loep genomen. Lloyd’s of London heeft haar marktpartijen vorig jaar opgeroepen om de formuleringen rond cyberoorlogsvoering en catastrofale aanvallen door natiestaten aan te scherpen.
Het mandaat leidde vorig jaar tot een stortvloed aan negatieve krantenkoppen, in wat door CFC CEO Graeme Newman werd omschreven als een “uitzinnige paniek”. Sommige cyberverzekeraars hebben echter benadrukt dat de wijziging bedoeld is om uitbetalingen in het geval van een “digitaal equivalent van een nucleaire aanval” te voorkomen, in plaats van een einde te maken aan de dekking van alle aanvallen met een element van een natiestaat.
Syndicaten van Lloyd’s zijn sinds 2020 verplicht om expliciet aan te geven of een polis cyberdekking bevat, omdat de verzekeringssector het risico van ‘stille’ cyberuitbetalingen wilde aanpakken in de nasleep van de wereldwijde ransomware-incidenten NotPetya en WannaCry in 2017.
