Er was goed nieuws voor kopers van cyberverzekeringen in 2024. Ondanks enkele opzienbarende claims bleef de verzekeringscapaciteit hoog, waardoor een concurrerende marktomgeving ontstond die ertoe leidde dat bijna twee derde van de klanten van Woodruff Sawyer vorig jaar kostenbesparingen realiseerden in hun cyberverzekeringsprogramma’s. “We verwachten dat de premies tot 2025 zullen blijven dalen, tenzij er wijdverspreide cyberaanvallen plaatsvinden die een grotere financiële impact hebben dan welke gebeurtenis dan ook die we tot nu toe hebben gezien.”
Meer dan de helft van de respondenten, 58%, in het jaarlijkse onderzoek van Woodruff Sawyer & Co. naar cyberverzekeraars zegt dat het cyberrisico in 2025 ‘licht’ zal toenemen. Dit was een stijging ten opzichte van 44% in 2024, maar een daling ten opzichte van 74% in 2023.Iets meer dan een derde, 37%, geeft aan dat het cyberrisico in 2025 ‘sterk; zal toenemen, een daling ten opzichte van 56% in 2024 maar een stijging ten opzichte van 26% in 2023.
Uit het rapport blijkt ook dat cyberverzekeringen bij de prolongaties de afgelopen jaren minder duur zijn geworden, waarbij 66% van de polissen bij de recente verlenging in de tweede helft van 2024 een daling liet zien. Dat is bijna gelijk aan 64% in de tweede helft van 2023, maar een enorme stijging ten opzichte van 24% in de tweede helft van 2022 en slechts 5% in de tweede helft van 2021.
Ook bij slechts 25% van de verlengingen in de tweede helft van 2024 was sprake van een stijging, vergelijkbaar met de 31% in de tweede helft van 2023, maar opnieuw veel lager dan de 75% in de tweede helft van 2022 en de 91% in de tweede helft van 2001.“De premies in de cyberverzekeringsmarkt zijn blijven dalen vanaf de piekpremies van begin 2022; het tempo van de dalingen vertraagde echter in 2024 vergeleken met 2023”, aldus het rapport.
Hoe zal het cyberrisico de komende 12 maanden veranderen? 37% van de verzekeraars gelooft dat het cyberrisico in 2025 sterk zal toenemen, minder dan de 56% vorig jaar en spreekt 58% (44%) van een lichte stijging. De resterende 5% (25%) denkt dat jet risico gelijk blijft . Daarnaast voorspelt 48% van de verzekeraars een stijging van de premies, verwacht 53% van de verzekeraars dat de cyberdekking licht zal toenemen en denkt 26% (tegenover 12% vorig jaar) van de verzekeraars dat de controle dit jaar zal afnemen.
Belangrijkste thema’s
Hoewel ransomware de belangrijkste bedreiging voor verzekeraars blijft, blijkt uit het onderzoek dat privacyschendingen en datalekken prominenter zijn geworden in vergelijking met vorig jaar.
Aanvallen op de toeleveringsketen van technologie, risico’s op kunstmatige intelligentie en zorgen over privacy behoren volgens het rapport tot de belangrijkste risico’s die cyberrisico’s in 2025 veroorzaken.
In zijn jaarlijkse ‘Cyber Looking Ahead Guide’ deelt Woodruff Sawyer de belangrijkste verzekeringsthema’s die in 2024 naar voren kwamen en doet het voorspellingen voor 2025.
- Gegevensverzameling: Cyberverzekeringsdekking voor onrechtmatig verzamelde informatie – het verzamelen van persoonlijke informatie zonder dat de persoon daar toestemming voor heeft gegeven – is op zijn best onduidelijk. Gegevensverzameling is het meest consistente dekkingsaspect waarover in 2024 moest worden onderhandeld, en deze trend zal zich dit jaar waarschijnlijk voortzetten.
Beveiligingstools: In 2024 zijn meerdere verzekeraars begonnen met het rechtstreeks aanbieden van bepaalde cyberbeveiligingstools, waarbij ze hun cyberverzekeringsproduct positioneren als een achtervang voor de bescherming van bedrijven. Deze trend zal zich in 2025 voortzetten.
CISO-dekking: Dekking voor aansprakelijkheid van chief information security officers (CISO) is te vinden in zowel cyberpolissen als in goed verzekerde directors and officers (D&O) polissen. Sommige maatschappijen bieden nu een op zichzelf staande polis aan om de persoonlijke aansprakelijkheid van CISO’s te dekken.
Risico’s voor derden: Cyberverzekeraars verwachten van klanten een robuust risicobeheerprogramma voor derden met sterke contractuele bepalingen, cyberbeveiligingscertificaten van verkopers en de eis dat verkopers een cyber- of technologische fouten- en omissieverzekering (E&O) afsluiten.
Actuele onderwerpen in cyberverzekering
Woodruff Sawyer verkent ook enkele dringende onderwerpen waarvan het verwacht dat ze het cyberrisico in 2025 zullen vergroten.
Aanvallen op de toeleveringsketen van technologie: “Als je bedenkt hoe lang sommige bedrijven erover doen om bekende kwetsbaarheden te verhelpen, kunnen aanvallers maanden, zo niet jaren, misbruik maken van de kwetsbaarheid en schade blijven veroorzaken voor cyberverzekeraars. We verwachten in 2025 veel riskmanagementcontroles door derden.”
SEC-handhaving: “Recente rechterlijke uitspraken en een door de Republikeinen gecontroleerde SEC geven hoop op een minder risicovol regelgevingsklimaat rond cyberbeveiliging voor overheidsbedrijven en hun CISO’s. Maar minder risicovol betekent niet dat er minder risico’s zijn. Maar minder riskant betekent niet dat er geen risico is.”
Risico’s van kunstmatige intelligentie: “De invoering van AI gaat snel en veel risico’s moeten nog worden ontdekt. Wanneer deze onzekerheid bestaat, kan een goed verzekerde verzekering uw organisatie helpen om de kracht van AI te benutten zonder te veel risico’s op zich te nemen.”
Privacyclaims zonder inbreuk: Recente geschillen onder Amerikaanse privacywetgeving, met name de Video Privacy Protection Act (VPPA), onderstrepen de noodzaak voor bedrijven om hun datapraktijken te herzien en ervoor te zorgen dat ze expliciete toestemming van gebruikers krijgen voordat ze persoonlijke informatie delen.
