De markt voor cyberverzekeringen vertoont tekenen van herijking, hoewel de prijzen nog steeds gunstig zijn voor kopers. In het vierde kwartaal van 2025 daalde de mediane prijs voor cyberverzekeringen met 1,9%, volgens gegevens van Lockton.
De premies voor cyberverzekeringen zijn drie jaar op rij gedaald en de aanhoudende daling begint druk uit te oefenen op verzekeraars. Hoewel verzekeraars zich grotendeels hebben gericht op het behoud van bestaande klanten, differentiëren ze nu steeds vaker accounts op basis van privacyrisico’s en de sterkte van de cybersecuritymaatregelen. Als gevolg hiervan worden premieverhogingen verwacht voor bepaalde kopers, waaronder diegenen met snelle groei, een slecht schadeverleden of ontoereikende cyberbeveiligingsmaatregelen.
Consolidatie
Verzekeraars consolideren en nemen strategische stappen om zich beter te positioneren voor innovatie en de ontwikkeling van nieuwe producten in een steeds complexer wordend cyberrisicolandschap. Desondanks is de capaciteit niet afgenomen en veel nieuwe markten willen kapitaal inzetten en groeien. Nieuwe bedrijfsdoelen en nieuwe toetreders zullen de concurrentie blijven stimuleren, maar verzekeraars zijn gedisciplineerder geworden nu de premies een minimumniveau hebben bereikt.
Verzekeraars verschuiven hun aandacht van louter het afvinken van controles naar een focus op risico’s, omdat ze zich steeds meer zorgen maken over de claimomgeving. Zo worden ransomware-aanvallen die alleen gebruikmaken van encryptie steeds zeldzamer, terwijl de meeste aanvallen in 2025 bestonden uit afpersing en datadiefstal, aldus Resilience, een cyber-MGA.
Hoewel de back-ups van organisaties sterker zijn geworden, neemt de kans op datalekken – en de daaropvolgende rechtszaken, regelgevende maatregelen en reputatieschade – toe. Toegang op afstand blijft ook een belangrijk toegangspunt voor ransomware-aanvallers, en on-premises virtuele particuliere netwerken (VPN’s) stellen hen in staat om kwetsbaarheden te misbruiken.
Het recent gepubliceerde Global Threat Report 2026 van CrowdStrike benadrukt hoe aanvallen versnellen, AI de tactieken van cybercriminelen versterkt en ransomware via vertrouwde systemen wordt verspreid. Bijvoorbeeld:
- Aanvallen door AI-gestuurde tegenstanders namen in frequentie met 89% toe van 2024 tot 2025.
- De gemiddelde tijd die nodig is voor een cyberaanval – de periode tussen de eerste toegang en de laterale verplaatsing tussen systemen – daalde in 2025 tot slechts 29 minuten. De snelste waargenomen inbraak duurde slechts 27 seconden.
- CrowdStrike observeerde dat tegenstanders generatieve AI-tools misbruikten bij meer dan 90 organisaties. Ze injecteerden kwaadaardige prompts om inloggegevens en cryptovaluta te stelen. Andere cybercriminelen richtten zich op kwetsbaarheden in AI-ontwikkelingsplatformen om ransomware te verspreiden.
- Belangrijk is dat 82% van de detecties van CrowdStrike in 2025 malwarevrij was. Cybercriminelen maakten gebruik van geldige inloggegevens, vertrouwde identiteitsstromen en goedgekeurde SaaS-integraties (Software as a Service) om onopgemerkt tussen domeinen te bewegen, waardoor traditionele perimeterbeveiliging steeds minder effectief werd.
- Het aantal inbraken gericht op de cloud steeg met 37%, inclusief een toename van 266% door actoren met banden met de staat. Daarnaast nam het aantal zero-day exploits met 42% toe ten opzichte van een jaar eerder. Veel van deze exploits waren gericht op edge-apparaten zoals VPN-apparaten en firewalls met beperkte monitoring, waardoor het aanvalsoppervlak van organisaties verder werd vergroot.
Deze trends benadrukken waarom de vraag naar cyberverzekeringen blijft toenemen, omdat de frequentie, ernst en onvoorspelbaarheid van schades steeds moeilijker te dragen zijn voor organisaties.
Met privacyrisico’s als belangrijkste aandachtspunt, kijken verzekeraars naar opt-in- en opt-outbeleid en cookiebanners die verschijnen bij het eerste bezoek aan websites. Verzekeraars controleren ook steeds vaker contracten tussen verzekerden en externe leveranciers om ervoor te zorgen dat redelijke maatregelen worden genomen om verzamelde en opgeslagen gegevens te beveiligen.
Onrechtmatige gegevensverzameling
Onrechtmatige gegevensverzameling blijft een belangrijke oorzaak van schades, waarover de standpunten van verzekeraars uiteenlopen. Sommige verzekeraars toetsen de dekkingsverlening strenger, terwijl anderen underwriting combineren met externe scans en andere tools om dekking te bieden. Het aantal onterechte incasso-claims blijft stijgen, mede door het gebruik van pixels en andere trackingtechnologieën door bedrijven, in combinatie met privacyverklaringen. Claims op grond van de California Invasion of Privacy Act blijven een belangrijk aandachtspunt voor verzekeraars.
Naarmate meer bedrijven diverse AI-tools implementeren, houden verzekeraars de controle van de raad van bestuur en het senior management op het gebied van AI-governance nauwlettend in de gaten. Verzekeraars stellen niet alleen vragen over vastgelegde beleidsregels met betrekking tot AI-gebruik, maar innoveren ook op het gebied van AI en verduidelijken de polisvoorwaarden.
Zo introduceren verzekeraars bijvoorbeeld expliciete AI-clausules voor cyberincidenten en technologische diensten en bieden ze wettelijke dekking voor onderzoeken naar schendingen van AI-gerelateerde wetgeving. Dit gebeurt terwijl verzekeraars te maken krijgen met claims met betrekking tot AI en de daarmee samenhangende blootstelling aan media- en privacyclaims. Ook geïntegreerde beveiligingsdiensten zijn in opkomst. Verzekeraars integreren hun verzekeringsproducten steeds vaker met cyberbeveiligingssystemen.
AI-governance
Naarmate meer bedrijven diverse AI-tools inzetten, houden verzekeraars de controle van de raad van bestuur en het senior management op het gebied van AI-governance nauwlettend in de gaten. Verzekeraars stellen niet alleen vragen over vastgelegde beleidsregels met betrekking tot AI-gebruik, maar innoveren ook op het gebied van AI en verduidelijken de polisvoorwaarden.
Zo introduceren verzekeraars bijvoorbeeld expliciete AI-clausules voor cyberincidenten en technologische diensten en bieden ze wettelijke dekking voor onderzoeken naar schendingen van AI-gerelateerde wetgeving. Dit gebeurt terwijl verzekeraars te maken krijgen met claims die verband houden met AI en bijdragen aan claims op het gebied van media en privacy.
Ook geïntegreerde beveiligingsdiensten zijn in opkomst. Verzekeraars integreren steeds vaker cybersecurity-maatregelen in hun verzekeringsproducten, zoals kwetsbaarheidsscans, geautomatiseerde risicowaarschuwingen, trainingen in beveiligingsbewustzijn en dashboards voor de beveiligingsstatus.
Aanbevelingen
- Focus op cybersecurity en hygiëne. De acceptatienormen blijven evolueren, net als cyberdreigingen. De markt blijft kopers belonen met sterke controles en aantoonbare verbeteringen in informatiebeveiliging.
- Begrijp hoe organisaties AI-technologie gebruiken. Onder andere de volgende stappen:
o Gebruik netwerkverkeersanalyse, SaaS-ontdekkingstools en endpointmonitoring om AI-tools te identificeren die binnen de organisatie worden gebruikt. Dit omvat zowel door IT goedgekeurde tools als ongeautoriseerde “schaduw-AI”-platforms.
o Bepaal hoe medewerkers AI gebruiken in hun dagelijkse werkprocessen, welke gegevens ze invoeren en op welke tools ze vertrouwen.
o Stel formele beleidsregels voor acceptabel gebruik op die goedgekeurde tools, toegestane gegevenstypen en getrapte goedkeuringsprocessen voor nieuwe tools definiëren.
o Documenteer governancekaders – inclusief auditresultaten, beleid, trainingsverslagen en leveranciersonderzoek – aangezien dit een steeds belangrijkere factor wordt bij het afsluiten van cyberverzekeringen en het bepalen van de dekkingsvoorwaarden en verlengingspremies.
