Hoewel zowel de cyberverzekeringspremies als de vraag naar cyberverzekeringen groeien, blijven er volgens een recent rapport van de International Association of Insurance Supervisors (IAIS) vragen bestaan over de omvang van sommige cyberrisico’s, de groei van een cyberbeschermingskloof en de eigen inspanningen van verzekeraars op het gebied van cyberrisicomanagement. Een groeiend bewustzijn van de groeiende omvang van cyberbedreigingen, de toegenomen afhankelijkheid van technologie en de complexiteit van het landschap van cyberbedreigingen dragen allemaal bij aan een grotere vraag naar cyberverzekeringen, aldus organisatie van toezichthouders.
Het rapport, Global Insurance Market Report (GIMAR) Cyber Special Topic Edition, merkt op dat de bruto geschreven premies voor stand-alone cyberverzekeringen in 2021 zouden zijn gegroeid, waarschijnlijk gedreven door zowel risicogecorrigeerde premiewijzigingen als organische groei. De cyberverzekeringsmarkt heeft ook aanzienlijke veranderingen gezien in de acceptatiecontroles, waaronder strengere voorwaarden en strengere risicoselectie en acceptatienormen, waardoor het moeilijker wordt voor kopers die niet aan de minimale cyber-hygiënenormen voldoen om in 2022 dekking te krijgen. Deze marktdynamiek weerspiegelt de verharding van de markt na een toename van ransomware-claims in de afgelopen jaren”, aldus het rapport.
Het IAIS-rapport van 21 april 2023 suggereert dat de combinatie van premiegroei en acceptatiewijzigingen de winstgevendheid van cyberverzekeraars lijkt te hebben verbeterd. Gezien de relatieve jeugd van de cyberverzekeringslijn waren de meeste gemelde premies en claims echter geconcentreerd in een klein aantal verzekeraars en rechtsgebieden, aldus de IAIS. Hoewel er in 2021 activiteit was gericht op de overdracht van cyberrisico’s met behulp van de verzekeringsgekoppelde effectenmarkt (ILS), was het volume van die activiteit laag en het beschikbare kapitaal beperkt, aldus het rapport.
Het rapport merkt op dat er een aanzienlijke mate van onzekerheid blijft bestaan rond het cybercatastroferisico en hoe een cyber-incident eruit zou zien, waarbij die mate van onzekerheid groter is dan bij andere gevaren. Volgens de IAIS wordt het schadebedrag bij een gebeurtenis van 1 op 250 jaar op de Amerikaanse markt voor cyberverzekeringen geschat op ongeveer 30 miljard dollar. De IAIS noemt de NotPetya-aanval van 2017 als de grootste cybergebeurtenis tot nu toe, die resulteerde in $ 10 miljard aan verliezen waarvan $ 3 miljard tot nu toe door verzekeringen is gedekt.
Verzekeraars kijken naar verschillende manieren om nonaffirmative of silent cyberdekking aan te pakken, waaronder de uitsluiting van bepaalde cyberrisico’s van allrisk property-casualty-polissen, bevestigende dekking van andere cyberrisico’s door middel van endorsement, en/of het aanbieden van stand-alone cyberverzekeringspolissen. De IAIS ontdekte dat sommige verzekeraars aangaven dat zij de stille cyberkwestie in 95% van hun activiteiten bij vernieuwing hebben aangepakt.
“Het is echter belangrijk om te erkennen dat nieuw geïntroduceerde uitsluitingsvoorwaarden mogelijk niet is getest in rechtbanken”, aldus het IAIS-rapport. “Het is ook van cruciaal belang op te merken dat deze beoordeling van niet-bevestigende dekking alleen van toepassing is op de subset van verzekeraars die deelnamen aan de IAIS-gegevensverzameling.”
De IAIS meldt dat ongeveer 40% van alle wereldwijde cyberpremies naar de herverzekeringsmarkt vloeide, een groter deel dan de 25% van de schadeverzekeringspremies die aan herverzekeraars werden overgedragen in de groep verzekeraars die de IAIS bestudeerde. “Dit hoge niveau van gecedeerde premies is niet onverwacht voor een nieuwe klasse, aangezien nieuwkomers een samenwerking zoeken met een herverzekeraar om de risico’s beter te begrijpen, de blootstelling te diversifiëren, ervaring op te doen en gegevens te verzamelen.”
Het rapport noemt ook het bestaan van wat een groeiende cyberbeschermingskloof lijkt te zijn, aangezien cyberverzekeringen slechts een klein percentage van de potentiële economische verliezen dekken die het gevolg kunnen zijn van cybergebeurtenissen. De omvang van die kloof verschilt volgens de IAIS van rechtsgebied tot rechtsgebied.
In het rapport wordt opgemerkt dat de blootstelling van verzekeraars aan cyberrisico’s samen met de bredere bedrijfswereld blijft toenemen. Volgens de IAIS worden verzekeringsactiviteiten steeds verder gedigitaliseerd om schaalvoordelen te behalen en de klantervaring te verbeteren, maar deze digitalisering maakt informatietechnologiesystemen complexer en vergroot het potentiële aanvalsoppervlak voor cybercriminelen.
“De meeste verzekeraars in de steekproef meldden dat ze beschikken over cyberbeveiligingskaders, risicobeoordelingsprocessen en incidentbestrijdingsplannen”, aldus het IAIS-rapport. “Daarnaast meldden deze verzekeraars dat ze essentiële risicocontroles hebben geïmplementeerd. De verzamelde gegevens waren echter onvoldoende om de effectiviteit van deze cyberbeveiligingskaders, risicobeoordelingsprocessen, responsplannen en risicocontroles te beoordelen.”
Ook de verzekeringssector wordt getroffen door het tekort aan cyberbeveiligingsprofessionals, aldus de IAIS. “Verzekeraars in de steekproef meldden dat het langer duurt om beveiligingsfuncties in te vullen, het wervingsproces duurder is geworden, compensatiepakketten zijn toegenomen en werkgevers meer flexibiliteit moeten bieden”, aldus het rapport. “Dit tekort aan talent kan leiden tot een grotere afhankelijkheid van derden, of een burn-out van werknemers wanneer de middelen overbelast zijn.” Hoewel de meeste ondervraagde verzekeraars meldden dat ze cyberbeveiligingsnormen volgden, was het niet duidelijk of die inspanningen tot certificeringen leidden, aldus het IAIS-rapport, waardoor het onmogelijk is om te bepalen hoe goed die normen werden gevolgd. “Certificeringen kunnen toezichthouders helpen het niveau van cyberhygiëne van een bedrijf te beoordelen, maar te veel vertrouwen op certificering kan ook leiden tot zelfgenoegzaamheid. De door een bedrijf gekozen normen moeten passen bij hun bedrijfsbehoeften en hun riskappetite voor cyberveiligheid”, aldus de organisatie
