Wat een verzekeraar feitelijk wel en niet dekt

Een cyberverzekering is een instrument voor financiële risico-overdracht voor specifieke gevolgen van een cyberincident, en niets meer dan dat. Hij vervangt geen weerbaarheid, hij vervangt geen interne beheersing, en hij heft het risico niet op. Wat hij doet is een afgebakende set kosten dragen die anders in één boekjaar je resultaat raken. Wat hij niet doet, raakt jou als CFO juist op de plek waar een polis het minst zichtbaar is: in de lange staart na het incident, in de gesprekken met klanten en regelgevers, en in de waarde die je niet meer terugkrijgt nadat zij weg is.

Dit stuk is geen pleidooi tegen verzekeren. Een goed afgesloten polis heeft een plek in de risicostrategie van elke organisatie die digitaal afhankelijk is, en het Verbond van Verzekeraars heeft de afgelopen jaren herhaaldelijk verduidelijkt hoe de Nederlandse cyberpolis zich vormt en wat hij doorgaans dekt. Het stuk is wel een poging om de polis op zijn eigen plek te zetten in de governance van je organisatie: als financieel vangnet voor een afgebakende laag, niet als invulling van de verantwoordelijkheid die het bestuur zelf draagt voor het risicobeheersingsraamwerk.

Wat dekt een typische cyberpolis WEL?

De inhoud van een polis verschilt per verzekeraar, per omvang en per sector, maar het patroon in de Nederlandse markt is sinds een aantal jaar redelijk gestold. Een gangbare cyberpolis dekt grofweg vier categorieën van schade.

Directe eigen schade. De kosten die je organisatie zelf maakt om de operatie weer aan de gang te krijgen na een incident. Forensisch onderzoek, herstel van systemen, herinstallatie, het inschakelen van een incident-responsteam, eventueel een gespecialiseerde onderhandelaar bij een ransomware-scenario. Dit is de meest tastbare laag, en de laag waar de verzekeraar het meeste nut levert wanneer de polis snel kan worden geactiveerd.

Bedrijfsschade door onderbreking. De gederfde winst over de periode dat de operatie geheel of gedeeltelijk stilstaat als direct gevolg van het incident. Hier zit altijd een eigen risico (een wachttijd in dagen), en een maximale uitkeringsperiode. Wat erbuiten valt is structurele omzetval die volgt op klantverlies of reputatieschade, en dat onderscheid is wezenlijk; daarover meer in de volgende sectie.

Aansprakelijkheid tegenover derden. De kosten en eventuele schadevergoedingen wanneer een derde partij jouw organisatie aanspreekt na een datalek of een andere inbreuk: klanten, leveranciers, of in voorkomende gevallen een groep die zich in een collectieve actie verenigt. Dekking strekt zich vaak uit tot juridische verdediging en tot regulier toegekende schadevergoedingen, met polislimieten die je vooraf moet kennen.

Juridische bijstand en regelgevende kosten. De kosten van juristen, communicatieadviseurs en privacy-specialisten die je inschakelt om aan meldplichten te voldoen, om met toezichthouders te corresponderen, en om kort na het incident een verdedigbare lijn op te zetten. Boetes opgelegd door een toezichthouder zijn doorgaans uitgesloten wegens ordre public, maar de proceskosten eromheen worden vaak wel gedekt.

Bovenop deze vier vind je in de meeste polissen aanvullende diensten: een 24-uurs meldnummer, toegang tot een netwerk van vooraf gecontracteerde specialisten, en soms een preventiescan voorafgaand aan de polisingang. Dat zijn nuttige voorzieningen, maar het zijn geen elementen die je weerbaarheid structureel verhogen. Ze maken het incident sneller behandelbaar wanneer het er is.

Wat dekt hij niet, en waarom is dat geen detail?

Onder de gestaagde groei van de cyberverzekeringsmarkt zit een minder gestaagde ontwikkeling van de uitsluitingen. Verzekeraars hebben de afgelopen jaren hun polissen aangescherpt op een aantal punten, om risico's die zij niet kunnen wegen niet te accepteren. Het Verbond van Verzekeraars heeft over een deel van die ontwikkeling publiek positie ingenomen, met name rond de toepassing van oorlogsuitsluitingen op door staten gesponsorde aanvallen. Voor jou als CFO is dit niet de juridische fijnzinnigheid die het lijkt. Het bepaalt direct hoe groot het deel van het risico is dat na de polis bij jouw organisatie achterblijft.

Vier categorieën uitsluitingen vallen op.

De eerste is de war en state-actor-uitsluiting. Polissen sluiten standaard schade als gevolg van oorlogshandelingen uit, en die uitsluiting wordt sinds de aanscherping in 2022 en 2023 in toenemende mate ook toegepast op cyberaanvallen die aan staatsactoren worden toegeschreven. De toerekening hoeft niet juridisch hard te zijn; een onderbouwde attributie volstaat in veel polissen om dekking te beperken of geheel te weigeren. Dat raakt direct de scenario's waar je organisatie het meest van moet vrezen, want de meest disruptieve aanvallen op kritieke infrastructuur en grotere ondernemingen komen niet zelden uit die hoek.

De tweede is reputatieschade. De kosten van een crisiscommunicatiebureau worden vaak nog wel vergoed, maar het waarde-effect van een geschonden vertrouwen is per definitie geen verzekerbaar gegeven. Wat klanten over je denken nadat zij hebben gelezen dat hun gegevens op straat lagen, zit in geen polis. Het Nationaal Cyber Security Centrum heeft in zijn cyberdreigingsbeelden bij herhaling vastgesteld dat herstel van publiek vertrouwen na een incident jaren kost en dat de operationele en commerciële gevolgen zich vaak ver buiten het boekjaar van het incident manifesteren.

De derde is klantverloop en omzetval na het incident. Bedrijfsschade-dekking compenseert de stilstand in de eerste weken of maanden, niet de structurele uitstroom van klanten die volgt op een verloren vertrouwen, niet de tenders die je twee jaar later niet binnenhaalt omdat jouw incident nog in het collectieve geheugen zit, en niet de hogere acquisitiekosten die je moet maken om dezelfde positie terug te bouwen. Dit is de lange staart, en die loopt door waar de polis al lang is afgewikkeld.

De vierde is contractuele consequenties. Boetes en kortingen die je tegenpartijen op grond van service level agreements bij je in rekening brengen, vallen vaak geheel of gedeeltelijk buiten dekking. Hetzelfde geldt voor het verlies van licenties, certificeringen of toelatingen waarvan je business afhangt. En voor een organisatie die onder DNB-toezicht staat, geldt dat de toezichthouder na een ernstig incident maatregelen kan opleggen die in geen polis worden vergoed, van bindende aanwijzingen tot een tijdelijke beperking van de bedrijfsvoering.

Een vijfde laag is impliciet aanwezig in elke polis en verdient eigen aandacht: achteraf vastgestelde onzorgvuldigheid. Polissen werken met een zorgvuldigheidsclausule. Wanneer een verzekeraar na het incident vaststelt dat gangbare basismaatregelen ontbraken, dat patches maandenlang waren uitgesteld, dat multi-factor authentication structureel niet was uitgerold, dat back-ups onbruikbaar bleken, dan kan dat leiden tot een beperking of weigering van de uitkering. De polis is niet een vrijbrief om de basis te laten lopen; hij is een aanvulling op een redelijke beheersing.

Hoe groot is het deel dat buiten de polis valt?

Er is geen Nederlands cijfer dat per sector vastlegt welk percentage van de totale incidentkosten doorgaans buiten dekking valt. Wat wel kan worden vastgesteld is de structuur. Directe schade en herstelkosten zijn relatief goed verzekerbaar omdat ze tastbaar zijn en zich binnen een af te bakenen periode laten begroten. Reputatieschade en klantverloop zijn dat structureel niet, en de contractuele en regulatoire consequenties zijn dat al evenmin. In de incidenten die in de Nederlandse markt openbaar zijn geworden, zie je dat de uiteindelijke totale impact vrijwel altijd een veelvoud is van de eerste raming, en dat het meeste daarvan in de lange staart zit.

Voor jou als CFO is de relevante vraag dus niet hoeveel je polis dekt, maar hoeveel hij niet dekt en wat je daar nu mee doet. Het verschil tussen wat verzekerbaar is en wat niet verzekerbaar is, is de feitelijke restpost die op jouw balans landt en die alleen via weerbaarheid kleiner wordt.

Verzekering en weerbaarheid zijn complementen, geen substituten

Hier komt de bestuurlijke vergissing die in te veel directies nog wordt gemaakt. Een polis wordt benaderd als een vorm van security: we zijn verzekerd, dus we hebben dat afgedekt. Maar een verzekering en weerbaarheid werken op verschillende dimensies. Een verzekering verlaagt de variantie van je financiële uitkomst onder een incident. Weerbaarheid verlaagt de waarschijnlijkheid dat het incident plaatsvindt, en de omvang van de schade als hij toch plaatsvindt. Dat zijn complementen, geen substituten. Het ene vervangt het andere niet.

Sterker, ze veronderstellen elkaar. Een verzekeraar accepteert een risico waarvan de basis op orde is. Verzekeraars vragen sinds de aanscherping van de markt steevast om bewijs van basismaatregelen, om een geoefend incident-responsplan, en in toenemende mate om aantoonbare bestuurlijke betrokkenheid bij het risicobeheersingsraamwerk. Wie de basis niet kan tonen, krijgt geen redelijke polis, of krijgt hem alleen tegen een premie die de zakelijke ratio van het instrument ondergraaft. Verzekering en weerbaarheid bewegen langs dezelfde lijn omhoog, niet langs gescheiden sporen.

De praktische conclusie is dat de polis en het weerbaarheidsplan op één tafel horen. Niet bij twee verschillende functies, niet in twee verschillende vergaderingen. Wie de polisvoorwaarden naast het weerbaarheidsplan legt, ziet meteen waar de polis stopt en waar de organisatie zelf staat voor de uitkomst. Dat is een kort gesprek waar de meeste organisaties verrassend veel uithalen.

Wat jij als CFO de komende weken vastlegt

Drie acties laten zich nu vastleggen, zonder dat je een groot programma hoeft op te tuigen.

Een, laat een actuele samenvatting maken van je polis: welke vier categorieën worden gedekt, met welke limieten, welk eigen risico en welke wachttijd, en welke uitsluitingen op de polis van toepassing zijn. Schrijf erbij wat de polis impliciet vereist op het gebied van basismaatregelen, want die clausules bepalen of de polis in een incident daadwerkelijk uitkeert.

Twee, laat naast die samenvatting een tweede lijst maken van wat structureel buiten dekking valt: de lange staart, de reputatie- en klantverlies-effecten, de contractuele consequenties, en de scenario's onder een state-actor-uitsluiting. Dat is geen oefening voor de verzekeraar; dat is de feitelijke restpost die op jullie balans landt.

Drie, leg die twee documenten naast het weerbaarheidsplan van je CISO. Bij elke regel uit de tweede lijst stel je dezelfde vraag: welke maatregel verlaagt de kans dat dit ons raakt, en welke maatregel verlaagt de omvang als het ons toch raakt. Wat overblijft is de feitelijke risico-acceptatie van het bestuur, geformuleerd in dezelfde eenheid als de rest van de strategie.

Deze drie stappen geven je twee dingen die nu vaak ontbreken. Ze geven de board een verdedigbaar beeld van wat de organisatie heeft afgedekt en wat zij draagt. En ze geven jou als CFO een onderbouwing wanneer een toezichthouder, een accountant of een aandeelhouder later vraagt hoe het bestuur het cyberrisico heeft gewogen. Wat de polis niet dekt, en waarom weerbaarheid losstaat van verzekering, is een gesprek dat één keer goed moet worden gevoerd en daarna nog hooguit jaarlijks moet worden herzien.