Cybersecurity Handboek Bestuurders Besluiten Die Schade Beperken Directe Maatregelen (15 Minuten) Waarom Dit Telt De Brand Die U Niet Zag Aankomen Wat Dekt Een Cyberverzekering?

Cyberverzekeringen

Q: Directe maatregelen (15 minuten) Benoem eigenaarschap, besluitlijnen en escalatie voor dit onderwerp. Vertaal maatregelen naar KPI/KRI en bestuurlijke rapportage. Plan periodieke toetsing met duidelijke deadline en verantwoordelijke. Waarom dit telt

De kern van Cyberverzekeringen is risicoreductie in de praktijk. Technische context ondersteunt de maatregelkeuze, maar implementatie en borging staan centraal.

Besluiten Die Schade Beperken

Bestuurlijke rust ontstaat niet door optimisme, maar door heldere verantwoordelijkheid en aantoonbare opvolging.

Bij Cyberverzekeringen is de kern bestuurbaarheid: eigenaar, norm, deadline en vaste terugkoppeling.

Zo wordt dit onderwerp geen periodieke discussie, maar een bestuurbaar onderdeel van reguliere bedrijfsvoering.

Directe maatregelen (15 minuten)

Benoem eigenaarschap, besluitlijnen en escalatie voor dit onderwerp.
Vertaal maatregelen naar KPI/KRI en bestuurlijke rapportage.
Plan periodieke toetsing met duidelijke deadline en verantwoordelijke.

Waarom dit telt

De kern van Cyberverzekeringen is risicoreductie in de praktijk. Technische context ondersteunt de maatregelkeuze, maar implementatie en borging staan centraal.

De brand die u niet zag aankomen

In maart 2023 werd een middelgroot Nederlands logistiek bedrijf getroffen door ransomware. Binnen vier uur lagen alle systemen plat: het warehouse management systeem, de financiele administratie, de klantportalen. De directie had twee jaar eerder een cyberverzekering afgesloten op advies van hun accountant. “Voor de zekerheid,” zeiden ze destijds, “net als de brandverzekering.” En net als bij een brandverzekering ontdekten ze pas bij de schade wat er wel en niet gedekt was.

De verzekeraar vergoedde de kosten van het incident response team en de forensische analyse – samen ruim 180.000 euro. De bedrijfsonderbreking van drie weken werd deels vergoed. Maar de twee grote klanten die overstapten naar een concurrent? Niet gedekt. De reputatieschade die nog maanden doorwerkte in lagere ordervolumes? Niet gedekt. De boete van de Autoriteit Persoonsgegevens voor het te laat melden van het datalek? Niet gedekt.

Dit hoofdstuk helpt u om een weloverwogen beslissing te nemen over cyberverzekeringen. Niet of u er een moet hebben – dat hangt af van uw situatie – maar wat u mag verwachten, waar de valkuilen liggen, en hoe u ervoor zorgt dat de polis daadwerkelijk doet wat u denkt dat hij doet.

Wat dekt een cyberverzekering?

Een cyberverzekering is geen magische deken die al uw digitale risico’s afdekt. Het is een financieel product met scherp afgebakende dekkingen, uitsluitingen en voorwaarden. De dekking valt doorgaans uiteen in twee categorieen: eigen schade (first party) en aansprakelijkheid (third party).

Eigen schade – wat er met uw organisatie gebeurt

Dekkingsonderdeel	Wat het omvat	Voorbeeld
Incident response	Kosten van forensisch onderzoek, crisismanagement, juridisch advies direct na een incident	Een IR-team dat binnen 4 uur ter plaatse is om de ransomware-aanval te analyseren
Bedrijfsonderbreking	Gederfde inkomsten en extra kosten doordat systemen niet beschikbaar zijn	Drie weken geen online bestellingen kunnen verwerken kost 400.000 euro aan gemiste omzet
Herstelkosten	Kosten om systemen, data en netwerken te herstellen naar de oorspronkelijke staat	Herbouw van de complete serveromgeving na een wiper-aanval
Losgeld en onderhandeling	Kosten van een professioneel onderhandelaar en eventueel het losgeld zelf	Een onderhandelaar reduceert de eis van 2 miljoen naar 350.000 euro
Notificatiekosten	Kosten om betrokkenen te informeren bij een datalek (AVG-verplichting)	50.000 brieven versturen naar klanten wier gegevens zijn gelekt
Crisiscommunicatie	PR-bureau en communicatiespecialisten om reputatieschade te beperken	Persverklaring, klantenservice-script, sociale media monitoring

Aansprakelijkheid – claims van anderen

Dekkingsonderdeel	Wat het omvat	Voorbeeld
Privacy-aansprakelijkheid	Claims van personen wier gegevens zijn gelekt	Collectieve claim van 10.000 klanten na een datalek
Netwerkbeveiliging-aansprakelijkheid	Claims omdat uw systemen zijn misbruikt om anderen aan te vallen	Uw gecompromitteerde mailserver verstuurt phishing naar uw klanten
Mediabeveiliging	Claims wegens content op uw digitale platformen	Defacement van uw website met lasterlijke content over een concurrent
Regelgevingskosten	Boetes en juridische verdediging bij handhavingsacties	Verweer tegen een onderzoek van de Autoriteit Persoonsgegevens

Belangrijk: Lees de polis op wat er onder “herstelkosten” valt. Sommige verzekeraars vergoeden alleen herstel naar de staat van voor het incident. Als uw systemen al verouderd waren, krijgt u verouderde systemen terug – niet de upgrade die u eigenlijk nodig had.

Wat dekt een cyberverzekering NIET?

Hier gaat het mis bij de meeste organisaties. De uitsluitingen zijn minstens zo belangrijk als de dekkingen.

Uitsluiting	Waarom	Gevolg
Reputatieschade op lange termijn	Te moeilijk te kwantificeren en te indirect	Het verlies van klanten door vertrouwensbreuk is niet gedekt
Bekende kwetsbaarheden	De verzekeraar verwacht dat u bekende gaten dicht	Als uw Exchange-server drie maanden ongepatcht was, kan de claim worden afgewezen
Oorlog en staatsgerelateerde aanvallen	De “acts of war”-clausule sluit statelijke aanvallen uit	De NotPetya-aanval van 2017 werd door sommige verzekeraars als oorlogsdaad geclassificeerd
Toekomstige inkomstenderving	Alleen de directe onderbrekingsperiode is gedekt	Het structureel lagere omzetniveau na een incident valt erbuiten
Verbetering na incident	Verzekeraars vergoeden herstel, niet verbetering	De kosten om na het incident betere beveiliging te implementeren zijn voor eigen rekening
Intellectueel eigendom	Diefstal van bedrijfsgeheimen, patenten, R&D	Een concurrent die uw gestolen productontwerpen gebruikt, veroorzaakt schade die niet gedekt is
Fraude en social engineering	Sommige polissen sluiten dit uit of dekken het beperkt	CEO-fraude waarbij een medewerker 200.000 euro overmaakt naar een oplichter
Systemen van derden	Uitval bij een cloudprovider of SaaS-leverancier	Een storing bij uw ERP-leverancier legt uw bedrijf plat, maar u bent niet gehackt

Let op: De “acts of war”-uitsluiting is na de NotPetya-zaak (Merck vs. verzekeraars) een van de meest besproken clausules in de sector. Vraag uw verzekeraar expliciet hoe zij statelijke cyberaanvallen classificeren en of er een aparte “cyber warfare”-clausule is.

De Nederlandse en Europese markt

De cyberverzekeringenmarkt in Europa groeit snel maar is nog relatief jong vergeleken met de Amerikaanse markt. Dat heeft gevolgen voor wat u kunt verwachten.

Premieontwikkeling. Na de golf van ransomware-aanvallen in 2020-2022 stegen de premies in Europa met 50 tot 100 procent. Sindsdien is de markt gestabiliseerd doordat verzekeraars strengere eisen stellen aan verzekerden, waardoor het schadevolume is gedaald. Organisaties met aantoonbaar goede beveiliging betalen nu minder dan in de piekjaren, maar nog steeds meer dan voor 2020.

Nederlandse aanbieders. De meeste grote Nederlandse verzekeraars bieden cyberverzekeringen aan, vaak in samenwerking met gespecialiseerde herverzekeraars als Hiscox, Chubb, AIG of Zurich. Daarnaast zijn er gespecialiseerde cyberagencies die als tussenpersoon fungeren en polissen van meerdere verzekeraars kunnen vergelijken. De Verbond van Verzekeraars heeft richtlijnen gepubliceerd voor standaardisering van polisvoorwaarden, maar er is nog geen echte uniformiteit.

NIS2-effect. De invoering van NIS2 heeft de vraag naar cyberverzekeringen verder aangejaagd. Bestuurders die persoonlijk aansprakelijk zijn voor cybersecurity-nalatigheid zoeken extra zekerheid – een thema dat ook aan bod komt in hoofdstuk 5 over bestuurdersaansprakelijkheid, waar de persoonlijke gevolgen en D&O-dekking worden besproken. Tegelijkertijd gebruiken verzekeraars NIS2-compliance als een van de beoordelingscriteria bij acceptatie.

Hoe beoordelen verzekeraars uw risico?

Voordat een verzekeraar u accepteert, wil hij weten hoe groot de kans is dat hij moet uitkeren. Die beoordeling bepaalt of u uberhaupt verzekerbaar bent, en zo ja, tegen welke premie.

De risicobeoordeling

Beoordelingsmethode	Wat ze bekijken	Hoe u zich voorbereidt
Vragenlijst	MFA, patchbeleid, backup-strategie, netwerksegmentatie, incidentresponsplan	Beantwoord eerlijk – een onjuiste verklaring kan leiden tot afwijzing van een claim
Externe scan	Publiek zichtbare kwetsbaarheden, open poorten, SSL-configuratie, e-mailbeveiliging	Controleer uw eigen externe aanvalsoppervlak voordat de verzekeraar dat doet
Gesprek met CISO	Volwassenheid van het beveiligingsprogramma, governance, cultuur	Bereid een beknopt overzicht voor van uw beveiligingsmaatregelen en -investeringen
Claimhistorie	Eerdere incidenten en claims, ook bij andere verzekeraars	Wees transparant – verzekeraars wisselen informatie uit

Premiebepalende factoren

De premie is geen vast percentage van uw omzet. Hij hangt af van een combinatie van factoren:

Sector – gezondheidszorg en financiele dienstverlening betalen meer dan productie
Omzet en omvang – grotere organisaties betalen meer, maar relatief gezien minder per euro omzet
Beveiligingsvolwassenheid – MFA, EDR, gesegmenteerde backups en een getest incidentresponsplan verlagen de premie significant
Dekkingsomvang – hogere limieten en lagere eigen risico’s kosten meer
Claimhistorie – eerdere incidenten verhogen de premie of leiden tot uitsluiting
Geografie – organisaties met activiteiten in de VS betalen meer vanwege het hogere claimrisico

Tip voor bestuurders: Investeer eerst in beveiliging, dan pas in verzekering. Organisaties die kunnen aantonen dat ze MFA, patchmanagement en offline backups hebben, betalen tot 40% minder premie. De investering in beveiliging verdient zichzelf terug via lagere premies – en u bent ook nog eens daadwerkelijk beter beschermd.

Beveiligingsvolwassenheid en verzekerbaarheid

Er is een directe relatie tussen hoe goed uw beveiliging is geregeld en of (en hoe) u verzekerbaar bent. Verzekeraars hebben in de afgelopen jaren een reeks minimale eisen geintroduceerd die de facto standaard zijn geworden.

Minimale eisen voor acceptatie (2025-2026):

Multi-factor authenticatie op alle externe toegangspunten en admin-accounts
Regelmatig patchmanagement met een aantoonbaar proces
Offline of immutable backups die getest worden
Netwerksegmentatie tussen IT en OT (voor industriele organisaties)
Endpoint Detection and Response (EDR) op alle werkplekken en servers
Een gedocumenteerd en getest incidentresponsplan
Security awareness training voor medewerkers
Privileged Access Management voor beheeraccounts

Verzekeraars vragen steeds vaker om bewijs van actieve monitoring en logging – een vereiste die aansluit bij de technische inrichting die wordt beschreven in het hoofdstuk over logging, monitoring en SIEM. Organisaties die niet aan deze minimumeisen voldoen, worden door de meeste verzekeraars simpelweg geweigerd. Het is niet langer een kwestie van hogere premies – zonder basisbeveiliging bent u onverzekerbaar.

Veelvoorkomende valkuilen

1. De “sub-limit” val

Uw polis heeft een totale dekking van 5 miljoen euro. Klinkt goed. Maar de sub-limit voor ransomware-betalingen is 500.000 euro, en die voor bedrijfsonderbreking is 1 miljoen euro met een wachttijd van 12 uur. De headline-dekking is zelden wat u daadwerkelijk kunt claimen.

2. De retroactieve datum

Veel polissen dekken alleen incidenten die plaatsvinden na de ingangsdatum, maar ook de ontdekking moet binnen de polisperiode vallen. Een aanvaller die al maanden in uw netwerk zat voordat u de polis afsloot? Niet gedekt.

3. De medewerkingsplicht

Bij een incident moet u direct de verzekeraar inschakelen. Schakelt u op eigen houtje een IR-team in zonder toestemming van de verzekeraar? Dan kan de claim worden afgewezen of beperkt. Zorg dat u het alarmnummer van uw verzekeraar even goed kent als dat van de brandweer. Neem dit op in uw incidentresponsplan – het hoofdstuk over incidentrespons en crisismanagement beschrijft hoe u dat plan opzet en de verzekeraar daarin een vaste plek geeft.

4. De onjuiste verklaring

Als bij de aanvraag is verklaard dat MFA is ingeschakeld op alle systemen, maar bij het incident blijkt dat er een legacy VPN zonder MFA draaide, kan de verzekeraar de claim afwijzen wegens onjuiste verklaring. Eerlijkheid bij de aanvraag is geen optie – het is een voorwaarde.

Wanneer wel, wanneer niet?

Een cyberverzekering is geen vervanging voor beveiliging. Het is een financieel vangnet voor het restrisico nadat u alle redelijke maatregelen hebt genomen. Of het voor uw organisatie zinvol is, hangt af van een afweging.

Situatie	Cyberverzekering zinvol?	Toelichting
Veel persoonsgegevens verwerken (zorg, HR, retail)	Ja	De kosten van een datalek (notificatie, juridisch, boetes) kunnen enorm zijn
Hoge afhankelijkheid van digitale systemen	Ja	Bedrijfsonderbreking is uw grootste financiele risico
Beperkt IT-budget en kleine organisatie	Mogelijk	De premie moet passen, maar een incident kan existentieel zijn
Uitstekende beveiliging en eigen IR-capaciteit	Beperkt	U hebt minder dekking nodig, maar restrisico blijft bestaan
Geen basisbeveiliging op orde	Nee	U bent onverzekerbaar of de premie is onbetaalbaar – investeer eerst in beveiliging
Compliance-eis vanuit klant of toezichthouder	Ja	Steeds meer aanbestedingen en contracten eisen een cyberverzekering
Leveranciersrol in kritieke ketens	Ja	NIS2 legt verantwoordelijkheid voor de keten bij u

Vuistregel: Een cyberverzekering is zinvol als uw organisatie een cyberincident financieel niet uit eigen middelen kan opvangen, en u de basisbeveiliging al op orde hebt. Het is een laatste laag in uw verdediging, niet de eerste.

De kosten in perspectief

Premies voor cyberverzekeringen varieren enorm, maar als grove indicatie voor de Nederlandse markt (2025-2026):

Organisatieomvang	Indicatieve jaarpremie	Typische dekking
Klein (< 5 miljoen omzet)	2.000 – 8.000 euro	500.000 – 1 miljoen euro
Midden (5 – 50 miljoen omzet)	8.000 – 40.000 euro	1 – 5 miljoen euro
Groot (> 50 miljoen omzet)	40.000 – 250.000+ euro	5 – 25 miljoen euro

Deze bedragen zijn indicatief en hangen sterk af van sector, beveiligingsvolwassenheid en gewenste dekking. Het eigen risico varieert doorgaans van 5.000 euro (klein) tot 100.000 euro of meer (groot).

Doe dit deze maand

Breng uw huidige beveiligingsniveau in kaart voordat u een offerte aanvraagt – dit bespaart u tijd en geld
Vraag ten minste drie offertes aan bij verschillende verzekeraars of een gespecialiseerde cybermakelaar
Lees de uitsluitingen en sub-limits minstens zo zorgvuldig als de dekkingen
Controleer of de polis een retroactieve dekking biedt en wat de wachttijd is bij bedrijfsonderbreking
Leg het alarmnummer van de verzekeraar vast in uw incidentresponsplan
Plan een jaarlijkse polisreview: veranderingen in uw organisatie (nieuwe systemen, cloud-migratie, fusies) kunnen de dekking beinvloeden
Wees eerlijk in de vragenlijst – een afgewezen claim na een incident is erger dan een hogere premie

Onthoud: Een cyberverzekering is geen aflaat voor slechte beveiliging. Het is een verstandige financiele maatregel voor organisaties die hun beveiliging serieus nemen en het restrisico willen afdekken. Investeer eerst in preventie, dan in de polis.

Nu u weet hoe u het financiele vangnet van een cyberverzekering kunt inzetten, rijst de volgende vraag: hoe houdt u als bestuurder structureel zicht op de effectiviteit van al deze maatregelen? In het volgende hoofdstuk over security metrics en bestuursrapportage leest u hoe u een dashboard opzet dat u in een oogopslag vertelt of uw organisatie op koers ligt – en waar bijsturing nodig is.

← Vorige Supply Chain en Leveranciersrisico Volgende → Security Metrics en Bestuursrapportage

Verder lezen in de kennisbank

Deze artikelen in het portaal geven je meer achtergrond en praktische context:

Je hebt een account nodig om de kennisbank te openen. Inloggen of registreren.

Gerelateerde securitymaatregelen

Deze artikelen bieden aanvullende context en verdieping:

Op de hoogte blijven?

Ontvang maandelijks cybersecurity-inzichten in je inbox.

← Bestuurders & Governance ← Home