Cyber Verzekering Readiness Check: hoe werkt het?
De cyberverzekeringmarkt is in 2024-2025 ingrijpend veranderd. Verzekeraars hebben hun acceptatie-eisen fors aangescherpt: zonder bewezen basismaatregelen krijg je simpelweg geen polis meer. Onze Cyber Verzekering Readiness Check beoordeelt of jouw organisatie verzekerbaar is, identificeert dealbreakers en geeft concrete aanbevelingen om je premie te verlagen.
Wat is de Cyber Verzekering Readiness Check?
De Cyber Verzekering Readiness Check is een gratis online assessment dat in drie stappen beoordeelt of je organisatie klaar is voor het aanvragen van een cyberverzekering. De tool analyseert je organisatieprofiel, security-maatregelen en incidentgeschiedenis en toetst deze tegen de acceptatie-eisen die grote cyberverzekeraars hanteren.
Het resultaat is een readiness score die aangeeft hoe verzekerbaar je organisatie op dit moment is. Daarnaast ontvang je een dealbreaker-analyse die precies laat zien welke ontbrekende maatregelen tot directe afwijzing leiden, en concrete aanbevelingen om je positie te versterken.
De check is specifiek ontwikkeld voor het Nederlandse mkb en richt zich op de eisen die in de huidige markt gelden. De cyberverzekeringmarkt heeft de afgelopen jaren een fundamentele verschuiving doorgemaakt: waar verzekeraars voorheen vrijwel elke organisatie accepteerden, hanteren ze nu harde technische eisen als minimumvoorwaarde. Organisaties die deze basismaatregelen niet kunnen aantonen, komen niet meer in aanmerking voor een polis, ongeacht hun bereidheid om een hogere premie te betalen.
Methodologie en bronnen
De readiness check is gebaseerd op de actuele acceptatiecriteria van toonaangevende Nederlandse en internationale cyberverzekeraars, waaronder Hiscox, CNA Hardy, Chubb, Allianz en AIG. We analyseren continu hun publieke underwriting-richtlijnen, schadecijfers en marktrapportages om de check actueel te houden.
De methodologie combineert twee componenten: een technische baseline-toets en een set risicomodificatoren. De baseline-toets controleert of je organisatie voldoet aan de harde minimumeisen die verzekeraars hanteren. Dit zijn maatregelen waarvan het ontbreken automatisch leidt tot afwijzing, ongeacht andere factoren. De risicomodificatoren wegen factoren mee die je premie en dekkingsvoorwaarden beinvloeden, zoals sector, omzet, claimhistorie en certificeringen.
De verzekeringsmarkt is in 2024-2025 sterk aangescherpt als reactie op de explosieve groei van ransomware-schade. Schade-uitkeringen zijn in sommige segmenten verdrievoudigd, waardoor verzekeraars hun eisen drastisch hebben opgeschroefd. De check weerspiegelt deze nieuwe realiteit. Waar een jaar geleden een basisvragenlijst voldoende was, eisen verzekeraars nu technisch bewijs van implementatie.
Hoe we scoren
De readiness score is opgebouwd uit drie gewogen categorieën: technische baseline (50%), organisatorische maatregelen (30%) en risicoprofiel (20%). Binnen de technische baseline wegen dealbreaker-maatregelen zoals MFA, EDR en backup het zwaarst. Ontbreekt een dealbreaker, dan wordt de totaalscore gemaximeerd ongeacht de score op andere onderdelen. Dit reflecteert de werkelijkheid: verzekeraars accepteren geen aanvraag zonder deze basismaatregelen, hoe sterk je organisatie verder ook scoort.
De drie stappen van de check
In de eerste stap geef je aan in welke sector je organisatie actief is (gezondheidszorg, finance, tech, overheid, industrie, retail of overig), wat je geschatte jaaromzet is en welke dekkingen je zoekt. Je kunt kiezen uit aansprakelijkheid bij datalek, ransomware en afpersing, bedrijfsonderbreking, forensisch onderzoek, juridische kosten en reputatieherstel.
Deze informatie is cruciaal omdat sector en omzet samen je risicoprofiel bepalen. Organisaties in de gezondheidszorg en financiele sector hebben een hoger inherent risico door de aard en gevoeligheid van de data die ze verwerken. Een grotere omzet betekent een grotere aanvalssurface en hogere potentiele schade. Verzekeraars gebruiken deze factoren als basis voor hun premieberekening en dekkingslimieten.
De tweede stap brengt je huidige security-maatregelen in kaart. Je geeft aan welke van de twaalf maatregelen je hebt geimplementeerd: MFA op alle externe toegang, EDR op alle endpoints, patching binnen 30 dagen voor kritieke kwetsbaarheden, e-mail security met SPF, DKIM en DMARC, geteste offsite backups, netwerksegmentatie, jaarlijkse security awareness training, een gedocumenteerd incident response plan, Privileged Access Management (PAM), SIEM of SOC-monitoring, een vulnerability management programma en data-encryptie at rest en in transit.
Verzekeraars hanteren harde dealbreakers binnen deze lijst. Zonder MFA, EDR en een geteste backup-strategie krijg je bij vrijwel geen enkele verzekeraar een polis. Deze drie maatregelen zijn de absolute minimumvereisten. De overige maatregelen beinvloeden je premie en dekkingsvoorwaarden: hoe meer je hebt geimplementeerd, hoe gunstiger je voorwaarden.
In de laatste stap vragen we naar je incidentgeschiedenis van de afgelopen drie jaar, je huidige verzekeringssituatie en welke compliance-frameworks je volgt. Bij incidentgeschiedenis maakt het uit of je nooit bent getroffen, eenmalig of meerdere keren. Je geeft aan of je een nieuwe verzekering zoekt, wilt overstappen of je huidige polis wilt uitbreiden. Tot slot kun je compliance-frameworks aanvinken: ISO 27001, SOC 2, NEN 7510, AVG/GDPR-verwerkingsregister en NIS2.
Claimhistorie weegt zeer zwaar bij premieberekening. Organisaties met meerdere recente incidenten betalen aanzienlijk meer of worden geweigerd. Certificeringen daarentegen werken als premieverlagers: een ISO 27001-certificering toont aan dat je security structureel hebt geborgd, wat verzekeraars beloont met lagere premies. NIS2-compliance wordt door steeds meer verzekeraars als positief signaal meegewogen.
Wat je in de resultaten vindt
Na het doorlopen van de drie stappen berekent de tool je resultaten. Het rapport bevat de volgende onderdelen:
- Insurance readiness score — een totaalscore van 0 tot 100 die aangeeft hoe verzekerbaar je organisatie is. Scores boven 75 betekenen dat je waarschijnlijk geaccepteerd wordt onder gunstige voorwaarden. Scores onder 40 wijzen op ernstige hiaten die vrijwel zeker tot afwijzing leiden.
- Categoriescores — afzonderlijke scores voor technische baseline, organisatorische maatregelen en risicoprofiel, zodat je direct ziet waar je sterktes en zwaktes liggen.
- Premie-indicatie — een globale inschatting van je verwachte jaarpremie op basis van sector, omzet en getroffen maatregelen.
- Dealbreaker-analyse — een overzicht van welke ontbrekende maatregelen leiden tot directe afwijzing bij verzekeraars, gerangschikt op impact.
- Aanbevelingen — concrete stappen om je readiness score te verhogen en je premie te verlagen, geprioriteerd op effectiviteit.
Het gratis rapport
- Insurance readiness score met toelichting
- Dealbreaker-overzicht: welke maatregelen ontbreken
- Top-5 prioriteitsadvies om je score te verhogen
- Bruikbaar als voorbereiding op een offerteaanvraag bij je verzekeraar
- Direct beschikbaar per e-mail na invullen
Het gratis rapport geeft je een helder beeld van je huidige positie. Je kunt het direct gebruiken als basis voor een gesprek met je verzekeraar of tussenpersoon. Het rapport laat zien welke dealbreakers je moet oplossen voordat je een aanvraag indient, zodat je geen onnodige afwijzingen riskeert.
Premium analyse
- Assessment tegen acceptatie-eisen van alle grote Nederlandse cyberverzekeraars
- Gedetailleerde dealbreaker-analyse per verzekeraar
- Premie-indicatie met minimaal drie scenario's: basis, optimaal en premium dekking
- Premie-optimalisatie: welke specifieke maatregelen verlagen je premie met hoeveel
- Dekkingsadvies: first party vs. third party, relevante uitsluitingen en aandachtspunten
- Professioneel PDF-rapport geschikt als bijlage bij je verzekeringsaanvraag
De premium analyse gaat aanzienlijk verder dan het gratis rapport. Waar het gratis rapport je readiness score en dealbreakers toont, biedt de premium analyse een volledige toetsing tegen de specifieke acceptatie-eisen van de grote Nederlandse verzekeraars. Je ontvangt premie-indicaties voor minimaal drie scenario's, zodat je kunt vergelijken welk dekkingsniveau het beste aansluit bij je risicoprofiel en budget.
Het premie-optimalisatie-onderdeel is bijzonder waardevol: het berekent per ontbrekende maatregel hoeveel premieverlaging je kunt verwachten na implementatie. Zo kun je een gefundeerde businesscase maken voor security-investeringen. De investering van 79 euro verdient zichzelf doorgaans terug bij de eerste premieverlaging.
Gratis vs. premium vergelijking
| Onderdeel | Gratis | Premium |
|---|---|---|
| Insurance readiness score | ✓ | ✓ |
| Dealbreaker-overzicht | ✓ | ✓ |
| Top-5 prioriteitsadvies | ✓ | ✓ |
| Toetsing per verzekeraar | ✗ | ✓ |
| Premie-indicatie (3+ scenario's) | ✗ | ✓ |
| Premie-optimalisatie per maatregel | ✗ | ✓ |
| Dekkingsadvies (first/third party) | ✗ | ✓ |
| Rapport voor verzekeringsaanvraag | ✗ | ✓ |
Veelgestelde vragen
Een cyberverzekering is een schadeverzekering die de financiele gevolgen van cyberincidenten dekt. De dekking valt uiteen in twee hoofdcategorieen. First party dekking vergoedt je eigen schade: kosten voor forensisch onderzoek, bedrijfsonderbreking, dataherstel en crisismanagement. Third party dekking beschermt tegen claims van derden: aansprakelijkheid bij datalekken, privacyschendingen en juridische verweerkosten. De meeste polissen combineren beide dekkingen, maar de verhouding en limieten verschillen per verzekeraar en per polis.
De premie hangt af van meerdere factoren: sector, jaaromzet, gewenste dekking en getroffen security-maatregelen. Voor het Nederlandse mkb liggen jaarpremies typisch tussen 2.000 en 50.000 euro. Organisaties in de gezondheidszorg en financiele sector betalen doorgaans meer door het hogere inherente risicoprofiel. Een organisatie met volledige MFA, EDR, SOC-monitoring en ISO 27001-certificering betaalt aanzienlijk minder dan een vergelijkbare organisatie zonder deze maatregelen.
De vijf maatregelen die vrijwel alle cyberverzekeraars als minimumeis hanteren zijn: multi-factor authenticatie (MFA) op alle externe toegang, Endpoint Detection and Response (EDR) op alle endpoints, een geteste offsite backup-strategie, regelmatige patching binnen 30 dagen voor kritieke kwetsbaarheden en e-mail security met SPF, DKIM en DMARC. Zonder deze basismaatregelen wordt een aanvraag in de meeste gevallen direct afgewezen.
Dealbreakers zijn ontbrekende maatregelen of risicofactoren die leiden tot directe afwijzing van je verzekeringsaanvraag. De belangrijkste zijn: geen MFA op externe toegang, geen EDR op endpoints, geen offsite backup, geen gedocumenteerd incident response plan en meerdere cyberincidenten in de afgelopen drie jaar. Deze factoren worden door verzekeraars als onacceptabel risico beschouwd en leiden tot afwijzing ongeacht je overige security-niveau.
De markt verschuift hier snel. Steeds meer verzekeraars sluiten losgeldbetalingen expliciet uit in hun polisvoorwaarden of beperken de dekking tot een fractie van de totale verzekerde som. Polissen die losgeld nog wel dekken stellen aanvullende eisen: een gedocumenteerd en getest incident response plan, bewezen backup-tests en netwerksegmentatie. De branche stimuleert actief dat organisaties investeren in preventie en herstelvermogen in plaats van losgeldbetalingen aan criminelen.
De drie maatregelen met de grootste impact op je premie zijn het implementeren van MFA op alle toegangspunten, het uitrollen van EDR op alle endpoints en het inrichten van een SOC of SIEM-oplossing voor continue monitoring. Certificeringen zoals ISO 27001 en SOC 2 wegen eveneens zwaar mee. Organisaties die aantoonbaar investeren in structurele security awareness training en een gedocumenteerd incident response plan betalen gemiddeld 20 tot 40 procent minder premie dan vergelijkbare organisaties zonder deze maatregelen.
Een cyberverzekering is in Nederland niet wettelijk verplicht. Wel wordt het steeds vaker contractueel vereist door opdrachtgevers, ketenpartners en leveranciers. Onder de NIS2-richtlijn moeten essentiële en belangrijke entiteiten aantoonbare risicobeheermaatregelen treffen. Een cyberverzekering kan onderdeel zijn van die risicostrategie. Bij aanbestedingen en audits wordt steeds vaker expliciet naar cyberverzekering gevraagd, waardoor het in de praktijk voor veel organisaties een noodzaak is geworden.
First party dekking vergoedt je eigen directe schade na een cyberincident: kosten voor forensisch onderzoek, bedrijfsonderbreking en gemiste omzet, dataherstel, eventuele losgeldbetalingen en crisismanagement inclusief communicatie. Third party dekking beschermt tegen aanspraken van derden: aansprakelijkheid bij datalekken waardoor persoonsgegevens van klanten zijn gelekt, privacyschendingen, contractbreuk door downtime en alle juridische verweerkosten. De meeste cyberverzekeringen combineren beide, maar de limieten en voorwaarden verschillen sterk per polis. Het is essentieel om bij je aanvraag te beoordelen welk type dekking het meest relevant is voor jouw risicoprofiel.