Je mag haar gerust een cyberexpert noemen. Nynke Brouwer (advocaat bij Stibbe) is gespecialiseerd in cybersecurity, cyber insurance en data protection én promoveerde vorig jaar op ‘de cyberverzekering vanuit civielrechtelijk perspectief’. “Uit onderzoek van EIOPA blijkt dat een aantal verzekeraars cyberrisico’s vooralsnog niet zien als relevant risico voor traditionele verzekeringen, maar dat zijn het wel.”
Silent cyber
De fysieke en digitale wereld raakt steeds meer in elkaar verweven. Daardoor ontstaan vraagstukken over cyberrisico's bij traditionele verzekeringen. Brouwer: “We spreken dan over het ‘silent cyber risico’. Silent cyber betekent dus dekking voor cyberschade onder traditionele polissen, terwijl het niet is voorzien in die polissen. Zo is een brandpolis bijvoorbeeld niet perse ontwikkeld op basis van het risico van digitalisering. En toch kan brandschade een gevolg zijn van cyber, want als een hacker met software knoeit kan kortsluiting en brand ontstaan.” In dat geval wordt een traditionele polis aangesproken terwijl daar niet expliciet in staat of dat soort schade is verzekerd. Dat kan zorgen voor ongemak bij klanten en verzekeraars in de vorm van polisgeschillen, procedures en verminderd vertrouwen.
EIOPA maakt zich zorgen
De Europese toezichthouder EIOPA heeft in de afgelopen jaren verschillende onderzoeken gedaan naar silent cyber en uit haar zorgen over dit grote risico voor de verzekeringsindustrie. “Uit hun onderzoeken blijkt dat een aantal verzekeraars cyberrisico’s vooralsnog niet zien als relevant risico voor traditionele verzekeringen, legt Brouwer uit. “Daarnaast zijn sommige verzekeraars afwachtend en zijn de meesten niet in staat om kwantitatieve informatie te verstrekken. Dat houdt in dat ze eigenlijk niet weten hoe groot het risico en de schadelast is.” Kortom; EIOPA maakt zich zorgen en heeft voorwaarden benoemd voor een sterke en betrouwbare cyberverzekeringsmarkt zoals duidelijkere uniforme polisvoorwaarden. Daarnaast heeft deze toezichthouder voorgesteld om een Europese database te creëren voor cyberincidenten.
Nynke Brouwer tijdens deelsessie Schademiddag 2022
Van de EU naar het VK
Brouwer zoomt vervolgens wat verder in en neemt daarbij het Verenigd Koninkrijk als voorbeeld. “In het Verenigd Koninkrijk heeft de Prudential Regulation Authority (PRA) verzekeraars al in 2016 instructies gegeven om actief met silent cyber aan de slag te gaan. Een half jaar later kwam de PRA daarop terug en legde verzekeraars 3 concrete opdrachten op: actief management van silent cyber, het opzetten van een cyberstrategie en het verbeteren van de cyber-expertise. In 2019 volgde wederom een instructie voor een actieplan en werden verzekeraars door Lloyd’s of London verplicht om duidelijkheid te verschaffen in alle polissen over de dekking van cyberrisico’s.”
Aan de slag met traditionele verzekeringen
Maar wat kan je als verzekeraar doen met silent cyber risico’s op traditionele verzekeringen? Volgens Brouwer is er een aantal varianten. Je kunt silent cyber volledig insluiten op traditionele polissen. Je kunt silent cyber insluiten, maar met een sublimiet. Je kunt silent cyber volledig uitsluiten. En je hebt een genuanceerde versie van uitsluiten, maar met een insluiting op bepaalde onderdelen. Ook wel write back of carve back genoemd. Helaas zijn er nog geen concrete criteria om tot de beste oplossing te komen, wat op dit moment leidt tot veel verschil in dekking.
Op basis van de verplichting in het Verenigd Koninkrijk heeft Lloyd’s of London gereageerd met een scala aan ingewikkelde en soms vergaande clausules. Er is in de afgelopen jaren dus wel hard gewerkt, maar waar heeft dat toe geleid? Brouwer omschrijft het vooral als een snelle en gehaaste reactie van verzekeraars. “Er zijn veel absolute uitsluitingen. Waar duidelijkheid is beoogd, is eigenlijk meer onduidelijkheid ontstaan en de dekking verminderd.”
Silent cyber in Nederland
Hoe zit het dan in Nederland? Waar de Britse toezichthouder heel actief is, heeft DNB nog niet zoveel van zich laten horen, merkt Brouwer op. “DNB laat het naar mijn idee erg over aan de markt. Ik zie ook wel dat verzekeraars in Nederland met het silent cyber risico’s bezig zijn. Ze hebben hier en daar zelf clausules geformuleerd, vaak gebaseerd op die Llod’s-Clausules. Met name vind je die terug in transport, marine en engineering. En dat is natuurlijk niet zo gek gezien het internationale karakter van die sectoren.”
Traditionele verzekering versus cyberverzekering
Uit de presentatie van Brouwer blijkt dat een adequate omgang met en de beheersing van silent cyber risico’s op traditionele verzekeringen complex is. Het gevolg: uitsluitingen voor cyberschade. “Dan denk je misschien; wat is het probleem, want er zijn toch ook stand-alone cyberverzekeringen die dekking bieden? Helaas is het volgens haar niet zo eenvoudig. Cyberverzekeringen brengen namelijk ook veel lastige vraagstukken met zich mee. Zo worstelen verzekeraars door de onvoorspelbaarheid en de razendsnelle ontwikkelingen met premieberekeningen en is het goed formulieren van de definitie ‘cyberincident’ een hele uitdaging.
Brouwer ziet de tot nu toe genomen initiatieven in de markt als een goed begin, maar roept verzekeraars en ketenpartners op om meer aandacht te hebben voor silent cyber om tot passende oplossingen te komen. “Het laatste woord over silent cyber is dus zeker nog niet gesproken!”
Was dit nuttig?