Het Computer Emergency Response Teams (i-CERT) levert een operationele bijdrage aan de cyberveiligheid van de verzekeringssector. Dit team valt onder het Centrum Bestrijding Verzekeringscriminaliteit (CBV) van het Verbond en bestaat, naast medewerkers van het CBV, uit een poule van specialisten van grote verzekeraars. Het i-CERT informeert en adviseert verzekeraars zo snel mogelijk over actuele cyberbedreigingen en coördineert waar nodig collectieve acties . Hierbij wordt nauw samengewerkt met CERT’s in andere bedrijfstakken en cyber security instanties zoals het Digital Trust Center (DTC).

Naast het i-CERT dat hierboven is beschreven, is er een platform voor Chief Information Security Officers (CISO’s) van verzekeraars. Het Insurance Information Sharing and Analysis Centre (Insurance-ISAC) jaagt kennisdeling op een meer tactisch, beleidsmatig en strategisch niveau aan en draagt daarmee bij aan een digitaal veilige bedrijfsvoering. Waar het i-CERT operationele samenwerking faciliteert en vormgeeft, draagt de Insurance-ISAC ook bij aan beleidsontwikkeling en belangenbehartiging voor de sector.

Het platform is van plan om de komende jaren te werken aan twee thema’s: inzicht in het cyberrisico van derde partijen (leveranciers) en ransomware readiness. Het eerste punt wordt opgepakt door het uniformeren van de vragenlijsten waarmee verzekeraars het cyberrisico van deze partijen in kaart brengen. Ransomware readiness bevorderen we door gezamenlijk te oefenen, maar ook door te zien of het Verbond leden kan ondersteunen in geval van een hack, bijvoorbeeld door een contract te sluiten met een partij die in zo'n geval gebeld kan worden.

• Responsible Disclosure | Het Verbond en het Nationaal Cyber Security Centrum (NCSC) hebben een handreiking opgesteld voor het invoeren van een Responsible Disclosure-beleid door verzekeraars. Dat geeft zogeheten ethische hackers duidelijke spelregels over het op verantwoorde wijze vinden en melden van ICT-kwetsbaarheden bij verzekeraars.
• Vragenlijst leveranciersselectie informatiebeveiliging | De lijst is allereerst bedoeld voor verzekeraars die een bepaalde leverancier overwegen en een eerste inschatting willen maken van de beveiligingsvolwassenheid. Daarnaast is de lijst bedoeld voor leveranciers, die willen weten welke meest belangrijke eisen verzekeraars qua informatiebeveiliging stellen, zodat zij in een keer kunnen nagaan of zij voldoen aan deze set en vervolgens gefundeerde antwoorden kunnen geven aan verschillende verzekeraars.
  Word-versie en pdf.-versie
• Webinars en bijeenkomsten | Het Verbond organiseert met regelmatig bijeenkomsten en webinars over voor verzekeraars relevante ontwikkelingen over informatiebeveiliging. De afgelopen jaren is daarin bijvoorbeeld stilgestaan bij best practices rondom cyber security awareness, het omgaan met vragen van toezichthouders en nieuwe Europese wet- en regelgeving.
• Third party risk management | In 2023 ontwikkelde het Verbond een checklist voor assurance verklaringen. In 2024 publiceerde het Verbond een eerste overzicht met de belangrijkste aspecten van security awareness trainingen.
• Oefeningen | Het Insurance Information Sharing and Analysis Centre (Insurance-ISAC) heeft eind 2022 in nauw overleg met DNB een eerste table top-oefening uitgevoerd bij een leverancier waar veel verzekeraars mee werken.
• Verzamelen dreigingsinformatie | Het Verbond werkt via het i-CERT nauw samen met overheidsinstanties en andere partijen die over actuele en specifieke dreigingsinformatie beschikken. Het doel van deze samenwerking is dat verzekeraars dit soort informatie zo snel mogelijk ontvangen om tijdige, adequate maatregelen te kunnen treffen.

Klik hier voor de tools:
- Belangrijkste elementen cybersecurity awareness trainingen
- Checklist voor assurance verklaringen
- Vragenlijst leveranciersselectie informatiebeveiliging