In 9 stappen naar de ideale cyberverzekering

Nadenken over een cyberverzekering start bij de vraag of jouw bedrijf baat kan hebben bij een dergelijke dekking. Of anders gezegd: is jouw onderneming sterk afhankelijk van haar digitale werking? Kan je nog verder als morgen de spreekwoordelijke stekker uit jouw digitale infrastructuur gaat? Heel veel bedrijven komen bij het stellen van die vraag tot de vaststelling dat ze in zo’n geval snel zouden stilvallen. Iedereen kan nog even archiveren en enkele telefoons plegen, maar daarna wordt duidelijk dat met het digitaal platform een grote ader van het bedrijf is doorgesneden. “Meer dan een ja/neen-vraag is deze eerste stap vooral een eyeopener”, geeft Tom Van Britsom aan. “Zie het als een aanzet om verder na te denken over hoe jouw digitale dienstverlening eruitziet en welke aanvoerstromen van tel zijn.”

Nadenken over het afsluiten van een cyberverzekering komt vaak op gang na een eerste schadegeval of wanneer een bedrijf zijn risicoprofiel onder de loep neemt. “Bij het kijken naar het totaalplaatje ontdekt een onderneming welk onderhoud en welke updates of aanpassingen echt nodig zijn”, zegt Tom Van Britsom. “In zo’n verhaal is een cyberverzekering vaak de laatste stap en dat is onterecht. Om een herkenbare vergelijking te maken: het is alsof je elke dag de deur van jouw huis op slot doet, de rolluiken naar beneden laat, jouw woning goed onderhoudt, enzovoort maar pas aan het einde van de rit, als er een brand uitbreekt, gaat nadenken over een brandverzekering.” Tom Van Britsom benadrukt dat het belangrijk is dat bedrijven hun digitale huiswerk maken, maar dat huiswerk hoeft het afsluiten van een cyberpolis niet te verhinderen. Ook niet als het maken van dat huiswerk uiteindelijk het risicoprofiel verbetert en dus de premie doet dalen? “Dat traject kan al snel een jaar of langer duren”, schat Tom Van Britsom in. “Het is geen goed idee om een belangrijke beslissing zoals het afsluiten van een verzekering uit te stellen tot de situatie ideaal is. Sowieso komt jouw organisatie terecht in een continu proces van bijschaven en zullen er na een jaar alweer nieuwe digitale uitdagingen klaarliggen.”

Als je vaststelt dat een cyberpolis nodig is, dan is het belangrijk om meteen ook heel transparant de te verzekeren situatie te schetsen. Geef een getrouw beeld van jouw bedrijf, de IT-processen en de digitale afhankelijkheid van leveranciers en klanten. “Het is cruciaal om daarover met de makelaar en verzekeraar in gesprek te gaan”, zegt Tom Van Britsom. “Waar je actief bent, hoe jouw IT-infrastructuur eruitziet, welke website u heeft, … het zijn elementen die duidelijk moeten zijn bij de onderschrijving van het te verzekeren risico. Met deze info kunnen we als risicoconsultant wijzen op aandachtspunten en potentiële risico’s.”

Op de Belgische markt zijn ongeveer tien cyberverzekeraars actief en elk hebben ze specifieke voorwaarden, risico-appetijt, ervaringen en onderschrijvingspolitiek. Sommige verzekeraars focussen op grote ondernemingen, andere op kmo’s. Of ze mikken op bepaalde sectoren en weigeren polissen in andere industrieën. Om het aanbod goed in te schatten, is het zaak om op basis van jouw profiel offertes op te vragen en die te vergelijken. “Doe dat niet enkel op basis van de prijs, maar besteed ook aandacht voor de kwaliteit en de ervaring van zowel de verzekeraar als de makelaar”, adviseert Tom Van Britsom. “Als makelaar en risicoconsultant helpen we om bepaalde factoren goed te analyseren: hoe lang is een verzekeraar al actief op de markt, hoe schat hij het risico in en hoe verloopt de schadeafhandeling? Ook dat is belangrijk bij het bekijken van de voorstellen.” Een concreet voorbeeld is de hulplijn die een verzekeraar koppelt aan de polis. Het is belangrijk om te bekijken hoe die werkt, hoe sterk de experts zijn opgeleid en hoeveel ervaring (schadegevallen) de verzekeraar heeft. “Die expertise komt niet enkel van pas om een bedrijf meteen bij te staan als de schade zich voordoet, maar is ook van tel bij de financiële afhandeling en de inschatting van wat er exact fout liep”, preciseert Tom Van Britsom.

Een cyberpolis bestaat uit verschillende waarborgen en in de praktijk onderschrijven bedrijven bij cyberverzekeringen vaak alle waarborgen. Zou het niet logischer zijn om waarborgen die voor jouw bedrijf geen impact hebben te elimineren en zo de premie te verlagen? “Dat lijkt logisch, maar zo werkt het niet”, zegt Tom Van Britsom. “Elke waarborg heeft een bepaald gewicht op basis van het risico. Stel dat je geen online betalingsplatform heeft, dan zal de verzekeraar geen groot gewicht toekennen aan de waarborg daarvoor. Daardoor weegt die waarborg ook niet zwaar door in de prijszetting. Het heeft met andere woorden weinig zin om te knippen in dergelijke waarborgen.” Wel wijst Tom Van Britsom op de toegenomen aandacht van bedrijven voor social engineering fraude, zoals factuur- of CEO-fraude. Dat risico willen almaar meer ondernemers volledig verzekeren. “Als dergelijke fraude plaatsvindt zonder inbraak in het systeem, bijvoorbeeld via namaakmails, dan hoort dat thuis onder de fraudedekking. We merken dat klanten hiervoor vaak een aparte fraudepolis uitnemen.

Eén van de meest complexe stappen op weg naar een ideale cyberverzekering voor jouw organisatie, is het bepalen van het kapitaal dat je als verzekeringsdekking opneemt. Geen vanzelfsprekende inschatting, maar Tom Van Britsom heeft een duidelijke vuistregel. “Stel je de vraag hoeveel kapitaal nodig is om terug actief te worden als jouw bedrijf door een hacking tot stilstand komt”, zegt hij. “Hoelang duurt het om de IT-infrastructuur terug op te zetten en opnieuw aan het werk te gaan? Dat is een goede maatstaf om de gemiste inkomsten in te schatten en zo het verzekerde totaal te bepalen.” Daarnaast speelt de hoeveelheid data mee die de onderneming in beheer heeft en beïnvloedt ook ransomware de inschatting, al is het vooraf uiteraard koffiedik kijken hoe hoog die geëiste losgelden kunnen oplopen.

Eens de cyberpolis van kracht is, is het belangrijk dat niet enkel de risk manager en het IT-departement op de hoogte zijn. Verspreid het nieuws dat de dekking bestaat binnen jouw organisatie, leg uit hoe de te volgen procedure bij een incident eruitziet en koppel dat aan concrete gegevens: de hulplijn, de redenen om die te contacteren, de gegevens die daarbij noodzakelijk zijn, enzovoort. “De CFO die de polis afsluit, is vaak niet de persoon die medewerkers eerst moeten contacteren bij een schadegeval”, aldus Tom Van Britsom. “Communiceer de procedure haarscherp, zodat er geen twijfel kan bestaan als zich een incident voordoet. In het beste geval bestaat zo’n plan al en is de cyberdekking het sluitstuk, maar de polis kan ook de stimulans zijn om een goed scenario uit te denken.”

Een overname, sterke groei of andere evoluties kunnen de verzekeringssituatie na een tijd grondig wijzigen. Groeit een bedrijf in omzet, dan kan het bijvoorbeeld nodig zijn om meer kapitaal te verzekeren. Opent een nieuwe vestiging, dan is het belangrijk om de communicatie over de cyberpolis door te trekken. “Hier ligt zeker ook een rol voor de makelaar”, zegt Tom Van Britsom. “Wij bevragen dit continu bij onze cliënten en onderhandelen op basis daarvan met de verzekeraars. Bij een cyberverzekering hoort heel wat onderhoud.”

Voor een bedrijf dat digitaal werkt, is het logisch om ook klanten en leveranciers in de digitalisering te betrekken. Het garanderen van de digitale gezondheid hangt dan ook samen met de mate waarin met name jouw leveranciers de cyberveiligheid kunnen waarborgen. “Inderdaad”, zegt Tom Van Britsom. “Jouw organisatie kan volledig beschermd zijn, maar als jouw leverancier dat niet is, dan ben je maar zo zwak als hij is. Cyberveiligheid is een element dat bedrijven kunnen meenemen in hun contracten, door leveranciers bijvoorbeeld te vragen om zelf ook een polis af te sluiten. Het komt steeds vaker voor dat contracten de nodige continuïteit vragen via back-upplannen en een cyberverzekering.”