Bedrijfs logo
Cyberrisico's bij overnames: de vergeten factor met grote gevolgen

Geschreven door Melanie Modderman

Cyberrisico's bij overnames: de vergeten factor met grote gevolgen

Cyberrisico's bij overnames: de vergeten factor met grote gevolgen

Tien jaar geleden was cyberbeveiliging nog zelden een thema bij fusies en overnames. Nu is dat ondenkbaar, zegt advocaat Erik Jonkman (Kennedy Van der Laan). Hij begeleidt organisaties die midden in een cyberincident zitten én bedrijven die dat juist willen voorkomen. “Toen de AVG en de meldplicht datalekken hun intrede deden, veranderde alles,” vertelt hij. “Organisaties kregen plots te maken met nieuwe juridische verantwoordelijkheden rond data en privacy. Vanuit dat werk rolde ik de wereld van de cyberverzekering in - en dat is sindsdien mijn specialisme.”

Crisismanager met toga

Wat Erik aanspreekt, is het crisisachtige karakter van het werk. “Een cyberaanval is voor bedrijven vaak de heftigste gebeurtenis die ze kunnen meemaken. Alles ligt plat, klanten bellen en reputaties staan op het spel. Op dat moment mag ik ze door de storm loodsen - dat geeft veel voldoening. Je bent niet alleen juridisch adviseur, maar ook crisismanager.” Die combinatie van juridische scherpte en praktische nuchterheid maakt het werk intensief maar verslavend. “Je ziet de ergste scenario’s van dichtbij. Tegelijkertijd zie je hoeveel schade voorkomen had kunnen worden met een beetje voorbereiding.’’

Crisismanager met toga
Crisismanager met toga

IT-beveiliging bij overnames cruciaal

“Dat geldt ook bij fusies en overnames. Cyberrisico’s worden vaak pas ná closing zichtbaar. Kopers willen weten wat ze in huis halen, maar vergeten soms te onderzoeken hoe volwassen de IT beveiliging van de target daadwerkelijk is, terwijl dat direct invloed heeft op de waarde van het bedrijf.” Daarom hoort cyberbeveiliging volgens Erik thuis in elk due diligence-onderzoek. “Je wilt weten of er incidenten zijn geweest, welke maatregelen zijn genomen, en of er nog ‘slapende risico’s’ bestaan. Net zoals je bij een huis onderzoekt of er gebreken zijn.”

Cyberverzekeringen vaak vergeten

Een ander risico schuilt in de verzekering zelf. “Veel bedrijven hebben een groepspolis die meerdere dochterondernemingen dekt. Maar die dekking geldt uiteraard slechts zolang de dochter onderdeel is van het concern, meestal met een zeker uitlooprisico voor incidenten die dateren van vóór de overdracht.

En andersom geldt: een nieuwe dochter valt niet bij alle polissen automatisch en zonder beperkingen onder de polis van de koper.

Je moet voorafgaand aan de overname dus goed kijken in hoeverre polissen goed op elkaar aansluiten.”

Veel verzekeraars accepteren bijvoorbeeld nieuwe entiteiten alleen automatisch als ze minder dan ongeveer 20-25% procent van de groepsomzet vertegenwoordigen. Ook gelden er vaak uitzonderingen voor gekochte ondernemingen die zich in de Verenigde Staten bevinden. “Daar moet je als risicoadviseur scherp op zijn. In veel gevallen zul je met de betrokken verzekeraar aan tafel gaan voor een passende oplossing.” 

Kom daarom zo vroeg mogelijk en proactief bij je klant in beeld, zodra je vermoedt dat een klant een transactie voorbereidt. “Maak de klant duidelijk waarom het belangrijk is om ook cyberrisico’s in beeld te krijgen en leg uit waarom zowel vanuit kopers- als verkopersperspectief helderheid moet ontstaan over implicaties voor lopende polissen. Dit kan nare discussies voorkomen als zich juist rondom de transactieperiode een ernstig cyberincident voordoet.”

De vergeten fase: integratie = kwetsbaarheid

Volgens Erik is de periode rondom een overname zelfs extra risicovol. “Tijdens de integratie van systemen gaan poorten open die normaal gesloten blijven. Dat creëert kwetsbaarheden. We zien vaak dat beveiligingsupdates even worden uitgesteld, of dat oude servers tijdelijk aanblijven om data over te zetten. Dat zijn ideale kansen voor hackers.” Een fictief, maar realistisch scenario illustreert hoe juist dán complexe discussies kunnen ontstaan: “Stel: een aanvaller zit al weken onopgemerkt in het netwerk van de target en steelt gegevens. Vlak na de aandelenoverdracht zet hij de boel op slot met ransomware (losgeld). Zo’n casus geeft niet alleen haakjes voor discussies over kosten en aansprakelijkheid tussen de koper en verkoper, maar kan ook voer voor discussie zijn tussen betrokken verzekeraars.”

Van juridische naar praktische vragen

Erik somt nuchter op wat dit volgens hem betekent voor risico-adviseurs: “Onderzoek aan zowel kopers- als verkoperskant welke polissen er lopen. Verdiep je in de precieze structuur van de overname om te begrijpen welke gevolgen deze aan weerszijden heeft en let daarbij goed op in- en uitloopbepalingen. Verifieer uiteraard ook of cybergerelateerde garanties en vrijwaringen uit de koopovereenkomst worden gedekt door een betrokken W&I-verzekeraar: ook die zijn relevant om de exposure van zowel de koper als verkoper goed te doorgronden.”

M&A als ideaal phishing doelwit

Er is nog een reden waarom bedrijven in een overnameproces de aandacht trekken van cybercriminelen. “Er gaat veel geld over de tafel en aanvallers weten dat. We zien incidenten waarbij hackers bewust mailverkeer van dealadviseurs onderscheppen en betaalinstructies aanpassen. Er zijn in het verleden miljoenen verdwenen naar bankrekeningen van criminelen.” Ook daarom pleit Erik voor bewustwording bij alle partijen. “Iedereen die aan een deal werkt, moet beseffen dat cyberveiligheid niet alleen een IT-onderwerp is, maar over de gehele as een financieel risico vormt.

De waarde van digitale assets

Volgens Erik wordt die bewustwording alleen maar belangrijker. “De waarde van veel bedrijven zit niet meer in stenen of machines, maar vooral in hun knowhow en data. Als je die kroonjuwelen verliest, is de onderneming misschien waardeloos. Dat zou cybersecurity een strategische factor moeten maken in de waardebepaling van veel deals.” Kortom: een overname zonder serieus onderzoek naar IT-beveiliging is vragen om problemen. Je kunt niet meer zeggen: dat regelen we later wel. Cyber hoort bij de basis van due diligence – net als financiën, contracten en personeel.

Zoeken binnen VNAB