Drie leden technische commissie Cyber belichten jongste loot aan (co)assurantiestam

Cyberverzekeringsmarkt maakt snelle ontwikkeling door: van ‘puber’ naar ‘jong volwassene’

De cyberverzekeringsbranche is met afstand de jongste loot aan de coassurantiestam. Sinds de start in ons land, zo rond 2010, heeft dit marktsegment zich razendsnel ontwikkeld en een spectaculaire groei doorgemaakt. Volgens cijfers van het Verbond van Verzekeraars is het premievolume uit cyberverzekeringen sinds 2020 meer dan verdubbeld: van ongeveer 25 naar ca. 65 miljoen euro. “De cyberverzekeringsmarkt is de afgelopen jaren de puberfase ontgroeid en heeft zich richting ‘jong volwassene’ ontwikkeld”, zo kenschetsen drie leden van de Technische commissie Cyber van de VNAB - Derk Bruintjes, Xandra ter Riet-Lokkerbol en Sjaak Schouteren – de spectaculaire ontwikkeling van deze branche.

De prille historie van de cyberverzekeringsmarkt in ons land heeft ook tot gevolg dat het aantal pure specialisten in dit marktsegment lang op de vingers van enkele handen te tellen waren. Al komen er de laatste tijd wel steeds meer branche - professionals bij die zich geheel of gedeeltelijk met cyberverzekeringen bezighouden. De drie gesprekspartners kunnen zeker als ‘mensen van het eerste uur’ aangemerkt worden en hebben daardoor een goed zicht op de ontwikkeling van dit marktsegment door de jaren heen en de trends die vandaag de dag spelen.

"Het aantal schadeclaims is op zich beperkt, al zitten er soms forse klappers tussen"

Overgewaaid uit de VS

Niet verwonderlijk is dat in navolging van tal van andere verzekeringsproducten ook cyberverzekeringen naar Europa zijn ‘overgewaaid’ vanuit de VS, waar het aanvankelijk data breach insurance werd genoemd. In Nederland werd van meet af aan een bredere dekking aangeboden, waaronder vergoeding voor bedrijfsschade. Sjaak Schouteren daarover: “Ondanks de ruime dekking waren de premies en de eigen risico’s in het begin laag. Een bewuste keuze. Verzekeraars wilden zoveel mogelijk vooral MKB-bedrijven verzekeren om zo een buffer te vormen om een eventuele grote financiële klap door een omvangrijke schade bij een grotere onderneming op te kunnen vangen.” Aanvankelijk was de schadefrequentie gunstig. Zo rond 2020 veranderde dat enigszins door een hausse aan ransomwaregevallen, die veelal bedrijfsstilstand met zich meebrachten. De reactie van verzekeraarszijde op de toenemende schadelast bleef niet uit waardoor de markt werd herijkt. De eigen risico’s werden verhoogd, de dekking beperkt en er werden meer (preventieve) eisen gesteld aan verzekerden om de kans op cyberaanvallen en -schades te voorkomen. Bovendien gingen de premies fors omhoog, soms met 150% of meer.

Derk Bruintjes:

“ Het risicobewustzijn bij bedrijven is sterk verbeterd, deels door nieuwsberichten over cyberincidenten, deels door eigen ervaringen. Daardoor is de cyberweerbaarheid hoger dan in het buitenland en is de Nederlandse markt attractiever geworden voor verzekeraars.”

Van ‘hard’ naar ‘zacht’

Inmiddels is de markt weer aan het veranderen en lijkt er zeker op cybergebied sprake van een verschuiving van een ‘harde’ naar een meer ‘zachte’ markt. Volgens recente cijfers uit de Global Insurance Market Index van Marsh bleven de cyberpremies op het Europese vasteland in het derde kwartaal van dit jaar voor het eerst na vele jaren van premieverhogingen gelijk aan die in de drie maanden ervoor. Bijna 40% van de klanten ontving zelfs premieverlagingen bij de renewals, al is de perceptie van de klanten die ook in de beginfase verzekerd waren tegen lagere kosten wat anders. Die vinden het huidige premieniveau vaak nog steeds te hoog. Volgens Xandra ter Riet zijn er meer veranderingen waarneembaar dan alleen op premieniveau. “Zo breiden verzekeraars de dekking weer wat meer uit, worden limieten verhoogd en eerdere polisuitsluitingen soms weer omgedaan gemaakt. Ook komt er weer meer capaciteit beschikbaar door de komst van enkele nieuwe aanbieders en zien we, mede door de zorgplicht en toenemende concurrentie, dat makelaars en assurantiekantoren weer meer met dit product aan de slag gaan. Door deze ontwikkelingen zien we de penetratiegraad van cyberpolissen dan ook weer toenemen, al blijft er nog volop werk aan de winkel. We schatten in dat momenteel nog slechts 15% van het MKB een cyberpolis heeft en bij de grotere bedrijven ongeveer de helft.

Risicobewustzijn toegenomen

Derk Bruintjes begrijpt wel waarom nieuwe spelers de cyberverzekeringsmarkt de afgelopen anderhalf à twee jaar hebben betreden. “Daar waar drie à vier jaar geleden cyber voor veel bedrijven nog een ver-van-mijn-bed-show was, is dat nu beduidend anders. Het risicobewustzijn bij bedrijven is sterk verbeterd, deels door nieuwsberichten over cyberincidenten, deels door eigen ervaringen. Daardoor is de cyberweerbaarheid van bedrijven in ons land sterk verbeterd, hoger dan in het buitenland en is de Nederlandse markt attractiever geworden voor verzekeraars.” Zoals reeds eerder gezegd, is de dekking van de gemiddelde cyberpolis vandaag de dag behoorlijk breed: eigen materiële schade, schades veroorzaakt door derden (aansprakelijkheid), incident response, vergoeding van losgeldclaims (ransomware), AVG-boetes, bedrijfsschade, om maar enkele belangrijke componenten te noemen. Volgens Xandra, Derk en Sjaak kunnen bijna alle bedrijfstakken zich verzekeren tegen cyberrisico’s met uitzondering van de crypto- en pornobranche. Daarnaast noemen zij gemeenten, financiële instellingen, logistiek en betalingsverkeer als ‘lastig te verzekeren sectoren’.

Xandra ter Riet:

“Het aantrekken en behouden van cyberverzekeringsprofessionals is een belangrijk punt van aandacht voor de markt. Het aantal pure cyberspecialisten in de markt neemt weliswaar toe maar is nog steeds beperkt.”

Schadetrends

Aan de inkomstenkant gaat het de cyberverzekeringsbranche dus redelijk voor de wind, maar hoe zit het met de ontwikkelingen op schadegebied? De ervaringen van de drie zijn vrijwel identiek: het aantal schadeclaims is op zich beperkt, al zitten er soms forse klappers tussen. Als schade-expert heeft Derk hier natuurlijk het beste zicht op. “We zien dit jaar een daling in de hoeveelheid claims, maar niet in de omvang van de totale schadelast. Dat impliceert dus dat het gemiddelde schadebedrag stijgt.” Als verklaring voor de lagere schadefrequentie voert hij aan dat bedrijven de afgelopen jaren een stuk risico bewuster zijn geworden en meer aan preventie en riskmanagement zijn gaan doen. “Daardoor zijn ze veel weerbaarder geworden voor cyberaanvallen. Een ander uitvloeisel daarvan is dat er bij cybercriminelen een verschuiving optreedt naar kleinere klanten, omdat zij daar meer kansen op succes zien. Dat is onder meer duidelijk te zien bij ransomwareclaims. Daarvoor worden vandaag de dag geregeld bij kleinere bedrijven losgeldbedragen van enkele duizenden euro’s gevraagd, terwijl dat voorheen om veel hogere bedragen ging. Vaak was dat zelfs het maximum bedrag dat hiervoor in de polisvoorwaarden staat en dat ze bij een hack hadden weten te achterhalen”, aldus Derk, die daarnaast ook steeds vaker constateert dat bedrijven er minder vaak voor kiezen om tot betaling van het losgeld over te gaan. “De sterk verbeterde recoverymogelijkheden bij incident response spelen daarbij zeker een rol.

Sjaak Schouteren:

”Volgens recente cijfers uit de Global Insurance Market Index van Marsh ontving bijna 40% van de klanten in Europa zelfs premieverlagingen bij de renewals, al is de perceptie van de klanten die ook in de beginfase verzekerd waren tegen lagere kosten wat anders. Die vinden het huidige premieniveau vaak nog steeds te hoog.”

Aandachtspunten

Welke zaken houden vandaag de dag nog meer de gemoederen bezig binnen cyberverzekeringsland? Sjaak noemt onder meer het werken ‘in the cloud’ en het cumulatierisico dat bij één cyberincident meerdere bedrijven betrokken raken. Derk wijst op de komst van AI. “Dat brengt zeker nieuwe risico’s met zich mee die impact kunnen hebben op de cyberpolis, maar brengt aan de andere kant natuurlijk ook kansen met zich mee.” Xandra zegt daarnaast het aantrekken en behouden van cyberverzekeringsprofessionals als ander belangrijk punt van aandacht is voor de markt. “Het aantal pure cyberspecialisten in de markt neemt weliswaar toe, maar is nog steeds beperkt.” De drie vinden dat jammer en bestempelen de cyberverzekeringssector als ‘meest sexy’ verzekeringsbranche. De sector is in hun ogen dynamisch, volop in ontwikkeling en bovenal nog steeds een groeimarkt dat zijn plafond nog bij lange na niet heeft bereikt. “Kortom, het is een interessante en boeiende sector om in te werken die bovendien volop ontplooiingsen doorgroeimogelijkheden biedt.”

Technische commissie Cyber

VNAB heeft van cyberveiligheid een topprioriteit gemaakt. “De snelle ontwikkelingen in het cyberdomein vragen om kennisdeling over cyberveiligheid, cyberrisico’s en het bestrijden en voorkomen van cybercrime. Daarvoor is de technische commissie Cyber in het leven geroepen”, schrijft de organisatie op haar website. De commissie houdt zich als adviesorgaan van het VNAB-bestuur bezig met de actuele marktontwikkelingen, het aantrekkelijk maken van de cyberverzekeringsbranche, het mede organiseren van kennisbijeenkomsten en waar mogelijk met adviezen te komen om de dienstverlening verder te verbeteren. Het is bovendien de enige technische commissie die zich niet met voorwaarden en clausules bezighoudt.

De technische commissie Cyber bestaat uit: voorzitter Nynke Brouwer (Advocaat bij Stibbe Advocaten) en de leden Derk Bruintjes (Cyber Lead Central Europe bij Crawford & Company), Jorit Koopmans (Underwriter Cyber bij QBE Nederland), Xandra ter Riet - Lokkerbol (Senior Sales & Development Underwriter Professional Insurance & Cyberrrisks bij Hiscox, Sjaak Schouteren (Cyber Practice Leader bij Marsh), Marie-Louise de Smit (Broking Manager Cyber bij Aon), Joppe Willeboordse (Senior Underwriter Cyber & D&O bij Markel) en Stefan Zwager (Underwriting Manager Cyber & Professional Liability).