Gids Cyberbeveiliging Risicobeheer

Wat uw cyberverzekeraar verwacht voordat hij een claim betaalt

De markt voor cyberverzekeringen is tussen 2020 en 2022 meer veranderd dan in de voorgaande twintig jaar bij elkaar. Vervoerders die ooit een brede dekking boden met minimale controlevragen, hebben nu gedetailleerde vragenlijsten, technische attesten en in sommige gevallen externe audits nodig. En als u een claim indient zonder de controles die u zei te hebben, zal de verzekeraar op zoek gaan naar redenen om niet uit te betalen.

CT
Cyvra-team
Cyvra-advies
3 mei 2026
8 minuten lezen
Belangrijkste afhaalrestaurants
  • De verhardingscyclus van 2021 maakte technische controles verplicht en niet optioneel voor het meeste cyberbeleid
  • MFA voor externe toegang is de meest voorkomende reden waarom vervoerders weigeren te citeren
  • Forensisch onderzoek na inbreuk zal controleren of uw controles overeenkomen met wat u in de aanvraag heeft vermeld
  • Lloyd's of London sluit nu door de staat gesponsorde aanvallen uit van een zelfstandig cyberbeleid
  • Sublimieten van eigen en derde partijen in uw polisblad wijken vaak af van de hoofdlimiet

Waarom het afsluiten van cyberverzekeringen is veranderd

De ransomware-epidemie van 2020 en 2021 kostte verzekeraars meer dan ze hadden gemodelleerd. Colonial Pipeline, JBS Foods en tientallen ziekenhuissystemen dienden binnen enkele maanden na elkaar claims van meerdere miljoenen dollars in. De gecombineerde verliesratio op de markt bereikte een onhoudbaar niveau: vervoerders betaalden meer aan claims dan ze aan premie inden, met daarbovenop nog overheadkosten.

De premies stegen fors. Marsh McLennan rapporteerde voor sommige segmenten een gemiddelde stijging van 130% in het vierde kwartaal van 2021. Vervoerders introduceerden ook specifiek sublimieten voor ransomware, dus een beleid met een hoofdlimiet voor elke cybergebeurtenis zou het herstel van ransomware op de helft van dat bedrag kunnen beperken, met een hoger eigen risico.

$ 1,54 miljoen
Gemiddelde ransomwarebetaling in 2024 volgens het Sophos State of Ransomware-rapport
$ 2,73 miljoen
Gemiddelde totale kosten van een ransomware-aanval, inclusief herstel (Sophos 2024)
130%
Maximale gemiddelde premiestijging in het vierde kwartaal van 2021 volgens de Marsh Global Insurance Market Index

Sindsdien is de markt gestabiliseerd. De gemiddelde premiestijgingen daalden tot ongeveer 3% in 2023 doordat vervoerders hun boeken aanpasten en de controle-eisen werden aangescherpt. Maar de controles die uit die verhardingscyclus voortkwamen, zijn nu vaste waarden. Ze verdwijnen niet als de markt verder verzacht.

De vijf controles die verzekeraars eerst controleren

Moderne acceptatieaanvragen bevatten 40 of meer vragen. Vijf bedieningselementen wegen zwaarder dan alle andere samen. Als u deze vijf niet kunt aantonen, kunt u een afgewezen offerte of dekking met aanzienlijke uitzonderingen verwachten.

1
Multi-factor authenticatie (MFA)
Specifiek op het gebied van e-mail, VPN, externe desktoptoegang, bevoorrechte accounts en cloudbeheerportals. MFA op e-mail alleen is niet voldoende. Veel providers zullen weigeren een offerte uit te brengen als de MFA geen externe toegang heeft, ongeacht andere bedieningselementen.
2
Eindpuntdetectie en -respons (EDR)
Geen traditionele antivirus. EDR-tools detecteren gedragsafwijkingen en kunnen gecompromitteerde eindpunten isoleren voordat laterale beweging optreedt. Verzekeraars willen dat EDR wordt geïmplementeerd op alle eindpunten, niet alleen op servers.
3
Onveranderlijke, offline back-ups
Back-ups die aanvallers niet kunnen bereiken en versleutelen. Regelmatig getest, met schriftelijk restauratietestrapport. Zonder geverifieerde back-ups stijgen de herstelkosten voor ransomware sterk en neemt de druk om het losgeld te betalen toe.
4
Beheer van bevoorrechte toegang (PAM)
Controle over wie beheerdersreferenties heeft, met in de tijd beperkte toegangssessies en het opslaan van inloggegevens. Domeinbeheerdersaccounts vormen de belangrijkste laterale verplaatsingsroute van ransomware nadat er een eerste voet aan de grond is gezet.
5
Patchbeheer met gedocumenteerde SLAs
Kritieke en zeer ernstige kwetsbaarheden zijn binnen een gedefinieerd tijdsbestek verholpen. Veel beleidsregels vereisen patches binnen 30 dagen na release; sommigen specificeren er 14 voor kritische CVE’s. Bekende, niet-gepatchte kwetsbaarheden kunnen een claim ongeldig maken als ze de aanvalsvector vormen.

Naast deze vijf vragen providers steeds vaker naar DMARC-, DKIM- en SPF-e-mailauthenticatie (vermindert de blootstelling aan phishing en zakelijke e-mail), netwerksegmentatie en of u een gedocumenteerd incidentresponsplan heeft dat in de afgelopen twaalf maanden is getest.

Hoe het sollicitatieproces eruit ziet

De nauwkeurigheid van uw antwoorden is belangrijker dan de kwaliteit van uw controles. Forensisch onderzoek na de inbreuk zal controleren wat er op zijn plaats was, niet wat u zei dat er was. Als er een kloof bestaat tussen deze twee, heeft de verzekeraar redenen om de claim wegens onjuiste voorstelling van zaken aan te vechten.

Typische sollicitatievragen hebben betrekking op:

  • Of MFA afzonderlijk wordt ingezet voor e-mail, VPN, externe toegang, cloudservices en bevoorrechte accounts, en niet als een enkel ja/nee-antwoord
  • Het percentage eindpunten dat onder EDR valt
  • Uw patchbeheer SLA voor kritieke kwetsbaarheden
  • Of u over een gedocumenteerd incidentresponsplan beschikt en wanneer dit voor het laatst is getest
  • Of back-ups worden getest op herstel en hoe vaak
  • Of u over PAM-controles beschikt en of bevoorrechte accounts worden gekluisd
  • Jaaromzet, aantal medewerkers, verwerkte gegevenstypen (PII, betaalkaart, gezondheid) en sector

Vul de vragenlijst niet uit het hoofd in. Maak een inventaris van controles voordat u begint: wijs elke vereiste controle toe aan het systeem of de gebruikersgroep die eronder valt, de verantwoordelijke persoon en de datum van de laatste controle. Neem documentatie mee naar het aanvraagproces. Als u tijdens deze oefening lacunes ontdekt, behandel deze dan voordat u zich aanmeldt, in plaats van erna.

Praktische tip

Vraag een kopie van de aanvraag van vorig jaar aan bij uw makelaar. Het vergelijken van de antwoorden van jaar tot jaar met uw huidige situatie is een van de snelste manieren om vast te stellen waar uw documentatie niet overeenkomt met uw controles.

Hoe verzekeraars claims beoordelen

Wanneer u een claim indient, wijst uw verzekeraar een forensisch bureau aan. De primaire functie van dat bedrijf is het vaststellen van de hoofdoorzaak, de reikwijdte en de vraag of uw controles overeenkwamen met uw toepassing. Ze zullen Active Directory-logboeken en firewallrecords bekijken, beoordelen of MFA op elk door u beschreven authenticatiepunt is afgedwongen, back-uplogboeken onderzoeken en controleren of de initiële aanvalsvector een bekende, niet-gepatchte kwetsbaarheid was.

Het forensisch rapport gaat naar de verzekeraar voordat de claim wordt afgehandeld. Als het uw aanvraag tegenspreekt, zal de verzekeraar dat gebruiken om de claim aan te vechten. Dit is niet theoretisch: het aantal afgewezen cyberclaims is gestegen.

Het tweede dat de uitkomst van een claim bepaalt, is de timing van de kennisgeving. Bij de meeste polissen moet u uw verzekeraar onmiddellijk op de hoogte stellen nadat u zich bewust bent geworden van een incident, doorgaans binnen 72 uur. Late kennisgeving is op zichzelf al een reden om de claim te verminderen, ongeacht of er controles zijn uitgevoerd.

Belangrijk

Neem contact op met uw verzekeraar en juridisch adviseur voordat u een PR-bureau inschakelt of externe verklaringen aflegt na een inbreuk. Veel polissen dekken de kosten van crisiscommunicatie, maar alleen als de verzekeraar het communicatiebedrijf goedkeurt. Als u er onafhankelijk een inschakelt, kan dat dekkingselement teniet worden gedaan.

Uitsluitingen die u moet begrijpen

Lees uw polisblad, niet alleen het marketingoverzicht. De uitsluitingen die er het meest toe doen, worden niet prominent vermeld.

!
Door de staat gesponsorde oorlogsuitsluitingen
In 2023 verplichtte Lloyd's of London alle syndicaten om verliezen die toe te schrijven zijn aan door de staat gesponsorde cyberoperaties uit te sluiten van op zichzelf staand cyberbeleid. Gezien het feit dat een aanzienlijk deel van de ransomware-infrastructuur gekoppeld is aan door de staat gesteunde groepen, heeft deze uitsluiting een praktische reikwijdte die verder gaat dan conflicten tussen staten. Controleer hoe uw beleid attributie definieert en welke bewijslast van toepassing is.
!
Ransomware-sublimieten
Veel beleidsmaatregelen beperken ransomware-gerelateerde verliezen tot een sublimiet onder de totale beleidslimiet. Een beleid met een maximale limiet van € 5 miljoen zou de betalingen voor ransomware kunnen beperken tot € 1 miljoen. Lees het schema aandachtig.
!
Eerder bekende gebeurtenissen
Als u vóór de ingangsdatum van uw polis een inbreuk heeft ondervonden en dit niet openbaar hebt gemaakt, wordt dekking voor gerelateerde claims uitgesloten. Lopende incidenten of bekende kwetsbaarheden die dateren van vóór het beleid, worden doorgaans ook uitgesloten.
!
Het niet handhaven van de controles
Als u bij de aanvraag heeft verklaard dat u een controle had en deze vervolgens vóór een incident hebt verwijderd of uitgeschakeld, heeft uw verzekeraar redenen om de claim te verminderen of te weigeren. De controles moeten gedurende de gehele beleidsperiode van kracht blijven.

Voorbereiden op vernieuwing

De beste tijd om u voor te bereiden op verlenging is zes maanden voordat deze plaatsvindt. De meeste makelaars zullen u twee tot drie maanden later een vragenlijst vóór de verlenging geven. Op dat moment zal het langer duren voordat de gaten die je tegenkomt, zijn gedicht dan nu het geval is.

1
Vul een controle-inventaris in
Documenteer wat u heeft, waar het wordt ingezet, wie verantwoordelijk is en wanneer het voor het laatst is beoordeeld. Doe dit voor elk besturingselement waar de toepassing naar vraagt, niet alleen voor de vijf hierboven.
2
Test uw back-ups
Voer een volledige restauratietest uit en maak een schriftelijk rapport met datum, omvang en resultaat. Een back-uplogboek met geplande uitvoeringen is niet hetzelfde als een getest herstel.
3
Controleer uw MFA-dekking
Log in op elk systeem voor externe toegang, cloudconsole en geprivilegieerde accountinterface en controleer of MFA wordt afgedwongen en niet alleen maar beschikbaar is. Noteer eventuele gaten.
4
Update uw incidentresponsplan
Vermeld de contactpersonen van uw verzekeraar, juridisch adviseur en goedgekeurd PR-bedrijf. Voeg de meldingsstap van 72 uur toe. Documenteer de laatste beoordelingsdatum.
5
Voer een tafeloefening uit
Simuleer een ransomware-incident met uw kernteam. Documenteer de trainingsdatum, deelnemers en bevindingen. Vervoerders vragen steeds vaker of dit de afgelopen twaalf maanden is gebeurd.
6
Voer een kwetsbaarheidsscan uit voordat u zich aanmeldt
Exporteer een huidige scan waarin uw patchstatus wordt weergegeven ten opzichte van bekende CVE's. Dit geeft u documentatie ter ondersteuning van uw SLA-claims over patchbeheer, en het onthult eventuele kritieke risico's die u moet sluiten voordat u de aanvraag indient.

Een organisatie die tot vernieuwing komt met een voltooide controle-inventarisatie, een getest back-uprapport en een gedocumenteerde tabletop-oefening bevindt zich in een sterkere positie dan een organisatie die op het geheugen vertrouwt. De documentatie is ook wat een forensisch onderzoek na de inbreuk overleeft.

ENISA's richtlijnen over minimale beveiligingsbasismaatregelen zijn beschikbaar op enisa.europa.eu. De NCSC publiceert praktische implementatierichtlijnen voor de technische controles die verzekeraars en toezichthouders doorgaans vereisen.

Veelgestelde vragen

Welke controles eisen cyberverzekeraars minimaal?

De meeste providers hebben nu minimaal het volgende nodig: MFA voor alle externe toegang en e-mail, eindpuntdetectie en respons (EDR) voor alle eindpunten, geteste onveranderlijke back-ups, een gedocumenteerd incidentresponsplan en een patchbeheerproces met SLAs. Velen vereisen ook privileged access management (PAM) -controles en DMARC-e-mailauthenticatie. Sommige providers zullen helemaal weigeren offertes te maken zonder MFA voor externe toegang, ongeacht andere bestaande controles.

Kan een cyberverzekeraar mijn claim afwijzen na een inbreuk?

Ja. Verzekeraars kunnen claims op verschillende gronden weigeren of verminderen: verkeerde voorstelling van zaken op de aanvraag (waarin staat dat u controles had waarvan uit forensisch onderzoek na de inbreuk blijkt dat u die niet had); het niet in stand houden van de controles tussen de aanvraag en het incident; het niet melden binnen het vereiste venster; of omdat het verlies binnen een beleidsuitsluiting valt, zoals de uitsluiting van oorlog of door de staat gesponsorde aanvallen. De meest voorkomende oorzaak van claimcomplicaties is een kloof tussen wat er op de aanvraag stond en wat uit het forensisch onderzoek is gebleken.

Wat is de uitsluiting van door de staat gesponsorde aanval door Lloyd's of London?

In 2023 verplichtte Lloyd's of London alle syndicaten om verliezen die toe te schrijven zijn aan door de staat gesponsorde cyberoperaties uit te sluiten van op zichzelf staand cyberbeleid. De uitsluiting is van toepassing wanneer de verzekerde niet kan aantonen dat de aanval niet door de staat is gesponsord. Gezien het feit dat een aanzienlijk deel van de ransomware-infrastructuur gekoppeld is aan door de staat gesteunde groepen, heeft deze uitsluiting praktisch bereik. Sommige vervoerders passen het alleen toe boven een bepaalde verliesdrempel; Anderen passen het breder toe. Controleer de formulering van uw polis zorgvuldig.

Hoe documenteer ik mijn beveiligingscontroles voor een cyberverzekeringsaanvraag?

Bouw een controle-inventaris op waarin elke vereiste controle wordt toegewezen aan het systeem of de gebruikersgroep die eronder valt, de verantwoordelijke persoon en de laatste beoordelings- of testdatum. Voor MFA logt u in op elk systeem en verifieert u de handhaving in plaats van alleen de beschikbaarheid. Voer voor back-ups een testherstel uit en maak een schriftelijk rapport. Voor patchbeheer exporteert u een huidige kwetsbaarheidsscan om uw patchstatus te vergelijken met bekende CVE's. Noteer voor uw incidentresponsplan wanneer het voor het laatst is beoordeeld en of er in de afgelopen twaalf maanden een tabletop-oefening is uitgevoerd.

Wat is het verschil tussen cyberdekking van eerste en derde partijen?

First-party dekking vergoedt de verliezen die uw organisatie rechtstreeks lijdt: kosten voor incidentrespons, forensisch onderzoek, losgeldbetalingen (indien gedekt), bedrijfsonderbreking, gegevensherstel en meldingskosten. De dekking van derden betaalt claims die door anderen tegen u zijn ingediend als gevolg van uw schending, inclusief klanten, partners en toezichthouders. Het meeste beleid omvat beide. Controleer uw polisblad op sublimieten voor elke categorie, aangezien een polis met een hoge limiet de betalingen voor ransomware of aansprakelijkheid jegens derden kan beperken tot aanzienlijk lagere bedragen.

Praat met Cyvra

Is uw beveiligingshouding klaar voor de verlenging van uw cyberverzekering?

Wij helpen organisaties in Nederland en Groot-Brittannië de gaten in de controle te dichten die van invloed zijn op de verzekerbaarheid en premiekosten, met documentatie die een forensisch onderzoek na de inbreuk overleeft.

Neem contact op Onze cyberbeveiligingsdiensten

Vrijwaring: Dit artikel is uitsluitend bedoeld voor algemene informatiedoeleinden en vormt geen juridisch, regelgevend of professioneel advies. Cyvra geeft geen garantie met betrekking tot de juistheid of volledigheid van deze inhoud, die mogelijk niet de meest recente ontwikkelingen op regelgevingsgebied weerspiegelt. Lezers moeten onafhankelijk juridisch en regelgevend advies inwinnen dat geschikt is voor hun specifieke omstandigheden. Cyvra aanvaardt geen aansprakelijkheid voor enig verlies dat voortvloeit uit het vertrouwen op deze inhoud.