Het Amerikaanse Acrisure en het Nederlandse Nedscaper gaan deze week samenwerken om cyberverzekerbaarheid te verbeteren in Nederland en Europa. Zij koppelen beveiligingsdiensten en advies direct aan cyberverzekeringen. Zo moeten bedrijven sneller voldoen aan strengere eisen van verzekeraars. De Europese AI-verordening gevolgen overheid en bedrijfsleven en de komst van NIS2 maken die eisen urgenter.
Verzekering eist weerbaarheid
Cyberverzekeraars accepteren een polis steeds vaker alleen als basismaatregelen op orde zijn. Denk aan multi-factor-authenticatie, snelle patching en goede back-ups. Zonder deze weerbaarheid dalen dekkingen of stijgen premies. Dat zet vooral druk op het mkb.
In de samenwerking neemt Acrisure de risicobeoordeling en polisopties op zich. Nedscaper levert metingen, verbeterplannen en doorlopend beheer van beveiliging. Bedrijven krijgen zo één aanspreekpunt voor risico, mitigatie en verzekerbaarheid. Dat moet het acceptatieproces versnellen.
De kern is dat beveiliging aantoonbaar en meetbaar wordt. Rapportages koppelen technische maatregelen aan verzekeringscriteria. Zo ontstaat een duidelijker beeld van restÂrisico’s en eventuele uitsluitingen. Dit helpt ook bij het bepalen van passende limieten en eigen risico.
NIS2 verhoogt lat in EU
NIS2 breidt de zorgplicht voor cyberbeveiliging uit naar veel meer sectoren. Meer organisaties moeten risico’s beheersen en ernstige incidenten snel melden. Dat geldt ook voor toeleveranciers in kritieke ketens. Verzekeraars kijken mee of processen en meldplichten zijn ingericht.
Voor financiële instellingen komt daar DORA bij, die ICT‑risico’s en testen verder aanscherpt. Samen verhogen deze regels de lat voor bestuur en toezicht. Documentatie, interne controle en herstelcapaciteit worden doorslaggevend. Dat sluit aan op de aanpak die Acrisure en Nedscaper nu koppelen aan verzekerbaarheid.
De combinatie van maatregelen en beleid weegt zwaar in premies en voorwaarden. Snelle detectie en respons beperken schade en stilstand. Die aantoonbare veerkracht kan latere premieverlagingen mogelijk maken. Zonder basis op orde blijft de markt echter krap.
NIS2 verplicht essentiële en belangrijke entiteiten tot risicobeheer en snelle melding van incidenten bij nationale autoriteiten.
Gegevens onder de AVG
Beveiligingsmonitoring verwerkt vaak persoonsgegevens, zoals inloggegevens en IP‑adressen. Daarmee geldt de AVG onverminderd. Dataminimalisatie, versleuteling en heldere bewaartermijnen zijn nodig. Een verwerkersovereenkomst is op het moment van schrijven onmisbaar.
Ook het delen van risico-informatie met verzekeraars vraagt zorg. Alleen noodzakelijke data horen in een dossier. Pseudonimisering kan extra bescherming bieden. Transparantie naar medewerkers en klanten voorkomt discussies achteraf.
Let op waar data worden opgeslagen en wie toegang heeft. Europese opslag en duidelijke subverwerkers verkleinen juridische risico’s. Bij overdracht buiten de EU zijn aanvullende waarborgen vereist. Dit alles weegt mee in audit en acceptatie.
Europese AI-verordening gevolgen overheid
Veel beveiligingsplatforms gebruiken algoritmen voor detectie en prioritering. Onder de AI‑verordening moeten aanbieders en gebruikers van zulke systemen meer documenteren. Denk aan risicobeheer, logging en menselijke controle. Dit raakt ook publieke instellingen die deze technologie inkopen.
Als verzekeraars algoritmen inzetten voor geautomatiseerde risicoscores, gelden extra eisen. Afhankelijk van het gebruik kan dit als hoog risico worden gezien, met strengere plichten. Uitlegbaarheid en non-discriminatie worden dan belangrijker. Menselijke toetsing blijft vereist bij belangrijke beslissingen.
Overheden moeten daarbij rekening houden met hun zorgplicht en inkoopregels. Steeds meer Nederlandse instellingen publiceren gebruikte algoritmen in registers. Dat vergroot controle en vertrouwen. Leveranciers die dit faciliteren, hebben een streepje voor.
AI in detectie en underwriting
Nedscaper en vergelijkbare partijen gebruiken vaak machinelearning voor snellere dreigingsdetectie. Zulke systemen analyseren patronen en verkleinen ruis in meldingen. Dat helpt om incidenten eerder te stoppen. De effectiviteit staat of valt met goede data en tuning.
Verzekeraars combineren incidentdata, vragenlijsten en externe scans in risicomodellen. Die modellen sturen premies, dekkingen en eisen aan klanten. Zonder actuele beveiligingsgegevens verslechtert de score. Met betere gegevens en maatregelen verbetert de positie bij acceptatie.
Volledige automatisering kent grenzen en risico’s. Onjuiste aannames leiden tot verkeerde prijzen of uitsluitingen. Daarom hoort menselijke controle in het proces te blijven. Audittrail en uitlegbaarheid maken discussies over claims beheersbaar.
Praktische stappen voor 2024
Begin met basismaatregelen die verzekeraars eisen. Activeer multi‑factor‑authenticatie, maak offline back‑ups en update systemen tijdig. Zet endpoint‑beveiliging en logmonitoring aan. Train medewerkers tegen phishing.
Leg beleid, rollen en processen vast. Maak een incidentresponsplan en oefen dat minimaal jaarlijks. Koppel maatregelen aan NIS2‑eisen en sectorregels. Bewaar bewijs in een centraal dossier voor audits en acceptatie.
Stel bij inkoop scherpe vragen over data, AI en compliance. Waar staan logs, hoe lang blijven ze bewaard en welke modellen worden gebruikt? Vraag om rapportages die verzekeraars herkennen. Dat versnelt offertes en drukt kosten op het moment van schrijven.
