Human capital & corporate risk

Cybercriminaliteit: toenemende aantallen en omvang

In deze nieuwsbrief gaan wij in op de ontwikkelingen op het gebied van cyberrisico’s en recente voorgestelde Nederlandse cyber wetgeving en initiatieven met een gastvisie van Eva Schothorst-Gransier, Nosh van der Voort en Sharon van Norden, alle drie advocaat bij de sectie Verzekeringsrecht van het internationale advocatenkantoor Simmons & Simmons.

Het thema cybercriminaliteit staat hoger dan ooit op de agenda bij de directies van organisaties. Het is een risico voor onder­nemingen dat steeds meer aandacht vraagt en krijgt. Er wordt veel gesproken en geschreven hoe calamiteiten op dit vlak te managen. Voorkomen lijkt een illusie, maar bewust zijn van de risico’s en goed voorbereid zijn op een calamiteit zijn van groot belang. Laat u zich daarom goed informeren door specialisten op dit gebied en zorg dat de preventieve maatregelen én verzekering up-to-date blijven. Het wetsvoorstel Bevordering digitale weerbaarheid bedrijven gaat u hopelijk helpen met het vergaren van informatie.

De nieuwsberichten zorgen ervoor dat wij ons steeds bewuster zijn van de risico’s die wij lopen, als organisatie en als bestuurder. Ransomware, CEO-fraude, hacks, diefstal van intellectueel eigendom, en datalekken; een greep uit het dagelijks nieuws. Iedere organisatie loopt risico en heeft daarmee een cybervraagstuk, of zou dat tenminste moeten hebben.

Ook de verzekeringsmarkt voor het afdekken van cyberrisico’s is erg in beweging. Met de toenemende aantallen en omvang van cyberincidenten komen de ontwikkelingen op de verzekeringsmarkt ook in een stroomversnelling. Verschillende initiatieven zijn gericht op het beheersen van cyberrisico’s, maar ook op het verschaffen van inzicht in preventiemaatregelen.

Het afdekken van cyberrisico’s middels een verzekeringsoplossing lijkt voor de hand liggend. Zeker gezien de ontwikkelingen en laatste berichtgevingen rond cyberincidenten. In werkelijkheid is niets minder waar.

Ondanks de toenemende aantallen en omvang van de cyberrisico’s blijkt de risicoperceptie bij veel ondernemingen toch nog relatief laag. Anderzijds is het aantal verzekeraars dat verzekeringsoplossingen voor cyberrisico’s aanbiedt ook relatief klein. Derhalve verwachten wij sterke premiestijgingen en strengere eisen en uitsluitingen in de voorwaarden. Verzekeraars vragen u ook om uitgebreide informatie aan te leveren, zodat zij het cyberrisico van uw organisatie zo goed mogelijk in kunnen schatten. Zorg er dus voor dat het onderwerp op de agenda blijft staan en dat u goed voorbereid bent op een eventuele cyberaanval.

Kröller Boom heeft de afgelopen jaren veel cyber expertise opgebouwd om dit soort specifieke risico’s te beperken en af te dekken door middel van op maat gemaakte cyberrisico verzekeringen. Kröller Boom weegt de risico-aspecten en helpt u weloverwogen beslissingen te nemen ten aanzien van het financieren van risico’s. Maatwerk is van groot belang en leidt tot resultaatgerichte oplossingen en ondersteuning. Tevens vormt het een belangrijk deel van uw Business Continuity Management.

Gastvisie van het advocatenkantoor Simmons & Simmons met Eva Schothorst-Gransier, Nosh van der Voort en Sharon van Norden.

Verbetering digitale weerbaarheid niet-gereguleerde bedrijven.

Overheid gaat bedrijfsleven actiever informeren over digitale dreigingen.

1. Inleiding

De overheid gaat een actievere rol innemen bij het informeren van het bedrijfsleven over digitale dreigingen. Waar tot op heden enkel de Rijksoverheid, vitale aanbieders en digitale dienstverleners worden gewaarschuwd bij cyberdreigingen, moet een nieuw wetsvoorstel zorgen voor een grotere digitale weerbaarheid van het gehele bedrijfsleven. Anticiperend op dit wetsvoorstel Bevordering digitale weerbaarheid bedrijven heeft de overheid vanuit pragmatisch oogpunt besloten vanaf 13 september jl. al te starten met het waarschuwen van niet-gereguleerde bedrijven over cyber dreigingen.

2. Nationaal Cyber Security Centrum en Digital Trust Center

In Nederland zijn het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) opgericht om instanties, bedrijven en burgers te waarschuwen over cyberdreigingen. De Wet beveiliging netwerk- en informatiesystemen (“Wbni”) regelt de wettelijke taken van het NCSC op het terrein van cybersecurity en biedt de juridische grondslag voor het waarschuwen, informeren en adviseren over dergelijke digitale dreigingen en incidenten.

De wet beoogt de digitale weerbaarheid van Nederland te bevorderen. Benadrukt moet echter worden dat deze wet alleen van toepassing is op:

  • De Rijksoverheid;
  • Vitale aanbieders (zoals energiebedrijven, drinkwaterbedrijven en banken); en
  • Digitale dienstverleners (o.a. aanbieders van clouddiensten).

Het gevolg hiervan is dat andere, niet-gereguleerde, bedrijven buiten de boot vallen op het moment dat de overheid informatie deelt over digitale kwetsbaarheden, dreigingen en incidenten. Dit geringe werkveld van het NCSC, de roep van het bedrijfsleven om dreigingsinformatie breder te delen en de wens van de overheid om de digitale weerbaarheid van bedrijven te versterken hebben geleid tot het voorstel Wet bevordering digitale weerbaarheid bedrijven.

3. Het wetsvoorstel Bevordering digitale weerbaarheid bedrijven

Dit wetsvoorstel regelt de taken en bevoegdheden van de Minister van Economische Zaken en Klimaat (“Minister van EZK”) op het gebied van de verbetering van de digitale weerbaarheid van het niet-vitale bedrijfsleven in Nederland. De taken en bevoegdheden van de Minister van EZK zijn gedelegeerd aan het al bestaande DTC. Voor het DTC zijn twee hoofdtaken geformuleerd. Ten eerste informatie en advies geven, ten tweede het bevorderen van samenwerking tussen bedrijven op het gebied van digitale weerbaarheid.

De verwachting is dat door middel van de nieuwe wet het bedrijfsleven beter kan worden voorzien van praktische handvatten waarmee deels invulling kan worden gegeven door bedrijven aan de passende technische en organisatorische maatregelen als bedoeld in artikel 32 van de Algemene Verordening Gegevensbescherming. In de praktijk zou de wet dus een nuttig instrument kunnen zijn dat ter invulling kan dienen van de (cybersecurity-)zorgplicht die bedrijven in het kader van de AVG hebben.

Het wetsvoorstel dient nog wel goedgekeurd te worden door het parlement.

4. De DTC Informatiedienst

Vooruitlopend op de uitvoering van de wet is het DTC vanaf 13 september jl. gestart met de DTC Informatiedienst. Het DTC krijgt hierbij specifieke dreigingsinformatie van het NCSC en kan de betrokken bedrijven waarschuwen over ernstige dreigingen zodat deze maatregelen kunnen nemen om mogelijke schade te voorkomen of te beperken. Het DTC geeft daarbij, waar mogelijk, advies over te nemen maatregelen, zoals het installeren van beveiligingsupdates, het aanpassen van wachtwoorden of het inschakelen van een IT-specialist. Op dit moment kan het DTC deze taak nog slechts uitvoeren op beperkte schaal en bij ernstige dreigingen. Het doel voor de langere termijn is een systeem waarbij dreigingsinformatie aan groepen bedrijven kan worden gekoppeld.

5. Eigen initiatief van het bedrijfsleven

Parallel aan dit initiatief van de overheid heeft het bedrijfsleven samen met verschillende branche- en non-profitorganisaties recentelijk aangekondigd zelf een waarschuwingssysteem te introduceren dat organisaties en ondernemingen waarschuwt voor kwetsbaarheden binnen hun systemen en netwerken. Op deze manier hoopt het bedrijfsleven zelf de leemte op te vullen die nu nog bestaat bij urgente informatieverstrekking in het kader van cyberdreigingen.

6. Gevolgen voor de verzekeringsbranche

Met het wetsvoorstel en de reeds gestarte praktische uitvoering wil de overheid de informatiedeling met het Nederlandse bedrijfsleven dat niet valt onder de werking van de Wbni reguleren. Het gaat daarbij om het gehele scala van eenmanszaken tot en met het grootbedrijf. Er lijkt met deze wet gehoor gegeven te worden aan de sterke roep van het bedrijfsleven om hulp van de overheid bij een adequate digitale beveiliging en de wens om geïnformeerd te worden over nieuwe methodes van cybercriminelen.

De informatie die in de praktijk verstrekt kan gaan worden en de te nemen maatregelen kunnen ook de verzekeringsbranche raken. Hoe gaat de verzekeraar bijvoorbeeld om met een bedrijf dat informatie krijgt aangereikt op basis waarvan het zelf kan beoordelen of en in welke mate het maatregelen moet treffen ter mitigatie van een kwetsbaarheid of ter afwering van een dreiging, maar niet of niet adequaat handelt? Welke kosten worden gedekt op het moment dat het bedrijf vervolgens door cybercriminelen wordt aangevallen? En op welk moment kan en dient de verzekeraar ingelicht te worden door het bedrijf over de dreigingsinformatie? Met de praktische uitvoering van de wet en de pragmatische oplossingen van de overheid en het bedrijfsleven zelf in aanloop van de wet, kunnen er (in)directe gevolgen voor de verzekeringsbranche in het verschiet liggen.

Wanneer zowel verzekeraars als bedrijfsleven anticiperen op de besproken ontwikkelingen biedt dat ruimte voor een betere verzekerbaarheid van cyberrisico’s in de huidige markt. Samenwerking is essentieel om ondernemend Nederland, voor nu en in de toekomst, voldoende beschermd draaiende te houden.


Martine Deveneijns. Head of Organisation & Business Development


Mirjam Weststrate. Manager New Business & Business Development

Cybercrime

Cybercrime wordt door management als de op een na grootste bedreiging van de continuïteit gezien. Deze risico’s zijn daarom niet alleen een aangelegenheid voor de ICT-afdeling, maar een risico waar iedereen binnen een organisatie zich van bewust dient te zijn en de organisatie op aan dient te passen.

Lees verder