Hoe is het risico op schade door cybercriminaliteit te dekken?

Incidenten als DDoS-aanvallen, gestolen wachtwoorden, chantage via internet komen in toenemende mate voor en veroorzaken wereldwijd naar schatting voor meer dan 100 miljard euro aan schade. Bovendien zijn bedrijven verplicht om inbreuken te melden (Europese Cyber Security richtlijn en de Meldplicht Datalekken in Nederland). Bij een inbreuk op die voorschriften kunnen hoge boetes, tot 450.000 euro, worden opgelegd. Sinds enkele jaren zijn voor die financiële risico’s verzekeringen af te sluiten. Feitelijk is er nu één type verzekering dat door ongeveer tien verzekeraars wordt aangeboden en bij elke verzekeraar ongeveer dezelfde kostencomponenten dekt. De gedekte kosten zijn:

• Aansprakelijkheid voor schade aan derden, doordat hun gegevens van uw bedrijf zijn gestolen of beschadigd;
• Boetes;
• Crisismanagement. Vergoeding voor bijvoorbeeld incidentrespons, de inzet van pr-adviseurs, juridische adviseurs, experts voor forensisch onderzoek;
• Reconstructiekosten. Kosten voor het herstel als er gegevens zijn beschadigd of verloren gegaan;
• Afpersing, bijvoorbeeld in de vorm van ransomware;
• Bedrijfsstilstand. Hierbij gaat het om vergoeding van gemiste nettowinst. Dit is vooral interessant voor bedrijven die voor hun omzet in grote mate afhankelijk zijn van ICT, zoals webwinkels.

Daarnaast zijn er verzekeraars die aanvullend juridische kosten dekken, de kosten van bescherming voor de verzekerde die aansprakelijk wordt gesteld voor smaad, laster, het verspreiden van virussen via e-mail, of schade die ontstaat doordat iemand uit uw naam uitingen doet, kosten die worden gemaakt als er een inbreuk is geweest in de systemen (bijvoorbeeld forensisch ICT-onderzoek, instellen van een callcenter, monitoren van betaaltransacties.