We waarderen uw privacy

We gebruiken cookies om uw browse-ervaring te verbeteren, gepersonaliseerde advertenties of inhoud weer te geven en ons verkeer te analyseren. Door op ‘Alles accepteren’ te klikken, stemt u in met ons gebruik van cookies.

    TRON Group
    Terug naar blog
    Cyberverzekering voor het MKB - overzicht van dekking, premies en beveiligingseisen die verzekeraars stellen aan Nederlandse bedrijven
    Cyber Security

    Cyberverzekering voor het MKB: Wat Dekt Hij en Wat Kost Hij?

    TRON Group• Cybersecurity & Risk Management Experts
    9 minuten lezen

    Een cyberverzekering klinkt als de oplossing voor ransomware en datalekken, maar wat dekt zo'n polis nou echt en wanneer betaalt de verzekeraar uit? We zetten eerlijk op een rij wat een cyberverzekering wel en niet doet, welke eisen verzekeraars stellen aan jouw beveiliging, en waarom techniek en verzekering elkaar nodig hebben.

    Een cyberverzekering klinkt als de oplossing voor een ondernemer die wakker ligt van ransomware en datalekken. Maar wat dekt zo'n cyberverzekering nou eigenlijk, wat kost hij, en betaalt de verzekeraar straks ook echt uit? In dit artikel leggen we eerlijk uit wat een cyberverzekering voor het MKB wel en niet doet, welke eisen verzekeraars stellen, en waarom techniek en verzekering elkaar nodig hebben in plaats van vervangen.

    Wat is een cyberverzekering precies?

    Een cyberverzekering is een bedrijfsverzekering die financiele schade en herstelkosten dekt die ontstaan door cyberincidenten: een hack, een datalek, ransomware, een DDoS-aanval of een geslaagde phishing. Anders dan een aansprakelijkheids- of inboedelverzekering richt hij zich specifiek op digitale schade en op de gevolgen daarvan voor jouw bedrijf en je klanten.

    In Nederland bieden zowel grote verzekeraars als gespecialiseerde aanbieders cyberpolissen aan. Het Verbond van Verzekeraars beschouwt cyber als een aparte schadebranche, en het NCSC behandelt cyberverzekering als een onderdeel van risicomanagement, niet als vervanging van beveiliging.

    Wat dekt een cyberverzekering wel?

    De precieze dekking verschilt per verzekeraar en per polis, maar in de meeste pakketten kom je deze onderdelen tegen:

    • Eigen schade. Omzetverlies door bedrijfsstilstand, herstelkosten van systemen en data, en kosten voor het inhuren van IT-specialisten om je systemen weer aan de praat te krijgen.
    • Crisismanagement. Juridisch advies, communicatie naar klanten en pers, en de inzet van een forensisch onderzoeker om te bepalen wat er precies is gebeurd.
    • Aansprakelijkheid. Schade die jij toebrengt aan derden, bijvoorbeeld klanten van wie persoonsgegevens zijn gelekt.
    • AVG-gerelateerde kosten. Het onderzoeken en melden van een datalek, en in sommige polissen de kosten van een AVG-boete (voor zover wettelijk verzekerbaar).
    • Cyberafpersing. Begeleiding bij ransomware-incidenten, en in bepaalde gevallen de losgeldsom zelf, mits aan strikte voorwaarden is voldaan.

    Een goede polis dekt zowel direct (jouw eigen schade) als indirect (claims van anderen). De vraag is welke modules je nodig hebt, en daar verschillen polissen sterk in.

    Wat dekt een cyberverzekering juist niet?

    Hier komt de eerlijke kant. Een cyberverzekering is geen wondermiddel, en de uitsluitingen wegen vaak zwaarder dan ondernemers denken.

    • Oorlogshandelingen en staatsaanvallen. Schade door aanvallen die toe te schrijven zijn aan een statelijke actor wordt vrijwel altijd uitgesloten. Deze clausule is in de afgelopen jaren strenger geformuleerd.
    • Schade door nalatigheid. Wie geen multi-factor authenticatie heeft ingeschakeld, geen back-ups maakt, of bekende beveiligingsupdates al maanden negeert, riskeert dat de verzekeraar een claim afwijst of de uitkering verlaagt.
    • Reputatieschade op lange termijn. Klanten die weglopen na een datalek krijg je niet vergoed.
    • Boetes die wettelijk niet verzekerbaar zijn. Een groot deel van bestuurlijke boetes (in bepaalde rechtsgebieden ook AVG-boetes) valt buiten de dekking.
    • Bestaande incidenten. Een ransomware-aanval die al loopt op het moment dat je de polis afsluit, valt niet onder de dekking.

    Lees daarom altijd de polisvoorwaarden, en niet alleen het verkoopblad. De waarde van een cyberverzekering zit in de details. Heb je daar geen tijd voor, vraag dan iemand die wel weet waar in zo'n polis de adders zitten.

    Wat kost een cyberverzekering voor het MKB?

    Een eenduidig bedrag noemen voor "het MKB" zou misleidend zijn, want premies hangen af van je omzet, je sector, het verzekerde bedrag, je beveiligingsniveau en het eigen risico. Wat we wel kunnen zeggen, is de bandbreedte.

    Voor een kleine onderneming starten premies ruwweg vanaf een paar honderd euro per jaar. Voor een grotere MKB-organisatie met een verzekerd bedrag van een half miljoen tot een miljoen euro, lopen jaarpremies al snel op tot ergens tussen 1.000 en enkele duizenden euro's. Het eigen risico ligt vaak tussen 250 en 1.000 euro per gebeurtenis, en wie een hoger eigen risico accepteert, betaalt minder premie.

    Wat je werkelijk betaalt, valt of staat met de risicobeoordeling die de verzekeraar maakt. Een bedrijf met aantoonbare beveiligingsmaatregelen krijgt een gunstigere premie dan een bedrijf zonder enige onderbouwing. Voor het MKB is een offerte bij twee of drie aanbieders verstandig, want de spreiding is groot. Wil je je breder orienteren op wat cybersecurity zelf kost, dan helpt onze gids over wat cybersecurity kost voor het MKB bij het kaderen van het bredere plaatje.

    Welke eisen stellen verzekeraars aan jouw beveiliging?

    Hier wordt het concreet. Verzekeraars willen zien dat je de basis op orde hebt voordat ze tekenen, en die eisen worden elk jaar strenger. De meest voorkomende minimumeisen zijn:

    1. Multi-factor authenticatie (MFA) op alle externe toegang, e-mail en zakelijke accounts. Geen MFA, geen polis of geen uitkering bij een claim.
    2. Werkende back-ups met geteste herstelprocedure, bij voorkeur met een offline of immutable kopie. Een back-up die je nooit hebt getest is voor een verzekeraar geen back-up.
    3. Patchmanagement met aantoonbaar tijdig doorvoeren van beveiligingsupdates op systemen en software.
    4. Awareness training voor medewerkers, vaak in combinatie met phishingsimulaties.
    5. Incident response plan dat beschrijft wie wat doet bij een incident.
    6. Technische basisbeveiliging: firewall, endpointbescherming en logging, ingericht en bijgehouden.

    Deze eisen komen direct uit de richtlijnen van het NCSC en uit de polisvoorwaarden van grote aanbieders. Voor het inrichten van MFA op een veilige manier hebben we een uitgebreide praktische gids over twee-factor authenticatie voor bedrijven, en wie wil weten hoe je medewerkers cyberbewust krijgt, leest onze artikel over security awareness training.

    Waarom een verzekering een hack niet voorkomt

    Dit is misschien wel het belangrijkste deel van dit artikel. Een cyberverzekering vergoedt schade. Hij voorkomt niets. Een goed beveiligd bedrijf wordt minder vaak en minder hard geraakt, en herstelt sneller. Een slecht beveiligd bedrijf wordt vaker geraakt, harder geraakt, en betaalt na een incident vaak alsnog uit eigen zak voor reputatieschade en verloren klanten.

    Het NCSC stelt het nuchter: cyberverzekering is een sluitstuk, niet een vervanger van beveiliging. Onderzoek toont bovendien dat bedrijven met goed ingerichte back-ups veel minder vaak losgeld hoeven te betalen na een ransomware-aanval. Voor wie de breedte van wat goede bescherming inhoudt wil zien, hebben we een tienstappenplan om je bedrijf tegen hackers te beschermen en een uitgebreide cybersecurity-checklist voor het MKB.

    Wanneer is een cyberverzekering voor jouw bedrijf zinvol?

    Een cyberverzekering loont vrijwel altijd, mits hij betaalbaar is en past bij je risicoprofiel. Maar er zijn situaties waarin een verzekering juist heel waardevol wordt:

    • Je verwerkt persoonsgegevens van klanten of patienten op grote schaal.
    • Je hebt een webshop of online platform waarmee een dag stilstand direct omzet kost.
    • Je werkt voor klanten die in hun leveranciersbeoordeling expliciet om een cyberverzekering vragen.
    • Je valt onder regelgeving zoals NIS2 of DORA en wil een financieel vangnet voor de gevolgen van een incident.
    • Je bent net door een incident gegaan en wilt voor toekomstige gevallen een vangnet inbouwen.

    En er zijn situaties waarin een polis weinig toevoegt zolang je beveiliging niet op orde is. Een verzekering afsluiten zonder MFA en zonder geteste back-ups is symptoombestrijding: je krijgt een polis met zoveel uitsluitingen dat hij in de praktijk niet uitkeert.

    Hoe pak je het verstandig aan?

    Behandel het traject als een bedrijfsbeslissing, niet als een snelle aankoop. Een werkbare volgorde:

    1. Maak je beveiliging op orde voordat je een offerte vraagt. MFA, back-ups, patching en awareness training zijn de hoekstenen. Een managed IT-partner helpt je hierbij in een paar weken op niveau.
    2. Inventariseer je risico. Welke data verwerk je, hoeveel omzet verlies je per dag stilstand, welke aansprakelijkheidsrisico's loop je, en welke regelgeving raakt je?
    3. Vraag bij meerdere aanbieders een offerte, en leg vergelijkbare scenario's voor. Wat keren ze uit bij ransomware met geteste back-ups? Wat bij een datalek van 5.000 klantgegevens? Wat als de aanvaller wordt aangeduid als staatsactor?
    4. Lees de polisvoorwaarden of laat iemand dit voor je doen die ervaring heeft met cyberpolissen.
    5. Onderhoud je beveiliging actief. De gunstige voorwaarden van vandaag zijn morgen niets waard als je beveiliging is verwaarloosd.

    Voor bedrijven die hun beveiliging structureel willen onderbrengen bij een gespecialiseerde partij, biedt onze cybersecurity-dienst een end-to-end aanpak die zowel aan de eisen van verzekeraars voldoet als aan die van NIS2 en aanverwante wetgeving.

    Veelgestelde vragen over cyberverzekering voor het MKB

    Wat dekt een cyberverzekering precies?

    Een cyberverzekering dekt doorgaans eigen schade door cyberincidenten (omzetverlies, herstelkosten, forensisch onderzoek), kosten voor crisismanagement (juridisch advies, communicatie), en aansprakelijkheidsclaims van derden zoals klanten van wie data is gelekt. Veel polissen dekken ook AVG-onderzoekskosten en, onder strikte voorwaarden, ransomware. Lees altijd de polisvoorwaarden, want de details verschillen sterk per aanbieder.

    Wat kost een cyberverzekering voor een MKB-bedrijf?

    Premies starten ruwweg vanaf enkele honderden euro's per jaar voor een kleine onderneming en lopen op tot enkele duizenden euro's voor een grotere MKB-organisatie met een verzekerd bedrag van een half miljoen tot een miljoen euro. Het werkelijke bedrag hangt af van je omzet, sector, beveiligingsniveau en het eigen risico, dat doorgaans tussen 250 en 1.000 euro per gebeurtenis ligt.

    Welke beveiliging eist een verzekeraar?

    De meeste verzekeraars eisen minimaal multi-factor authenticatie, geteste back-ups met een offline kopie, actief patchmanagement, awareness training voor medewerkers, en een incident response plan. Zonder deze maatregelen kan een claim worden afgewezen of de uitkering worden verlaagd, ook als de polis verder gewoon loopt.

    Vervangt een cyberverzekering goede beveiliging?

    Nee. Het NCSC noemt cyberverzekering nadrukkelijk een sluitstuk, geen vervanging van beveiliging. Een verzekering vergoedt schade, hij voorkomt geen aanval. Bedrijven met goede preventie worden minder vaak en minder hard geraakt, en herstellen sneller. Bovendien werken polisvoorwaarden alleen als je beveiliging aantoonbaar op orde is.

    Wordt ransomware altijd vergoed?

    Niet automatisch. Veel polissen dekken ransomware-incidenten, maar onder strikte voorwaarden: aantoonbaar werkende back-ups, actieve patching, MFA en geen aanwijsbare nalatigheid. Een losgeldsom zelf wordt steeds vaker uitgesloten of slechts onder zware voorwaarden vergoed. Een geslaagde herstelactie vanuit eigen back-ups is zowel goedkoper als sneller.

    Conclusie

    Een cyberverzekering kan een verstandige aanvulling zijn op je risicomanagement, maar alleen als je de basis op orde hebt en je polisvoorwaarden begrijpt. Zonder MFA, back-ups, patching en awareness train je dure premies zonder uitzicht op uitkering. Met die maatregelen op orde wordt de polis een vangnet voor de schade die je ondanks alles toch kan oplopen.

    Wil je hulp om je beveiliging eerst op niveau te brengen, of een second opinion op een offerte voor een cyberverzekering? Bel TRON Group via 085-3035869 of bekijk onze cybersecurity-dienst. We inventariseren samen welke maatregelen voor jouw bedrijf wegen, helpen je de eisen van verzekeraars in te vullen, en zorgen dat een polis straks niet alleen op papier maar ook in de praktijk werkt.

    CyberverzekeringCybersecurityMKBRisicomanagementRansomwareDatalekNCSCCompliance

    Wil je meer weten over deze IT-oplossingen?

    Neem contact op voor een vrijblijvend gesprek met onze experts

    Neem contact opBel 085 303 5869

    Meer Artikelen

    ISO 27001 certificering voor het MKB - stappen, kosten en doorlooptijd van een ISMS-traject voor Nederlandse bedrijven
    Compliance
    10 min lezen

    ISO 27001 Certificering voor het MKB: Stappen, Kosten en Doorlooptijd

    ISO 27001 staat steeds vaker in aanbestedingen en klantcontracten, ook voor het MKB. Wat is ISO 27001 precies, wat verandert er sinds de norm in 2022 is herzien, hoe lang duurt een certificeringstraject, en wat kost het? Een eerlijke gids voor MKB-organisaties die overwegen om te certificeren.

    ISO 27001CertificeringCompliance
    Lees meer
    Penetratietest voor het MKB - uitleg van pentest-soorten, kosten en wanneer een pentest zinvol is voor Nederlandse bedrijven
    Cyber Security
    10 min lezen

    Penetratietest (Pentest) voor het MKB: Wat is het en Wanneer Nodig?

    Een penetratietest klinkt als iets voor grote banken, maar steeds meer MKB-bedrijven krijgen de vraag van klanten of verzekeraars. We leggen uit wat een pentest is, welke soorten er zijn (black, grey en white box), wat een pentest voor het MKB kost en wanneer hij echt zinvol is. Inclusief het verschil met een phishingsimulatie.

    PenetratietestPentestCybersecurity
    Lees meer