Elke week verschijnen nieuwe organisaties in het nieuws: bedrijven, ziekenhuizen, gemeenten die getroffen zijn door een cyberaanval. De reflex is vaak dezelfde: betere beveiliging, meer tools, strenger beleid. Maar wat er gebeurt ná een aanval, hoe een organisatie financieel standhoudt en hoe snel ze weer operationeel is, blijft onderbelicht. Juist daar zit het verschiltussen snel herstel en langdurige schade.
Cybersecurity wordt in veel organisaties nog primair als IT-kwestie gezien. Erik Kolsteren, cyberspecialist bij verzekeringsadviseur You Sure, plaatst daar vraagtekens bij. “IT is vaak tooling, de inzet van middelen om een organisatie te beschermen. Maar alleen tooling is niet toereikend. Cybersecurity is geen IT-onderwerp, maar een kwestie van risicomanagement.”
Een breder bewustzijn
Die bredere benadering wordt steeds belangrijker nu aanvallers geraffineerder opereren. Generatieve AI stelt kwaadwillenden in staat om op grote schaal aanvallen uit te voeren. “Het kan net zo goed de bakker op de hoek zijn die op het verkeerde linkje klikt.” Door de schaalvergroting van cyberdreigingen moet elk bedrijf, van mkb tot multinational, zijn risicopositie serieus nemen.
Kolsteren signaleert dat het bewustzijn bij kleinere bedrijven achterblijft. “Bij grote corporates staat het onderwerp hoog op de agenda. Bij het mkb ontbreekt organisatiebreed draagvlak. Dan is de IT-manager leidend in de tooling, maar is het geen onderdeel van het organisatiebeleid.”
De verborgen kosten van een incident
Een cyberincident veroorzaakt niet alleen directe schade. De kosten die organisaties onderschatten, zijn juist de moeilijk meetbare posten. “Reputatieschade is ook financiële schade”, stelt Kolsteren. Daarnaast zijn er incidentresponskosten, forensisch onderzoek en juridische bijstand.
Wat eveneens wordt onderschat, is de afhankelijkheid van derden. Veel organisaties vertrouwen te sterk op ITleveranciers of cloudproviders. “Microsoft ziet niet wie er inlogt, want die hacker heeft de juiste credentials. Voor Microsoft is dat een geldige inlog.”
Verzekeraars nemen inmiddels een actievere rol in. “Vroeger was je met één A4’tje al verzekerd. Dat kon geen stand houden.” Nu stellen ze striktere acceptatiecriteria en willen ze meekijken aan de voorkant van het cyberrisico.
"Cybersecurity is geen IT-onderwerp, maar risicomanagement"
You Sure positioneert zich als kennispartner die begint met een nulmeting: waar staat de organisatie, wat zijn de kwetsbaarheden en wat zijn de financiële gevolgen van een incident? Een cyberverzekering is geen vervanger voor preventie, maar een aanvulling. “Zorg dat
je basisbeveiliging op orde is en weet wat je doet als het toch misgaat.”
Kolsteren benadrukt het belang van testen. “We maken maatregelen, maar die moeten ook getest worden. Hoe betrouwbaar is een back-up die nooit is getest? Op het moment dat je hem nodig hebt, is het te laat.”
Voor welke organisaties is een cyberverzekering onmisbaar? “Voor elk bedrijf dat de financiële schade niet zelf kan dragen. Incidentresponskosten lopen dermate snel op dat veel bedrijven dat niet uit hun vrije cashflow kunnen opvangen.” Zeker nu richtlijnen zoals NIS2 steeds meer verplichtingen scheppen, neemt de druk toe. “Stilzitten is geen optie. Cyberdreigingen blijven zich ontwikkelen
en worden steeds geavanceerder.”
Vragen over cyberrisico’s?
Wil je weten hoe jouw organisatie ervoor staat op het gebied van cyberrisico’s of heb je vragen over de mogelijke impact van cyberincidenten?
Neem gerust contact met ons op. Wij denken met je mee en helpen je om jouw cyberrisico’s beheersbaar te maken.
