De cyberverzekering vraagt om bewijs, en uw KMO heeft het niet

Steeds vaker krijgen Belgische KMO's bij de jaarlijkse hernieuwing van hun cyberpolis een uitgebreide vragenlijst toegestuurd. Veertig tot vijftig items is geen uitzondering meer, en de boodschap aan het einde is helder: "Gelieve in te vullen voor [datum] anders kunnen wij geen offerte uitbrengen tegen vergelijkbare condities."

Voor veel kleinere organisaties is dat nieuw. Vorig jaar volstond een korte verklaring, dit jaar wordt elke maatregel nagevraagd. Hieronder waarom dat gebeurt, waar het in de praktijk vastloopt, en wat u kunt doen voor de volgende hernieuwing.

Verzekeraars zijn aan het herijken

Tussen 2020 en 2023 hebben cyberverzekeraars internationaal stevige verliezen genoteerd op kleinere klanten. Bij ransomware-incidenten lopen claims voor KMO's regelmatig op tot honderdduizenden euro's, ook bij organisaties onder de 100 werknemers. Voor verzekeraars is dat een ondraagbaar risico op standaardpolissen.

Het gevolg: hernieuwingen worden veel zwaarder gekeurd. Vragen die voorheen optioneel waren ("Heeft u MFA op administrator-accounts?") zijn nu hard verplicht. Eén "nee" of "ik weet het niet" en de premie verdubbelt, of de polis wordt niet hernieuwd.

De drie blokken waar het meestal vastloopt

Bij ons zien we steeds dezelfde drie blokken in vragenlijsten waar klanten op vastlopen:

1. MFA op alle administrator-accounts. Niet alleen op Microsoft 365. Ook op uw firewall admin, uw remote access, uw backup-portaal. Veel KMO's hebben dit deels geregeld, maar niet centraal afdwingbaar.
2. Bewijs van geteste backup restores. Niet "we hebben backups". Wel: "op datum X hebben we systeem Y volledig hersteld, dit waren de stappen, dit was de duur, deze persoon was verantwoordelijk."
3. Een endpoint detection oplossing met centrale logging. Voor de meeste KMO's is dat ofwel een betalende EDR, ofwel een zelf opgezette Wazuh of vergelijkbaar systeem. De standaard Microsoft Defender Antivirus die in Windows zit, telt vaak niet zonder centrale management-laag erboven.

De stille evidence-vereiste

Wat ons écht zorgen baart is wat niet in de vragenlijst staat maar wat in de polisvoorwaarden steeds duidelijker terugkomt: bij een schadeclaim moet u kunnen aantonen dat u op het moment van het incident voldeed aan wat u had verklaard. Geen logs? Geen uitkering. Geen documentatie van het incident response proces? Geen volledige dekking.

Dit is geen theorie. Een organisatie kan alle technische maatregelen correct geconfigureerd hebben en toch een claim verliezen omdat de logs voor de schaderegelaar niet vindbaar of niet gedateerd zijn. Eén ontbrekend logbestand of een MFA-status die niet historisch aantoonbaar is, kan dan het verschil maken tussen wel en geen uitkering.

Wat doet u nu best

Drie acties die geen geld kosten en wel iets opleveren:

1. Vraag uw verzekeraar de actuele vragenlijst op. Niet die van vorig jaar, de versie die ze nu voorleggen bij hernieuwingen. U hebt dan zwart op wit waar u aan moet voldoen.
2. Documenteer wat u al heeft. Voor elke 'ja' in die vragenlijst: één bestand of screenshot dat het bewijst, gedateerd, in een centraal mapje.
3. Test één keer per kwartaal een restore. Schrijf op wat u deed, wat de duur was, en wat u observeerde. Vier korte rapportjes per jaar zijn al de helft van het bewijswerk.