Leestijd: 5 minuten
Categorie: Trends and Reports
Auteurs: Yuri Bobbert & Davis Hake
Cyberverzekeringen zijn flink aan het veranderen. Ze werden eerst vooral gezien als een soort noodoplossing als cybersecurity tekortschiet, maar inmiddels zijn ze een serieus hulpmiddel om risico’s actief te beheren en zowel data als kapitaal te beschermen. Nu cyberdreigingen steeds ingewikkelder en duurder worden, kijken verzekeraars opnieuw naar wie er recht heeft op dekking – en hoe de premie beter kan aansluiten bij de echte beveiligingsmaatregelen van een organisatie.
Op 23 mei 2025 kwamen betrokkenen van grote verzekeraars samen in New York om te praten over hoe de cyberverzekeringsmarkt verandert – en hoe Zero Trust daar steeds centraler in komt te staan.
Onder leiding van Yuri Bobbert en Davis Hake besprak deze ronde tafel financiële stimulansen, acceptatiecriteria en zwakke plekken in de toeleveringsketen. Ook werd er gekeken naar recent onderzoek dat laat zien dat Zero Trust de impact van cyberincidenten flink kan beperken.
Belangrijkste vragen en antwoorden van de ronde tafel
| Vraag | Antwoord | Opmerkingen van deelnemers |
| 1. Hoe verhoudt de dreiging van derden zich tot andere dreigingen? | Groot en groeiend – risico uitbesteden betekent niet dat je de aansprakelijkheid ook uitbesteedt. | “Externe partijen zorgen steeds vaker voor schadeclaims.” “Financiële instellingen zijn sterk afhankelijk van leveranciers voor hun beveiliging, waardoor ze minder grip hebben op hun risico’s.” “Risico’s worden uitbesteed via vendor surveys, maar de aansprakelijkheid niet. Daardoor wordt er weinig opvolging gedaan.” |
| 2. Is Zero Trust geschikt voor kleine organisaties? | 100 % Ja | “Zero Trust werkt voor elke organisatie, groot of klein, als de maatregelen goed zijn ingesteld.” “Voor kleinere bedrijven moet het eenvoudiger worden gemaakt om Zero Trust te implementeren.” “De technologie is er al – het draait om de juiste inzet door experts.” |
| 3. Wordt Zero Trust al toegepast in financiële instellingen? | Steeds meer, maar niet consistent | “Het wordt het meest toegepast in de klantgerichte fraudebestrijdingslagen: legacy-kernen blijven achter.” |
| 4. Wat voor security wordt verwacht van leveranciers van financiële instellingen, en hoe wordt dat afgedwongen? | Contract gestuurde baselines | “Er wordt vaker gewerkt met contractuele verplichtingen en doorlopende controle. Maar het is lastig om dat ook echt door te trekken naar leveranciers.” “Leveranciers krijgen eisen van meerdere klanten die niet op elkaar afgestemd zijn – en zelden echt gebaseerd op Zero Trust.” |
| 5. Stimuleert de cyber insurance markt Zero Trust? | 4 Ja / 2 Nee | “Sceptici die niet weten wat Zero Trust inhoudt, noemen een gebrek aan ”financiële drijfveer” en beperkt actuarieel bewijs voor controle- of risicokaders op het gebied van cybersecurity.” “Voorstanders zeggen dat Zero Trust niet alleen aanvallen voorkomt, maar ook de impact beperkt – en dus voor meer veerkracht zorgt.” “De markt heeft betere voorlichting nodig over hoe controles helpen om kosten te verlagen.” |
| 6. Welk bewijs hebben verzekeraars nodig? | Empirische verliesgegevens + configuratiebewijzen. | “MFA en netwerksegmentatie worden al meegenomen in acceptatie, maar er is geen direct verband gelegd met Zero Trust en lagere schadeclaims en verliesratio’s.” “Herverzekeraars willen zien hoe risicoscores aansluiten bij Zero Trust. Maturity levels kunnen helpen voor niet-technische beoordelaars.” |
| 7. Hoe kan Zero Trust worden doorgevoerd in kwetsbare FI supply chains? | Return on Security Investment (ROSI) aantonen en contractuele verplichtingen opleggen. | “Regels als de ‘vijf Cs’ (Concern, Cause, Consequence, Corrective Action, Commitment) worden genoemd als model om naleving af te dwingen.” “Dezelfde principes die verzekeraars helpen, kunnen ook kleine leveranciers helpen, die vaak nog niet ver zijn met Zero Trust.” |
Onderzoek erbij betrekken
Deze gesprekken sluiten goed aan bij het onderzoek van Bobbert & Timmermans uit 2025: “How Zero Trust as a Service” (ZTaaS) reduces the cost of a data breach”. Daarin wordt aangetoond dat verschillende Zero Trust onderdelen niet alleen de kans op een inbreuk verkleinen, maar ook de schade ervan. Het idee daarachter is simpel: minder incidenten met minder impact betekent minder kosten voor de verzekeraar. En dat maakt betere dekking en lagere premies mogelijk.
Hieronder staat een verkorte versie van hun kostenreductieschema:
| ZTaaS Component | Likelihood Reduction | Impact Reduction | Total Score |
| Protect surface design | 10 | 10 | 20 |
| Technical controls (XDR, IAM, etc.) | 15+5 with Kipling “5W1H” rigor | 10 (15) | 25 (35) |
| Real-time dashboarding | 5 | 10 | 15 |
| 24×7 SOC | 10 | 5 | 15 |
| CSIRT | 0 | 15 | 15 |
Volledig geïmplementeerd kan deze stack een premieverlaging van 30-50% opleveren door het verwachte verlies te verlagen, volgens actuariële modellen die in de paper worden aangehaald.
Wat dit betekent voor de financiële kant
Deze inzichten laten een duidelijke trend zien: cyberverzekeringen gaan niet meer alleen over risico doorschuiven. Ze worden een manier voor bedrijven om hun financiële gezondheid te beschermen – mits ze kunnen laten zien dat ze serieus werk maken van hun cybersecurity.
Verzekeraars belonen organisaties die kunnen laten zien dat hun beveiliging op orde is, aan de hand van dashboards, logboeken en continue monitoring. Dat leidt tot minder verrassingen bij schadeclaims, meer voorspelbare premies en soms zelfs een betere kredietwaardigheid.
Ook risico via leveranciers krijgt meer aandacht. Financiële instellingen blijven namelijk aansprakelijk als een leverancier wordt gehackt. Verzekeraars stellen daarom strengere eisen aan leveranciers – zij moeten ook kunnen aantonen dat hun security past binnen Zero Trust. Contracten spelen hierin een sleutelrol, zeker als ze eisen bevatten voor doorlopende controle en boetes bij slechte prestaties.
Ondertussen nemen toezichthouders zoals de OCC de taal van Zero Trust over in hun richtlijnen. Daardoor trekken wetgevers en verzekeraars steeds meer samen op richting meetbare en aantoonbare securitypraktijken.
De kern? Bedrijven die investeren in Zero Trust – en dat kunnen bewijzen – zijn niet alleen veiliger. Ze zijn ook financieel sterker, betalen minder voor hun verzekering en leggen een stevigere basis voor groei.
