Cyberverzekering
Financiën

Cyberverzekering voor bedrijven in 2026: waarom NIS2 dit dossier explosief maakt

10 juni
DoorMike
Mike

Mike is sinds 2024 de vaste redacteur achter Informatiegidsen Nederland. In die periode schreef hij meer dan 450 artikelen over een breed scala aan onderwerpen — van actueel nieuws en ondernemerschap tot tech, fin…

Bekijk volledige bio

Slechts 27 procent van het Nederlandse MKB heeft op dit moment een cyberverzekering — een opvallend laag percentage gezien het feit dat in 2023 maar liefst 71 procent van de MKB-bedrijven en 55 procent van de ZZP’ers met cybercriminaliteit te maken kreeg. Tegelijk wordt het thema dit jaar explosief: vanaf 1 juli 2026 treedt de Nederlandse Cyberbeveiligingswet (de implementatie van de Europese NIS2-richtlijn) in werking, met bestuurdersaansprakelijkheid, boetes tot 10 miljoen euro, en een ketenverantwoordelijkheid die ook bedrijven raakt die zelf niet onder NIS2 vallen. Voor ondernemers is een cyberverzekering daarmee getransformeerd van “wellicht handig” naar “feitelijk onmisbaar”.

De cijfers zijn brutaal. In 2021 werden volgens het CBS ruim 6.000 Nederlandse bedrijven slachtoffer van ransomware. Elf procent betaalde losgeld. En het meest opvallende detail uit het proefschriftonderzoek van politiespecialist Tom Meurs: bedrijven met een cyberverzekering betaalden gemiddeld 2,8 keer méér losgeld. Cybercriminelen zoeken namelijk actief naar bestanden met namen als “insurance” of “policy” zodra ze toegang hebben tot een systeem. De verzekering wordt zo een tweesnijdend zwaard — onmisbare bescherming, maar ook informatie die het losgeld omhoog drijft.

Inhoudsopgave


Wat dekt een cyberverzekering precies?

Een cyberverzekering is een zakelijke verzekering die uitkeert bij de gevolgen van cyberincidenten. Anders dan een bedrijfsaansprakelijkheidsverzekering dekt de cyberpolis specifiek digitale risico’s. De standaarddekking omvat doorgaans zeven hoofdcategorieën:

1. Eigen schade door het incident

Kosten die je bedrijf direct maakt door een cyberaanval:

  • Dataherstel — kosten om verloren of versleutelde gegevens terug te krijgen
  • Forensisch onderzoek — specialisten die uitzoeken wat er gebeurd is
  • Systeemherstel — hardware-vervangen of opnieuw opbouwen
  • Cyber-incident-respons-team — 24/7 beschikbaar bij grote verzekeraars

2. Bedrijfsschade door stilstand

Wanneer je systemen plat liggen na een ransomware-aanval of DDoS:

  • Omzetverlies tijdens de uitval
  • Doorlopende vaste lasten (huur, salarissen, leasecontracten)
  • Extra kosten voor noodoplossingen

3. Aansprakelijkheid jegens derden

Schade aan klanten, leveranciers of partners:

  • Datalekken waarbij persoonsgegevens van klanten op straat komen
  • AVG-boetes door het lekken van gevoelige gegevens
  • Schadeclaims van getroffen derde partijen

4. Ransomware en afpersing

Niet elke verzekering dekt losgeld, maar de meeste:

  • Onderhandeling met cybercriminelen (gespecialiseerde negotiator)
  • Eventueel losgeldbetaling (omstreden — sommige verzekeraars doen dit principieel niet meer)
  • Decryptie-ondersteuning als losgeld niet wordt betaald

5. Reputatieschade en PR-management

Na een groot incident is communicatie cruciaal:

  • PR-bureau dat je helpt met communicatie naar klanten en media
  • Schadebeperking in publieke perceptie
  • Kosten van klantcompensatie of -informatie

6. Juridische kosten

Een cyberincident leidt vaak tot juridische trajecten:

  • Advocaten bij claims of geschillen
  • Procesvoering richting Autoriteit Persoonsgegevens
  • Verdediging tegen bestuurdersaansprakelijkheid (vooral relevant na NIS2)

7. Boetes en sancties

Met de komst van NIS2 wordt deze dekking essentieel:

  • AVG-boetes door datalek
  • NIS2-boetes bij niet-melden van incidenten
  • Bestuurdersaansprakelijkheid bij persoonlijke claims

Waarom NIS2 alles verandert

De Nederlandse Cyberbeveiligingswet — de implementatie van de Europese NIS2-richtlijn — wordt naar verwachting per 1 juli 2026 van kracht. Voor ongeveer 10.000 organisaties in 18 kritieke sectoren is dit een fundamentele verandering. Maar het effect strekt veel verder, want NIS2 introduceert ook ketenverantwoordelijkheid: de 10.000 directe entiteiten moeten hun toeleveranciers controleren op cyberveiligheid. Dat raakt vrijwel het hele Nederlandse MKB indirect.

Vier nieuwe verplichtingen waar je rekening mee moet houden:

  • Zorgplicht — minimaal tien beveiligingsmaatregelen, waaronder risicoanalyse, MFA, encryptie, leveranciersbeveiliging en medewerkerstraining
  • Meldplicht — 24 uur early warning, 72 uur incidentmelding, eindverslag binnen 1 maand
  • Registratieplicht — formeel inschrijven bij het NCSC
  • Leveranciersverantwoordelijkheid — je moet aantonen dat je leveranciers veilig zijn

Bestuurdersaansprakelijkheid: het nieuwe risico

Het meest disruptieve element van NIS2: bestuurders kunnen persoonlijk aansprakelijk worden gesteld bij cybertekortkomingen. Dat is fundamenteel anders dan voorheen. “Dat regelt onze IT-leverancier” is geen verdediging meer. Bestuurders moeten zelf trainingen volgen, beveiligingsbesluiten goedkeuren, en zijn formeel verantwoordelijk voor de cybersituatie van hun organisatie.

Bij grove nalatigheid kunnen bestuurders tijdelijk uit hun functie worden gezet. Voor DGA’s met een eigen BV en bestuurders van grotere ondernemingen is dit een persoonlijk risico waar individuele dekking voor nodig is — vaak via een combinatie van cyberverzekering plus bestuurdersaansprakelijkheid (D&O).

De boetes

NIS2 onderscheidt twee categorieën entiteiten met verschillende boeteplafonds:

  • Essentiële entiteiten — boetes tot €10 miljoen of 2 procent van wereldwijde jaaromzet (hoogste bedrag)
  • Belangrijke entiteiten — boetes tot €7 miljoen of 1,4 procent van wereldwijde jaaromzet

Lidstaten mogen hogere plafonds hanteren. En naast deze plafonds kunnen aanvullende periodieke dwangsommen worden opgelegd. Een goede cyberverzekering dekt deze boetes meestal niet — maar wel de juridische kosten van de procedure, en in toenemende mate de financiële schade als gevolg van de boete.


De realiteit voor het Nederlandse MKB

De cijfers schetsen een onbedoeld beeld. 27 procent van het Nederlandse MKB heeft een cyberverzekering. Tegelijk 71 procent van het MKB en 55 procent van de ZZP’ers kreeg in 2023 te maken met cybercriminaliteit. Het gat tussen risico en bescherming is enorm.

De gevolgen van een cyberincident zonder verzekering:

  • Gemiddelde kosten voor een ransomware-aanval bij MKB: €50.000 tot €500.000 (inclusief downtime, herstel, losgeld)
  • Hersteltijd: gemiddeld 16 dagen volledig herstel — soms maanden voor reputatie
  • Faillissementspercentage: ongeveer 60 procent van MKB-bedrijven die getroffen worden door een ernstig cyberincident gaat binnen 6 maanden failliet

Voor bedrijven die de bredere context van cybersecurity voor MKB en ondernemers willen begrijpen, is de verzekering één onderdeel van een integrale aanpak.


Wat kost een cyberverzekering?

De premie hangt af van veel factoren — bedrijfsomvang, sector, omzet, beveiligingsmaatregelen, gewenste dekking. De marktrealiteit in Nederland:

ZZP’ers

Voor zelfstandigen zijn cyberverzekeringen verrassend toegankelijk geworden:

  • Basisdekking vanaf €20 per maand (€240 per jaar)
  • Volledige dekking typisch €30-€50 per maand
  • Met juridische kosten en PR-management vanaf €50 per maand

Klein MKB (tot 10 medewerkers)

  • Basisdekking vanaf €48 per maand (€576 per jaar)
  • Standaardpakket €1.500-€3.000 per jaar
  • Uitgebreid met aansprakelijkheid €2.000-€5.000 per jaar

Middelgroot MKB (10-50 medewerkers)

  • Standaarddekking €3.000-€10.000 per jaar
  • Uitgebreide dekking €10.000-€25.000 per jaar
  • NIS2-compliant pakket kan oplopen tot €40.000 per jaar

Sectorafhankelijke variatie

De premies variëren sterk per sector:

  • E-commerce: gemiddeld €2.097 per jaar (verhoogd risico via klantgegevens)
  • Gezondheidszorg: aanzienlijk hoger door grote risico’s
  • Bouw: lagere premies (minder gevoelige data)
  • Financiële dienstverlening: zeer hoge premies (regulatoire eisen)

Hoe verzekeraars je beoordelen

In de afgelopen jaren is de acceptatie van cyberverzekeringen sterk verstrakt. Verzekeraars stellen steeds meer eisen aan beveiligingsmaatregelen voordat ze überhaupt een polis afsluiten.

De vier kernvragen die je krijgt

Bij vrijwel elke aanvraag worden tegenwoordig deze vier zaken gecheckt:

  • Beschikt het bedrijf over back-ups? (en zijn die offline of immutable?)
  • Is multi-factor authenticatie (MFA) actief? (op alle systemen, niet alleen e-mail)
  • Worden medewerkers regelmatig getraind? (phishing-simulaties, awareness-training)
  • Is er een incident-response-plan? (wie doet wat bij een aanval)

Sommige verzekeraars — zoals Hiscox met hun nieuwe Premium-product — versimpelen het acceptatieproces tot slechts twee vragen: back-ups én MFA. Maar de premiehoogte hangt vervolgens wel sterk af van de werkelijke beveiligingssituatie.

Beveiligingsmaatregelen verlagen je premie

Bedrijven met sterke beveiligingsmaatregelen krijgen significante kortingen op hun cyberverzekering. Wat helpt:

  • MFA op alle systemen (kan tot 30 procent korting opleveren)
  • Endpoint detection & response (EDR) software
  • Regelmatige back-ups (offline én getest op herstel)
  • Security awareness training voor medewerkers
  • AVG-compliance audit met formele documentatie
  • Penetratietest in afgelopen 12 maanden

Voor 80 tot 90 procent van het Nederlandse MKB dat niet volledig aan de AVG voldoet, zijn de premies hoger dan ze hoeven te zijn. Een investering in compliance verdient zichzelf vaak terug via lagere premies.


Subsidies voor MKB

Een vaak vergeten optie: voor cyberveiligheid zijn subsidies beschikbaar. Belangrijkste regelingen anno 2026:

  • MKB Cyberweerbaarheid — subsidie tot 50 procent voor bedrijven met maximaal 50 medewerkers en €10 miljoen omzet
  • Slim Werkgeven — diverse subsidies voor scholing inclusief security awareness
  • Sectorale regelingen — branche-organisaties bieden vaak collectieve verzekeringen

Voor groeiende bedrijven die hun zakelijke groei systematisch willen aanpakken is gebruikmaken van deze regelingen onderdeel van slim financieel beheer.


De controverse: losgeld betalen of niet?

Een ethisch en juridisch dilemma dat de hele cyberverzekeringsbranche raakt: moet een verzekering losgeld betalen of niet?

Argumenten vóór

  • Snelste manier om weer operationeel te zijn
  • Soms financieel goedkoper dan herstel zonder decryptie-sleutel
  • Voor sommige bedrijven (ziekenhuizen, kritieke infrastructuur) ethisch verdedigbaar

Argumenten tegen

  • Financiert verdere criminaliteit
  • Geen garantie dat data daadwerkelijk teruggegeven wordt
  • Maakt het bedrijf en de branche kwetsbaarder voor herhalingsaanvallen
  • Verzekerde bedrijven betalen 2,8x meer losgeld (NCSC-onderzoek)

Sommige verzekeraars kiezen er principieel voor geen losgeld meer te betalen. Andere doen het wel, maar met steeds strengere voorwaarden. Bij het afsluiten van een polis is dit een belangrijk gesprekspunt — en bij grote incidenten een zaak waarvoor je in de polis duidelijke voorwaarden wilt.


Hoe kies je de juiste cyberverzekering?

Niet elke cyberverzekering is hetzelfde. Vijf vragen om jezelf te stellen voordat je tekent:

1. Welk risicoprofiel heb ik?

Een webshop met persoonsgegevens van duizenden klanten heeft een ander risico dan een eenmanszaak in de bouw zonder klantendata. Match je verzekering met je werkelijke risico.

2. Welke schade wil ik gedekt hebben?

Sommige polissen dekken alleen eigen schade. Andere ook aansprakelijkheid jegens derden. Voor de meeste bedrijven is een combinatiepolis (eigen schade + aansprakelijkheid + bedrijfsschade) standaard.

3. Hoe hoog moet de uitkering zijn?

Veel polissen hebben een maximum per claim en per jaar. Voor kleinere ondernemingen volstaat vaak €250.000 of €500.000. Voor middelgrote bedrijven of e-commerce is €1 miljoen tot €5 miljoen meer gepast.

4. Is er een 24/7 incident-response-team?

Bij een cyberaanval telt elke minuut. Een goede polis omvat directe ondersteuning van IT-experts en juristen, niet alleen achteraf financiële vergoeding.

5. Wat zegt de polis over losgeld?

Lees specifiek welke voorwaarden gelden voor ransomware-betaling, en in welke gevallen de verzekering niet uitkeert.


Wat moet je nu doen?

Drie concrete acties voor ondernemers die nadenken over een cyberverzekering:

  • Maak een risicoanalyse. Welke data heb je? Welke systemen zijn kritiek? Wat kost een dag stilstand? Op basis hiervan kun je gericht vergelijken.
  • Implementeer eerst de basis-beveiliging. MFA, back-ups, awareness-training. Niet alleen verlaagt dit je premie, het verkleint vooral het werkelijke risico op een incident.
  • Vraag offertes aan bij minimaal drie verzekeraars. Hiscox, Allianz, ASR, AIG en verschillende gespecialiseerde aanbieders bieden cyberverzekeringen. Vergelijk dekking, premies en de kwaliteit van incident-respons.

Voor wie zijn complete fiscale en risicostrategie wil bekijken, biedt onze pillar over belastingen voor ondernemers in Nederland inzicht in de fiscale aftrekbaarheid van verzekeringspremies — een belangrijk detail dat veel ondernemers vergeten.


De boodschap voor 2026

De Nederlandse cyberverzekeringsmarkt is in een acceleratiefase. Door de combinatie van NIS2-handhaving, toegenomen aanvalsfrequentie en bestuurdersaansprakelijkheid wordt cyberverzekering snel een standaard onderdeel van zakelijk risicomanagement — net zoals bedrijfsaansprakelijkheid dat dertig jaar geleden werd.

Wie nu actief kiest, kan zich voorbereiden op een veranderend risicolandschap. Wie wacht tot na de eerste cyberaanval — of tot de Cyberbeveiligingswet daadwerkelijk gehandhaafd wordt — loopt achter de feiten aan. En voor bestuurders die persoonlijk aansprakelijk kunnen worden gesteld, is het een keuze die niet alleen het bedrijf maar ook hun eigen vermogen raakt.


Veelgestelde vragen

Is een cyberverzekering verplicht in Nederland?

Nee, een cyberverzekering is niet formeel verplicht. Maar met de invoering van de Cyberbeveiligingswet (NIS2) per 1 juli 2026 wordt het voor veel ondernemingen praktisch onvermijdelijk. Bestuurders zijn persoonlijk aansprakelijk bij cybertekortkomingen, en de boetes lopen op tot €10 miljoen. Voor de meeste bedrijven is een verzekering daarmee de meest realistische manier om de financiële gevolgen op te vangen.

Wat is het verschil tussen cyberverzekering en aansprakelijkheidsverzekering?

Een bedrijfsaansprakelijkheidsverzekering (AVB) dekt klassieke aansprakelijkheidsschade — denk aan iemand die uitglijdt in je winkel, of een product dat schade veroorzaakt. Een cyberverzekering dekt specifiek digitale risico’s: data-lekken, ransomware, DDoS, hacking. Veel polissen worden tegenwoordig in pakketten aangeboden (AVB + beroepsaansprakelijkheid + cyber) omdat de risico’s elkaar overlappen.

Wat kost een cyberverzekering voor een ZZP’er?

Voor zelfstandigen is een basisdekking al beschikbaar vanaf €20 per maand. Voor een volledige polis met juridische kosten, PR-management en 24/7 incident-respons betaal je typisch €30-€50 per maand. De exacte premie hangt af van branche, omzet en beveiligingsmaatregelen die je al hebt genomen.

Dekt een cyberverzekering ransomware-betaling?

Dat verschilt per polis. Veel polissen dekken losgeldbetaling onder strenge voorwaarden — vaak alleen na onderhandeling door een gespecialiseerde negotiator en goedkeuring door de verzekeraar. Een groeiend aantal verzekeraars kiest er principieel voor géén losgeld meer te betalen om verdere criminaliteit niet te financieren. Lees deze voorwaarde altijd goed na voordat je tekent.

Wat is NIS2 en hoe raakt het mijn cyberverzekering?

NIS2 is de Europese richtlijn voor netwerk- en informatiebeveiliging die in Nederland wordt geïmplementeerd via de Cyberbeveiligingswet. Vanaf 1 juli 2026 geldt deze direct voor circa 10.000 organisaties in kritieke sectoren — en indirect voor hun toeleveranciers (vrijwel het hele MKB). Voor cyberverzekeringen betekent NIS2 strengere acceptatie-eisen, hogere premies bij gebrek aan beveiligingsmaatregelen, maar ook bredere dekking voor boetes en bestuurdersaansprakelijkheid.

Word ik als bestuurder persoonlijk aansprakelijk?

Onder NIS2 ja, in bepaalde situaties. Bij grove nalatigheid kunnen bestuurders persoonlijk aansprakelijk worden gesteld en zelfs tijdelijk uit hun functie worden gezet. Een cyberverzekering kan deze persoonlijke aansprakelijkheid niet wegnemen, maar wel de financiële gevolgen dekken. Voor DGA’s en bestuurders is een aanvullende bestuurdersaansprakelijkheidsverzekering (D&O) sterk aan te raden.

Wat als ik geen cyberverzekering heb en getroffen word?

Dan draag je alle kosten zelf: dataherstel, forensisch onderzoek, juridische kosten, omzetverlies, AVG-boetes en eventuele claims van klanten. De gemiddelde kosten van een ransomware-incident bij MKB liggen tussen €50.000 en €500.000. Voor veel bedrijven betekent dit een aanzienlijk financieel risico. Circa 60 procent van getroffen MKB-bedrijven gaat binnen 6 maanden failliet zonder verzekering.

Hoe zit het met losgeld betalen via een verzekering?

Onderzoek van politiespecialist Tom Meurs (NCSC) toonde aan dat verzekerde bedrijven gemiddeld 2,8 keer méér losgeld betalen dan niet-verzekerde bedrijven. Cybercriminelen zoeken namelijk actief naar bestanden met namen als “insurance” of “policy” zodra ze toegang hebben. Dit is een belangrijk argument om niet alleen op verzekering te vertrouwen, maar vooral op preventie.

Zijn cyberverzekeringspremies fiscaal aftrekbaar?

Ja. Voor IB-ondernemers en BV’s zijn premies voor zakelijke cyberverzekeringen volledig aftrekbaar als bedrijfskosten. Dat geldt zowel voor de premie zelf als voor eventuele bemiddelings- en administratiekosten. Voor ondernemers die hun complete fiscale positie willen optimaliseren, is dit een van de aftrekposten die meteen in de kostenstructuur kan worden meegenomen.

Heb ik MFA en back-ups nodig om verzekerd te kunnen worden?

Bij steeds meer verzekeraars wel. Vanwege de explosie aan ransomware-aanvallen stellen verzekeraars steeds strengere acceptatie-eisen. MFA op alle systemen en regelmatige offline back-ups zijn de twee meest gevraagde basismaatregelen. Zonder deze maatregelen kun je vaak alleen tegen aanzienlijk hogere premies of beperkte dekking verzekerd worden — als acceptatie überhaupt mogelijk is.


Lees ook


Bronnen

Relevante artikelen

Bekijk meer