Cyberverzekering: wat dekt deze, wat niet, en hoe kom je ervoor in aanmerking?

Mei 10, 2026
George Rouse
Cyberverzekering

Volgens het Kaseya State of the MSP-rapport uit 2026 geeft 44% van de MSP’s aan dat ten minste 10% van hun klanten in 2025 te maken heeft gehad met een cyberaanval. Juist vanwege dit cijfer is een cyberverzekering voor de meeste bedrijven en voor elke MSP die hen bedient, niet langer een optie maar een noodzaak geworden.

De markt heeft een dramatische cyclus doorgemaakt. De premies stegen in 2021 met 73% en in 2022 met meer dan 50%, naarmate de schade door ransomware toenam. Door concurrentiedruk daalden de tarieven vervolgens in 2023, 2024 en een groot deel van 2025. Begin 2026 stagneert die daling: analisten van WTW en S&P Global voorspellen dat de premies de komende 12 maanden met 15 tot 20% zullen stijgen, onder invloed van de toenemende ernst van ransomware-aanvallen en de druk vanuit de herverzekeringssector. De wereldwijde markt voor cyberverzekeringen bereikte in 2025 een omvang van ongeveer 16 miljard dollar en zal naar verwachting in 2026 de grens van 23 miljard dollar overschrijden.

De lastigste vragen zijn niet of je een cyberverzekering moet afsluiten, maar welke dekking je moet kiezen, hoe je in aanmerking komt in een markt waar verzekeraars aanzienlijk strenger zijn geworden, en hoe je de uitsluitingen kunt vermijden die organisaties kwetsbaar maken op het moment dat ze de polis het hardst nodig hebben. Het platform van Kaseya ondersteunt MSP’s bij het begeleiden van hun klanten bij precies deze kwesties, en deze gids behandelt wat elke MSP en elk IT-team moet weten.

Wat de cyberverzekering dekt

Cyberverzekeringen verschillen sterk per verzekeraar, maar de meeste uitgebreide polissen bieden dekking voor verschillende categorieën.

Eigen kosten zijn uitgaven die de verzekerde organisatie rechtstreeks maakt als gevolg van een incident: forensisch onderzoek en incidentresponsdiensten, gegevensherstel en systeemherstel, omzetverlies tijdens uitval, crisiscommunicatie en public relations, en juridisch advies.

De aansprakelijkheidsverzekering dekt vorderingen van klanten, partners of andere partijen van wie de gegevens zijn gecompromitteerd of van wie de systemen zijn getroffen door een inbreuk die zijn oorsprong vindt in de omgeving van de verzekerde. Dit is met name van belang voor MSP’s, aangezien een inbreuk in hun omgeving een domino-effect kan hebben op de omgevingen van hun klanten en tot een cumulatief aansprakelijkheidsrisico kan leiden.

De kosten in verband met ransomware omvatten incidentrespons, onderhandelingsdiensten met betrekking tot losgeld en, in sommige polissen en rechtsgebieden, de betaling van het losgeld zelf, voor zover dit wettelijk is toegestaan en operationeel noodzakelijk is. Houd er rekening mee dat het betalen van losgeld juridisch gezien complex is geworden: sancties van het Amerikaanse OFAC zijn van toepassing op betalingen aan bepaalde groepen cybercriminelen, en juridisch advies is essentieel alvorens een besluit over betaling te nemen.

De dekking voor juridische bijstand en boetes dekt juridische kosten en schikkingen in verband met onderzoeken door toezichthouders naar aanleiding van een inbreuk. Dit is van cruciaal belang voor organisaties die onderworpen zijn aan HIPAA, PCI DSS, CCPA of andere regelgevingskaders met ingrijpende handhavingsmaatregelen.

Cyberafpersing is breder dan ransomware en omvat dreigementen om gegevens openbaar te maken, DDoS-afpersing en andere drukmiddelen die niet tot volledige versleuteling leiden.

Onder social engineering en fraude met geldovermakingen vallen ook BEC-aanvallen (Business Email Compromise), die leiden tot frauduleuze overschrijvingen. Dit is niet altijd in de dekking opgenomen en er gelden vaak specifieke sublimieten die aanzienlijk lager liggen dan de hoofdlimiet van de polis.

Wat een cyberverzekering niet dekt

Inzicht in uitsluitingen is net zo belangrijk als inzicht in de dekking. Meer dan 40% van de claims op cyberverzekeringen in 2026 leidt niet tot een uitkering, en uitsluitingen zijn daar de meest voorkomende reden voor.

Reeds bestaande inbreuken. Incidenten die al vóór de ingangsdatum van de polis zijn begonnen, zijn doorgaans uitgesloten. Veel ransomware-aanvallers verschaffen zich al weken of maanden voordat ze de payload inzetten toegang, waardoor er een aanzienlijke dekkingslacune ontstaat als de eerste inbreuk dateert van vóór de ingangsdatum van de polis.

Bekende, niet-gepatchte kwetsbaarheden. In polissen worden incidenten die te wijten zijn aan bekende kwetsbaarheden – waarvoor de verzekerde redelijke gronden had om deze te patchen – steeds vaker uitgesloten. Als bij een inbreuk misbruik wordt gemaakt van een CVE die zes maanden voor het incident openbaar was gemaakt en gepatcht kon worden, kan de dekking worden geweigerd. Door deze uitsluiting wordt patchbeheer een directe verzekeringsverplichting, en niet langer alleen een aanbevolen beveiligingsmaatregel.

Aanvallen door natiestaten. Oorlogsuitsluitingen hadden van oudsher betrekking op conventionele oorlogsvoering. Lloyd’s of London heeft in 2023 zijn marktvoorwaarden aangepast om schade als gevolg van door de staat gesteunde cyberaanvallen in veel afzonderlijke polissen formeel uit te sluiten. Organisaties in de sectoren kritieke infrastructuur, financiële dienstverlening en de toeleveringsketen van de defensie lopen het grootste risico door deze lacune. De bewoordingen verschillen aanzienlijk per polis en verdienen een zorgvuldige juridische beoordeling.

Niet-kwaadwillige gebeurtenissen. Cyberverzekeringen dekken kwaadwillige gebeurtenissen. Hardwareproblemen, menselijke fouten zonder kwaadwillige opzet en onopzettelijke openbaarmaking van gegevens vallen doorgaans onder andere dekkingsvormen, zoals fouten en nalatigheden.

Sublimieten. Veel dekkingscategorieën hebben sublimieten die aanzienlijk lager liggen dan het totale verzekeringsbedrag. Bedrijfsonderbreking, social engineering en cryptojacking zijn veelvoorkomende categorieën met sublimieten. Een polis met een dekkingsbedrag van 5 miljoen dollar kan bijvoorbeeld een sublimiet van 250.000 dollar hebben voor schade door social engineering. Inzicht in sublimieten is essentieel voor een realistische beoordeling van de dekking.

Hoe het acceptatieproces is veranderd

De acceptatievoorwaarden voor cyberverzekeringen zijn tussen 2020 en 2022 drastisch aangescherpt. De frequentie en ernst van ransomware-incidenten leidden tot aanzienlijke verliezen voor verzekeraars, wat resulteerde in forse premieverhogingen, beperkingen van de dekking en aanzienlijk strengere beveiligingseisen voordat dekking werd verleend.

De markt werd tussen 2022 en 2025 minder strak, doordat de concurrentiedruk onder verzekeraars de premies deed dalen en het aanbod toenam. Deze versoepeling leidde echter niet tot een versoepeling van de veiligheidsvereisten. Verzekeraars die hun premies verlaagden, handhaafden of verscherpten hun controle-eisen, waardoor een markt ontstond waarin dekking weliswaar beter beschikbaar is, maar de drempel om daarvoor in aanmerking te komen niet is verlaagd.

Vanaf 2026 wordt de controle bij het afsluiten van verzekeringen weer strenger. Verzekeraars richten zich steeds meer op bewijs van de implementatie van beveiligingsmaatregelen in plaats van op verklaringen. Programma’s voor het beheer van risico’s van derden worden een vereiste, en geen onderscheidende factor meer. Organisaties die geen actueel, gedocumenteerd beveiligingsbeleid kunnen aantonen, zien dat dekking niet meer beschikbaar is of onbetaalbaar wordt.

De praktische verschuiving: organisaties die voorheen volstonden met een verklaring van één pagina, krijgen nu te maken met gedetailleerde beveiligingsvragenlijsten, verplichte technische controle-eisen en in sommige gevallen externe beveiligingsbeoordelingen voordat polissen worden afgesloten. Verzekeraars zijn in feite een marktgedreven drijvende kracht geworden achter elementaire beveiligingsmaatregelen.

Wat verzekeraars tegenwoordig eisen

De meeste gerenommeerde cyberverzekeraars stellen de volgende basisbeveiligingsmaatregelen als voorwaarde voordat de dekking wordt verleend.

Meervoudige authenticatie voor alle externe toegangen, e-mail en accounts met verhoogde rechten. Het datalek bij Change Healthcare in 2024, waarbij misbruik werd gemaakt van een onbeveiligd Citrix-portaal zonder MFA, wat leidde tot een losgeldbetaling van 22 miljoen dollar en 872 miljoen dollar aan directe responskosten, is in de sector de standaardreferentie geworden voor de reden waarom MFA absoluut noodzakelijk is. Veel verzekeraars vragen nu specifiek naar de dekking van MFA per toepassing, in plaats van genoegen te nemen met een algemeen ‘ja’.

Endpoint Detection and Response (EDR) wordt op alle eindpunten geïmplementeerd, niet alleen op servers. Traditionele antivirussoftware volstaat voor de meeste polissen niet meer. Sommige verzekeraars vragen nu of EDR beheerd of onbeheerd is, waarbij beheerde EDR (MDR) gunstigere voorwaarden krijgt.

Beheer van geprivilegieerde toegang met MFA en just-in-time-toegangscontroles voor beheerdersaccounts. De scheiding tussen dagelijkse toegang en geprivilegieerde toegang wordt steeds vaker een afzonderlijk beoordelingspunt.

Patchbeheer met een gedocumenteerd proces en aantoonbare redelijke termijnen voor het verhelpen van kritieke kwetsbaarheden. Verzekeraars vragen niet langer alleen of er patchbeheer is, maar willen ook cijfers zien: de gemiddelde tijd die nodig is om kritieke CVE’s te patchen, en het percentage eindpunten dat aan het patchbeleid voldoet.

Geteste, geïsoleerde back-ups. Back-ups die weliswaar bestaan, maar zich op hetzelfde netwerk bevinden als de productiesystemen en toegankelijk zijn voor ransomware, bieden geen herstelwaarde en geen verzekeringsvoordeel. Verzekeraars willen bewijs zien van netwerkgeïsoleerde of offline back-ups, onveranderlijke opslag en gedocumenteerde resultaten van hersteltests. Back-ups die nog nooit zijn getest, worden steeds vaker beschouwd als geen back-up.

Trainingen op het gebied van beveiligingsbewustzijn, met een gedocumenteerd verslag van de uitvoering en in veel gevallen resultaten van phishingsimulaties. Sommige verzekeraars eisen bewijs dat de trainingen minstens elk kwartaal plaatsvinden, in plaats van slechts eenmaal per jaar.

Een rampenplan met bewijs van een simulatieoefening. Een gedocumenteerd plan dat nog nooit is getest, vormt minder sterk bewijs dan een getest plan met gedocumenteerde resultaten.

De veiligheidsmaatregelen die bepalend zijn voor de dekking en de premie

Er bestaat een rechtstreeks wederzijds verband tussen beveiligingsmaatregelen en verzekeringseconomie.

Organisaties met krachtige, gedocumenteerde beveiligingsmaatregelen komen in aanmerking voor een uitgebreidere dekking, hogere dekkingslimieten en lagere premies. De investering in beveiliging levert een meetbaar financieel rendement op in de vorm van lagere verzekeringskosten, naast het belangrijkste voordeel: een lager risico op incidenten.

Organisaties met zwakke of niet-gedocumenteerde beveiligingsmaatregelen krijgen te maken met hogere premies, lagere dekkingslimieten, meer sublimieten, hogere eigen risico’s en in sommige gevallen zelfs geen dekking. Een MSP die een klant helpt bij het documenteren van zijn beveiligingsstatus met het oog op een verlenging, levert niet alleen een dienst op het gebied van compliance. Hij draagt ook rechtstreeks bij aan het verbeteren van de verzekeringskosten van die klant.

Het schadeverleden heeft een grote invloed op de voorwaarden bij verlenging. Een organisatie die te maken heeft gehad met een ernstig datalek kan bij verlenging te maken krijgen met aanzienlijk gewijzigde dekkingsvoorwaarden, ongeacht de verbeteringen die na het incident zijn doorgevoerd. De 12 maanden na een ernstige schadeclaim vormen vaak de duurste verzekeringsperiode voor een bedrijf.

Vanuit het perspectief van een MSP is het helpen van klanten bij het realiseren en documenteren van de beveiligingsnormen die verzekeraars eisen zowel een toegevoegde waarde in de dienstverlening als een onderdeel van het risicobeheer. Het verlaagt de verzekeringskosten voor de klant, vermindert de aansprakelijkheidsrisico’s voor de MSP zelf bij incidenten bij klanten en versterkt de adviespositie van de MSP.

Cyberverzekering voor MSP’s

MSP’s moeten rekening houden met twee verschillende aspecten van cyberverzekeringen: interne dekking voor hun eigen bedrijfsvoering, en een adviserende rol bij het helpen van klanten om in aanmerking te komen voor dekking en deze te behouden.

De interne dekking moet aansluiten bij het unieke risicoprofiel van MSP-activiteiten. Toegang met uitgebreide rechten tot meerdere klantomgevingen brengt een aansprakelijkheidsrisico met zich mee dat fundamenteel verschilt van dat van een IT-afdeling binnen één enkele organisatie. Een cyberinbreuk bij een MSP kan zich tegelijkertijd naar tientallen klantomgevingen verspreiden, waardoor een totale aansprakelijkheid jegens derden ontstaat die een standaard commerciële cyberverzekering waarschijnlijk niet voldoende dekt. Cyberverzekeringen voor MSP’s moeten specifieke dekking bieden voor aansprakelijkheid jegens derde partijen (klanten) en dekkingslimieten bevatten die in verhouding staan tot de totale waarde van de klantenportefeuille.

De kansen op het gebied van advies zijn aanzienlijk en nemen toe. MSP’s worden steeds vaker gevraagd om klanten te helpen bij het documenteren van beveiligingsmaatregelen voor verzekeringsvragenlijsten, ervoor te zorgen dat de geleverde diensten voldoen aan de polisvoorwaarden, en advies te geven over de toereikendheid van de dekking. Dit is een logisch verlengstuk van het aanbod van beheerde beveiligingsdiensten en biedt nieuwe inkomstenkansen: adviesdiensten op het gebied van compliance en verzekeringsgereedheid worden steeds vaker tegen hogere tarieven in rekening gebracht.

Contractuele afstemming is van groot belang. In MSP-serviceovereenkomsten moeten de aansprakelijkheid bij beveiligingsincidenten, de meldingsplicht bij inbreuken en de reikwijdte van de verantwoordelijkheid voor de bescherming van klantgegevens duidelijk worden vastgelegd. Cyberverzekeringen en contractvoorwaarden moeten gezamenlijk worden beoordeeld. Een MSP wiens contract de aansprakelijkheid beperkt tot drie maanden aan vergoedingen, maar wiens klant door een inbreuk te maken is met claims van derden ter waarde van 2 miljoen dollar, heeft te maken met een dekkingslacune die moet worden onderkend voordat een incident deze lacune veroorzaakt.

Hoe Kaseya MSP’s helpt om aan de eisen van verzekeraars te voldoen

Kaseya 365 de beveiligingsmaatregelen die verzekeraars tegenwoordig eisen op één enkel platform, waardoor MSP’s zowel de bescherming als het bewijsmateriaal krijgen waar verzekeraars om vragen.

Datto EDR biedt detectie en respons voor alle beheerde eindpunten, inclusief Managed Detection and Response (MDR)-mogelijkheden voor organisaties die behoefte hebben aan een bewaakt SOC-niveau. Het aantonen van de implementatie van EDR en de reactie op waarschuwingen is een standaardvraag bij het afsluiten van een verzekering.

BullPhish ID biedt trainingen op het gebied van beveiligingsbewustzijn en phishingsimulaties in de omgevingen van klanten, met rapportages die de frequentie van de trainingen en de resultaten van medewerkers vastleggen voor acceptatiedocumentatie.

Dark Web ID controleert continu op gecompromitteerde inloggegevens binnen de domeinen van klanten en detecteert blootgestelde inloggegevens voordat deze worden misbruikt. Het monitoren van inloggegevens is een steeds vaker voorkomende vereiste bij het afsluiten van verzekeringen.

Inky biedt op AI gebaseerde e-mailbeveiliging en bescherming tegen phishing, waarmee het de dreiging van social engineering aanpakt die aan de basis ligt van het merendeel van de gevallen waarin kwaadwillenden voor het eerst toegang krijgen tot systemen.

Datto SIRIS biedt geïsoleerde, onveranderlijke back-ups met geautomatiseerde verificatie via schermafbeeldingen, waardoor het gedocumenteerde bewijs van hersteltests wordt geleverd dat verzekeraars steeds vaker eisen als bewijs dat back-ups daadwerkelijk kunnen worden hersteld.

Compliance Manager GRC genereert vanaf één platform de documentatie over de beveiligingsstatus en het bewijstraject voor compliance die vereist zijn voor acceptatievragenlijsten, voor meerdere klanten.

Voor MSP’s die aan de voorwaarden voldoen, biedt het Kaseya Cyber Insurance Fast Track-programma – beschikbaar via KaseyaOne samenwerking met Cysurance – een vooraf goedgekeurde cyberaansprakelijkheidsdekking tot 1,5 miljoen dollar voor MSP’s en hun klanten die de beveiligingsoplossingen van Kaseya hebben geïmplementeerd. In aanmerking komende MSP’s krijgen toegang tot deze dekking tegen tarieven die aanzienlijk onder de standaardmarktprijzen liggen, met een gestroomlijnd aanvraagproces via het KaseyaOne .

Ontdek Kaseya 365 voor MSP’s

Belangrijkste punten

  • Een cyberverzekering dekt kosten van incidenten die het eigen bedrijf treffen, aansprakelijkheid jegens derden, juridische bijstand bij handhavingsprocedures en kosten in verband met ransomware, maar uitsluitingen voor aanvallen door staten, reeds bestaande inbreuken en bekende, niet-gepatchte kwetsbaarheden leiden er vaak toe dat claims worden afgewezen. Inzicht in de uitsluitingen is net zo belangrijk als inzicht in de dekking.
  • De acceptatievoorwaarden zijn niet mee versoepeld met de premies. Verzekeraars eisen nu gedocumenteerd bewijs van MFA, EDR, geteste back-ups, patchbeheer en het testen van incidentresponsplannen voordat ze de dekking definitief vastleggen. Een verklaring alleen is niet langer voldoende.
  • Beveiligingsinvesteringen en verzekeringseconomie zijn rechtstreeks met elkaar verbonden. Degelijke, gedocumenteerde controles zorgen voor een betere dekking, lagere premies en een vlottere afhandeling van schadeclaims. Ondocumenteerde of gebrekkige controles hebben juist het tegenovergestelde effect, ongeacht wat er in de vragenlijst staat.
  • Voor MSP’s is advies op het gebied van cyberverzekeringen – waarbij klanten worden geholpen bij het documenteren van hun beveiligingsmaatregelen, het afstemmen van hun diensten op de polisvoorwaarden en het voldoen aan de dekkingsvoorwaarden – een groeiende en factureerbare dienst die de klantrelaties versterkt en de concurrentiepositie van MSP’s verbetert.

Eén compleet platform voor IT- en Security

Kaseya 365 de alles-in-één-oplossing voor het beheer, de beveiliging en de automatisering van IT. Dankzij naadloze integraties tussen cruciale IT-functies vereenvoudigt het de bedrijfsvoering, versterkt het de beveiliging en verhoogt het de efficiëntie.

Vraag een demo aan Ontdek Kaseya 365

Één platform. Alles omtrent IT.

Kaseya 365 profiteren van de voordelen van de beste tools voor IT-beheer en beveiliging in één enkele oplossing.

Ontdek Kaseya 365

Uw succes is onze nummer 1 prioriteit

Partner First staat voor flexibele voorwaarden, gedeeld risico en toegewijde ondersteuning voor uw bedrijf.

Ontdek Partner First Pledge

Kaseya MSP over de stand van zaken bij MSP 2026

Kaseya - Rapport over de stand van zaken bij MSP's in 2026 - Webafbeelding - 1200x800 - BIJGEWERKT

Ontvang MSP-inzichten voor 2026 van meer dan 1.000 dienstverleners en ontdek hoe u uw omzet kunt vergroten, u kunt aanpassen aan de druk van de markt en concurrerend kunt blijven.

Nu downloaden

Ontdek categorieën

Wat is multifactorauthenticatie (MFA), waarom is het belangrijk en wat is de cruciale rol ervan in cyberbeveiliging?

Multifactorauthenticatie (MFA) is een essentiële vorm van identiteitsverificatie en cyberbeveiliging waarbij users hun identiteit met behulp van meer dan één methode users .

Lees blogbericht

Waarom is het zo moeilijk om een cyberverzekering af te sluiten en wat kunnen we eraan doen?

Ontdek waarom cyberverzekeringen moeilijk te verkrijgen kunnen zijn en hoe het nieuwe Kaseya Fast Track-programma helpt om obstakels uit de weg te ruimen.

Lees blogbericht

Waarom u met KMO's over cyberverzekering moet praten

De afgelopen jaren hebben we gezien dat cybercriminelen zich steeds vaker richten op kleine en middelgrote bedrijven, terwijl veel eigenaren van kleine bedrijven nog steeds denken dat

Lees blogbericht