Doorgaan naar hoofdinhoud

Cyberverzekering voor kleine ondernemingen in 2026: MFA-vereisten, ransomware-dekking en premiebenchmarks

· 12 min leestijd
Mike Thrift
Mike Thrift
Marketing Manager

Eenenveertig procent van de cyberverzekeringsaanvragen voor het mkb wordt bij de eerste indiening afgewezen. Drieënzeventig procent van de kleine bedrijven zakt voor hun beoordeling. En van de bedrijven die wel een polis hebben en een claim indienen, eindigt meer dan 40 procent zonder uitbetaling — vaak omdat de dekking niet aansloot bij het type verlies.

Als die cijfers niet meer lijken te kloppen met de wereld van drie jaar geleden, dan is dat omdat ze dat ook niet doen. De markt voor cyberverzekeringen heeft een wilde rit achter de rug: dramatische premiestijgingen in 2021–2022, twee jaar van dalende tarieven terwijl verzekeraars hun acceptatiebeleid verfijnden, en nu een scherpe wending terug omhoog. S&P Global Ratings voorspelt een premiestijging van 15–20 procent in de hele markt in 2026, gedreven door een stijging van 126 procent in ransomware-incidenten in het eerste kwartaal van 2025 en een toename van 800 procent in diefstal van inloggegevens.

2026-05-09-cyber-insurance-small-business-2026-mfa-requirements-ransomware-coverage-premium-benchmarks

Voor een klein bedrijf is de praktische vraag niet óf je een cyberverzekering moet afsluiten — op dit punt verwachten de meeste kredietverstrekkers, leveranciers en klanten het. De moeilijkere vragen zijn: Welke controles moet u hebben om in aanmerking te komen? Hoeveel moet u daadwerkelijk betalen? En wat dekt de polis niet als het ergste gebeurt? Deze gids behandelt wat er is veranderd voor 2026 en hoe u een geloofwaardige aanvraag voorbereidt.

Wat een cyberverzekering daadwerkelijk dekt

Cyberpolissen vallen uiteen in twee brede categorieën, en de meeste kleine bedrijven hebben beide nodig.

Eigen schade (Eerstelijnsdekking)

De dekking voor eigen schade vergoedt schade aan uw eigen bedrijf wanneer er een incident plaatsvindt. De belangrijkste onderdelen:

  • Incidentrespons en forensisch onderzoek: onderzoekers zoeken uit hoe aanvallers zijn binnengekomen, wat ze hebben aangeraakt en welke gegevens het gebouw hebben verlaten. Dit alleen al kost vaak 50.000tot50.000 tot 150.000 voor een middelgroot incident.
  • Ransomware en cyberafpersing: losgeldbetalingen (waar wettelijk toegestaan), onderhandelingsdiensten en ondersteuning bij ontsleuteling.
  • Bedrijfsonderbreking: gederfde inkomsten en extra bedrijfskosten terwijl systemen platliggen. Gemiddeld ligt een klein bedrijf 11 tot 22 dagen plat door een ransomware-incident.
  • Gegevensherstel: het herstellen van beschadigde bestanden, databases en configuraties.
  • Melding van datalekken: postverzendingen, callcenters, kredietbewaking voor getroffen klanten — doorgaans vereist door de wet.
  • Crisismanagement en PR: communicatiewerk om reputatieschade te beperken.

Claims voor eigen schade maken nu ongeveer 62 procent uit van alle actief beheerde cyberclaims in de portefeuilles van grote herverzekeraars, wat weerspiegelt hoeveel van het moderne cyberverlies bestaat uit operationele verstoring in plaats van aansprakelijkheid jegens derden.

Aansprakelijkheid (Derden-dekking)

Aansprakelijkheidsdekking betaalt wanneer iemand u aanklaagt vanwege een incident — een klant wiens gegevens zijn gelekt, een leverancier wiens systemen u hebt gecompromitteerd, een toezichthouder die boetes oplegt onder de AVG (GDPR) of lokale privacywetgeving. Het dekt verdedigingskosten, schikkingen, vonnissen en boetes van toezichthouders voor zover deze verzekerbaar zijn.

Een klein bedrijf dat betalingsgegevens van klanten, gezondheidsinformatie of andere gereguleerde persoonsgegevens verwerkt, heeft beide zijden van de polis nodig. Het overslaan van de aansprakelijkheidsdekking is een van de meest voorkomende manieren waarop kleine bedrijven onderverzekerd raken voor het werkelijke incident waarmee ze uiteindelijk te maken krijgen.

Hoe de premies voor 2026 er werkelijk uitzien

De prijzen variëren sterk per sector, omzet, datavolume en beveiligingsniveau, maar dit zijn de bereiken die de meeste kleine bedrijven zullen zien:

  • **Jaarlijkse premie voor 1miljoendekking:1 miljoen dekking**: 1.000 tot 7.500voorkleinebedrijvenmeteenomzetonderdeongeveer7.500 voor kleine bedrijven met een omzet onder de ongeveer 5 miljoen.
  • Mediaan maandpremie: 134tot134 tot 145 per maand, met een nationaal gemiddelde benchmark van rond de $ 83 per maand.
  • Hoogrisicosectoren (gezondheidszorg, juridisch, financiële diensten, MSP's): vaak 2x tot 4x het basisniveau.
  • Sterke beveiligingscontroles: verlagen de premies doorgaans met 15 tot 30 procent.
  • Mislukte beoordelingen: kunnen leiden tot premiestijgingen van meer dan 300 procent of een regelrechte afwijzing.

Het gemiddelde onverzekerde cyberincident kost een klein bedrijf nu meer dan 79.000vaakeenfatalegebeurtenisvoorbedrijvenmetkrappemarges.Dieberekeningisderedenwaaromdemeesteeigenarenuiteindelijkconcluderendatzelfseenjaarpremievan79.000 — vaak een fatale gebeurtenis voor bedrijven met krappe marges. Die berekening is de reden waarom de meeste eigenaren uiteindelijk concluderen dat zelfs een jaarpremie van 3.000 beter is dan het zelf financieren van het eerste incident.

Maar de premie is slechts de helft van de vergelijking. Het eigen risico (in cyberpolissen vaak "retentie" genoemd) bedraagt doorgaans 2.500tot2.500 tot 25.000 voor polissen voor het mkb. Sublimieten beperken hoeveel de polis uitkeert voor specifieke soorten incidenten — een polis van 2miljoenmeteenransomwaresublimietvan2 miljoen met een ransomware-sublimiet van 250.000 betekent dat een ransomware-incident maximaal $ 250.000 uitkeert, ongeacht de totale schade. Lees altijd het overzicht van sublimieten, niet alleen de limiet in de kop van de polis.

De acceptatiechecklist voor 2026

Verzekeraars zijn overgestapt van het stellen van algemene beveiligingsvragen naar het eisen van gedocumenteerd bewijs van specifieke controles. Negenennegentig procent van de aanvragen voor cyberverzekeringen bevat nu gedetailleerde MFA-vragen. Achtentachtig procent van de verzekeraars eist EDR- of MDR-tools op alle endpoints. Dit is wat verzekeraars verwachten te zien:

Multi-factor authenticatie (MFA) overal

Dit is de meest voorkomende reden voor afwijzing. MFA moet worden afgedwongen — niet alleen beschikbaar zijn — op:

  • E-mail (met name Microsoft 365 en Google Workspace)
  • VPN en toegang op afstand
  • Cloudplatforms (AWS, Azure, GCP, SaaS-beheerconsoles)
  • Alle beheerders- en geprivilegieerde accounts
  • Boekhoud- en ERP-systemen
  • Systemen voor het delen van bestanden en back-ups

Als MFA niet universeel is uitgerold, zullen veel verzekeraars weigeren dekking te verlenen. "Grotendeels afgedwongen" of "we werken eraan" volstaat niet langer.

Endpoint Detection and Response (EDR of MDR)

Traditionele antivirus is niet langer voldoende. Verzekeraars verwachten een modern EDR-product — CrowdStrike, SentinelOne, Microsoft Defender for Endpoint of gelijkwaardig — uitgerold op elk eindpunt. Eén onbeheerde laptop kan een volledige aanvraag diskwalificeren. Elke toename van 25 procent in de EDR-implementatie correleert met een afname van ongeveer 10 procent in de kans op een claim door een inbreuk, en verzekeraars weten dat.

Geteste, onwijzigbare back-ups op een externe locatie

Het hebben van back-ups is niet voldoende. Verzekeraars willen:

  • Externe of air-gapped opslag zodat ransomware ze niet kan versleutelen
  • Onwijzigbaarheid (Immutability) — back-ups die niet kunnen worden gewijzigd of verwijderd zodra ze zijn geschreven
  • Gedocumenteerde hersteltests, idealiter per kwartaal
  • Recovery Time en Recovery Point Objectives (RTO/RPO) die aansluiten bij uw tolerantie voor bedrijfsonderbreking

Veel bedrijven maken jarenlang back-ups zonder ooit een herstel te testen. Wanneer ransomware toeslaat, ontdekken ze dat de back-ups beschadigd of onvolledig zijn, of dat het drie weken duurt om ze te herstellen. Verzekeraars hebben deze les geleerd en vereisen nu bewijs van herstel.

Schriftelijk incident-responsplan

Een gedateerd incident-responsplan met benoemde rollen, escalatiepaden, communicatiesjablonen en idealiter aantekeningen van tabletop-oefeningen. Verzekeraars willen zien dat u hebt nagedacht over de eerste 48 uur van een incident voordat het zich voordoet.

Security awareness training

Gedocumenteerde jaarlijkse training plus gesimuleerde phishing-campagnes. Trainingsgegevens van de afgelopen 12 maanden moeten op verzoek beschikbaar zijn. Phishing blijft de belangrijkste toegangsweg voor de meerderheid van de inbreuken bij kleine bedrijven.

Patchbeheer en kwetsbaarheidsscanning

Bewijs dat u kritieke kwetsbaarheden patcht binnen gedefinieerde termijnen (meestal 14 tot 30 dagen voor problemen met een hoge ernst) en regelmatig externe kwetsbaarheidsscans uitvoert.

Het bewijspakket

Wanneer u een aanvraag doet of verlengt, bereid dan een pakket voor met:

  • Screenshots van de MFA-handhaving die de gedekte accounts tonen
  • EDR-implementatierapporten die het dekkingspercentage tonen
  • Back-uplogs met data en resultaten van hersteltests
  • Trainingsgegevens en rapporten van phishing-simulaties
  • Uw gedateerde incident-responsplan
  • Patchbeheerbeleid en recente scanresultaten

Het vooraf indienen van dit pakket — in plaats van reactief vragenlijsten te beantwoorden — levert doorgaans zowel snellere offertes als betere prijzen op.

Ransomware: De dekking binnen de dekking

Ransomware is verantwoordelijk voor 60 procent van de waarde van grote cyberclaims, waarbij de gemiddelde betalingen nu de $400.000 overschrijden en de totale kosten van een incident (losgeld + herstel + bedrijfsonderbreking + juridisch) vaak oplopen tot $1 miljoen à $5 miljoen voor middelgrote bedrijven. De Akira-ransomwarefamilie alleen al vraagt gemiddeld $1,2 miljoen bij de initiële eis.

Verzekeraars hebben gereageerd met drie structurele wijzigingen:

  1. Sublimieten die de uitbetalingen voor ransomware beperken tot ver onder de algemene polislimiet.
  2. Medeverzekering waarbij u 20 tot 50 procent van het ransomwareverlies uit eigen zak moet dekken.
  3. Uitsluitingen van dekking voor incidenten die "hadden kunnen worden voorkomen met basisbeveiligingsmaatregelen" — een clausule die bij een claim tot een strijd kan leiden als uw MFA gebrekkig was of uw EDR dekkingshiaten vertoonde.

Lees de ransomwaresectie van elke offerte zorgvuldig door. Twee polissen met identieke limieten van $2 miljoen kunnen totaal verschillende ransomware-economieën hebben. En als u zich in een sector bevindt waar toezichthouders de betaling van losgeld ontmoedigen (of waar OFAC-sancties u in de problemen kunnen brengen), zorg er dan voor dat uw polis nog steeds de herstelkosten dekt, zelfs als het losgeld zelf is uitgesloten.

Uitsluitingen die kleine bedrijven treffen

Een paar categorieën uitsluitingen verdienen specifieke aandacht:

Oorlog en door de staat gesteunde aanvallen

Na het mandaat van Lloyd's of London uit 2023 sluiten de meeste polissen nu verliezen door door de staat gesteunde cyberoperaties uit. De formulering is van enorm belang. Het risico voor een typisch klein bedrijf is niet dat het individueel wordt geviseerd door een natiestaat — het is meegesleurd worden in een massale exploitatie (denk aan NotPetya, MOVEit of de volgende supply chain-golf) waarbij toeschrijving aan een statelijke actor de uitsluiting activeert voor duizenden niet-betrokken omstanders. Vraag uw makelaar hoe de polis omgaat met indirecte, op toeschrijving gebaseerde verliezen, niet alleen met directe aanvallen.

Social engineering en fraude bij overboekingen

Veel cyberverzekeringen dekken de kant van de gegevensinbreuk bij een phishing-aanval, maar niet de frauduleuze overboeking die daaruit voortvloeit. Als een aanvaller uw boekhouder verleidt om $80.000 over te maken naar een nep-leverancier, kan het verlies buiten de cyberdekking vallen en is er een aparte 'crime' of social engineering-clausule nodig. Bevestig dit expliciet.

Onversleutelde apparaten

Sommige polissen sluiten inbreuken uit waarbij onversleutelde laptops of mobiele apparaten betrokken zijn. Volledige schijfversleuteling op elk eindpunt is zowel goedkoop als een defensieve maatregel die deze uitsluiting omzeilt.

Bring-Your-Own-Device (BYOD)

Als medewerkers persoonlijke apparaten voor het werk gebruiken, vraag dan of incidenten die voortvloeien uit persoonlijke apparaten gedekt zijn. Veel polissen vereisen door de werkgever beheerde eindpunten.

Eerdere voorvallen en bekende kwetsbaarheden

Als een kwetsbaarheid werd onthuld voordat u de dekking afsloot en u deze niet heeft gepatcht, kunnen claims die verband houden met die kwetsbaarheid uitgesloten worden. Zorg voor een gedocumenteerd patchbeheer om dit argument te weerleggen.

Veelvoorkomende redenen waarom claims worden afgewezen

Wanneer het percentage afgewezen claims van meer dan 40 procent wordt geanalyseerd, zijn de terugkerende oorzaken:

  • Onjuiste weergave op de aanvraag: beweren dat MFA universeel was terwijl dat niet zo was, het overdrijven van de EDR-implementatie, of een onjuiste voorstelling van de back-uppraktijken.
  • Niet voldoen aan de meldingsplicht: de meeste polissen vereisen een melding binnen 60 tot 72 uur na ontdekking, soms sneller.
  • Uitgesloten schadesoort: het incident was fraude met overboekingen, geen datalek, en de polis bevatte geen dekking voor fraude met geldovermakingen.
  • Ontbrekende controles: een vereiste controle (MFA op een specifiek systeem, versleutelde back-ups, enz.) was op het moment van het verlies niet daadwerkelijk aanwezig.
  • Uitputting van sublimieten: het verlies was gedekt, maar het sublimiet werd bereikt en de rest kwam voor rekening van het bedrijf.

De verdediging tegen de meeste hiervan is hetzelfde: beantwoord de aanvraag nauwkeurig, documenteer de controles die u beweert te hebben, en lees de secties over meldingen en uitsluitingen van de polis voordat u deze afsluit.

Waar de boekhouding in het plaatje past

Een cyberverzekering is niet alleen een IT-beslissing — het is een financiële beslissing. Uw premie, uw eigen risico, uw sublimieten en de blootstelling aan verliezen boven uw polislimieten zouden allemaal zichtbaar moeten zijn op de exploitatiebegroting en het risicoregister. Na een incident heeft u een schoon, controleerbaar spoor nodig van:

  • Facturen van forensische leveranciers
  • Kosten voor meldingen en kredietbewaking
  • Berekeningen van gederfde inkomsten tijdens downtime (die verzekeraars zullen aanvechten)
  • Juridische kosten, schikkingsbetalingen en wettelijke boetes
  • Kapitaalinvesteringen in beveiligingscontroles (vaak gedeeltelijk gecompenseerd door betere toekomstige premies)

Verzekeraars en hun forensische accountants controleren claims voor bedrijfsonderbreking nauwkeurig. Hoe schoner uw dagelijkse boeken — met cybergerelateerde uitgaven bijgehouden in hun eigen rekeningen en omzetpatronen gedocumenteerd in de loop van de tijd — hoe soepeler de claim verloopt. Bedrijven die bij een claim aankomen met een "schoenendoos-boekhouding" krijgen minder en trager vergoed dan bedrijven met consistente maandafsluitingen.

Dit is ook waar de mogelijkheid om uw boeken op elk moment te reproduceren van belang is. Als een ransomware-aanval uw boekhoudkundige database corrumpeert, is het herstellen vanaf een back-up van uw boeken fundamenteel voor het berekenen van de claim.

Praktische volgende stappen

Als u voor het eerst een cyberverzekering afsluit, of als uw verlenging binnen de komende 90 dagen is:

  1. Controleer uw maatregelen aan de hand van de bovenstaande acceptatiechecklist. Wees eerlijk over hiaten — ze komen er nu of op het moment van de claim wel uit.
  2. Dicht eerst de goedkope hiaten met een hoge impact. MFA op e-mail, VPN en beheerdersaccounts. EDR op elk eindpunt. Geteste offsite back-ups.
  3. Stel het bewijspakket samen voordat u met makelaars spreekt. Offertes zullen sneller en scherper binnenkomen.
  4. Vraag drie offertes aan bij verzekeraars met verschillende profielen. Een gespecialiseerde cyberverzekeraar, een cyberproduct van een grote commerciële verzekeraar en een beheerd cyberpakket kunnen verrassend verschillende voorwaarden opleveren.
  5. Lees de sublimieten, uitsluitingen en meldingsbepalingen voordat u de polis afsluit, niet na een incident.
  6. Houd rekening met een premieverhoging van 15–20 procent bij verlenging, zelfs als uw beveiliging is verbeterd — dit is een marktbrede verschuiving, geen weerspiegeling van uw specifieke risico.
  7. Plan een tabletop-oefening binnen 90 dagen na het afsluiten, zodat uw incidentresponsplan geen map is die niemand heeft geopend.

Houd uw financiële administratie klaar voor controle

Wanneer een cyberincident toeslaat, zullen de forensische accountants die uw claim voor bedrijfsonderbreking beoordelen, vragen om maandelijkse winst- en verliesrekeningen, details op transactieniveau en historische omzetpatronen die jaren teruggaan — en hoe schoner uw boeken, hoe groter de verhaalbare claim. Beancount.io biedt plain-text accounting die transparant is, versiebeheerd en eenvoudig te back-uppen is samen met de rest van uw kritieke gegevens — geen eigen database om te corrumperen en geen vendor lock-in om uw herstel te vertragen. Ga gratis aan de slag en bewaar uw boeken in een formaat dat nog steeds leesbaar is wanneer u het het hardst nodig heeft.

Share on TwitterFollow @beancount_io

Aan de slag met Beancount.io

Neem de controle over uw financiën met ons open-source systeem voor dubbel boekhouden. Start vandaag nog uw grootboek.

Gratis aan de slagBekijk prijzen

Aan de slag

Functies

Gemeenschap

Juridisch

Beancount.io© 2019 - 2026 Beancount.io
Downloaden in de App StoreOntdek het op Google Play
Gebouwd met transparantie • Versiebeheerd • AI-gestuurd