Verzekeren van cyberschade in tijden van oorlog

Bijna twee maanden geleden vielen de Russische troepen Oekraïne binnen. Veel langer al is de onlinewereld het strijdtoneel tussen beide landen. Meest bekend – vooral omdat talloze bedrijven en organisaties buiten Oekraïne werden geraakt – is de cyberaanval genaamd NotPetya. Russische militaire hackers verspreidden in juni 2017 zgn. ransomware via gehackte Oekraïense boekhoudsoftware. Een van de grootste slachtoffers buiten Oekraïne was containerbedrijf Maersk. Onder meer de terminals in de Rotterdamse haven werden getroffen. Ook het farmaceutisch bedrijf MSD werd geraakt. Bij de vestiging in Oss kwam de medicijnproductie tot stilstand en ging veel digitale informatie verloren. Naar verluidt was er wereldwijd miljarden euro’s aan schade. Met omvangrijke schadeclaims bij verzekeraars tot gevolg. De enorme bedragen die werden geclaimd – in combinatie met het feit dat voor verzekeraars cyberrisico’s lastig te kwantificeren zijn en sprake is van een groeiende risico-accumulatie omdat veel bedrijven en organisaties afhankelijk zijn van dezelfde infrastructuur of software – vormden voor enkele grote verzekeraars aanleiding om de dekking van hun cyberverzekeringen te beperken.

Waar het mij op deze plaats om gaat, is dat diverse verzekeraars ook weigerden de schadeclaims te honoreren, met als argument dat de NotPetya-aanval een gewapend conflict betrof. Schade als gevolg van gewapende conflicten valt buiten de dekking, vanwege het te grote financiële risico. De polis waar Maersk de claim op baseerde bepaalt dat niet is verzekerd: ‘Verlies of schade veroorzaakt door vijandige of oorlogszuchtige actie in vredes- of oorlogstijd, inclusief actie bij het verhinderen, bestrijden of verdedigen tegen een daadwerkelijke, dreigende of verwachte aanval: (a) door een regering of soevereine macht (de jure of de facto) of door een autoriteit die militaire, zee- of luchtstrijdkrachten in stand houdt of gebruikt; (b) of door leger-, zee- of luchtstrijdkrachten; (c) of door een agent van een dergelijke regering, macht, autoriteit of strijdkrachten.’ De uitleg van een dergelijke verzekeringsclausule levert nauwelijks problemen op als oorlog ver weg is en er een duidelijke definitie is van wat een gewapend conflict behelst. Cyberaanvallen laten zich echter niet zo gemakkelijk in dit keurslijf dwingen. Bijvoorbeeld: valt een digitale code als wapen te beschouwen? De bedrijven die niets kregen uitgekeerd lieten het er niet bij zitten en stapten naar de rechter voor een oordeel over de vraag of en wanneer cyberaanvallen als gewapend conflict zijn te beschouwen. Onlangs deed de rechter in New Jersey uitspraak in een van deze zaken.1 Twee kwesties bespreek ik hier kort.2

Ten eerste oordeelt de rechter dat voor een ‘vijandige of oorlogszuchtige actie’ niet voldoende is dat de betreffende actie geïnitieerd of gesteund wordt door een natiestaat. Kortom, het enkele feit dat talloze landen (de VS, het VK en Canada) de cyberaanval toeschreven aan Rusland was onvoldoende reden voor een legitiem beroep door verzekeraars op de clausule. Noodzakelijk was tevens dat sprake was van een ‘inzet van strijdkrachten’. En daarin hanteerde de rechter een klassieke interpretatie: het strijdtoneel van land, zee en lucht kent vooralsnog geen vierde terrein (cyber). En daarmee kon de actie van Rusland niet als ‘oorlogszuchtig’ worden beschouwd. De vraag is natuurlijk of de rechter, gegeven de huidige ontwikkelingen in Oekraïne en de rol van cyberaanvallen daarin, nu tot eenzelfde oordeel zou komen. Maar los daarvan: de rechter rekent het de verzekeraar ook aan dat deze de formulering van de betreffende clausule zelf niet had geactualiseerd en dus aangepast gegeven de opkomst van door staten geïnitieerde dan wel ondersteunde cyberaanvallen.

Naar verwachting zullen verzekeraars de polissen nu gaan actualiseren met als voor de hand liggend gevolg dat dekking voor cyberaanvallen zeer beperkt wordt. Om bedrijven toch tegemoet te komen bij grote financiële verliezen zou de overheid met verschillende partijen een herverzekeringsfonds kunnen organiseren. Ter inspiratie voor deze ‘cyberpool’ valt naar de Nederlandse Herverzekeringsmaatschappij voor Terrorismeschaden te kijken, die alle sectoren tegen schade verzekert tot een bedrag van 1 miljard euro per kalenderjaar, opgebracht door nationale verzekeraars, internationale herverzekeraars en de Nederlandse staat.3

Ten tweede laat deze kwestie zien dat de discussie over het verzekeren van cyberrisico’s – en daarmee het aanpassen van polissen – breder getrokken moet worden dan de cyberverzekering.4 Maersk claimde namelijk niet alleen onder de cyberverzekering, maar ook onder de algemene verzekeringen voor eigendom. Verzekeraars blijken de dekkingssystematiek op deze verzekeringen nog onvoldoende op cyberaanvallen aangepast te hebben, met als gevolg dat deze polissen ook dekking kunnen bieden. En waar de cyberverzekeringen werken met strikte bepalingen en relatief lage limieten voor de maximaal uit te keren bedragen, liggen de limieten bij de meer algemene bedrijfs- en eigendomsverzekeringen veel hoger (soms miljarden dollars, zoals in het geval van Maersk).

De bovenstaande zijn slechts twee van de kwesties voor verder debat. Weliswaar blijven grote Russische cyberaanvallen op Oekraïne met mondiale effecten tot nu toe beperkt; april 2022 moeten we helaas vaststellen dat de kwalificatie ‘gewapend conflict’ ook bij cyberaanvallen realistisch lijkt.

 

Dit Vooraf verschijnt in NJB 2022/863, afl. 14. 

 

Afbeelding: pixabay

 

Noten:

  1. Merck & Co., Inc./Ace American Insuran Ce, Docket No. L-002682-18 (N.J. Super. Ct. Law Div., december 2021) Court Docket (bloomberglaw.com)
  2. Voor meer kwesties: T. Wheeler & J. Wolff, ‘Why Insurance Companiers Don’t Want to Pay Out for Cyberattacks’, Foreign Policy, 21 februari 2022.
  3. WRR, Voorbereiden op digitale ontwrichting, Den Haag 2019, p. 94-95.
  4. Voor een uitgebreide analyse: N.M. Brouwer, De cyberverzekering vanuit civielrechtelijk perspectief, diss. Nijmegen 2021.
Over de auteur(s)
Author picture
Corien Prins
Hoogleraar Recht en Informatisering