Cybersecurity en cyberverzekeringen voor de technische installatiebranche: waarom dit in 2026 geen luxe meer is

Een praktisch overzicht voor ondernemers in elektrotechniek, klimaattechniek, installatietechniek en gebouwbeheer

De realiteit: jouw installatiebedrijf is een doelwit

Laten we eerlijk zijn: als installatiebedrijf denk je misschien dat je te klein of te oninteressant bent voor hackers. De cijfers vertellen een ander verhaal.

Ruim driekwart (77%) van de Nederlandse MKB-bedrijven werd in de afgelopen twee jaar slachtoffer van cybercrime, met een gemiddelde schade van €270.000 per incident (bron: Laurus Verzekeringen, 2025). In 2024 ondervond één op de vijf Nederlandse bedrijven schade door een cyberaanval – bij grote ondernemingen liep dit op tot drie op de tien (bron: ABN AMRO/MWM2 onderzoek, 2024). Bedrijven meldden gemiddeld €103.976 schade per incident (bron: Autoriteit Persoonsgegevens jaarrapportage, 2024).

Let op: schadebedragen variëren sterk per sector en incidenttype. De werkelijke cijfers liggen waarschijnlijk hoger omdat niet alle incidenten worden gemeld.

Voor de technische installatiebranche is dit extra relevant. Jullie zijn namelijk geen gewoon MKB-bedrijf met alleen kantoor-IT. Jullie hebben een uniek risicoprofiel dat jullie bijzonder interessant maakt voor cybercriminelen.

Waarom juist installatiebedrijven kwetsbaar zijn

De toegangspoort tot klantensystemen

Als installateur ben je vaak de verbinding tussen de digitale en fysieke wereld van je klant. Je installeert en onderhoudt:

• Gebouwbeheersystemen (BMS)

• Klimaatregelinstallaties

• Toegangscontrolesystemen

• Slimme energiemanagementsystemen

• Industriële besturingssystemen (PLC's, SCADA)

Dit maakt jou letterlijk de toegangspoort tot de systemen van je klanten. Een hacker die via jouw onderhoudssoftware binnenkomt, heeft potentieel toegang tot tientallen of honderden klantlocaties.

Operationele Technologie (OT): het vergeten risico

Waar traditionele IT-security gaat over computers en e-mail, heb jij ook te maken met Operationele Technologie (OT). Dit zijn de systemen die daadwerkelijk iets doen in de fysieke wereld: warmtepompen aansturen, liften bedienen, toegangsdeuren openen.

Het probleem: veel van deze systemen zijn ontworpen vóór cybersecurity een ding was. Ze draaien op verouderde software, hebben standaard wachtwoorden en zijn steeds vaker verbonden met internet voor remote beheer.

De typische aanvalspaden in de installatiebranche

1. Phishing en accountovername Een medewerker klikt op een verdachte link, en binnen enkele uren heeft een hacker toegang tot je e-mail, SharePoint, projectmappen én je remote access tools naar klanten. Social engineering attacks (40%) zijn de meest voorkomende aanvalsvorm in Nederland (bron: Rubrik Zero Labs, 2025).

2. Ransomware op je bedrijfssystemen Je planning-software of ERP wordt vergrendeld. Projecten vallen stil, servicemonteurs weten niet waar ze heen moeten, facturatie ligt plat. In 38% van de gevallen gebeurt dit via account take-over met gestolen inloggegevens. 29% van de slachtoffers betaalde losgeld (bron: DTC Jaarbeeld Ransomware, 2024).

3. Ketenaanvallen via leveranciers Je MSP, ERP-leverancier of cloudprovider wordt gehackt, en jij bent indirect het slachtoffer. Incidenten door leveranciers stegen van 76 naar 94 in 2024 (bron: DataLekt jaaroverzicht, 2024).

4. Remote access misbruik VPN's, RDP-verbindingen en remote beheertools zijn populaire doelwitten. Als jij remote toegang hebt tot klimaatinstallaties of gebouwbeheersystemen van klanten, en die verbinding wordt gecompromitteerd, ben jij aansprakelijk voor de gevolgen.

Risicoprofiel per type installatiebedrijf

Niet elk installatiebedrijf heeft dezelfde risico's. Hieronder de belangrijkste aandachtspunten per specialisatie:

🔌 Elektrotechniek

Hoogste risico's:

• PLC's en meet- en regelsystemen met remote toegang

• Industriële besturingssystemen bij klanten

• Koppelingen met energiemanagementsystemen
  

Extra aandacht bij verzekering:

• OT-uitsluitingen expliciet checken

• Ketenaansprakelijkheid bij doorlevering malware

• Dekking voor schade aan klantsystemen
  

❄️ Klimaattechniek (HVAC)

Hoogste risico's:

• Remote monitoring via SaaS-portalen

• Afhankelijkheid van cloudleveranciers voor beheer

• Slimme thermostaten en klimaatregeling met internetverbinding

Extra aandacht bij verzekering:

• Afhankelijke bedrijfsonderbreking (als je cloudprovider plat gaat)

• Aansprakelijkheid bij uitval klimaatsystemen (denk aan datacenters, zorggebouwen)

• SLA-verplichtingen en gevolgschade

🏢 Gebouwbeheer en -automatisering

Hoogste risico's:

• Toegangscontrolesystemen (fysieke beveiliging!)

• Building Management Systems (BMS) met centrale aansturing

• Koppelingen met brandmeld- en ontruimingssystemen

Extra aandacht bij verzekering:

• Privacyclaims bij lekken van toegangsdata

• Aansprakelijkheid bij falen beveiligingssystemen

• Expliciete dekking voor BMS/toegangssystemen

🔧 Service & onderhoud

Hoogste risico's:

• Brede remote toegang tot veel verschillende klantsystemen

• Onderhoudslaptops als vector voor malwareverspreiding

• Toegang tot gevoelige klantlocaties (zorg, overheid, utilities)

Extra aandacht bij verzekering:

• Aansprakelijkheid bij verspreiding malware via onderhoud

• Dekking voor meerdere getroffen klanten bij één incident

• Contractuele verplichtingen richting klanten (zie volgende sectie)

Contractueel risico: de blinde vlek

Dit is een punt dat veel installateurs over het hoofd zien.

In je servicecontracten en SLA's heb je waarschijnlijk afspraken gemaakt over:

• Uptime-garanties

• Reactietijden bij storingen

• Aansprakelijkheid voor gevolgschade

• Boeteclausules bij niet-nakoming

Het probleem: een cyberincident kan van een IT-probleem veranderen in een contractuele claim.

Voorbeeld: Je beheert de klimaatinstallatie van een datacenter met een SLA van 99,9% uptime. Door ransomware op jouw systemen kun je drie dagen niet bij de regelapparatuur. Het datacenter claimt gevolgschade voor de servers die zijn uitgevallen door oververhitting.

Voorbeeld: Je hebt toegangscontrolesystemen geïnstalleerd bij een zorginstelling. Door een hack worden toegangsgegevens gelekt. De zorginstelling krijgt een boete van de AP én claimt die bij jou.

Controleer daarom:

• Welke aansprakelijkheid je hebt aanvaard in bestaande contracten

• Of je cyberverzekering contractuele claims dekt

• Of er een mismatch zit tussen je SLA-verplichtingen en je verzekeringsdekking
  

Wat kost een cyberincident jouw bedrijf werkelijk?

Reken even mee wat er gebeurt als je bedrijf een week platligt door ransomware:

Directe kosten:

• Omzetverlies (geen facturatie, projecten stil)

• Inhuur IT-experts voor forensisch onderzoek

• Herstel van systemen en data

Indirecte kosten:

• Boetes van de Autoriteit Persoonsgegevens bij datalekken

• Schadeclaims van klanten

• Contractuele boetes en gevolgschadeclaims

• Reputatieschade en verlies van vertrouwen (42% van getroffen bedrijven meldt dit)

Het domino-effect: Als jouw systemen gehackt worden en via jou een klant wordt getroffen, ben jij aansprakelijk. Denk aan een scenario waarin malware via je onderhoudslaptop een ziekenhuis binnendringt, of een fabriek stilligt omdat het klimaatsysteem dat jij beheert is gegijzeld.

Wat is een cyberverzekering precies?

Een cyberverzekering is geen tovermiddel dat alle problemen oplost. Het is een combinatie van twee dingen:

1. Incident response-dienstverlening Bij een incident heb je direct toegang tot een crisisteam: forensische experts die uitzoeken wat er is gebeurd, IT-specialisten die je systemen herstellen, juristen die je helpen met meldplichten, en communicatie-experts voor contact met klanten en pers.

2. Financiële compensatie Vergoeding van schade die je lijdt door het incident: omzetverlies, herstelkosten, juridische kosten en aansprakelijkheidsclaims van derden.

Verzekeraars verschuiven hun focus steeds meer naar preventie en snel herstel. Forensisch onderzoek, juridische ondersteuning en communicatiehulp zijn vaak standaard onderdelen van de polis. Veel verzekeraars bieden ook monitoringtools om kwetsbaarheden tijdig te signaleren (bron: Herenvest, 2025).

Wat dekt een cyberverzekering? De drie pijlers

Pijler 1: Eigen schade (first-party)

Dit is de schade aan jouw eigen bedrijf:

• Incident response kosten: Forensisch onderzoek, data recovery, crisismanagement

• Bedrijfsonderbreking: Omzetverlies en extra kosten tijdens de herstelperiode

• Ransomware/afpersing: Vaak met sublimits en extra voorwaarden

• Afhankelijke bedrijfsonderbreking: Schade doordat je IT-dienstverlener of cloudprovider uitvalt
  

Pijler 2: Aansprakelijkheid (third-party)

Dit is schade die je aan anderen veroorzaakt:

• Privacy-aansprakelijkheid: Claims van klanten bij datalekken

• Netwerkaansprakelijkheid: Schade door verspreiding van malware via jouw systemen

• Juridische bijstand: Ondersteuning bij meldplichten en communicatie
  

Pijler 3: Crisismanagement

Dit is de praktische hulp bij een incident:

• 24/7 noodlijn met specialisten

• Forensisch onderzoek om de oorzaak te achterhalen

• PR en communicatie naar klanten en pers

• Juridische ondersteuning bij meldplichten (AVG, AP)
  

Wat dekt een cyberverzekering NIET? De valkuilen

Dit zijn de punten waar het vaak misgaat bij claims:

1. Cyberoorlog en staatsactoren

Veel polissen sluiten schade uit die toegeschreven wordt aan "cyber warfare" of staatsgelinkte aanvallen.

Nuance: In de praktijk is toeschrijving van een aanval aan een staat juridisch complex. Claims worden zelden puur op 'vermoeden' afgewezen, maar dit blijft een grijs gebied. Voor de meeste MKB-installateurs is dit risico beperkt – jullie worden doorgaans niet gehackt door statelijke actoren, maar door opportunistische criminelen.

2. Niet voldoen aan minimale beveiligingseisen

Verzekeraars stellen steeds strengere eisen. Als je in de aanvraag invult dat je MFA gebruikt, maar in de praktijk niet overal, kan je claim worden afgewezen.

3. Sublimits op ransomware

Ransomware zit vaak in aparte sublimieten – lager dan je hoofdverzekering. Je denkt €500.000 verzekerd te zijn, maar voor ransomware geldt misschien maar €50.000.

4. Factuurfraude en CEO-fraude

Dit valt vaak niet onder "cyber" maar onder criminaliteit. Een veel voorkomende mismatch tussen verwachting en polis.

5. OT-systemen

Schade aan of via Operationele Technologie is vaak beperkt gedekt of expliciet uitgesloten. Juist voor installatiebedrijven een cruciaal aandachtspunt – vraag hier expliciet naar.

Wat willen verzekeraars zien voordat ze je accepteren?

Verzekeraars evolueren van pure risico-overdracht naar risicopartnerschap. De acceptatiebenadering is dynamischer geworden: dekking, limieten en voorwaarden weerspiegelen de actuele cyberhygiëne van een bedrijf.

Dit zijn de minimale eisen die vrijwel altijd terugkomen:

Must-haves:

• MFA overal: E-mail, VPN, remote access, admin accounts

• EDR/endpoint protection: Op alle servers en laptops

• Back-ups: Offline of immutable, én regelmatig getest op herstel

• Patch- en kwetsbaarhedenbeheer: Updates tijdig doorvoeren

• Least privilege: Adminrechten beperken tot wie het écht nodig heeft

• Incident response plan: Weet wat je doet als het misgaat

Bedrijven met een goed back-upsysteem betalen 27 keer minder vaak losgeld (bron: Politie/Tom Meurs promotieonderzoek, 2024). Verzekeraars weten dit ook.

NIS2 en de Cyberbeveiligingswet: waarom dit ook jou raakt

De Europese NIS2-richtlijn wordt in Nederland omgezet naar de Cyberbeveiligingswet. Essentiële entiteiten kunnen maximaal €10 miljoen of 2% van de wereldwijde jaaromzet als boete opgelegd krijgen (bron: Verzeker Cyber, 2025).

Waarom is dit relevant voor installatiebedrijven?

Jij valt misschien niet direct onder NIS2, maar:

1. Je bent leverancier aan partijen die er wél onder vallen (zorginstellingen, energiebedrijven, waterschappen)

2. Je krijgt security-eisen in contracten van deze klanten

3. Je verzekerbaarheid wordt mede bepaald door hoe goed je hierop voorbereid bent
   

Welke verzekeraars zijn interessant voor de installatiebranche?

Techniek Nederland Verzekeringen (sector-specialist)

De branchevereniging kent de specifieke risico's van de technische sector.

Plus: Begrijpt jouw business en risico's Focus: Hacking, afpersing, juridische bijstand bij datalekken

Hiscox (CyberClear)

Marktleider voor MKB met duidelijke voorwaarden.

Plus: Sterke focus op preventie – vaak gratis scans en trainingen Hulp: Internationaal erkend Incident Response team

Eye Security (Insurtech)

Combineert beveiligingssoftware met verzekering.

Plus: Zij installeren monitoring-software en bewaken je systemen 24/7 Effect: Lagere premie en makkelijkere acceptatie door actieve beveiliging

Grootbanken (Rabo, ABN AMRO, ING)

Treden op als tussenpersoon voor verzekeraars zoals Chubb of AIG.

Plus: Makkelijk te integreren in je bestaande verzekeringspakket Limieten: Tot €5 miljoen voor grotere installatiebedrijven

Nationale-Nederlanden met Perfect Day

Volledig pakket inclusief preventieve scan en 24/7 ondersteuning bij cyberincidenten.

De 12 vragen die je aan je broker moet stellen

Voordat je tekent, stel deze vragen en eis schriftelijk antwoord:

1. Wat is precies een "security incident" volgens de polisdefinitie?

2. Zit afhankelijke bedrijfsonderbreking erin (als mijn MSP of cloudprovider plat gaat)?

3. Wat zijn de sublimits voor ransomware, herstel, PR en juridisch?

4. Hoe definiëren jullie "system failure" vs "cyberattack" – belangrijk bij OT-storingen?

5. Zijn OT/ICS assets expliciet meeverzekerd of juist beperkt?

6. Welke security controls zijn harde polisvoorwaarden waaraan ik móet voldoen?

7. Wordt social engineering/factuurfraude gedekt of heb ik aparte crime-dekking nodig?

8. Hoe werkt de war/state-actor uitsluiting in gewone taal?

9. Is er dekking voor reputatie/communicatie en klantmeldingen?

10. Wat zijn de eisen rond back-ups (offline, immutable, testfrequentie)?

11. Is er een vast panel met IR-leveranciers of mag ik eigen partij kiezen?

12. Welke logs/rapportages verwacht men tijdens claimafhandeling?
    

De kosten: wat kost een cyberverzekering?

De premie voor een cyberverzekering in het MKB begint vanaf €500,- per jaar en is afhankelijk van verzekerd bedrag, omzet en de staat van je IT-beveiliging (bron: Laurus Verzekeringen, 2025).

Voor een installatiebedrijf met 20-50 medewerkers en goede basisbeveiliging kun je denken aan €1.500 - €5.000 per jaar, afhankelijk van verzekerd bedrag en dekkingsomvang.

Zet dat af tegen de potentiële schade van €100.000+ bij een incident, en de businesscase is snel gemaakt.

Veelgemaakte misvattingen

❌ "Mijn IT'er regelt dit wel" Je IT-beheerder is geen security-specialist, geen jurist en geen PR-expert. Bij een incident heb je al deze disciplines nodig – en snel.

❌ "Ik heb back-ups, dus ik ben veilig" Back-ups zijn essentieel, maar alleen als ze offline staan, getest zijn én je ze daadwerkelijk kunt terugzetten. Veel ransomware versleutelt ook aangesloten back-ups.

❌ "Cyberverzekering dekt alles" Nee. Sublimits, uitsluitingen en voorwaarden bepalen wat er wél en niet wordt uitgekeerd. Lees de polis of laat hem uitleggen.

❌ "Wij zijn te klein om interessant te zijn" Juist kleine bedrijven zijn aantrekkelijk: minder beveiliging, minder kennis, en vaak toegang tot grotere klanten.

❌ "Dat overkomt ons niet" 92% van de Nederlandse organisaties werd in 2024 getroffen door cyberaanvallen, gemiddeld 28 keer per jaar (bron: Rubrik Zero Labs, 2025).

Checklist: Cyberverzekering-ready in 15 minuten

Print deze uit en loop hem door:

Basisbeveiliging:

• [ ] MFA actief op e-mail, VPN en remote tools

• [ ] EDR/endpoint protection op alle apparaten

• [ ] Back-ups offline/immutable én getest (laatste 90 dagen)

• [ ] Patches binnen 30 dagen doorgevoerd

• [ ] Adminrechten beperkt tot wie het écht nodig heeft

OT-specifiek:

• [ ] OT-systemen gescheiden van kantoor-IT

• [ ] Overzicht van alle remote klanttoegang

• [ ] Standaard wachtwoorden op OT-apparatuur gewijzigd

Organisatorisch:

• [ ] Incident response contactpersoon bekend

• [ ] Medewerkers getraind op phishing-herkenning

• [ ] Overzicht van contractuele verplichtingen (SLA's)

Verzekering:

• [ ] Broker expliciet gevraagd naar OT-dekking

• [ ] Sublimits voor ransomware gecheckt

• [ ] Afhankelijke bedrijfsonderbreking meeverzekerd

Een nuchtere conclusie

Cybersecurity en cyberverzekeringen zijn geen luxe meer voor de technische installatiebranche. De combinatie van IT-systemen, OT-apparatuur, remote access naar klanten en een groeiende afhankelijkheid van digitale tools maakt jullie sector bijzonder kwetsbaar.

Een cyberverzekering is daarbij geen vervanging van goede beveiliging – het is een aanvulling. Eerst je basis op orde, dan pas verzekeren. Verzekeraars eisen dit ook: zonder MFA, goede back-ups en patchbeleid word je simpelweg niet geaccepteerd of betaal je fors meer.

Het is niet de vraag óf je te maken krijgt met een cyberincident, maar wanneer – en hoe goed je dan voorbereid bent.

Wil je weten hoe verzekerbaar jouw bedrijf op dit moment is? Berkland helpt je graag met een praktische nulmeting en advies op maat voor de technische sector.

Bronnen:

• CBS Cybersecuritymonitor 2024

• ABN AMRO/MWM2 Cyberonderzoek 2024

• Autoriteit Persoonsgegevens Jaarrapportage Datalekken 2024

• DTC/NCSC Jaarbeeld Ransomware 2024

• Rubrik Zero Labs: The State of Data Security 2025

• Verbond van Verzekeraars – Cyber

• NCTV Cybersecuritybeeld Nederland 2025