Aon plc, empresa de serveis professionals a nivell global, ha publicat l’informe “Assegurabilitat de les multes cibernètiques”, elaborat conjuntament amb la firma jurídica internacional A&O Shearman, en què es conclou que les empreses ubicades o amb operacions a EMEA s’enfronten a un risc més gran de multes relacionades amb la ciberseguretat. Amb l’augment dels incidents cibernètics a tots els sectors i jurisdiccions, les noves regulacions estan augmentant la probabilitat que s’imposin multes i sancions significatives tant a les organitzacions com als alts executius que no en garanteixin el compliment.

L’informe revela que, si bé l’exposició a les multes cibernètiques augmenta ràpidament, l’assegurabilitat d’aquestes multes continua sent incerta i molt específica per a cada jurisdicció. Moltes sancions només són assegurables en la mesura que ho permeti la llei, cosa que deixa les organitzacions potencialment responsables de les multes reglamentàries, fins i tot si disposen d’una assegurança cibernètica. Per contra, les despeses de defensa, investigació, notificació d’infraccions, interrupció del negoci i reparació estan cobertes de manera més sistemàtica, cosa que posa en relleu la bretxa creixent entre el risc reglamentari i la protecció assegurable.

Les conclusions de l’informe estan alineades amb l’Enquesta Global de Gestió de Riscos 2025 d’Aon, que va classificar els ciberatacs i les violacions de dades com el principal risc emergent per a les empreses amb seu a EMEA.

Conclusions principals de l’informe

• L’abast normatiu s’està ampliant: si bé el RGPD continua sent la pedra angular de l’aplicació de la normativa cibernètica, les organitzacions ara han de complir les obligacions establertes a NIS2, DORA, la Llei de Resiliència Cibernètica, els règims específics de cada sector i la Llei d’IA de la UE. També s’estan desenvolupant marcs comparables a nivell mundial, com ara el projecte de llei de ciberseguretat i resiliència del Regne Unit, la POPIA, la Llei de Delictes Cibernètics de Sud-àfrica, i les regulacions PDPL, ACCL i TITA de l’Aràbia Saudita. Les infraccions de la Llei d’IA de la UE poden comportar multes de fins al 3 % o el 7 % de la facturació global per pràctiques prohibides, a més de les sancions previstes al RGPD, NIS2 i DORA.

• L’aplicació de la llei és cada cop més ferma, tècnica i multifacètica: les autoritats estan provant controls tècnics i de governança, des de la gestió de l’accés i el registre d’incidents fins a la notificació d’infraccions i la preparació per respondre a incidents. Les sancions no monetàries, com ara les suspensions operatives, les prohibicions de gestió o les decisions d’execució pública, poden ser tan perjudicials per a les empreses com les multes monetàries i, en general, no són assegurables.

• La necessitat de mesures pràctiques és urgent: els consells d’administració i l’alta direcció s’enfronten ara a una responsabilitat més gran en matèria de governança, supervisió i preparació. Activitats com ara la cartografia de riscos jurisdiccionals, les auditories de compliment, els exercicis de simulació, la participació dels reguladors, l’optimització de les polítiques i la cobertura, així com una governança sòlida dels proveïdors, són fonamentals per mitigar l’exposició acumulada a les multes cibernètiques per incompliment de la normativa i dels litigis.

Aquestes conclusions són comunes a tota la regió d’EMEA, si bé l’informe inclou un ampli apartat específic a cada capítol relatiu a la situació i les particularitats d’Espanya i de la resta de països.

Pablo Constenla, cap de Cobertura i Reclamacions per a Línies Cibernètiques i Financeres d’Aon a EMEA, afirma: «El panorama normatiu en matèria cibernètica està evolucionant ràpidament, i els reguladors estan adoptant un enfocament molt més pràctic pel que fa a l’aplicació de la llei, des de la realització de proves de controls tècnics fins a la imposició de sancions, cosa que també podria impulsar la responsabilitat civil davant de tercers. Les empreses han de comprendre com es tracten les multes i les sancions a les diferents jurisdiccions i assegurar-se que els seus marcs de governança, informació i compliment siguin prou sòlids per resistir l’escrutini».

David Molony, cap de Cber Solutions per a EMEA a Aon, indica: «El risc cibernètic no es limita a la probabilitat d’un atac o una violació de dades, les empreses també han de tenir en compte l’impacte financer i reputacional de les conseqüències normatives. Les organitzacions que integren la planificació de la resposta a incidents amb la supervisió de riscos i la coordinació interfuncional estan més ben posicionades per absorbir els impactes i mantenir la resiliència operativa en un entorn cada cop més complex».