Aon plc (NYSE: AON), en førende global rådgivningsvirksomhed, har offentliggjort rapporten “The Insurability of Cyber Fines”, udarbejdet i samarbejde med den globale advokatvirksomhed A&O Shearman.
Rapporten konkluderer, at virksomheder, der er placeret i, eller har aktiviteter i EMEA, står over for en større eksponering for cyberrelaterede bøder.
I takt med stigningen af cyberhændelser på tværs af sektorer og jurisdiktioner, øger nye regulativer sandsynligheden for betydelige bøder og sanktioner – både for organisationen samt topledelsen.
Rapporten viser, at eksponeringen for bøder ved brud på databeskyttelses- eller cyber sikkerhedslovgivning er voksende, mens forsikringsbarheden for disse bøder fortsat er usikker og i høj grad afhænger af de enkelte lande. Mange bøder kan kun forsikres i det omfang, lovgivningen tillader det, hvilket efterlader organisationen økonomisk ansvarlige for de regulatoriske bøder, på trods af at de har en cyberforsikring. Til gengæld er omkostninger til forsvar, undersøgelser, notifikationer og driftsafbrydelser mere konsekvent dækket, hvilket understreger en kløft mellem den regulatoriske risiko og den forsikringsbare beskyttelse.
Rapportens konklusioner følger i kølvandet på Aons 2025 Global Risk Management Survey, hvor cyberangreb og databrud blev identificeret som den vigtigste risiko for virksomheder baseret i EMEA.
Udvidet regulatorisk rækkevidde
Selv om GDPR fortsat er hjørnestenen på cyberområdet, står organisationer nu også over for forpligtelser under NIS2, DORA, Cyber Resilience Act, sektorspecifikke regelsæt og EU’s AI-forordning. Lignende rammeværk er desuden under udvikling globalt, herunder UK Cyber Security and Resilience Bill, Sydafrikas POPIA og Cybercrimes Act samt de saudiske regler PDPL, ACCL og TITA. Overtrædelser af EU’s AI-forordning kan udløse bøder på op til 3 procent – eller 7 procent af den globale omsætning ved forbudte praksisser – oven i sanktioner efter GDPR, NIS2 og DORA.
Mere markant, teknisk og flerlaget håndhævelse
Myndighederne tester i stigende grad både tekniske og organisatoriske kontroller, fra adgangsstyring og logning, til notifikation ved databrud og beredskab i tiilfælde af en cyber hændelse. Ikke-monetære sanktioner, såsom midlertidige driftsstop, ledelsesforbud eller offentlige håndhævelsesbeslutninger, kan være mindst lige så forstyrrende for virksomheder som økonomiske bøder – og er som udgangspunkt ikke forsikringsbare.
Akut behov for praktiske tiltag
Bestyrelser og topledelse står nu over for et øget ansvar for governance, tilsyn og beredskab. Aktiviteter som kortlægning af lovmæssig risiko, compliance-auditering, “tabletop”-øvelser, dialog med tilsynsmyndigheder, optimering af politikker samt leverandørstyring, er alle centrale elementer i arbejdet med at reducere den samlede regulatoriske og retlige eksponering i relation til cyberbøder.
Karl Roquet, Chief Commercial Officer Nordics hos Aon, kommenterede:
“Det regulatoriske landskab for cyberrisici ændrer sig hurtigere end nogensinde, og er allerede ved at ændre, hvordan nordiske virksomheder opfatter finansiel stabilitet. Mange kunder stiller os spørgsmålet: er cyberrelaterede bøder faktisk forsikringsbare – og hvor? Vores nye Aon-rapport om forsikringsbarheden af sanktionsafgifter/bøder forbundet med cyberhændelser behandler netop dette. Med den rette kombination af juridisk indsigt og analyser kan vi hjælpe organisationer med at se, hvad der virkelig står på spil, hvad der kan, og ikke kan forsikres, og hvordan de skal strukturere deres programmer for bedre at beskytte omsætning, balance og brand i et markant hårdere cyberrisikomiljø.”
“På tværs af Norden ser vi, at kunder kæmper med det samme spørgsmål: Hvordan planlægger man for cyberrisici, når muligheden for at forsikre bøder er så forskellig fra land til land? Denne rapport giver bestyrelser og riskmanagere et langt tydeligere billede af, hvad der – og hvad der ikke – typisk er forsikringsbart i dag, så de kan fintrimme deres cyberforsikring, deres captiver og deres investeringer i beskyttelse med langt større præcision,” siger Amine Menaa, Nordic Cyber Leader hos Aon.
Rapporten “The Insurability of Cyber Fines”: https://aon.io/4aIniVA
