Aon advierte de un incremento significativo de la exposición financiera y regulatoria de las empresas ante el aumento de las multas vinculadas a la ciberseguridad, según su informe “Asegurabilidad de las multas cibernéticas”, elaborado junto a A&O Shearman.
El estudio concluye que las compañías con actividad en la región EMEA afrontan un entorno normativo cada vez más exigente, en el que crece la probabilidad de sanciones tanto para las organizaciones como para sus altos directivos.
Crece el riesgo… pero no siempre es asegurable
El informe destaca una paradoja relevante: mientras aumenta la exposición a multas cibernéticas, su asegurabilidad sigue siendo limitada y depende de cada jurisdicción.
En muchos casos, las sanciones solo son asegurables si la legislación lo permite, lo que implica que las empresas pueden tener que asumir directamente el coste de multas regulatorias, incluso disponiendo de seguros de ciberseguridad.
Por el contrario, sí suelen estar cubiertos otros gastos asociados a incidentes, como:
- Defensa legal
- Investigación forense
- Notificación de brechas
- Interrupción del negocio
- Recuperación de sistemas
Esto evidencia una creciente brecha entre el riesgo regulatorio y la protección aseguradora.
Un marco normativo cada vez más exigente
Aon subraya que el marco regulatorio se está ampliando rápidamente en Europa y otros mercados.
Además del Reglamento General de Protección de Datos (RGPD), las empresas deben adaptarse a nuevas normativas como:
- NIS2
- DORA
- Ley de Resiliencia Cibernética
- Ley de Inteligencia Artificial de la UE
Estas regulaciones introducen sanciones más severas, que pueden alcanzar hasta el 7% de la facturación global en determinados casos.
Mayor presión regulatoria y responsabilidad directiva
El informe también destaca un endurecimiento en la aplicación de la normativa. Las autoridades están evaluando aspectos técnicos y de gobernanza, como:
- Gestión de accesos
- Registro de incidentes
- Protocolos de notificación
- Capacidad de respuesta ante crisis
Además de las multas económicas, se contemplan sanciones no monetarias —como suspensiones operativas o inhabilitaciones— que pueden tener un impacto crítico en la actividad empresarial y que, en general, no son asegurables.
Gobernanza y prevención: claves para reducir el riesgo
Según Pablo Constenla, head of Coverage and Claims for Cyber and Financial Lines de Aon en EMEA, “el panorama normativo está evolucionando rápidamente, y los reguladores están adoptando un enfoque mucho más práctico en la aplicación de la ley”.
Por su parte, David Molony, head of Cber Solutions para EMEA en Aon, señala que las empresas deben tener en cuenta no solo la probabilidad de un ciberataque, sino también su impacto financiero y reputacional.
En este contexto, el informe recomienda reforzar:
- La gobernanza y supervisión del riesgo
- Auditorías de cumplimiento
- Simulaciones de crisis
- Coordinación entre áreas internas
- Gestión de riesgos en la cadena de suministro
La ciberseguridad, principal riesgo empresarial
Las conclusiones del informe coinciden con la Encuesta Global de Gestión de Riesgos 2025 de Aon plc, que sitúa los ciberataques y las brechas de datos como el principal riesgo emergente para las empresas en EMEA.
En un entorno cada vez más regulado y complejo, la capacidad de anticipación y adaptación se convierte en un elemento clave para garantizar la resiliencia operativa y financiera de las organizaciones.