Aon plc, empresa de servicios profesionales a nivel global, ha publicado el informe “Asegurabilidad de las multas cibernéticas”, elaborado conjuntamente con la firma jurídica internacional A&O Shearman, en el que se concluye que las empresas ubicadas o con operaciones en EMEA se enfrentan a un mayor riesgo de multas relacionadas con la ciberseguridad. Con el aumento de los incidentes cibernéticos en todos los sectores y jurisdicciones, las nuevas regulaciones están aumentando la probabilidad de que se impongan multas y sanciones significativas tanto a las organizaciones como a los altos ejecutivos que no garanticen el cumplimiento.

El informe revela que, si bien la exposición a las multas cibernéticas está aumentando rápidamente, la asegurabilidad de dichas multas sigue siendo incierta y muy específica para cada jurisdicción. Muchas sanciones solo son asegurables en la medida en que lo permita la ley, lo que deja a las organizaciones potencialmente responsables de las multas reglamentarias, incluso si cuentan con un seguro cibernético. Por el contrario, los gastos de defensa, investigación, notificación de infracciones, interrupción del negocio y reparación están cubiertos de forma más sistemática, lo que pone de relieve la creciente brecha entre el riesgo reglamentario y la protección asegurable.

Las conclusiones del informe están alineadas con la Encuesta Global de Gestión de Riesgos 2025 de Aon, que clasificó los ciberataques y las violaciones de datos como el principal riesgo emergente para las empresas con sede en EMEA.

Principales conclusiones del informe

• El alcance normativo se está ampliando: Si bien el RGPD sigue siendo la piedra angular de la aplicación de la normativa cibernética, las organizaciones ahora deben cumplir con las obligaciones establecidas en NIS2, DORA, la Ley de Resiliencia Cibernética, los regímenes específicos de cada sector y la Ley de IA de la UE. También se están desarrollando marcos comparables a nivel mundial, como el proyecto de ley de ciberseguridad y resiliencia del Reino Unido, la POPIA y la Ley de Delitos Cibernéticos de Sudáfrica, y las regulaciones PDPL, ACCL y TITA de Arabia Saudí. Las infracciones de la Ley de IA de la UE pueden acarrear multas de hasta el 3% o el 7% de la facturación global por prácticas prohibidas, además de las sanciones previstas en el RGPD, NIS2 y DORA.

• La aplicación de la ley es cada vez más firme, técnica y multifacética: Las autoridades están probando controles técnicos y de gobernanza, desde la gestión del acceso y el registro de incidentes hasta la notificación de infracciones y la preparación para responder a incidentes. Las sanciones no monetarias, como las suspensiones operativas, las prohibiciones de gestión o las decisiones de ejecución pública, pueden ser tan perjudiciales para las empresas como las multas monetarias y, por lo general, no son asegurables.

• La necesidad de medidas prácticas es urgente: Los consejos de administración y la alta dirección se enfrentan ahora a una mayor responsabilidad en materia de gobernanza, supervisión y preparación. Actividades como la cartografía de riesgos jurisdiccionales, las auditorías de cumplimiento, los ejercicios de simulación, la participación de los reguladores, la optimización de las políticas y la cobertura, así como una gobernanza sólida de los proveedores, son fundamentales para mitigar la exposición acumulada a las multas cibernéticas por incumplimiento de la normativa y litigios.

Estas conclusiones son comunes a toda la región de EMEA, si bien el informe incluye un amplio apartado específico en cada capítulo relativo a la situación y particularidades de España y del resto de países.

Pablo Constenla, head of Coverage and Claims for Cyber and Financial Lines de Aon en EMEA, afirma: «El panorama normativo en materia cibernética está evolucionando rápidamente, y los reguladores están adoptando un enfoque mucho más práctico en lo que respecta a la aplicación de la ley, desde la realización de pruebas de controles técnicos hasta la imposición de sanciones, lo que también podría impulsar la responsabilidad civil frente a terceros. Las empresas deben comprender cómo se tratan las multas y sanciones en las distintas jurisdicciones y asegurarse de que sus marcos de gobernanza, información y cumplimiento sean lo suficientemente sólidos como para resistir el escrutinio».

David Molony, head of Cber Solutions para EMEA en Aon, indica: «El riesgo cibernético no se limita a la probabilidad de un ataque o una violación de datos, las empresas también deben tener en cuenta el impacto financiero y reputacional de las consecuencias normativas. Las organizaciones que integran la planificación de la respuesta a incidentes con la supervisión de riesgos y la coordinación interfuncional están mejor posicionadas para absorber los impactos y mantener la resiliencia operativa en un entorno cada vez más complejo».