Aon plc publicerar tillsammans med den globala advokatbyrån A&O Shearman rapporten ”The Insurability of Cyber Fines”, som visar att företag med verksamhet i Europa, Mellanöstern och Afrika möter en tydligt ökad exponering för cyberrelaterade böter och sanktionsavgifter. Enligt Aon sker detta i takt med att cyberincidenter ökar inom fler branscher och länder, samtidigt som nya regelverk skapar en större risk för omfattande sanktioner både för organisationer och för ledande befattningshavare som brister i sitt ansvar för regelefterlevnad.
Rapporten konstaterar att exponeringen för sanktionsavgifter växer snabbt, medan möjligheten att försäkra dessa böter är osäker och i hög grad beroende av respektive lands lagstiftning och tillsynspraxis. Många sanktionsavgifter är endast försäkringsbara i den utsträckning lagen medger, vilket innebär att företag i praktiken kan få bära kostnaden för administrativa avgifter och andra offentligrättsliga sanktioner även om de har cyberförsäkring.
Samtidigt täcks försvarskostnader, utredningar, underrättelser till berörda, avbrott i verksamheten och åtgärdande kostnader betydligt mer konsekvent. Det innebär, enligt rapporten, en växande klyfta mellan den regulatoriska risken och det skydd som faktiskt kan erhållas via försäkring. Slutsatserna ligger i linje med Aons Global Risk Management Survey 2025, där cyberattacker och dataintrång rankades som den främsta framväxande risken för företag baserade i regionen.
Fler regelverk och hårdare tillsyn
Enligt Aon är dataskyddsförordningen fortsatt central för tillsyn kopplad till dataskydd, men företag omfattas nu även av krav enligt NIS2, DORA, Cyber Resilience Act, sektorsspecifika regelverk och EU AI Act. Motsvarande ramverk utvecklas på andra håll i världen, bland annat genom Storbritanniens UK Cyber Security and Resilience Bill, Sydafrikas Protecting of Personal Information Act och Cybercrimes Act samt Saudiarabiens ramverk PDPL, ACCL och TITA.
Överträdelser av EU AI Act kan enligt rapporten leda till sanktionsavgifter på upp till 3 procent av global omsättning, eller 7 procent av global omsättning för förbjudna tillämpningar, utöver eventuella sanktioner enligt dataskyddsförordningen, NIS2 och DORA. Tillsynsmyndigheter prövar i allt högre grad både tekniska skydd och styrningsstrukturer – från behörighetsstyrning och loggning av incidenter till hur snabbt och korrekt intrång anmäls samt hur väl förberedd organisationen är på att hantera en allvarlig cyberhändelse.
Icke monetära sanktioner, såsom tillfälliga driftstopp, förbud för enskilda att inneha ledande befattningar eller offentliga beslut om ingripanden, lyfts fram som åtgärder som kan vara minst lika störande för verksamheten som rena böter. Sådana åtgärder är som utgångspunkt inte försäkringsbara.
Högre krav på styrelser och ledningar
Mot denna bakgrund beskriver Aon ett akut behov av praktiska åtgärder. Styrelser och högsta ledning står inför ett ökat ansvar när det gäller styrning, kontroll och beredskap på cyberområdet. Rapporten pekar på flera centrala åtgärder för att begränsa den samlade regulatoriska och rättsliga exponeringen kopplad till cyberböter, bland annat systematiska kartläggningar av risker i de länder där företaget är verksamt, löpande granskningar av regelefterlevnad och interna kontroller samt scenariobaserade ”tabletop”-övningar.
Vidare framhålls behovet av strukturerad dialog med tillsynsmyndigheter, genomlysning och optimering av policys, försäkringsskydd och försäkringsvillkor samt skärpta krav och uppföljning av leverantörer och andra tredje parter.
– Det regulatoriska landskapet för cyberrisk förändras snabbare än någonsin, och det omformar redan hur nordiska företag ser på finansiell stabilitet. Många kunder ställer oss frågan: är cyberrelaterade sanktionsavgifter faktiskt försäkringsbara, och var? Vår nya Aon-rapport om försäkringsbarheten av sanktionsavgifter kopplade till cyberincidenter behandlar just detta. Med rätt kombination av juridisk insikt och analys kan vi hjälpa organisationer att se vad som verkligen står på spel, vad som kan och inte kan försäkras, och hur de ska strukturera sina program för att bättre skydda intäkter, balansräkning och varumärke i en betydligt tuffare cyberriskmiljö, säger Karl Roquet, Chief Commercial Officer Nordics på Aon.
– Över hela Norden ser vi att kunder brottas med samma fråga: hur planerar man säkert för cyberrisk när möjligheten att försäkra administrativa sanktionsavgifter är så splittrad från en jurisdiktion till en annan? Den här rapporten ger styrelser och riskchefer en betydligt tydligare bild av vad som – och vad som inte – vanligtvis är försäkringsbart i dag, så att de kan kalibrera sin cyberförsäkring, sina captives och sina investeringar i kontroller med långt större precision, säger Amine Menaa, Nordic Cyber Leader på Aon.
Rapporten ”The Insurability of Cyber Fines” finns tillgänglig här: https://aon.io/4bO2RaR
