El aumento de las multas relacionadas con la ciberseguridad incrementa la exposición financiera y regulatoria de las empresas
Aon plc (NYSE: AON), firma líder en servicios profesionales a nivel global, ha publicado el informe ‘Asegurabilidad de las multas cibernéticas‘, elaborado conjuntamente con la firma jurídica internacional A&O Shearman, en el que se concluye que las empresas ubicadas o con operaciones en EMEA se enfrentan a un mayor riesgo de multas relacionadas con la ciberseguridad. Con el aumento de los incidentes cibernéticos en todos los sectores y jurisdicciones, las nuevas regulaciones están aumentando la probabilidad de que se impongan multas y sanciones significativas tanto a las organizaciones como a los altos ejecutivos que no garanticen el cumplimiento.
Las conclusiones del informe están alineadas con la Encuesta Global de Gestión de Riesgos 2025 de Aon, que clasificó los ciberataques y las violaciones de datos como el principal riesgo emergente para las empresas con sede en EMEA.
Principales conclusiones del informe
- El alcance normativo se está ampliando: Si bien el RGPD sigue siendo la piedra angular de la aplicación de la normativa cibernética, las organizaciones ahora deben cumplir con las obligaciones establecidas en NIS2, DORA, la Ley de Resiliencia Cibernética, los regímenes específicos de cada sector y la Ley de IA de la UE. También se están desarrollando marcos comparables a nivel mundial, como el proyecto de ley de ciberseguridad y resiliencia del Reino Unido, la POPIA y la Ley de Delitos Cibernéticos de Sudáfrica, y las regulaciones PDPL, ACCL y TITA de Arabia Saudí. Las infracciones de la Ley de IA de la UE pueden acarrear multas de hasta el 3% o el 7% de la facturación global por prácticas prohibidas, además de las sanciones previstas en el RGPD, NIS2 y DORA.
- La aplicación de la ley es cada vez más firme, técnica y multifacética: Las autoridades están probando controles técnicos y de gobernanza, desde la gestión del acceso y el registro de incidentes hasta la notificación de infracciones y la preparación para responder a incidentes. Las sanciones no monetarias, como las suspensiones operativas, las prohibiciones de gestión o las decisiones de ejecución pública, pueden ser tan perjudiciales para las empresas como las multas monetarias y, por lo general, no son asegurables.
- La necesidad de medidas prácticas es urgente: Los consejos de administración y la alta dirección se enfrentan ahora a una mayor responsabilidad en materia de gobernanza, supervisión y preparación. Actividades como la cartografía de riesgos jurisdiccionales, las auditorías de cumplimiento, los ejercicios de simulación, la participación de los reguladores, la optimización de las políticas y la cobertura, así como una gobernanza sólida de los proveedores, son fundamentales para mitigar la exposición acumulada a las multas cibernéticas por incumplimiento de la normativa y litigios.
Estas conclusiones son comunes a toda la región de EMEA, si bien el informe incluye un amplio apartado específico en cada capítulo relativo a la situación y particularidades de España y del resto de países.
También se puede acceder al Informe completo con conclusiones sobre el resto de países (inglés).
