Las empresas en EMEA afrontan un riesgo creciente de multas por ciberseguridad
- Seguridad
Aon y A&O Shearman publican un informe que advierte del endurecimiento regulatorio, el aumento de sanciones y la mayor responsabilidad de los altos ejecutivos ante incidentes cibernéticos. El estudio sitúa a los ciberataques y las brechas de datos como el principal riesgo emergente para las organizaciones en EMEA.
Aon plc ha presentado el informe “Asegurabilidad de las multas cibernéticas”, elaborado junto a la firma jurídica internacional A&O Shearman, que concluye que las empresas ubicadas o con operaciones en EMEA se enfrentan a un riesgo creciente de multas y sanciones derivadas de incidentes de ciberseguridad, en un contexto donde las regulaciones se multiplican y las autoridades intensifican su capacidad de supervisión.
El análisis se alinea con la Encuesta Global de Gestión de Riesgos 2025 de Aon, que identifica los ciberataques y las violaciones de datos como el principal riesgo emergente para las compañías de la región.
Un marco regulatorio cada vez más amplio y exigente
El informe destaca que el RGPD sigue siendo la base de la regulación cibernética en Europa, pero las organizaciones deben ahora cumplir simultáneamente con NIS2, DORA, la Ley de Resiliencia Cibernética, normativas sectoriales y la Ley de IA de la UE. Esta última puede imponer multas de hasta el 3% o el 7% de la facturación global por prácticas prohibidas, que se suman a las sanciones previstas en el resto de marcos regulatorios.
A nivel internacional, también se están desplegando marcos equivalentes, como el proyecto de ley de ciberseguridad del Reino Unido, la POPIA y la Ley de Delitos Cibernéticos de Sudáfrica, o las regulaciones PDPL, ACCL y TITA de Arabia Saudí.
Aon y A&O Shearman subrayan que las autoridades están adoptando un enfoque más firme, técnico y multifacético en la aplicación de la ley. Las revisiones abarcan desde la gestión de accesos y el registro de incidentes hasta la notificación obligatoria de brechas y la capacidad de respuesta ante ataques.
Además de las multas económicas, el informe advierte de la creciente presencia de sanciones no monetarias, como suspensiones operativas, prohibiciones de gestión o decisiones de ejecución pública, que pueden ser igual o más perjudiciales para las empresas y que, en la mayoría de los casos, no son asegurables.
El estudio señala que los consejos de administración y la alta dirección afrontan una responsabilidad creciente en materia de gobernanza y supervisión del riesgo cibernético. Para mitigar la exposición acumulada a multas y litigios, Aon recomienda medidas prácticas como cartografía de riesgos por jurisdicción, auditorías de cumplimiento, ejercicios de simulación de incidentes, participación proactiva con reguladores, optimización de políticas y coberturas y refuerzo de la gobernanza de proveedores.
