Aonin raportti: kyberperusteisten sakkojen kasvanut määrä lisää yritysten taloudellista ja sääntelyyn liittyvää riskiä

HELSINKI, 12. helmikuuta 2026 – Aon plc (NYSE: AON), johtava globaali asiantuntijayritys, on julkaissut raportin ”The Insurability of Cyber Fines” yhteistyössä kansainvälisen asianajotoimisto A&O Shearmanin kanssa. Raportin mukaan EMEA-alueella toimivat tai siellä liiketoimintaa harjoittavat yritykset kohtaavat aiempaa suuremman riskin kyberperusteisista sakoista. Kybertapausten määrän kasvaessa - toimialoista ja maantieteellisistä alueista riippumatta - uudet sääntelykehykset lisäävät merkittävästi sakkojen ja seuraamusmaksujen todennäköisyyttä sekä organisaatioille, että ylimmälle johdolle, mikäli sääntelyvelvoitteita ei noudateta asianmukaisesti.

Raportin mukaan altistuminen kybersakoille kasvaa nopeasti, mutta näiden sakkojen vakuutettavuus on edelleen epävarmaa ja hyvin lainkäyttöaluekohtaista. Monissa tapauksissa seuraamusmaksut ovat vakuutettavissa vain siltä osin kuin laki sen sallii, mikä voi jättää organisaatiot itse vastuuseen sääntelyviranomaisten määräämistä sakoista, vaikka niillä olisikin kybervakuutus. Sen sijaan oikeudenkäynti- ja puolustuskulut, viranomaistutkintojen kustannukset, tietomurron ilmoitus- ja hallintakulut, liiketoiminnan keskeytymisestä aiheutuvat tappiot sekä korjaavat toimenpiteet ovat tyypillisesti yhtenäisemmin vakuutettavissa. Tämä korostaa kasvavaa kuilua sääntelyriskin ja vakuutusturvan välillä.

Raportti täydentää Aonin vuoden 2025 Global Risk Management Surveytä, jossa kyberhyökkäykset ja tietomurrot tunnistettiin EMEA-alueen yritysten merkittävimmäksi nousevaksi riskiksi.

Sääntelyn soveltamisala laajenee

Vaikka GDPR on yhä kybersanktioiden keskeinen sääntelykehys, organisaatioilla on nyt velvoitteita myös NIS2- ja DORA-sääntelyn, Cyber Resilience Actin, toimialakohtaisten sääntelykehysten sekä EU:n tekoälyasetuksen (EU AI Act) alla. Vastaavia sääntelyrakenteita kehittyy myös globaalisti, mukaan lukien Ison-Britannian Cyber Security and Resilience Bill, Etelä-Afrikan POPIA- ja Cybercrimes Act -lait sekä Saudi-Arabian PDPL-, ACCL- ja TITA-säädökset. EU:n tekoälyasetuksen rikkomisesta voi seurata sakkoja, jotka ovat enintään 3 prosenttia – tai kiellettyjen käytäntöjen osalta jopa 7 prosenttia – yrityksen globaalista liikevaihdosta, GDPR-, NIS2- ja DORA-sanktioiden lisäksi.

Täytäntöönpano on entistä tiukempaa, teknisempää ja moniulotteisempaa

Viranomaiset tarkastelevat nyt aiempaa systemaattisemmin organisaatioiden teknisiä ja hallinnollisia kyberkontrolleja – esimerkiksi käyttöoikeuksien hallintaa, lokitusta, tietoturvaloukkausten ilmoittamismenettelyjä ja valmiutta tapausten hallintaan. Rahallisten sanktioiden lisäksi myös muut kuin taloudelliset seuraamukset – kuten liiketoiminnan rajoitukset tai keskeytykset, johdon toimintakiellot tai julkiset täytäntöönpanopäätökset – voivat olla yrityksille yhtä merkittäviä kuin sakot, eikä niitä yleensä voida vakuuttaa.

Käytännön toimien tarve on kiireellinen

Hallitus ja ylin johto kantavat nyt korostunutta vastuuta kyberturvallisuudesta, valvonnasta ja valmiudesta. Toimenpiteet, kuten riskikartoitus, compliance-auditoinnit, kyberharjoitukset (”tabletop exercises”), aktiivinen vuoropuhelu viranomaisten kanssa, vakuutusturvien optimointi sekä toimitusketjun hallinnan vahvistaminen ovat keskeisiä pyrittäessä pienentämään kybersakkoihin liittyvää kumulatiivista sääntely- ja riitautumisriskiä.

Karl Roquet, Aon Nordics Chief Commercial Officer, sanoi:

"Sääntely-ympäristö kyberriskien osalta muuttuu nopeammin kuin koskaan, ja se vaikuttaa jo nyt siihen miten pohjoismaiset yritykset ajattelevat taloudellisesta vakaudesta. Monet asiakkaamme kysyvät meiltä: ovatko kybersakot ja seuraamusmaksut itse asiassa vakuutettavissa – ja missä? Aonin uusi raportti kybersakkojen vakuutettavuudesta käsittelee juuri tätä kysymystä. Yhdistämällä oikeudellisen asiantuntemuksen ja analytiikan voimme auttaa organisaatioita ymmärtämään, mitä todellisuudessa on pelissä, mitä voidaan ja mitä ei voida vakuuttaa, ja miten heidän vakuutuksensa kannattaa rakentaa, jotta liikevaihtoa, taseita ja brändiä voidaan suojata paremmin yhä haastavammassa kyberriskien toimintaympäristössä."

"Kaikkialla Pohjoismaissa näemme asiakkaiden kamppailevan saman kysymyksen kanssa: miten kyberriskejä voidaan hallita luottavaisesti, kun mahdollisuus vakuuttaa sääntelysakkoja vaihtelee maittain? Tämä raportti antaa johdolle ja riskienhallintajohtajille huomattavasti selkeämmän kuvan siitä, mitä nykyisin tyypillisesti voidaan – ja ei voida – vakuuttaa, jotta he voivat paljon täsmällisemmin mitoittaa kybervakuutuksensa ja captive-ratkaisunsa sekä kontrolloida investointejaan", sanoo Amine Menaa, Aonin Nordic Cyber Leader.

Raportti ”The Insurability of Cyber Fines” on saatavilla täällä: https://aon.io/464nwE2