Aon rapport: Økende cyberrelaterte bøter gir selskaper større finansiell og regulatorisk risiko

OSLO, 12. februar 2026 – Aon plc (NYSE: AON), et ledende globalt rådgivningsselskap, har publisert rapporten "The Insurability of Cyber Fines", utarbeidet i samarbeid med advokatfirmaet A&O Shearman. Rapporten viser at selskaper som holder til i, eller har virksomhet i, EMEA i økende grad utsettes for bøter knyttet til cyberhendelser. Antallet hendelser vokser på tvers av bransjer og land, og nye reguleringer øker sannsynligheten for betydelige bøter og sanksjoner. Dette gjelder både for virksomheter og for ledere som ikke kan dokumentere tilstrekkelig etterlevelse.

Analysen viser at risikoen for bøter ved cyberangrep stiger raskt, mens muligheten til å forsikre seg mot slike bøter fortsatt er usikker og i stor grad avhenger av lovverket i hvert enkelt land. I mange tilfeller kan sanksjoner bare forsikres dersom regelverket åpner for det. Konsekvensen er at selskaper kan bli stående med det økonomiske ansvaret for regulatoriske bøter selv om de har en cyberforsikring på plass. Samtidig dekkes kostnader til juridisk bistand, undersøkelser, varsling av brudd, driftsavbrudd og skadebegrensning langt oftere. Dette skaper et tydelig gap mellom den regulatoriske risikoen virksomhetene står overfor, og den delen av risikoen som faktisk kan forsikres.

Funnene bygger videre på Aons Global Risk Management Survey 2025, der cyberangrep og datainnbrudd ble rangert som den viktigste fremvoksende risikoen for virksomheter med base i EMEA.

Regelverket får stadig større betydning

GDPR er fortsatt selve fundamentet for europeisk personvern og cybersikkerhet, men virksomheter må nå også forholde seg til kravene i NIS2, DORA, Cyber Resilience Act, ulike sektorspesifikke regelverk og den nye EU forordningen om kunstig intelligens. Lignende regelverk er på vei flere steder i verden, blant annet den britiske Cyber Security and Resilience Bill, Sør Afrikas POPIA og Cybercrimes Act, samt de saudiarabiske regelsettene PDPL, ACCL og TITA. Brudd på EUs AI forordning kan alene gi bøter på opptil 3 prosent, og ved forbudte praksiser opptil 7 prosent av global omsetning. Dette kommer i tillegg til mulige sanksjoner etter GDPR, NIS2 og DORA.

Mer omfattende og teknisk krevende håndhevelse

Tilsynsmyndighetene legger i økende grad vekt på både tekniske og organisatoriske kontroller, fra tilgangsstyring og loggføring til rutiner for varsling og håndtering av hendelser. Ikke økonomiske reaksjoner, som midlertidig stans i virksomheten, forbud mot å inneha lederverv eller offentliggjøring av vedtak, kan være like inngripende som bøter. Slike reaksjoner lar seg som hovedregel ikke forsikre.

Behov for konkrete grep

Styret og toppledelsen får dermed et tydeligere ansvar for styring, tilsyn og beredskap på cyberområdet. Kartlegging av risiko i de landene virksomheten opererer i, systematiske gjennomganger av etterlevelse, øvelser og scenariotrening, dialog med tilsynsmyndigheter, vurdering og tilpasning av forsikringsløsninger og klare krav til leverandører blir viktige virkemidler for å redusere den samlede regulatoriske og rettslige risikoen knyttet til cyberbøter.

Karl Roquet, Chief Commercial Officer Nordics i Aon, sier:
"Det regulatoriske landskapet for cyberrisiko endrer seg raskere enn noen gang, og påvirker allerede hvordan nordiske virksomheter vurderer finansiell stabilitet. Mange kunder spør oss om bøter og sanksjoner knyttet til cyber egentlig kan forsikres – og i så fall hvor? Vår nye Aon-rapport om hvorvidt cyberrelaterte bøter kan forsikres, tar for seg nettopp dette. Med riktig kombinasjon av juridisk innsikt og avanserte analyser kan vi hjelpe organisasjoner å forstå hva som faktisk står på spill, hva som kan og ikke kan forsikres, og hvordan de kan strukturere forsikringsprogrammene sine for bedre å beskytte inntekter, balanse og merkevare i et stadig tøffere cyberrisikobilde."

"I hele Norden ser vi at kundene våre stiller det samme spørsmålet: Hvordan kan virksomheter planlegge godt for cyberrisiko når muligheten til å forsikre regulatoriske bøter varierer så mye mellom land? Denne rapporten gir styrer og risikoledere et mye klarere bilde av hva som vanligvis kan forsikres i dag, og hva som faller utenfor. På den måten kan de finjustere cyberforsikringen, eventuelle captives og investeringene i sikkerhetstiltak med langt større presisjon", sier Amine Menaa, Nordic Cyber Leader i Aon.

Rapporten "The Insurability of Cyber Fines" er tilgjengelig her: https://aon.io/4akyAiZ