Aons rapport: Kraftigt ökade sanktionsavgifter skärper företagens finansiella och rättsliga risker

STOCKHOLM, 11 februari 2026 – Aon plc (NYSE: AON), ett ledande globalt konsult- och tjänsteföretag, publicerar rapporten ”The Insurability of Cyber Fines”, framtagen tillsammans med den globala advokatbyrån A&O Shearman. Rapporten visar att företag med verksamhet i EMEA regionen möter en tydligt ökad exponering för cyberrelaterade böter och sanktionsavgifter. I takt med att cyberincidenter ökar inom allt fler branscher och länder skapar nya regelverk en större risk för omfattande sanktioner – både för organisationer och för ledande befattningshavare som brister i sitt ansvar för regelefterlevnad.

Rapporten konstaterar att exponeringen för sanktionsavgifter växer snabbt, samtidigt som möjligheten att försäkra dessa böter är osäker och i hög grad beroende av respektive lands lagstiftning och tillsynspraxis. Många sanktionsavgifter är endast försäkringsbara i den utsträckning lagen medger, vilket innebär att företag i praktiken kan få bära kostnaden för administrativa avgifter och andra offentligrättsliga sanktioner även om de har cyberförsäkring.

Däremot täcks försvarskostnader, utredningar, underrättelser till berörda, avbrott i verksamheten och åtgärdande kostnader betydligt mer konsekvent, vilket tydliggör en växande klyfta mellan den regulatoriska risken och det skydd som faktiskt kan erhållas via försäkring.

Rapportens slutsatser ligger i linje med Aons Global Risk Management Survey 2025, där cyberattacker och dataintrång rankades som den främsta framväxande risken för företag baserade i EMEA.

Regelverkens räckvidd breddas

Samtidigt som GDPR fortsatt är central för tillsyn kopplad till dataskydd, omfattas företag nu även av krav enligt NIS2, DORA, Cyber Resilience Act, sektorsspecifika regelverk och EU AI Act. Motsvarande ramverk utvecklas på andra håll i världen, bland annat genom UK Cyber Security and Resilience Bill, Sydafrikas POPIA och Cybercrimes Act, samt Saudiarabiens PDPL, ACCL och TITA.

Överträdelser av EU AI Act kan leda till sanktionsavgifter på upp till 3 procent – eller 7 procent av global omsättning för förbjudna tillämpningar – utöver eventuella sanktioner enligt GDPR, NIS2 och DORA.

Mer offensiv, teknisk och fler nivåbaserad tillsyn

Tillsynsmyndigheter prövar i allt högre grad både tekniska skydd och styrningsstrukturer – från behörighetsstyrning och loggning av incidenter till hur snabbt och korrekt intrång anmäls samt hur väl förberedd organisationen är på att hantera en allvarlig cyberhändelse.

Ickemonetära sanktioner, såsom tillfälliga driftstopp, förbud för enskilda att inneha ledande befattningar eller offentliga beslut om ingripanden, kan vara minst lika störande för verksamheten som rena böter. Sådana åtgärder är som utgångspunkt inte försäkringsbara.

Behovet av praktiska åtgärder är akut

Styrelser och högsta ledning står inför ett ökat ansvar när det gäller styrning, kontroll och beredskap på cyberområdet. Centrala åtgärder för att begränsa den samlade regulatoriska och rättsliga exponeringen kopplad till cyberböter är bland annat:

• systematiska kartläggningar av risker i de länder där man är verksam
• löpande compliance granskningar och interna kontroller
• scenariobaserade ”tabletop”-övningar
• strukturerad dialog med tillsynsmyndigheter
• genomlysning och optimering av policys, försäkringsskydd och försäkringsvillkor
• skärpta krav och uppföljning av leverantörer och andra tredje parter

Karl Roquet, Chief Commercial Officer Nordics på Aon, kommenterade:
”Det regulatoriska landskapet för cyberrisk förändras snabbare än någonsin, och det omformar redan hur nordiska företag ser på finansiell stabilitet. Många kunder ställer oss frågan: är cyberrelaterade sanktionsavgifter faktiskt försäkringsbara, och var? Vår nya Aon-rapport om försäkringsbarheten av sanktionsavgifter kopplade till cyberincidenter behandlar just detta. Med rätt kombination av juridisk insikt och analys kan vi hjälpa organisationer att se vad som verkligen står på spel, vad som kan och inte kan försäkras, och hur de ska strukturera sina program för att bättre skydda intäkter, balansräkning och varumärke i en betydligt tuffare cyberriskmiljö.”

”Över hela Norden ser vi att kunder brottas med samma fråga: hur planerar man säkert för cyberrisk när möjligheten att försäkra administrativa sanktionsavgifter är så splittrad från en jurisdiktion till en annan? Den här rapporten ger styrelser och riskchefer en betydligt tydligare bild av vad som – och vad som inte – vanligtvis är försäkringsbart i dag, så att de kan kalibrera sin cyberförsäkring, sina captives och sina investeringar i kontroller med långt större precision”, säger Amine Menaa, Nordic Cyber Leader på Aon.

Rapporten ”The Insurability of Cyber Fines” finns tillgänglig här: https://aon.io/4bO2RaR