Verzekerbaarheid van cyberboetes urgente zorg voor organisaties in de EMEA-regio

De regelgeving voor cyberboetes is sterk uitgebreid en de verzekerbaarheid van die boetes is een urgente zorg geworden voor organisaties in de EMEA-regio, zo blijkt uit het rapport ‘Verzekerbaarheid van cyberboetes’, dat gezamenlijk is opgesteld door Aon en advocatenkantoor A&O Shearman. Hieruit blijkt dat de kans op cyberboetes toeneemt, maar dat de verzekerbaarheid van die boetes onzeker blijft en per rechtsgebied verschilt op basis van de lokale wetgeving.

Kosten voor verdediging, onderzoek, melding van inbreuken, bedrijfsonderbreking en herstel worden vaker gedekt door cyberpolissen. Het rapport identificeert dit als een groeiende kloof tussen regelgevingsrisico’s en verzekerbare bescherming. “Bedrijven die actief zijn in EMEA worden steeds vaker geconfronteerd met regelgevingsboetes die mogelijk niet worden gedekt door bestaande cyberverzekeringen – een kloof die groter is geworden naarmate de handhaving in de hele regio wordt geïntensiveerd en nieuwe kaders van kracht worden”, aldus het rapport.

Boetes Europese autoriteiten

De waarschuwing komt op een moment dat Europese databeschermingsautoriteiten aanzienlijke boetes blijven opleggen. Volgens gegevens uit de sector hebben toezichthouders in 2025 voor ongeveer 1,2 miljard euro aan GDPR-boetes opgelegd, waarmee het totale bedrag aan boetes sinds de inwerkingtreding van de verordening in 2018 op ongeveer 7,1 miljard euro komt.

Organisaties hebben nu te maken met nalevingsvereisten onder meerdere kaders die verder gaan dan de AVG . Nu cyberincidenten in alle sectoren en rechtsgebieden toenemen, worden organisaties geconfronteerd met een snel veranderende regelgeving. Wetten en kaders zoals de DORA (Digital Operational Resilience Act) van de EU, de NIS2-richtlijn en de aanstaande Cyber Security and Resilience Bill van het Verenigd Koninkrijk zorgen ervoor dat er steeds meer behoefte is aan cyberweerbaarheid. Maar deze ontwikkelingen gaan gepaard met hogere boetes en sancties voor bedrijven, leidinggevenden en bestuursleden die niet aan de regelgeving voldoen.

De EU AI Act wordt gefaseerd geïmplementeerd, waarbij verboden AI-systemen vanaf februari 2025 worden verboden en volledige naleving vereist is tegen augustus 2027. Overtredingen kunnen leiden tot boetes van maximaal 3% van de wereldwijde omzet, of 7% voor verboden praktijken – sancties die bovenop boetes op grond van de AVG, NIS2 en DORA kunnen worden opgelegd. Vergelijkbare regelingen worden ook ontwikkeld in het Verenigd Koninkrijk, Zuid-Afrika en Saoedi-Arabië.

 

De belangrijkste bevindingen

  • De reikwijdte van de regelgeving neemt toe: de bronnen van cyberboetes zijn sterk uitgebreid en de handhaving is assertiever en meer gelaagd geworden.
  • De verzekerbaarheid blijft onzeker: of cyberboetes verzekerd kunnen worden, is sterk afhankelijk van de jurisdictie. Veel landen beperken of verbieden verzekeringen voor strafrechtelijke of punitieve administratieve boetes, en waar dekking wel beschikbaar is, is deze doorgaans beperkt tot wat “wettelijk verzekerbaar” is, met uitsluiting van opzettelijke of grove nalatigheid.
  • Niet-geldelijke sancties nemen toe: sancties zoals bevelen tot stopzetting van de verwerking, verplichte audits, operationele opschortingen of intrekking van vergunningen kunnen even verstorend zijn als financiële sancties.
  • Verantwoordelijkheid van de raad van bestuur: van raden van bestuur en het senior management wordt steeds meer verwacht dat zij toezicht houden, investeren en voorbereid zijn op het beperken van cyberrisico’s.

“Nu er in EMEA nieuwe cyberwetten en -voorschriften van kracht worden, blijft de verzekerbaarheid van cyberboetes een complexe, steeds veranderende kwestie. Aangezien de handhaving naar verwachting zal toenemen, is het essentieel om de juridische context en de beperkingen van verzekeringen te begrijpen. Ons gezamenlijke rapport benadrukt de noodzaak van praktische maatregelen en proactieve samenwerking tussen juridische, risico- en verzekeringsteams om door dit uitdagende landschap te navigeren.”

Governance en risicobeperking

Het rapport merkt op dat de handhaving assertiever is geworden en dat autoriteiten nu technische en governancecontroles testen. Niet-geldelijke sancties, zoals operationele schorsingen, managementverboden en openbare handhavingsbeslissingen, kunnen de bedrijfsvoering verstoren en zijn over het algemeen niet verzekerbaar.

Pablo Constenla, Head of Coverage and Claims voor cyber- en financial lines bij Aon in EMEA, zegt dat toezichthouders een meer praktische aanpak hanteren. “Bedrijven moeten begrijpen hoe boetes en sancties in verschillende rechtsgebieden worden behandeld en ervoor zorgen dat hun governance-, rapportage- en nalevingskaders robuust genoeg zijn om kritische controle te doorstaan.”

David Molony, Head of Cyber Solutions  EMEA bij Aon, zegt dat organisaties die incidentresponsplanning integreren met risicotoezicht en cross-functionele coördinatie, beter in staat zijn om hun operationele veerkracht te behouden.

Pablo Constenla LLM, Head of Cyber and Financial Lines Coverag and Claims EMEA bij Aon: “De verzekerbaarheid van cyberboetes blijft een onzekere en jurisdictiespecifieke kwestie. Dit rapport benadrukt het belang van inzicht in lokale juridische nuances, de noodzaak van nauwe samenwerking tussen juridische, risico- en verzekeringsfuncties, en de noodzaak om voorop te blijven lopen bij ontwikkelingen op het gebied van regelgeving.”

Gerelateerde artikelen

Aon versterkt brokingteam met nieuwe Chief Broking Officer (Alex Kempe) en Director Broking (Robin Roos); Jochem Kort wordt Head of Commercial Risk Solutions 

Insurance | 02-02-2026

  Aon versterkt zijn brokingorganisatie in Nederland met twee benoemingen. Per 1 februari 2026 is Alex Kempe de nieuwe Chief Broking Officer en start Robin Roos als Director Broking voor Liability, Financial Services Group & Cyber. Tegelijkertijd krijgt ook Jochem Kort een nieuwe functie: Head of Commercial Risk Solutions . “Met deze wijzigingen zetten we […]

Rechtbank Rotterdam stelt Aon in het ongelijk in concurrentiebedingzaak tegen Schouten Zekerheid

Insurance | 26-01-2026

  De Rechtbank Rotterdam heeft afgelopen vrijdag alle eisen afgewezen in een rechtszaak die Aon  vanwege schending van het concurrentie-, geheimhoudings- en relatiebeding had aangespannen tegen Schouten Zekerheid en drie voormalige medewerkers die  in september 2024 naar laatstgenoemde makelaar waren overgestapt. Aon eiste in rechtszaak ruim twee miljoen euro – € 2.159.888 euro –  van […]

IG&H Performancemonitor: Volmachtwaardering stijgt, maar ondersteuning blijft steken op 7,4 

Insurance | 06-01-2026

  – Volmachtnemers (GA’s) zijn steeds enthousiaster over de samenwerking met verzekeraars. Op één aspect zijn ze echter kritisch: de ondersteuning die zij ontvangen van verzekeraars bij inregelen en overvoer. Waar de gemiddelde waardering in de Performance Monitor een gestage stijging laat zien (van 7,4 in 2022 naar 7,5 in H1 2025), blijft het oordeel […]

Trendonderzoek Risicobewust Ondernemen Ipsos I&O en Centraal Beheer: 7 op de 10 zzp’ers niet verzekerd met een AOV tegen inkomensverlies

Insurance | 06-01-2026

Het is voor ondernemers nog onzeker wat 2026 zal brengen op het gebied van een mogelijke verplichte arbeidsongeschiktheidsverzekering (AOV). Toch is het verstandig om niet af te wachten maar proactief te handelen. Nieuw onderzoek laat zien dat er nog veel ruimte is voor verbetering: 71% van de zelfstandigen zonder personeel (zzp’ers) heeft geen arbeidsongeschiktheidsverzekering (AOV). […]