Nu cyberincidenten in sectoren en rechtsgebieden in EMEA blijven toenemen, reageren toezichthouders met strengere controles en hogere verwachtingen. Met als gevolg een groeiend risico op aanzienlijke boetes en sancties voor organisaties die geen adequate compliance-maatregelen hebben getroffen, zo komt naar voren uit een gezamenlijke rapport van Aon en A&O Shearman – The insurability of Cyber Fines ‘- laat zien hoe deze veranderende regelgeving de cyberverzekeringen hervormt en waar organisaties mogelijk meer risico lopen dan ze beseffen.
Belangrijkste uitkomsten
0 De reikwijdte van de regelgeving wordt uitgebreid: Organisaties kunnen boetes en sancties krijgen onder meerdere kaders, waaronder de AVG, NIS2, DORA, de Cyber Resilience Act en sectorspecifieke regelgeving.
0 Handhaving wordt steeds assertiever, technischer en gelaagder: Toezichthouders stellen hogere eisen en streven naar strengere handhaving. Recente gevallen zijn onder andere Meta (€251 miljoen), Capita (£14 miljoen), Enel Energia (€79,1 miljoen) en Advanced Computer Software (£3,07 miljoen). De gevolgen van niet-naleving reiken echter veel verder dan financiële boetes.
0 De verzekerbaarheid verschilt per rechtsgebied: in sommige landen zijn cyberboetes expliciet niet verzekerbaar vanwege het overheidsbeleid. In andere landen is de juridische positie onduidelijk en nog niet door de rechter getoetst, wat een uitdagende situatie creëert voor multinationale ondernemingen.
0 Organisaties moeten concrete stappen ondernemen: besturen en senior management worden nu geconfronteerd met een verhoogde verantwoordelijkheid voor governance, toezicht en paraatheid. Organisaties moeten op de hoogte blijven van de ontwikkelingen op het gebied van regelgeving en strategieën ontwikkelen om juridische en financiële risico’s te beheersen.
Meer cyberincidenten in elke sector
Cyberincidenten nemen toe in elke sector en elk rechtsgebied, wat leidt tot nieuwe regelgeving gericht op het bevorderen van weerbaarheid, maar ook tot boetes en sancties voor bedrijven, directieleden en bestuursleden.
Cyberverzekering is een cruciale pijler van de cyberrisicomanagementstrategie van elke organisatie, ongeacht de grootte. Het helpt niet alleen bij het terugvorderen van financiële schades, kosten en aansprakelijkheden na een incident, maar bevordert ook best practices en weerbaarheid tijdens het acceptatieproces. Hoewel het overkoepelende doel van cyberverzekering is om uitgebreide bescherming te bieden tegen de uiteenlopende risico’s die kunnen voortvloeien uit een cyberincident, is het even belangrijk om de dekkingslimieten te begrijpen.
Tot voor kort werden de wettelijke verplichtingen voor bedrijven die getroffen werden door cyberincidenten voornamelijk bepaald door wetgeving inzake gegevensbescherming, waarbij sommige rechtsgebieden enigszins beperkte eisen stelden aan operationele weerbaarheid.
Dat landschap is aanzienlijk veranderd en blijft evolueren. Zo heeft Europa bijvoorbeeld belangrijke kaders geïntroduceerd, zoals DORA en NIS2, terwijl het Verenigd Koninkrijk onlangs de Cyber Security and Resilience Bill heeft gepubliceerd.
Duidelijke trends
Ten eerste zijn de bronnen voor cyberboetes aanzienlijk uitgebreid. Naast de handhaving van de gegevensbescherming verhoogt een groeiend aantal cyber-specifieke en sectorale regelgeving het risico op aanzienlijke geldboetes en introduceert het niet-geldelijke sancties, zoals managementverboden en operationele schorsingen.
Ten tweede blijft de verzekerbaarheid van cyberboetes een onzekere en jurisdictiespecifieke kwestie. Nationale wetten en het overheidsbeleid bepalen of dergelijke boetes gedekt kunnen worden door een verzekering. Sommige landen hanteren een algemeen verbod, terwijl andere landen verzekering toestaan, behalve in gevallen van opzettelijk of roekeloos wangedrag.
Ten derde wordt de handhaving steeds assertiever. Toezichthouders leggen niet alleen aanzienlijke boetes op, maar onderzoeken ook de adequaatheid van technische en organisatorische maatregelen, de tijdigheid van de melding van inbreuken en de robuustheid van de incidentrespons.
Spraakmakende zaken
Recente spraakmakende zaken – variërend van boetes van miljoenen euro’s tegen wereldwijde technologiebedrijven tot sectorspecifieke handhaving in de gezondheidszorg en financiële dienstverlening – onderstrepen de noodzaak van een proactieve en holistische aanpak van cyberriskmanagement. Hoe nieuwe regelgeving zal worden gehandhaafd, blijft onzeker, evenals of deze zal leiden tot een materiële toename van handhavingsactiviteiten.
De opkomst van collectieve schadevergoedingsmechanismen en class actions, met name na de implementatie van de EU-richtlijn inzake representatieve acties, voegt een extra laag van procesrisico toe. Organisaties moeten nu anticiperen op zowel onderzoeken door toezichthouders als de mogelijkheid van gecoördineerde claims van getroffen personen en consumentengroepen.
Naar verwachting zal het regelgevingsklimaat in de toekomst eisrijker en dynamischer worden. Compliance is een continu proces. De normen zullen waarschijnlijk in de loop der tijd stijgen, wat voortdurende aandacht en aanpassing vereist van organisaties en hun leiderschap. De EU AI-wetgeving, met haar strenge cybersecurity-eisen voor risicovolle AI-systemen en de mogelijkheid van cumulatieve sancties in combinatie met de AVG, illustreert deze ontwikkeling. Nieuwe regelgeving legt meer verantwoordelijkheid bij raden van bestuur en senior management, met directe aansprakelijkheid en hogere verwachtingen ten aanzien van toezicht en investeringen in cyberweerbaarheid, aldus het rapport.
Bronnen voor cyberboetes
In alle rechtsgebieden wereldwijd wordt de blootstelling aan boetes na cyberincidenten bepaald door privacy, cyberbeveiliging en sectorale regelgeving die steeds meer overlapt.
In de EU is de AVG het dominante kader, dat aanzienlijke administratieve boetes oplegt voor datalekken, ongeautoriseerde toegang en tekortkomingen in de gegevensbescherming. Nationale wetgeving vult de AVG aan, waarbij lokale gegevensbeschermingsautoriteiten bevoegd zijn om naleving af te dwingen en boetes op te leggen tot € 20 miljoen of 4 procent van de wereldwijde omzet voor ernstige cyberinbreuken.
De NIS2-richtlijn en de nationale implementaties ervan breidt de verplichtingen inzake cyberweerbaarheid uit naar kritieke sectoren, en introduceert aanvullende boetes voor tekortkomingen in cyberbeveiligingsrisicobeheer en incidentrapportage. Sectorspecifieke regelgeving, zoals DORA voor financiële diensten en de Cyber Resilience Act voor digitale producten, vergroot het scala aan potentiële boetes nog verder. Deze combinatie van gegevensbescherming, operationele veerkracht en sectorspecifieke regelgeving is ook in het VK van toepassing.
Buiten de EU en het VK hebben landen zoals Zuid-Afrika, Saoedi-Arabië en Turkije hun eigen wetgeving inzake gegevensbescherming en cybercriminaliteit ingevoerd, met wisselende mate van afstemming op de EU- en Britse normen.
Boetes variëren per rechtsgebied en per sector. Ze kunnen administratief of strafrechtelijk zijn, waarbij sommige rechtsgebieden persoonlijke aansprakelijkheid van directeuren en management toestaan. De complexiteit en de ernst van cyberboetes nemen toe, gedreven door zowel geharmoniseerde EU-regelgeving als diverse nationale benaderingen.
Er is ook een trend naar hogere maximumboetes, een bredere sectordekking en het groeiende belang van niet-monetaire sancties zoals operationele schorsingen en managementverboden. Er zijn ook hogere maximumbedragen en een meer gedetailleerde, technische handhaving, met name voor kritieke sectoren en digitale infrastructuur.
De cyberverzekeringsmarkt hanteert een flexibele aanpak voor de dekking van cyberboetes, mits dergelijke dekking wettelijk is toegestaan. Waar cyberboetes voor directeuren of senior managers mogelijk zijn (bijv. onder NIS2), moet de bestuurdersaansprakelijkheidsverzekering (D&O-verzekering) op een vergelijkbare basis reageren.
Praktische acties die organisaties nu kunnen overwegen
- Monitor wijzigingen in de regelgeving: Blijf op de hoogte van nieuwe
wetten (bijv. Cyber Resilience Act, EU AI Act).
- Stel robuuste procedures voor incidentrespons en melding van datalekken in.
- Zorg ervoor dat het senior management op de hoogte is van de risico’s met betrekking tot personeelsaansprakelijkheid.
- Voer een risicoanalyse per rechtsgebied uit: Identificeer welke wetten van toepassing zijn op uw activiteiten in verschillende landen en sectoren.
- Benoem een compliance-verantwoordelijke: Wijs de verantwoordelijkheid toe voor het monitoren van wijzigingen in de regelgeving en het coördineren van reacties.
- Controleer regelmatig uw naleving van de AVG, NIS2, DORA en sectorspecifieke regelgeving.
- Voer simulaties uit: Simuleer datalekken om de paraatheid voor reacties en de samenwerking met de regelgevende instanties te testen.
- Voer regelmatig cybersecurity-audits en personeelstrainingen uit: Toon proactieve naleving aan.
- Houd actuele gegevens bij van gegevensverwerking en beveiligingsmaatregelen in geval van een toezichthoudende controle of onderzoek.
- Ga proactief in gesprek met toezichthouders: Bouw relaties op met gegevensbeschermingsautoriteiten en cybersecurity-instanties om een soepelere afhandeling van incidenten te faciliteren.
- Zorg voor een optimale verzekeringsdekking om cyberboetes zoveel mogelijk te dekken.
