Unternehmen müssen sich bei Cyberrisiken nicht mehr nur auf operative Schäden und Reputationsverluste einstellen. Zunehmend rücken auch Bußgelder und Sanktionen in den Fokus. Das zeigt der Bericht „The Insurability of Cyber Fines“, den Aon gemeinsam mit der Wirtschaftskanzlei A&O Shearman veröffentlicht hat.
Die Analyse beschreibt ein regulatorisches Umfeld, das weltweit wächst und zugleich unübersichtlicher wird. Besonders stark betroffen sind demnach Unternehmen mit Aktivitäten in Europa, dem Nahen Osten und Afrika. Dort steigt das Risiko cyberbezogener Geldbußen, während die Frage, ob solche Sanktionen versicherbar sind, je nach Rechtsordnung unterschiedlich beantwortet wird.
Neben finanziellen Belastungen verweist der Bericht auch auf nicht-monetäre Sanktionen. Dazu zählen etwa Anordnungen zur Aussetzung von Geschäftsaktivitäten, verpflichtende Audits oder der Entzug von Lizenzen. Solche Maßnahmen können den Geschäftsbetrieb ähnlich stark treffen wie hohe Strafzahlungen.
Europa im Fokus der Cyber-Regulierung
„Das regulatorische Umfeld im Bereich Cyberrisiken entwickelt sich rasant weiter. Aufsichtsbehörden verfolgen heute einen deutlich aktiveren Ansatz, daher müssen Führungskräfte verstehen, wie Bußgelder und Sanktionen in den einzelnen Jurisdiktionen behandelt werden, und sicherstellen, dass ihre Governance-, Reporting- und Compliance-Strukturen einer intensiven regulatorischen Prüfung standhalten“, erkärt Philipp Seebohm, Executive Director Specialties bei Aon Deutschland.
Vor allem Europa gilt laut Bericht als regulatorischer Hotspot. In der Europäischen Union sind mit der Datenschutz-Grundverordnung, NIS2, DORA, dem Cyber Resilience Act und dem EU AI Act mehrere Regelwerke in Kraft oder stehen vor der Umsetzung. Sie schaffen teils hohe Bußgeldrahmen und erhöhen damit das Risiko für Unternehmen mit Sitz oder Geschäftstätigkeit in Europa deutlich.
Hinzu kommt, dass sich einzelne Vorgaben überschneiden. Unternehmen müssen dadurch häufig mehrere regulatorische Anforderungen parallel erfüllen. Gerade für international tätige Organisationen erhöht das die operative Komplexität und erschwert es, Risiken konsistent zu steuern.
Regulatorik erschwert Versicherbarkeit
Der Bericht macht deutlich, dass die Versicherbarkeit von Cyber-Bußgeldern weiterhin unsicher bleibt. Ob und in welchem Umfang Policen solche Zahlungen abdecken dürfen, hängt von der jeweiligen nationalen Rechtslage ab. Für Unternehmen bedeutet das: Selbst bei bestehendem Versicherungsschutz bleibt offen, ob ein konkreter Schadenfall tatsächlich gedeckt ist.
Zugleich wächst die persönliche Verantwortung von Vorständen und Geschäftsleitungen. Neue regulatorische Vorgaben verschärfen die Anforderungen an Governance, Reporting und Compliance. Führungskräfte müssen deshalb stärker nachweisen können, dass Kontroll- und Sicherheitsstrukturen belastbar sind.
„Unternehmen brauchen heute eine deutlich proaktivere Haltung gegenüber Cyber- und Compliance-Risiken“, ordnet Seebohm ein. Die Kombination aus komplexer Regulatorik, steigenden Bußgeldrahmen und unvollständiger Versicherbarkeit mache klar: Nur wer seine Sicherheits-, Governance- und Resilienzstrukturen konsequent weiterentwickele, könne regulatorischen Druck reduzieren und langfristig handlungsfähig bleiben, so Seebohm.
